Trojan "TR/Crypt.ZPACK.Gen" détecté par Avira
Forum Sécurité - Virus : Trojan "TR/Crypt.ZPACK.Gen" détecté par Avira
Bonjour,
Ce matin Avira a détécté le trojan TR/Crypt.ZPACK.Gen sur mon ordinateur.
J'attend le rapport pour pouvoir le poster.
En attendant je précise ce que j'ai fait:
Dans le fichier 'C:\Documents and Settings\Eric\Local Settings\Temp\herss.exe'
un virus ou un programme indésirable 'TR/Crypt.ZPACK.Gen' [trojan] a été détecté.
Action exécutée : Refuser l'accès
Dans le fichier 'C:\Documents and Settings\Eric\Local Settings\Temp\herss.exe'
un virus ou un programme indésirable 'TR/Crypt.ZPACK.Gen' [trojan] a été détecté.
Action exécutée : Supprimer le fichier
Dans le fichier 'C:\cj3k.exe'
un virus ou un programme indésirable 'TR/Crypt.ZPACK.Gen' [trojan] a été détecté.
Action exécutée : Supprimer le fichier
Et je ne peux plus ouvrir mon disque C: en double cliquant dessus, si je fais ça ça m'ouvre une fenêtre 'Ouvrir avec...', je suis donc obligé de l'ouvrir avec clic-droit + Explorer...
Bonjour,
- Télécharge UsbFix (de Chiquitine29 & C_XX) sur ton Bureau.
- Lance l'installation avec les paramètres par défaut.
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
- Double-clique sur le raccourci UsbFix sur ton Bureau.
(Sous Vista, il faut cliquer droit sur le raccourci UsbFix et choisir Exécuter en tant qu'administrateur)
- Choisis l'option 1 (Recherche).
- Laisse travailler l'outil.
- Poste le rapport UsbFix.txt.
Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).
"Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Rapport partiel avira
Avira AntiVir Personal
Date de création du fichier de rapport : samedi 5 septembre 2009 13:31
La recherche porte sur 1684065 souches de virus.
Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : PORTABLE_ERIC
Informations de version :
BUILD.DAT : 9.0.0.67 17958 Bytes 04/08/2009 14:47:00
AVSCAN.EXE : 9.0.3.7 466689 Bytes 23/08/2009 16:05:55
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24/06/2009 12:55:16
ANTIVIR2.VDF : 7.1.5.201 3414528 Bytes 03/09/2009 15:06:59
ANTIVIR3.VDF : 7.1.5.209 43520 Bytes 04/09/2009 15:07:00
Version du moteur : 8.2.1.8
AEVDF.DLL : 8.1.1.1 106868 Bytes 15/05/2009 18:31:09
AESCRIPT.DLL : 8.1.2.27 467321 Bytes 05/09/2009 15:07:12
AESCN.DLL : 8.1.2.5 127346 Bytes 05/09/2009 15:07:08
AERDL.DLL : 8.1.2.4 430452 Bytes 15/07/2009 19:52:37
AEPACK.DLL : 8.1.3.18 401783 Bytes 27/05/2009 22:46:38
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 17/06/2009 17:14:38
AEHEUR.DLL : 8.1.0.155 1921400 Bytes 23/08/2009 16:05:55
AEHELP.DLL : 8.1.7.0 237940 Bytes 05/09/2009 15:07:07
AEGEN.DLL : 8.1.1.60 364915 Bytes 05/09/2009 15:07:05
AEEMU.DLL : 8.1.0.9 393588 Bytes 09/10/2008 13:32:40
AECORE.DLL : 8.1.7.8 184692 Bytes 05/09/2009 15:07:02
AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.0.1 43777 Bytes 03/12/2008 10:39:26
AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 13/07/2009 09:47:34
RCTEXT.DLL : 9.0.37.0 88321 Bytes 15/04/2009 09:07:05
Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Début de la recherche : samedi 5 septembre 2009 13:31
La recherche d'objets cachés commence.
'43953' objets ont été contrôlés, '0' objets cachés ont été trouvés.
La recherche sur les processus démarrés commence :
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CCleaner.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'FNPLicensingService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Flash.exe' - '1' module(s) sont contrôlés
Processus de recherche 'BTSTAC~1.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'BTTray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxext.exe' - '1' module(s) sont contrôlés
Processus de recherche 'acrotray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PerformanceManager.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MagicKBD.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dmhkcore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'BatteryManager.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxpers.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxsrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'EDSAgent.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RTHDCPL.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'StarWindServiceAE.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SNMWLANService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SeaPort.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'btwdins.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'52' processus ont été contrôlés avec '52' modules
La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !
La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '74' fichiers).
La recherche sur les fichiers sélectionnés commence :
Recherche débutant dans 'C:\'
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\rx.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen
C:\Documents and Settings\Eric\Local Settings\Temp\cvasds0.dll
[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen
C:\Documents and Settings\Eric\Local Settings\Temp\cvasds1.dll
[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen
Début de la désinfection :
C:\rx.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen
[AVERTISSEMENT] Fichier ignoré.
C:\Documents and Settings\Eric\Local Settings\Temp\cvasds0.dll
[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen
[AVERTISSEMENT] Fichier ignoré.
C:\Documents and Settings\Eric\Local Settings\Temp\cvasds1.dll
[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen
[AVERTISSEMENT] Fichier ignoré.
Fin de la recherche : samedi 5 septembre 2009 14:24
Temps nécessaire: 52:02 Minute(s)
La recherche a été interrompue !
2811 Les répertoires ont été contrôlés
90283 Des fichiers ont été contrôlés
3 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
90278 Fichiers non infectés
526 Les archives ont été contrôlées
5 Avertissements
2 Consignes
43953 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés
(dois-je faire le rapport complet? car j'ai attendu 50 min pour 15%...)
Rapport usbfix
############################## | UsbFix V6.025 |
User : Eric (Administrateurs) # PORTABLE_ERIC
Update on 04/09/2009 by Chiquitine29, C_XX & Chimay8
Start at: 14:32:26 | 05/09/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Intel(R) Atom(TM) CPU N270 @ 1.60GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
C:\ -> Disque fixe local # 71,04 Go (19,45 Go free) # NTFS
D:\ -> Disque fixe local # 72 Go (12,45 Go free) [Sophie] # NTFS
E:\ -> Disque CD-ROM
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\samsung\Samsung Network Manager\SNMWLANService.exe
C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Samsung\Samsung EDS\EDSAgent.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Samsung\Samsung Battery Manager\BatteryManager.exe
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Program Files\SAMSUNG\MagicKBD\PerformanceManager.exe
C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\igfxext.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\CCleaner\CCleaner.exe
C:\Program Files\Avira\AntiVir Desktop\avcenter.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
################## | Fichiers # Dossiers infectieux |
Présent ! C:\DOCUME~1\Eric\LOCALS~1\Temp\cvasds0.dll
Présent ! C:\DOCUME~1\Eric\LOCALS~1\Temp\cvasds1.dll
C:\autorun.inf # -> fichier appelé : "C:\cj3k.exe" ( Absent ! )
Présent ! C:\autorun.inf
Présent ! C:\rx.exe
D:\autorun.inf # -> fichier appelé : "D:\cj3k.exe" ( Présent ! )
Présent ! D:\autorun.inf
Présent ! D:\cj3k.exe
Présent ! D:\rx.exe
################## | Suspect ! ... | http://www.virustotal.com |
################## | Registre # Clés Run infectieuses |
Présent ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "cdoosoft"
Présent ! HKU\S-1-5-21-3185829089-206103530-209839513-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "cdoosoft"
Présent ! HKLM\SYSTEM\CurrentControlSet\Services\AVPsys
Présent ! HKLM\SYSTEM\ControlSet001\Services\AVPsys
Présent ! HKLM\SYSTEM\ControlSet003\Services\AVPsys
Présent ! HKCU\SOFTWARE\...\CurrentVersion\Policies\System "DisableTaskMgr"
################## | Registre # Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\F
Shell\AutoRun\command =F:\LaunchU3.exe -a
HKCU\..\..\Explorer\MountPoints2\{3623c91c-997e-11de-b273-002269e098f1}
Shell\AutoRun\command =F:\LaunchU3.exe -a
HKCU\..\..\Explorer\MountPoints2\{3623c91d-997e-11de-b273-002269e098f1}
Shell\AutoRun\command =G:\rx.exe
Shell\open\Command =G:\rx.exe
HKCU\..\..\Explorer\MountPoints2\{70889ed6-d244-11dd-9c31-806d6172696f}
Shell\AutoRun\command =D:\cj3k.exe
Shell\open\Command =D:\cj3k.exe
HKCU\..\..\Explorer\MountPoints2\{a5962afc-b936-11dd-8590-806d6172696f}
Shell\AutoRun\command =C:\cj3k.exe
Shell\open\Command =C:\cj3k.exe
################## | ! Fin du rapport # UsbFix V6.025 ! |
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
- Double-clique sur le raccourci UsbFix présent sur ton Bureau pour le lancer.
(Sous Vista, il faut cliquer droit sur le raccourci UsbFix et choisir Exécuter en tant qu'administrateur)
- Choisis l'option 2 (Suppression).
- Ton Bureau disparaîtra et le PC redémarrera.
- Au redémarrage, UsbFix scannera ton PC, laisse travailler l'outil.
- Ensuite, poste le rapport UsbFix.txt qui apparaîtra avec le Bureau.
Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).
Le problème est réglé. Cependant j'ai fait ce que tu m'avais dis de faire et ça n'as pas fonctionné, enfin c'est resté bloqué... donc j'ai tout fait à la main! Ca m'a pris 1h mais c'est bon.
Après cette exploration de mon registre j'ai pu comprendre (un peu) (peut-être) le trojan.
La clé
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "cdoosoft"
permettais de lancer un fichier .exe depuis le local_files\temp\
de plus il avais implanté les fichiers rx.exe et dj3k.exe dans les deux disques c: et d: qui étais lancés soit par le autorun.inf soit directement par le registre avec les commandes d'éxecutions lors de l'ouverture du disque, en effet celles-ci sont config.sys, autorun.inf, explorer.exe, etc...
enfin c'est ce que j'en ai compris...
le problème c'est que tous ces fichiers (les .exe) était en priorités S H R soit fichier système, fichier caché et fichier en lecture seule. Ces propriétés sont modifiables via l'invite de commande pour pouvoir les rendre visible et les supprimer...
je tiens à préciser que c'est mon colocs qui sans mon accord avait téléchargé Moovida Media Center. Cependant je ne suis pas sur que ce soit la source du problème...
- Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
- Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
- Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
- Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
- Sélectionne Exécuter un examen rapide.
- Clique sur Rechercher. L'analyse démarre.
- A la fin de l'analyse, un message s'affiche :
| Citation : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. |
- Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
- Ferme tes navigateurs.
- Si des malwares ont été détectés, clique sur Afficher les résultats.
- Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
- MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.
Il y a 1658 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.
