TR/Crypt.XPACK.gen3 détectés par Antivir sur Windows XP

[Mahdi]

Bonjour,

Depuis pas mal de temps Windows est infecté par TR/Crypt.XPACK.gen3 détecté par Antivir.
Quelqu'un peu m'aider à le supprimer ?

Merci pour votre aide

[Malekal_morte]

Salut,

Détecté dans quel fichier ?
Donne le rapport.

[Mahdi]

Bonsoir,

Voici les fichiers infectés :
C:\Program Files\GUM178.tmp\goopdateres_lv.dll'
C:\Program Files\GUM178.tmp\goopdateres_lt.dll'
C:\Program Files\GUM178.tmp\goopdateres_ko.dll'
C:\Program Files\GUM178.tmp\goopdateres_kn.dll'
C:\Program Files\GUM178.tmp\goopdateres_ja.dll'
C:\Program Files\GUM178.tmp\goopdateres_iw.dll'
C:\Program Files\GUM178.tmp\goopdateres_it.dll'
'C:\Program Files\GUM178.tmp\goopdateres_is.dll'
C:\Program Files\GUM178.tmp\goopdateres_id.dll'
C:\Program Files\GUM178.tmp\goopdateres_hu.dll'
C:\Program Files\GUM178.tmp\goopdateres_hr.dll'
C:\Program Files\GUM178.tmp\goopdateres_hi.dll'
C:\Program Files\GUM178.tmp\goopdateres_gu.dll'
C:\Program Files\GUM178.tmp\goopdateres_fr.dll'
C:\Program Files\GUM178.tmp\goopdateres_fil.dll'
C:\Program Files\GUM178.tmp\goopdateres_fi.dll'
C:\Program Files\GUM178.tmp\goopdateres_fa.dll'
C:\Program Files\GUM178.tmp\goopdateres_et.dll'
C:\Program Files\GUM178.tmp\goopdateres_es-419.dll'
C:\Program Files\GUM178.tmp\goopdateres_es.dll'
C:\Program Files\GUM178.tmp\goopdateres_en-GB.dll'
C:\Program Files\GUM178.tmp\goopdateres_en.dll'
C:\Program Files\GUM178.tmp\goopdateres_el.dll'
C:\Program Files\GUM178.tmp\goopdateres_de.dll'
C:\Program Files\GUM178.tmp\goopdateres_da.dll'
'C:\Program Files\GUM178.tmp\goopdateres_cs.dll'
C:\Program Files\GUM178.tmp\goopdateres_ca.dll'
C:\Program Files\GUM178.tmp\goopdateres_bn.dll'
C:\Program Files\GUM178.tmp\goopdateres_bg.dll'
C:\Program Files\GUM178.tmp\goopdateres_ar.dll'
C:\Program Files\GUM178.tmp\goopdateres_am.dll'

Pour le rapport je l'envoie dès que le contrôle est terminé

Merci

[angelique]

• Télécharge sur ton Bureau pas ailleurs FRST.EXE:
  
  
  
  La page de téléchargement : http://www.bleepingcomputer.com/downloa ... scan-tool/
  Le téléchargement se fait à partir des boutons bleus Download – choisissez la version 32 ou 64 bits selon l’architecture de votre système.
  (Au pire si vous êtes en 64 bits et que vous prenez la version 32 bits, vous aurez un message disant que cette version ne peux fonctionner – cela n’endommage pas le système).
  
  !! Placez le programme sur le bureau et pas ailleurs!!
• Execute FRST.EXE, accepte le disclaimer , Cochez tous les options et cliquez sur le bouton Scan.
  Le scan se lance, les éléments scannés apparaissent en haut.
• Une fois le scan terminé, une popup vous le signale et deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )
  
  
  Utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse.

-----------------------------------

[Mahdi]

Voici le rapport et merci encore.

Avira AntiVir Personal
Date de création du fichier de rapport : jeudi 13 août 2015 19:09

La recherche porte sur 4635301 souches de virus.

Détenteur de la licence : Avira Free Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : BAOUALI

Informations de version :
BUILD.DAT : 9.0.0.81 21698 Bytes 22/10/2010 12:02:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 06/02/2010 14:25:02
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:04
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:12
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:32
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 14:25:00
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 18:13:22
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20/12/2011 18:43:10
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01/02/2012 09:05:44
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28/03/2012 16:27:26
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29/06/2012 16:36:06
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06/09/2012 16:10:26
VBASE007.VDF : 7.11.50.230 3904512 Bytes 22/11/2012 17:51:32
VBASE008.VDF : 7.11.50.231 2048 Bytes 22/11/2012 17:51:32
VBASE009.VDF : 7.11.50.232 2048 Bytes 22/11/2012 17:51:34
VBASE010.VDF : 7.11.50.233 2048 Bytes 22/11/2012 17:51:34
VBASE011.VDF : 7.11.50.234 2048 Bytes 22/11/2012 17:51:34
VBASE012.VDF : 7.11.50.235 2048 Bytes 22/11/2012 17:51:34
VBASE013.VDF : 7.11.50.236 2048 Bytes 22/11/2012 17:51:34
VBASE014.VDF : 7.11.51.27 133632 Bytes 23/11/2012 18:23:02
VBASE015.VDF : 7.11.51.95 140288 Bytes 26/11/2012 19:08:10
VBASE016.VDF : 7.11.51.221 164352 Bytes 29/11/2012 16:13:34
VBASE017.VDF : 7.11.52.29 158208 Bytes 01/12/2012 14:14:40
VBASE018.VDF : 7.11.52.91 116736 Bytes 03/12/2012 09:02:28
VBASE019.VDF : 7.11.52.151 137728 Bytes 05/12/2012 13:57:14
VBASE020.VDF : 7.11.52.225 157696 Bytes 06/12/2012 08:48:54
VBASE021.VDF : 7.11.53.35 126976 Bytes 08/12/2012 16:16:32
VBASE022.VDF : 7.11.53.55 225792 Bytes 09/12/2012 08:03:58
VBASE023.VDF : 7.11.53.93 157184 Bytes 10/12/2012 08:03:58
VBASE024.VDF : 7.11.53.169 153088 Bytes 12/12/2012 15:38:12
VBASE025.VDF : 7.11.53.237 152064 Bytes 14/12/2012 16:01:20
VBASE026.VDF : 7.11.54.23 149504 Bytes 17/12/2012 17:13:56
VBASE027.VDF : 7.11.54.67 130048 Bytes 18/12/2012 08:22:14
VBASE028.VDF : 7.11.54.153 292352 Bytes 21/12/2012 11:57:34
VBASE029.VDF : 7.11.55.1 300032 Bytes 28/12/2012 16:36:10
VBASE030.VDF : 7.11.55.2 2048 Bytes 28/12/2012 16:36:10
VBASE031.VDF : 7.11.55.48 96256 Bytes 30/12/2012 16:36:10
Version du moteur : 8.2.10.224
AEVDF.DLL : 8.1.2.10 102772 Bytes 11/07/2012 06:41:08
AESCRIPT.DLL : 8.1.4.78 467323 Bytes 21/12/2012 10:42:54
AESCN.DLL : 8.1.10.0 131445 Bytes 13/12/2012 15:38:16
AESBX.DLL : 8.2.5.12 606578 Bytes 15/06/2012 10:06:54
AERDL.DLL : 8.2.0.74 643445 Bytes 10/11/2012 10:10:10
AEPACK.DLL : 8.3.1.2 819574 Bytes 21/12/2012 10:42:54
AEOFFICE.DLL : 8.1.2.50 201084 Bytes 10/11/2012 10:10:08
AEHEUR.DLL : 8.1.4.168 5628280 Bytes 21/12/2012 10:42:52
AEHELP.DLL : 8.1.25.2 258423 Bytes 11/10/2012 16:27:20
AEGEN.DLL : 8.1.6.12 434549 Bytes 13/12/2012 15:38:14
AEEXP.DLL : 8.3.0.4 184692 Bytes 21/12/2012 10:42:54
AEEMU.DLL : 8.1.3.2 393587 Bytes 11/07/2012 06:41:06
AECORE.DLL : 8.1.30.0 201079 Bytes 13/12/2012 15:38:14
AEBB.DLL : 8.1.1.4 53619 Bytes 10/11/2012 10:10:04
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:32
AVPREF.DLL : 9.0.3.0 44289 Bytes 06/02/2010 14:25:02
AVREP.DLL : 10.0.0.9 174120 Bytes 04/03/2011 17:07:18
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:44
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:24
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:38
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:50
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:58
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:41:00
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 06/02/2010 14:24:56
RCTEXT.DLL : 9.0.73.0 88321 Bytes 06/02/2010 14:24:56

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : jeudi 13 août 2015 19:09

La recherche d'objets cachés commence.
'80427' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WUAUCLT.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'EXPLORER.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avnotify.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ATKOSD.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SSScheduler.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
Processus de recherche '9props.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TeaTimer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AdobeARM.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RUNDLL32.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WSCNTFY.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'c2c_service.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RegSrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'OProtSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NVSVC32.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'NitroPDFDriverService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'JQS.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'AVGUARD.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SCHED.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SPOOLSV.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'S24EvMon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'EvtEng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ZCfgSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'LSASS.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SERVICES.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'WINLOGON.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'CSRSS.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SMSS.EXE' - '1' module(s) sont contrôlés
'43' processus ont été contrôlés avec '43' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0

i

Aucun virus trouvé ! La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' i Aucun virus trouvé ! La recherche sur les renvois aux fichiers exécutables (registre) commence : Le registre a été contrôlé ( '54' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' C:\pagefile.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. C:\WINDOWS\system32\MRT.exe [RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen3 [AVERTISSEMENT] 'Contient le cheval de Troie TR/Crypt.XPACK.Gen3'. Le résultat concerne très probablement un message d'erreur. Veuillez nous renvoyer immédiatement ce fichier pour une analyse plus détaillée. C:\WINDOWS\SoftwareDistribution\Download\f5389190106a674d6a46bdfd2ddc3af0e59bd7a3 [0] Type d'archive: CAB SFX (self extracting) --> mrtstub.exe [RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen2 [AVERTISSEMENT] ''. Le résultat concerne très probablement un message d'erreur. Veuillez nous renvoyer immédiatement ce fichier pour une analyse plus détaillée. C:\Program Files\GUM7E.tmp\goopdateres_en.VIR [RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen3 C:\System Volume Information\_restore{CD0D6EF1-D35C-44B4-94C3-D0B557D455E9}\RP1307\A0089652.dll [RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen3 C:\System Volume Information\_restore{CD0D6EF1-D35C-44B4-94C3-D0B557D455E9}\RP1309\A0089696.dll [RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen3 C:\System Volume Information\_restore{CD0D6EF1-D35C-44B4-94C3-D0B557D455E9}\RP1320\A0090049.exe [RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen3 C:\System Volume Information\_restore{CD0D6EF1-D35C-44B4-94C3-D0B557D455E9}\RP1279\A0089128.dll [RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen3 Début de la désinfection : C:\Program Files\GUM7E.tmp\goopdateres_en.VIR [RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen3 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '563bef7f.qua' ! C:\System Volume Information\_restore{CD0D6EF1-D35C-44B4-94C3-D0B557D455E9}\RP1307\A0089652.dll [RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen3 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '55fcef40.qua' ! C:\System Volume Information\_restore{CD0D6EF1-D35C-44B4-94C3-D0B557D455E9}\RP1309\A0089696.dll [RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen3 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '54680169.qua' ! C:\System Volume Information\_restore{CD0D6EF1-D35C-44B4-94C3-D0B557D455E9}\RP1320\A0090049.exe [RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen3 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '546c2049.qua' ! C:\System Volume Information\_restore{CD0D6EF1-D35C-44B4-94C3-D0B557D455E9}\RP1279\A0089128.dll [RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen3 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '55fcef5f.qua' ! Fin de la recherche : jeudi 13 août 2015 21:25 Temps nécessaire: 2:14:59 Heure(s) La recherche a été effectuée intégralement 10055 Les répertoires ont été contrôlés 503848 Des fichiers ont été contrôlés 7 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 5 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 1 Impossible de contrôler des fichiers 503840 Fichiers non infectés 12327 Les archives ont été contrôlées 3 Avertissements 6 Consignes 80427 Des objets ont été contrôlés lors du Rootkitscan 0 Des objets cachés ont été trouvés

[Mahdi]

Bonsoir Angélique,

Voici les rapports demandés et merci pour ton aide

http://pjjoint.malekal.com/files.php?id ... o15r5s14l7
http://pjjoint.malekal.com/files.php?id ... u12t118t13
http://pjjoint.malekal.com/files.php?id ... h10l15u7n9

[Malekal_morte]

Je te conseille désinstaller McAfee Security Scan et Spybot =)



Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutorial-farbar ... -frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

2015-05-24 08:24 - 2015-05-24 08:24 - 00000000 ____D C:\Program Files\GUM7E.tmp

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur

[Mahdi]

J'ai supprimé McAfee Security Scan et Spybot .

Voici le fichier texte de FRST :

Résultats de correction de Farbar Recovery Scan Tool (x86) Version:13-08-2015
Exécuté par Baouali Mahdi (2015-08-13 22:58:30) Run:1
Exécuté depuis C:\Documents and Settings\Baouali Mahdi\Bureau
Profils chargés: Baouali Mahdi (Profils disponibles: Baouali Mahdi)
Mode d'amorçage: Normal

==============================================

fixlist contenu:
*****************

2015-05-24 08:24 - 2015-05-24 08:24 - 00000000 ____D C:\Program Files\GUM7E.tmp
*****************

C:\Program Files\GUM7E.tmp => déplacé(es) avec succès.

==== Fin of Fixlog 22:58:30 ====

[Mahdi]

Bonjour,

Ce matin au démarrage du PC antivir à détecté ce virus :

C:\dffbbc3453343d0d01e31dc81fdcb1c5\mrtstub.exe'
un virus ou un programme indésirable 'TR/Crypt.ZPACK.Gen2' [trojan] a été détecté

Je l'ai mis en quarantaine mais est-ce suffisant?

Merci

[Malekal_morte]

C'est un faux positif, ça.

[Mahdi]

OK, mais j'ai eu de nouveau des alertes d'antivir :

C:\Program Files\GUM24.tmp\goopdateres_zh-TW.dll'
C:\Program Files\GUM24.tmp\goopdateres_zh-CN.dll'
C:\Program Files\GUM24.tmp\goopdateres_vi.dll'
C:\Program Files\GUM24.tmp\goopdateres_ur.dll'
....

en tout une vingtaine de messages

Je pense que mon pc est toujours vérolé.

[Malekal_morte]

Ce n'est pas dans le dossier FRST\Quarantaine que cela est détecté ?

[Mahdi]

Non se sont des alertes antivir.

[Malekal_morte]

Tu peux refaire la correction FRST pour voir : http://forum.malekal.com/infecte-par-cr ... ml#p403340 ?

[Mahdi]

Bonjour,

Il me semble que tout est revenu dans l'ordre.

Merci pour tout