Windows XP est infecté par Job Crypter (extension .css)

[hacham]

Bonjour à tous,

D'abord merci pour l'aide que vous pourrez m'apporter.
J'ai été infecté par un virus qui me verrouille l'accès aux fichiers.

J'ai parcouru différents sujets avant de poster.

J'ai donc téléchargé FRST et j'ai fait un scan

http://pjjoint.malekal.com/files.php?id ... 14p7w15e15
http://pjjoint.malekal.com/files.php?id ... 12f8x5n6g7

Pourriez vous m'indiquer quelle est la suite de la procédure?

Par avance merci

Hacham Chams

[Malekal_morte]

Salut,

Fais ces deux choses :

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

 HKU\S-1-5-21-486840694-835518193-226354502-1267\...\Run: [Sidebar(32.2)] => C:\Documents and Settings\alinesilva\Application Data\ProgramFiles(32.2)\svchost.exe [171688 2016-02-15] (Microsoft® Windows® Operating System) 
 HKU\S-1-5-21-486840694-835518193-226354502-1267\...\Run: [application] => C:\Documents and Settings\alinesilva\Application Data\Locker.exe [308736 2016-02-19] (File Locker) 
 Startup: C:\Documents and Settings\alinesilva\Menu Démarrer\Programmes\Démarrage\Readme.txt [2016-02-22] () 
 Startup: C:\Documents and Settings\alinesilva\Menu Démarrer\Programmes\Démarrage\Startup32.2.exe [2016-02-15] (Microsoft® Windows® Operating System) 
 Startup: C:\Documents and Settings\alinesilva\Menu Démarrer\Programmes\Démarrage\Startup32.2.exe.css [2016-02-22] () 
 Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\ClickYes.lnk [2007-09-13]  
  2016-02-19 12:44 - 2016-02-19 12:44 - 00308736 ____H (File Locker) C:\Documents and Settings\alinesilva\Application Data\Locker.exe 
 2016-02-15 16:00 - 2016-02-22 10:41 - 00000000 ___HD C:\Documents and Settings\alinesilva\Application Data\ProgramFiles(32.2) 
  2016-02-19 12:45 - 2016-02-22 10:40 - 00550468 _____ C:\Documents and Settings\alinesilva\Application Data\Locker.exe.css 

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

puis :

Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur [http://upload.malekal.com/]

[hacham]

Bonjour,

D'abord merci beaucoup pour ton aide.
Je crois avoir toujours des fichiers crypter ...

Ci-dessous le contenu du fichier fixlog.txt:

Code : Tout sélectionner

Résultats de correction de Farbar Recovery Scan Tool (x86) Version:21-02-2016 01
Exécuté par AlineSilva (2016-02-22 12:43:34) Run:2
Exécuté depuis C:\Documents and Settings\alinesilva\Bureau
Profils chargés: AlineSilva (Profils disponibles: Test & Administrateur & NathalieACHEKIAN & YoanLabanhie & SandrineCuadrado & AlineSilva & Administrateur)
Mode d'amorçage: Normal

==============================================

fixlist contenu:
*****************
     HKU\S-1-5-21-486840694-835518193-226354502-1267\...\Run: [Sidebar(32.2)] => C:\Documents and Settings\alinesilva\Application Data\ProgramFiles(32.2)\svchost.exe [171688 2016-02-15] (Microsoft® Windows® Operating System)
     HKU\S-1-5-21-486840694-835518193-226354502-1267\...\Run: [application] => C:\Documents and Settings\alinesilva\Application Data\Locker.exe [308736 2016-02-19] (File Locker)
     Startup: C:\Documents and Settings\alinesilva\Menu Démarrer\Programmes\Démarrage\Readme.txt [2016-02-22] ()
     Startup: C:\Documents and Settings\alinesilva\Menu Démarrer\Programmes\Démarrage\Startup32.2.exe [2016-02-15] (Microsoft® Windows® Operating System)
     Startup: C:\Documents and Settings\alinesilva\Menu Démarrer\Programmes\Démarrage\Startup32.2.exe.css [2016-02-22] ()
     Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\ClickYes.lnk [2007-09-13] 
      2016-02-19 12:44 - 2016-02-19 12:44 - 00308736 ____H (File Locker) C:\Documents and Settings\alinesilva\Application Data\Locker.exe
     2016-02-15 16:00 - 2016-02-22 10:41 - 00000000 ___HD C:\Documents and Settings\alinesilva\Application Data\ProgramFiles(32.2)
      2016-02-19 12:45 - 2016-02-22 10:40 - 00550468 _____ C:\Documents and Settings\alinesilva\Application Data\Locker.exe.css
     
*****************

HKU\S-1-5-21-486840694-835518193-226354502-1267\Software\Microsoft\Windows\CurrentVersion\Run\\Sidebar(32.2) => valeur supprimé(es) avec succès
HKU\S-1-5-21-486840694-835518193-226354502-1267\Software\Microsoft\Windows\CurrentVersion\Run\\application => valeur non trouvé(e).
C:\Documents and Settings\alinesilva\Menu Démarrer\Programmes\Démarrage\Readme.txt => non trouvé(e).
C:\Documents and Settings\alinesilva\Menu Démarrer\Programmes\Démarrage\Startup32.2.exe => déplacé(es) avec succès
C:\Documents and Settings\alinesilva\Menu Démarrer\Programmes\Démarrage\Startup32.2.exe.css => non trouvé(e).
Impossible de déplacer "C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\ClickYes.lnk" => Planifié pour déplacement au redémarrage.
"C:\Documents and Settings\alinesilva\Application Data\Locker.exe" => non trouvé(e).
C:\Documents and Settings\alinesilva\Application Data\ProgramFiles(32.2) => déplacé(es) avec succès
"C:\Documents and Settings\alinesilva\Application Data\Locker.exe.css" => non trouvé(e).

Je t'en remercie encore pour ton aide.
Aussi, j'upload le fichier quarantaine où tu me l'as indiqué.

Hacham

[Malekal_morte]

oui envoi le zip stp.

[Malekal_morte]

Tu es encore là ?