Bonjour,
 
Voici mon problème. J'ai installé un antivirus "AVira", et celui-ci m'a détecté apparemment un certain nombre de virus. Ils sont mis en quarantaine mais je n'ose les supprimer car on m'a dit que parfois ce sont des faux positifs. Le hic est que à chaque démarrage de mon pc il me trouve des nouveaux virus !!!
Voici les qqes noms qu'ils me donnent : crypt.Xpack, cryptZpack, cryptEpack, Nymaim...
Ca commence à faire beaucoup de virus par jour je trouve...J'en suis à 114 mis en quarantaine depuis midécembre !!!!
J'ai tenté de faire une analyse en mode sans échec, mais windows 7 refuse de redémarrer dans ce mode. J'ai un message d'erreur m'indiquant qu'un certain module pose soucis et qu'il ne peut pas redémarrer dans ce mode.
Bref, pouvez vous m'aider à déviroser une bonne fois pour toute mon pc ?  
Merci merci d'avance pour votre aide !
 
Krist

BJ
 
Tu peux essayer un boot sur kaspersky rescue disk (google it) pour desinfecter ton pc
voila

Bonjour,
 
Aie, tu as des malwares qui cryptent tes données perso. Si tu as ces véroles depuis mi décembre, c'est mort pour récupérer ces données (en principe).  
Sinon, laisse pour l'instant la quarantaine d'Avira, les éléments dans cette zone ne sont plus dangereux.  
 
Est-ce que tu démarres en mode normal ?

oui oui je démarre normalement.
A blazen : étant nullisime en informatique il me faudrait un décodage quand tu parles d'un boot sur kaspersky rescue disk.
A monk521: quand tu dis que c'est mort, tu veux dire que mon pc est foutu ??

Non, je parle des documents perso ( images, doc, video, etc..), tu arrives encore à les ouvrir ?
 
A mon avis, ton PC est gravement atteint, la destruction du mode sans échec en est la preuve, mais on va faire un diagnostic pour voir ce qu'il y a comme malwares.
 
 
 
Attention : tous les rapports demandés doivent être postés sur le forum sous la forme d'un lien.  
 
 
Comment créer et poster le lien d'un rapport :
 

• Se rendre sur le site http://www.cjoint.com/
• Cliquer sur le bouton Parcourir, sélectionner le rapport demandé et valider par Ouvrir.
• Puis, en bas de la page du site Cjoint, cliquer sur Créer le lien Cjoint
• Faire un clic droit avec la souris sur le lien créé qui apparaît sous cette forme htt://cjoint.com/CFnaaobHAob, et sélectionner copier l'adresse du lien.  
• Coller ce lien (à l'aide du clic droit) dans ta prochaine réponse sur le forum.

 
 
 
==> ZHPDiag - programme de diagnostic
 
 

• Télécharge et installe ZHPDiag (de Nicolas Coolman) sur ton bureau.

• Fermer les programmes en cours d'utilisation.

• Sous Windows Vista, 7/8, lancer ZHPDiag par un clic droit de la souris puis "Exécuter en tant qu'administrateur"  

• Cliquer sur Complet

    Note : Ne pas fermer le programme même si il est indiqué qu'il ne répond plus.
 
   
 

• Une fois le scan terminé, le fichier ZHPDiag.txt a été créé sur le bureau.

• Héberge le rapport sur www.Cjoint.com, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

Tous mes fichiers s'ouvrent normalement.
J'ai installé et lancé en tant qu'administrateur le logiciel ZhPdiag. Mais celui-ci m'installe ZhpFix et non Diag. Du coup j'ai bien les icones "rechercher" et "configurer" mais pas "complet" !!?

Tant mieux pour tes documents, tu devrais faire une sauvegarde sur un support externe. Pas de fichier .exe ou .rar, .zip (compréssé).
 
Le programme ZHPDiag que tu as téléchargé installe ZHPDIAG et ZHPFIX. Regarde sur ton bureau.

ah oui!
Je t'envoie cela de suite.

http://cjoint.com/?3LErTPhN3zH
 
Voici ! Au passage Avira m'a détecté 3 nouveaux éléments suspects à la fin de ZphDiag...
D'accord je vais enregistrer mes docs comme suggéré.

* Désinstalle d'abord Trend Micro Titanium Internet Security v3.00, il est en conflit avec Avira.  
 
 
Je ne vois pour l'instant que des logiciels indésirables.
 
 
 Quelques recommandations simples lorsque l'on télécharge des programmes sur internet :
 
 

• Éviter de télécharger des programmes sur certains sites revendeurs comme 01.net, Softonic, BrotherSoft, CNET, ces sites utilisent leur propre installateur et rajoutent pendant l'installation des programmes indésirables LPI/PUP (barrres d'outils, adwares, spywares, hijackers).  

• Préférer les téléchargements chez l'éditeur du programme ou chez des sites sûrs comme Comment Ça Marche ou Clubic.

• Lors de l'installation d'un programme, lire attentivement ce que l'on propose, choisir l'installation personnalisée ou avancée et décocher les programmes additionnels inutiles ou cliquer sur Skip (Passer).

• Chercher le vrai lien de téléchargement sur la page d'un site.

 
 
La maintenance de ton PC va se dérouler en 2 étapes : la désinfection et la finalisation. Je t'invite à aller jusqu'au bout pour être débarrassé de tout logiciel malveillant.    
 
 
 
1°) Désinfection :
 
 
 
==> AdwCleaner - Mode nettoyage
 

• Télécharger Adwcleaner (de Xplode) sur ton Bureau !
• Lancer AdwCleaner par un clique droit de la souris "Exécuter en tant qu'administrateur" (sauf sous XP)
• Cliquer sur Scanner, patienter le temps du scan
• Une fois le scan fini, cliquer sur Nettoyer

• Accepter l'avertissement, la lettre d'informations et le redémarrage en cliquant sur OK

• Le PC redémarre et un rapport va apparaître, enregistre le sur le bureau (Fichier => enregistrer sous).

        note: il se trouve aussi dans C:\Adwcleaner\AdwCleaner[S0].txt
 

• Héberge le rapport sur www.Cjoint.com, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

 
 
 
==> Malwarebytes Anti-Malwares - programme de sécurité généraliste
 
 

• Télécharge Malwarebytes Anti-Malware sur ton bureau.
• Lancer le fichier mbam-setup pour installer le logiciel.  
• Lors de l'installation, décocher la case Activer l'essai gratuit de Malwarebytes Anti-Malware Premium.  
• Cliquer sur le bouton Terminer. Le logiciel démarre (il peut être long à s'afficher).  
• Pour changer la langue, cliquer sur Settings, puis dans General Settings, choisir French pour Language.
• Puis, dans la rubrique Paramètres et l'onglet Détection et protection, configurer le logiciel comme ci-dessous :

• Dans l'onglet tableau de bord, cliquer sur Mettre à jour.

• Puis cliquer Sur le bouton Examiner maintenant.

• Le logiciel commence l'analyse. Cela peut prendre un certain temps.  
• Laisser travailler l'outil sans l’interrompre jusqu'à ce que l'analyse soit terminée.
• Si des menaces sont détectées, cliquer sur le bouton Tout mettre en quarantaine :

• Dans la plupart des cas, un redémarrage du PC est redemandé. Cliquer sur YES.  
• Au redémarrage, relancer Malwarebytes.
• Puis cliquer sur Historique, puis dans Journaux d'application, sélectionner le journal d'examen le plus récent et cliquer sur Afficher.
• Le journal d'examen s'affiche
• Pour poster le rapport, cliquer sur Exporter (en bas à gauche du rapport), puis sur Fichier texte (*.txt)  

• Nommer le fichier mbam et Enregistrer le rapport sur le bureau.

• Héberge le rapport sur www.Cjoint.com, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

 
 
 
==> ZHPDiag - programme de diagnostic
 
 

• Télécharge et installe ZHPDiag (de Nicolas Coolman) sur ton bureau.

• Sous Windows Vista, 7/8, lancer ZHPDiag par un clic droit de la souris puis "Exécuter en tant qu'administrateur"  

• Cliquer sur Complet

    Note : Ne pas fermer le programme même si il est indiqué qu'il ne répond plus.
 
   
 

• Une fois le scan terminé, le fichier ZHPDiag.txt a été créé sur le bureau.

• Héberge le rapport sur www.Cjoint.com, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

 
 
 
** Note : tu as donc 3 rapports à me fournir **

Bonjour,
voici le rapport de Awcleaner:
http://cjoint.com/?3LFmH6IaBtK
 
Voici le rapport mbm:
http://cjoint.com/?3LFmKj1eSXg  
 
ET le dernier rapport de ZHPDiag :
http://cjoint.com/?3LFmLCazFAJ  
 
Voilà voilà !!
Merci merci encore, j'espère avoir tout fait comme il fallait.
 

RE-bonjour,
en plus de mon post précédent, hier j'ai un peu forcé la mise en route du mode échec qui au final m'avait été refusé. et depuis, à chaque démarrage, j'ai un message d'erreur "regsvr32: échec du chargement du module. Je sais pas s'il y a un lien avec mes pbs de virus détecté à chaque fois...

Oui je sais, je te prépare la suite.

==> Script ZHPFix
 
 
Le script de correction suivant permet de supprimer des traces d'infections.
 
Attention, ce script a été écrit spécifiquement pour l'ordinateur de krist29, il n'est pas transposable sur un autre ordinateur.
 
Le temps de téléchargement du script a été volontairement limité à 4 jours
 

• Cliquer sur ce lien http://www.cjoint.com/data3/3LFnOW7G2Id_script.txt
• Sur la page qui s'ouvre, faire un clic droit avec la souris et choisir Tout sélectionner
• Puis, refaire un clic droit et choisir Copier
• Double clic sur l'icône de ZHPFix qui est sur le bureau.
• Ou lancer ZHPFix à partir du raccourci sur ModernUI [accueil de windows 8)

• Sur La fenêtre qui s'ouvre, cliquer sur IMPORTER

• Dans la plupart des cas, le script se colle automatiquement dans la zone de script
• Dans le cas contraire, faites un clic droit dans la fenêtre de ZHPFix et choisir Coller
• Cliquer sur Go

• A la demande, confirmer le nettoyage des données en cliquant sur [OUI]

• Patienter le temps du traitement (le traitement peut être long suivant la quantité de données à supprimer).
• ZHPFix va demander si vous souhaiter vider ta corbeille, accepter.  

• Un rapport nommé ZHPFixReport.txt sera créé et sauvegardé sur le bureau  
• Ce rapport se trouve aussi ici C:\ZHP\ZHPFix[R1].txt

• Fermer ZHPFix et redémarrer l'ordinateur

• Héberge le rapport sur www.Cjoint.com, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

 
 
 
==> ZHPDiag - programme de diagnostic
 
 

• Télécharge et installe ZHPDiag (de Nicolas Coolman) sur ton bureau.

• Sous Windows Vista, 7/8, lancer ZHPDiag par un clic droit de la souris puis "Exécuter en tant qu'administrateur"  

• Cliquer sur Complet

    Note : Ne pas fermer le programme même si il est indiqué qu'il ne répond plus.
 
   
 

• Une fois le scan terminé, le fichier ZHPDiag.txt a été créé sur le bureau.

• Héberge le rapport sur www.Cjoint.com, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

 
**Note: tu as donc 2 rapports à me transmettre**
 

Alors qu'est-ce que ça donne ?

Tu peux également utiliser Startup Sentinel et sa fonctino "blacklist" pour éviter qu'un programme ne puisse se lancer au démarrage : http://www.kcsoftwares.com/?sus

 
 
je te le dis clairement : ton site est trompeur parce que encore une fois 99% des gens vont cliquer sur le gros bouton "Download" et cette version contient relevant knowledge, un malware bien connu, quoi que tu en dises. à peu près PERSONNE ne verra les petites icones pour télécharger les versions lites et portables qui elles semblent propres.
 
donc j'ai testé en VM. j'ai cliqué sur download, comme le feront 99% des gens. j'ai lancé l'installation et je confirme l'installation discrète et TOTALEMENT invisible de relevant knowledge. si vous ne connaissez pas ce malware, voilà :
 
http://lmgtfy.com/?q=+relevant+knowledge+
 
bref, je signale ton post et tous tes autres messages au boss.
tu n'es pas ici pour faire de la pub vers ton site et encore moins quand ce site est pourri par des malwares.

Voici les deux rapports :
ZHPFix:
http://cjoint.com/?3LFszBUc4Fk  
IL m'a demandé de désinstaller un truc qui s'apppelle bing bar, j'ai donc dit oui.
Et au rédémarrage, plus de message d'erreur. et pas d'antivirus qui crie au virus !
 
ZHPDiag:
http://cjoint.com/?3LFsBjStGiz  
 

Parfait !

Bonjour et bonne année.  
 
Ok. Comment de porte le PC, notamment les navigateurs internet ?

Merci et bonne année aussi !!  
Et bien pas d'erreur de module au démarrage; pas de virus/éléments suspects détectés.
Les navigateurs internet (internet explorer et chrome) s'ouvrent correctement et j'arrive à surfer.

FAusse joie : avira m'a détecté silent.exe et microsoftaccout.exe comme ca...puis après mise en quarataine il me détecte de suite un autre truc space.exe comme étant nymaim.

Bizarre, certaines de ces détections sont légitimes.
 
Peux-tu transmettre le dernier rapport d'analyse d'Avira Avscan.log qui se trouve dans C:\ProgramData\Avira\AntiVir Desktop\LogFiles\Avscan.log
 
 
On va faire quelques analyses supplémentaires.
 
 
==> Combofix
 
 
Attention : Le logiciel qui suit peut faire des dégâts en cas de mauvaise utilisation !  
 
 
* Désactiver temporairement la protection en temps réel de ton antivirus (tu pourras la réactiver après la désinfection): mode d'emploi pour Avira
 
 

• Télécharger ComboFix (de sUBs) sur le Bureau.
• Double-clic sur ComboFix.exe afin de le lancer.
• Ne toucher à rien pendant le scan (ni au clavier, ni à la souris) et patienter.  

• Lorsque la recherche sera terminée, un rapport apparaîtra et le programme indique que " Le rapport de Combofix se trouve dans le disque dur C:\Combofix\Combofix.txt ".  

> Soit tu enregistres le rapport sur le bureau (rubrique Fichier + Enregistrer sous + nommer le rapport ''Combofix'')
> Soit tu le récupères à cet endroit du disque dur C:\Combofix\Combofix.txt pour me le faire parvenir.
 

• Héberge le rapport sur www.Cjoint.com, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

 
Tutoriel d'utilisation de Combofix en cas de besoin : http://www.bleepingcomputer.com/co [...] r-combofix

Voici les deux derniers rapports d'avira. Je mets les deux car ceux ci se sont crées à la suite...
http://cjoint.com/?EAcmiI6rzg8  
 
http://cjoint.com/?3AcmjJfX76D
 
Je m'attèle à combofix

Les liens ne sont pas bon pour les rapports d'Avira.

Effectivement, en enregistrant en .txt avant de les envoyer, les fichiers deviennent visibles, désolé. Donc voici les deux rapports avira:
 
http://cjoint.com/?3AcnnPkP2Cj
 
http://cjoint.com/?3AcnoW52AZY  
 
Et le rapport de combofix:
http://cjoint.com/?3AcnqhxJ4QY
 
POur info Avira s'est mis à paniquer suite à combofix malgré l'avoir désactivé...mais je crois pas que cela ait empêcher combofix de fonctionner.

Ok pour Combofix qui a détecté quelques éléments infectieux.  
 
Applique les programes qui suivent :
 
 
 
==> SFTGC de Pierre13 – Nettoyage des fichiers temporaires :
 
 

• Télécharger SFTGC sur ton bureau.
• Lancer le programme
• Sous Windows Vista/Seven/8, clique droit sur SFTGC.exe puis sur "Exécuter en tant qu'administrateur"
• Le logiciel s'initialise puis s'ouvre.
• Cliquer alors sur le bouton Go pour supprimer les fichiers temporaires inutiles :

 
 
 
 
==> RogueKiller - en mode scan  
 
 

• Télécharge RogueKiller (de Tigzy). Copie et colle le programme sur le Bureau.  

• Sous Windows Vista, 7/8, lancer RogueKiller par un clic droit de la souris puis "Exécuter en tant qu'administrateur"  

   Note : Attendre que le PreScan soit fini.
 

• Cliquer sur Scan

• Cliquer sur Rapport et enregistrer le  rapport sur le bureau (Fichier => enregistrer sous).

• Se rendre sur le bureau, le rapport RKreport[X]¤S¤.txt a été créé.

• Héberge le rapport sur www.Cjoint.com, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

J'essaye de faire le SFTGC mais quand je clique sur l'icone j'ai un message me disant "ressource système insuffisant", que dois je faire ?

le logiciel semble finalement se lancer après un reboot de l'ordi. Avira considère l'appli en question comme un virus...donc j'ai désactivé de nouveau l'antivirus

Et voilà!
le rapport de SFTGC:
http://cjoint.com/?3AcshzrWFy6
 
le rapport de RogueKiller:
http://cjoint.com/?3Acsi2Z4unI

Ok, RogueKiller a détecté des faux positifs. Avec tous les outils que l'on a passé, il n' y a donc plus aucune trace d'infections. Quant aux 3 détections d'Avira, il y en a 2 dont je suis sûr que ce sont de fausses détections (TR/Crypt.EPACK), il ne reconnaît pas le programme Game Park Console, et par contre pour TR/Nymaim, je ne peux pas me prononcer mais ça se rapporte à Microsoft Shared.  
 
As-tu une protection sévère sur Avira ?
 
Ce que tu devrais faire, c'est de désinstaller et réinstaller Avira et refaire un scan. Puis poste le rapport.

J'ai la protection par défaut de avira. donc je suis incapable de dire si elle est drastique...ou non.
Je vais en tout cas la désinstaller  et réinstaller comme tu me le conseilles.

mais si je désinstalle est-ce que ca modifie ce qu'il y a en quarantaine ?

Oui ça vide la quarantaine mais c'est sans danger puisque ton PC marche bien actuellement.

http://cjoint.com/?3AdaaFOskXG
Voici le rapport du nouveau scan d'avira !

c'est le nouveau scan après désintallation réinstallation d'avira

On va vérifier de manière certaine avec VirusTotal.com et analyser les 4 fichiers trouvés par Avira:
 
 
Tout d'abord,  
 

• Menu Démarrer => Panneau de configuration => Apparence et personnalisation => Options des dossiers => Affichage
• Cocher "Afficher les fichiers et dossiers cachés", décocher "Masquer les extensions de fichiers connus", décocher "Masquer les fichiers protégés du Système", puis valider.

Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée.
 
 
 
Ensuite,
 

• Avec ton navigateur Internet Explorer, rends toi sur www.VirusTotal.com
• Cliquer sur Choisir un fichier, naviguer jusqu'au fichier ci-après et valider :

C:\Program Files\Common Files\Microsoft Shared\ink\nl-NL\procedure\speed_dial.exe
 
C:\Program Files\Common Files\Microsoft Shared\DW\deep_link\theme.exe
 
C:\Program Files\Common Files\Microsoft Shared\DW\deep_link\mail_migration_add_on.exe
 
C:\Program Files\Common Files\Microsoft Shared\DW\deep_link\how_to_video.exe
 

• Cliquer sur Analyser. Si le site indique que le fichier a déjà été analysé, choisir Réanalyser.
• Lorsque l'analyse sera terminée, tu verras apparaître le taux de détection (Détection Ratio). A ce moment-là, copie le lien de la page (dans la barre d'adresse) et colle le dans ta prochaine réponse sur le forum.

Je ne trouve aucun des fichiers : speed_dial.... est ce à cause de la mise en quarantaine que je ne peux pas le voir ?

Ce que tu vas faire, c'est restaurer ces fichiers dans Avira et tu les analyses avec VirusTotal.com, je mets ma main à couper qu'ils sont légitimes.

ok je vais faire ca. je croise les doigts pour ta main