Bonjour,

Quelqu'un peut-il me donner une méthode pour me débarasser de cet intrus !

AntiVir est impuissant, parait que je n'ai pas les autorisations requises. J'ai voulu utiliser "VirusTotal", mais pas de scan possible, parait que le fichier "tmp.edb" est utilisé par une application. Dommage je ne sais pas laquelle !

Ci-après extrait du rapport AntiVir

....

La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVSCAN-20100404-155535-85ECBE08\AVSCAN-00000005.edb
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
C:\ProgramData\Microsoft\Search\Data\Applications\Windows\tmp.edb
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
Recherche débutant dans 'D:\' <RECOVERY>
Recherche débutant dans 'F:\'
Recherche débutant dans 'G:\'

Début de la désinfection :
C:\ProgramData\Microsoft\Search\Data\Applications\Windows\tmp.edb
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
[AVERTISSEMENT] Impossible de trouver le fichier source.
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[AVERTISSEMENT] Erreur dans la bibliothèque ARK
[REMARQUE] Le fichier a été repéré pour une suppression après un redémarrage.

....

Je suis sous Vista edition Familliale SP2

Merci de votre collaboration

Bonjour,

Pour commencer:

Téléchargez MBAM

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)
Avant de lancer Mbam
Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.
Enregistrez le sur le bureau .
Fermer toutes les fenêtres et programmes
Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)
N'apportez aucune modification aux réglages par défaut et, en fin d'installation,
Vérifiez que les options Update et Launch soient cochées
MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.
cliquer sur OK pour fermer la boîte de dialogue..
* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.
* Une fois la mise à jour terminée, allez dans l'onglet Recherche.
* Sélectionnez "Exécuter un examen complet"
* Cliquez sur "Rechercher"
* .L' analyse prendra un certain temps, soyez patient !
* A la fin , un message affichera :
L'examen s'est terminé normalement.

*Si MBAM n'a rien trouvé, il le dira aussi.
Cliquez sur "Ok" pour poursuivre.
*Fermez les navigateurs.
Cliquez sur Afficher les résultats .

*Sélectionnez tout et cliquez sur Supprimer la sélection ,
MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.
* Copiez-collez ce rapport dans la prochaine réponse.

Re,

Merci pour votre réponse !

J'ai déjà effectué un scan avec Ad-Aware et Mbam, mais des scan astucieux pour l'un et scan rapide pour l'autre.

La réponse a été la même "RAS".

J'ai suivi votre conseil et relancé un scan complet avec Mbam.

Je n'ai pas précisé, mais je n'ai constaté à ce moment aucune anomalie de fonctionnement.

Dès que le rapport tombe, je vous informe.

Bonsoir Pear,

Le scan est terminé "Aucun élément nuisible détecté"

Copie du Rapport

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3783
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904

04/04/2010 19:14:26
mbam-log-2010-04-04 (19-14-26).txt

Type de recherche: Examen complet (C:\|D:\|F:\|G:\|)
Eléments examinés: 277783
Temps écoulé: 56 minute(s), 57 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

" Aucun élément nuisible détecté"

Qui joue à cache-cache ?

Bonjour,

Ras ? Tant mieux.

Téléchargez TFC par OldTimer sur votre Bureau
Faites un double clic sur TFC.exe pour le lancer.
Sous Vista, faites un clic droit sur le fichier et choisissez Exécuter en tant qu'Administrateur
L'outil va fermer tous les programmes lors de son exécution, donc vérifiez que vous avez sauvegardé tout votre travail en cours auparavant.
Cliquez sur le bouton Start pour lancer le processus.
Selon la fréquence à laquelle vous supprimez vos fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux.
Laissez le programme s'exécuter sans l'interrompre.
Lorsqu'il aura terminé, l'outil devrait faire redémarrer votre systèmepour parachever le nettoyage..
S'il ne le faisait pas,faites redémarrer manuellement le PC

Ensuite faites un scan antivitrus.

Scan en ligne
NOTE: Le scan en ligne sera à faire avec Internet Explorer.
Désactiver l'antivirus actuel
Vous devez désactiver vos protections et ne savez pas comment faire
Sur PCA,En Français
Notez que ce scan examine , mais ne désinfecte pas
Kaspersky
Sous Vista,il faut désactiver l'UAC, et cliquer droit sur Internet Explorer / Exécuter en tant qu'administrateur et coller l'URL de Kaspersky
http://www.kaspersky.com/kos/eng/partner/default/kavwebscan.html
Vider la corbeille.
* Cliquer sur Accept
* Une barre jaune va demander d'accepter l'installation de Kavwebscan_Unicode.cab, installer l'Active X.
* cliquer une nouvelle fois sur "Accept"
* Les bases de mises à jour vont s'installer, patienter un moment
* Cliquer sur Next.
* Cliquer sur My Computer, le scan se met en route;
attendre la fin du scan sans fermer la fenêtre sinon il s'arrêtera.
A la fin du scan, si des objets infectés sont découverts, cliquer sur Save report as...
Choisir bureau et nommer le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisir "fichiers texte" enregistrer le rapport.
Copier/coller l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.
Coller ce rapport dans la réponse sur le forum.

Bonjour,

Je me remets derrière ma machine

Je vais exécuter votre procédure mais qu'entendez-vous exactement par "NOTE: Le scan en ligne sera à faire avec Internet Explorer."

Merci

Re,

TFC a été lancé.

Il a fait son boulot.

Il a relancé la machine tout seul comme un grand.

J'ai relancé AntiVir

J'ai bien fait ou mérite

Re,

AntiVir a terminé son dernier scan "Aucun résultat"

Ci-joint le rapport

Avira AntiVir Personal
Date de création du fichier de rapport : lundi 5 avril 2010 11:15

La recherche porte sur 1955003 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows Vista
Version de Windows : (Service Pack 2) [6.0.6002]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : PC-DE-MICHEL

Informations de version :
BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 20/11/2009 17:28:05
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 17:28:05
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 17:28:05
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 15:17:36
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 15:06:01
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 18:07:46
VBASE005.VDF : 7.10.4.204 2048 Bytes 05/03/2010 18:07:46
VBASE006.VDF : 7.10.4.205 2048 Bytes 05/03/2010 18:07:46
VBASE007.VDF : 7.10.4.206 2048 Bytes 05/03/2010 18:07:46
VBASE008.VDF : 7.10.4.207 2048 Bytes 05/03/2010 18:07:47
VBASE009.VDF : 7.10.4.208 2048 Bytes 05/03/2010 18:07:47
VBASE010.VDF : 7.10.4.209 2048 Bytes 05/03/2010 18:07:47
VBASE011.VDF : 7.10.4.210 2048 Bytes 05/03/2010 18:07:47
VBASE012.VDF : 7.10.4.211 2048 Bytes 05/03/2010 18:07:47
VBASE013.VDF : 7.10.4.242 153088 Bytes 08/03/2010 17:30:48
VBASE014.VDF : 7.10.5.17 99328 Bytes 10/03/2010 17:30:48
VBASE015.VDF : 7.10.5.44 107008 Bytes 11/03/2010 17:30:47
VBASE016.VDF : 7.10.5.69 92672 Bytes 12/03/2010 17:30:48
VBASE017.VDF : 7.10.5.91 119808 Bytes 15/03/2010 17:30:47
VBASE018.VDF : 7.10.5.121 112640 Bytes 18/03/2010 17:32:30
VBASE019.VDF : 7.10.5.138 139776 Bytes 18/03/2010 17:32:33
VBASE020.VDF : 7.10.5.164 113152 Bytes 22/03/2010 17:30:47
VBASE021.VDF : 7.10.5.182 108032 Bytes 23/03/2010 17:30:48
VBASE022.VDF : 7.10.5.199 123904 Bytes 24/03/2010 17:30:49
VBASE023.VDF : 7.10.5.217 279552 Bytes 25/03/2010 21:59:03
VBASE024.VDF : 7.10.5.234 202240 Bytes 26/03/2010 21:59:04
VBASE025.VDF : 7.10.5.254 187904 Bytes 30/03/2010 22:01:37
VBASE026.VDF : 7.10.6.18 130560 Bytes 01/04/2010 10:20:29
VBASE027.VDF : 7.10.6.19 2048 Bytes 01/04/2010 10:20:29
VBASE028.VDF : 7.10.6.20 2048 Bytes 01/04/2010 10:20:29
VBASE029.VDF : 7.10.6.21 2048 Bytes 01/04/2010 10:20:29
VBASE030.VDF : 7.10.6.22 2048 Bytes 01/04/2010 10:20:29
VBASE031.VDF : 7.10.6.24 27136 Bytes 03/04/2010 10:20:47
Version du moteur : 8.2.1.210
AEVDF.DLL : 8.1.1.3 106868 Bytes 23/01/2010 14:36:41
AESCRIPT.DLL : 8.1.3.24 1282425 Bytes 02/04/2010 10:20:31
AESCN.DLL : 8.1.5.0 127347 Bytes 26/02/2010 17:30:55
AESBX.DLL : 8.1.2.1 254323 Bytes 19/03/2010 17:36:23
AERDL.DLL : 8.1.4.3 541043 Bytes 19/03/2010 17:36:12
AEPACK.DLL : 8.2.1.1 426358 Bytes 19/03/2010 17:36:04
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 19/03/2010 17:36:00
AEHEUR.DLL : 8.1.1.16 2503031 Bytes 26/03/2010 21:59:07
AEHELP.DLL : 8.1.11.3 242039 Bytes 02/04/2010 10:20:30
AEGEN.DLL : 8.1.3.6 373108 Bytes 02/04/2010 10:20:30
AEEMU.DLL : 8.1.1.0 393587 Bytes 03/10/2009 17:19:56
AECORE.DLL : 8.1.13.1 188790 Bytes 02/04/2010 10:20:30
AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 01/10/2009 17:55:08
AVREP.DLL : 8.0.0.7 159784 Bytes 18/02/2010 17:30:49
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 23/07/2009 16:10:12
RCTEXT.DLL : 9.0.73.0 88321 Bytes 20/11/2009 17:28:05

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, F:, G:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : lundi 5 avril 2010 11:15

La recherche d'objets cachés commence.
'88425' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'SearchFilterHost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SearchProtocolHost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WMIADAP.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TrustedInstaller.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HPHC_Service.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AAWTray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'FlashUtil10e.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmpnetwk.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmpnscfg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés
Processus de recherche 'unsecapp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iashost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RichVideo.exe' - '1' module(s) sont contrôlés
Processus de recherche 'BLService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AEstSrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AAWService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés
Processus de recherche 'stacsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'53' processus ont été contrôlés avec '53' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'F:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'G:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '35' fichiers).

La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
Recherche débutant dans 'D:\' <RECOVERY>
Recherche débutant dans 'F:\'
Recherche débutant dans 'G:\'

Fin de la recherche : lundi 5 avril 2010 12:13
Temps nécessaire: 58:01 Minute(s)

La recherche a été effectuée intégralement

22952 Les répertoires ont été contrôlés
334339 Des fichiers ont été contrôlés
0 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommésL'
2 Impossible de contrôler des fichiers
334337 Fichiers non infectés
1315 Les archives ont été contrôlées
2 Avertissements
2 Consignes
88425 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés

Mon problème est-il résolu ?

L'action de TFC.exe a-t-elle été suffisante pour détruire l'intrus ?

Merci

Bonjour,

Votre intrus était dans un fichier temporaire que TFC a supprimé.

Mbam et Antivir ne trouvant plus rien, votre machine est propre.

Bonjour Pear,

Ok

Merci encore pour vos bons conseils