Win32 : Vitro , virut 56 et rootkit-gen Résolu

Question

Bonjour,

voilà, mon problème, j'ai eu il y a peu un virus win32 : vitro, qui, si j'ai bien compris est le même que virtu56, j'ai donc fait un formatage complets de ma machine, mais pas avec killdisk, et j'ai réinstaller xp (avant, j'avais vista). J'ai réussi a récupérer les fichiers de mon pc, mais je n'ai pas supprimer le fichiers .exe, bien que je les aie quand même annalyser avec dr web. Mais voilà que depuis hier, vitro reviens m'ennuyer, et même un nouveau, rootkit-gen est apparu. Apparement vitro n'est vraiment ennyant qu'avec avast, j'avais donc essayer d'installer antivir, mais lors de l'instalation vitro infecte le fichier setup.exe de l'installation et en change le crc et antivir ne peu pas s'installer, j'ai donc réinstaller avast en attendant mais je vous demande votre aide, je suis totalement à bout, j'en ai marre, je n'ai pas envie de me faire chier à tout reformater,.... car je n'ai pas de cd d'installation sur moi alors je cherche un moyen de l'éradiquer peut importe le temps que sa prend je vous remercie d'avance pour votre aide.... 

Dedi820

gen-hackman · Answer

salut fais comme ceci :

Le scan va s'effectuer en Mode sans échec : comme vous n'aurez pas accès à Internet, je vous conseille d'imprimer cette procédure.

    * Téléchargez le scanner portable AVPTool sur votre Bureau.



---> Pour redémarrer en mode sans échec :
- Redémarrez ton PC.
- Au démarrage, tapotez sur F8 (F5 sur certains PC) juste après l'affichage du BIOS et juste avant le chargement de Windows.
- Dans le menu d'options avancées, choisissez Mode sans échec.
- Choisissez votre session habituelle.

    * Lancez l'exécutable intitulé setup_7.0xxxxx en double-cliquant dessus.
    * Répondez Oui à la question Do you want to continue installation ?.
    * Cliquez sur Next pour les deux fenêtres suivantes : AVPTool s'installe sur votre Bureau dans un dossier nommé Kaspersky Lab Tool.
    * L'outil se lance tout seul : cochez toutes les cases dans l'onglet Automatic Scan.
    * Cliquez maintenant sur Scan. Le scan commence, une nouvelle fenêtre s'ouvre indiquant la progression du balayage en pourcentage.
    * A la fin du scan, AVPTool signale les objets infectés par l'intermédiaire d'un pop-up : cochez alors Apply to all et cliquez sur Disinfect ou sur Delete selon ce que propose la fenêtre.
    * Une fois les infections traitées par l'intermédiaire des pop-ups, il se peut que des fichiers malsains n'aient pas été supprimés : ils apparaissent en rouge dans la liste : cliquez alors sur le bouton Neutralize all de la fenêtre de progression du scan : si une pop-up indique qu'il faut redémarrer, acceptez en cliquant sur OK.
    * Rendez-vous maintenant dans l'onglet Events de la fenêtre de progression du scan et décochez Show all events.
    * Cliquez enfin sur Reports puis Save to file et enregistrez le rapport sur votre Bureau sous le nom Rapport AVPTool.
    * Fermez les fenêtres d'AVPTool : un message apparaît proposant de désinstaller le logiciel : choisissez Yes.
    * Un message d'alerte indique que le PC doit être redémarré pour finir la désinstallation. À la question Would you like to restart now, répondez Oui et laissez votre ordinateur redémarrer en Mode normal.
    * Postez le rapport dans votre prochaine réponse si vous avez créé un sujet sur le forum Virus/Sécurité.

dedi820 · Answer

Tout d'abord Merci pour votre réponse, mais je ne peut le faire, car lorsque mon pc démarre en mode sans échec, la résolution de l'écran change, ce qui est normal, et mon écran refuse del'afficher, j'avais déjà eu se problème auparavant et avit poster un message à ce sujet sur le forum, mais personne ne m'as répondu, impossible donc de faire quelque chose en mode sans échec...

gen-hackman · Answer

il refuse d'afficher quoi ?

dedi820 · Answer

tout, l'écran n'affiche rien de windows, il est juste écrit que c'est un écran 1024*768 et il m'est demander de changer de résolution, de mode d'affichage, mais ça, c'est l'écran qui me le dis, pas le pc, j'avais jamais eu ce problème avec vista

gen-hackman · Answer

ah oui....comprends pas là..

dedi820 · Answer

ouiiiin, il me fait ça depuis que j'ai xp, personne n'a pu m'aider google ne donne rien. Le avptool ne marche pas en mode normal?

gen-hackman · Answer

et en normal il affiche nickel ?

dedi820 · Answer

ouais aucun problème

gen-hackman · Answer

Télécharge Superantispyware (SAS) 

Choisis "enregistrer" et enregistre-le sur ton bureau. 

Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions. 

Créé une icône sur le bureau. 

Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer. 

- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes. 
- Sous Configuration and Preferences, clique sur le bouton "Preferences" 
- Clique sur l'onglet "Scanning Control " 
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée : 

Close browsers before scanning 
Scan for tracking cookies 
Terminate memory threats before quarantining 
- Laisse les autres lignes décochées. 

- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle. 

- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer". 

Dans la colonne de gauche, coche C:\Fixed Drive. 

Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan" 

Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan. 

A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK. 

Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next". 

Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes. 

Pour recopier les informations sur le forum, fais ceci : 

- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS. 
- Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ". 
- Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log. 

- Le rapport va s'ouvrir dans ton éditeur de texte par défaut. 

- Copie son contenu dans ta réponse. 


Regarde bien le tuto SUPERAntiSpyware il est très bien expliqué.

dedi820 · Answer

j'ai lancer le avptool en mode normal et les virus pleuvent c'est pas possible, il n'en désinfecte aucun, il me dis juste qu'ils sont infecter

gen-hackman · Answer

alors stoppes- le et fais dr web comme ceci : > Télécharge Dr Web CureIt sur ton Bureau : - Double clique et ensuite clique sur ; - Clique à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton . Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X". - Lorsque le scan rapide est terminé, clique sur le menu puis ; Choisis l'onglet , et décoche . Clique ensuite sur . - De retour à la fenêtre principale : clique pour activer - Clique le bouton avec flèche verte sur la droite, et le scan débutera. - Clique pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter". - Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône , au dessous, et choisis . - Du menu principal de l'outil, au haut à gauche, clique sur le menu et choisis . Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv - Ferme Dr.Web Cureit - Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage). - Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse.

dedi820 · Answer

de plus avec SAS j'ai bien peur que si je mets les fichiers en quarentaine, mon pc ne démarre plus, en effet, vitro infecte les fichiers .exe donc aussi ceux de démarrage, genre l'écran des sessions etc, la semaine dernière j'avais mis en quarantaine avec avast tout les fichiers infecté et mon pc n'arrivait plus a ouvrir l'écran des sessions

gen-hackman · Answer

avast est une grosse daube

passe a DrWeb

dedi820 · Answer

d'accord avast est une daube, je sais mais dr web est payant et c'est le pc de mon père, qui n'aime pas trop l'informatique et qui ne veut donc pas payer, ja'i déjà essayer avec dr web cure it et ça n'a pas été très éfficace, j'en suis a 6 % du scan et 40 virus trouvé

gen-hackman · Answer

non drweb est payant si tu veux la version payante mais pour l occasion pas besoin

par contre il etait stipulé des infos qu il faut suivre scrupuleusement :)

dedi820 · Answer

puis-je faire l'analyse avec kaspery et dr web en même temps?

gen-hackman · Answer

non laisse docteur Web travailler seul

dedi820 · Answer

ok je veins de désactiver kaspery a 17 % il y a avait une septantaine de virus je laisse travailler dr web, quand ce serat fini j'envoie le rapport sur le forum et je relance une analyse pour être sûr... En tout cas merci pour votre aide, j'éspère que ça suffira

gen-hackman · Answer

ok tu peux voir en gros le nom de la septantaine de virus ?

dedi820 · Answer

oui globalement c'est des Win32.Virut.56 sinon il y a quelques trojan pour l'instant avec dr web il y en a 58

dedi820 · Answer

je mets quoi quand dr web me demande si je veut analyse une autre disquette??

gen-hackman · Answer

???? ben si tu as selectionne tous tes disques avec l analyse complete tu n as qu a repondre non normaleùent

dedi820 · Answer

ok merci je reviens poster le rapport quand c'est fini

gen-hackman · Answer

ok avec impatience :)

dedi820 · Answer

j'ai relu le tuto dr web cure it et je ne omprend pas trop la phase "Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône , au dessous, et choisis ." pouvez-vous m'expliquer?

dedi820 · Answer

voilà, il a eu fini, mais j'ai pas très bien compris, il s'est éteind tout seul, il redémarre tout seul, je démarre ma session mais pas de rapport... alors là... je ne sais pas ce qui est arrivé, je redémarre une analyse??

gen-hackman · Answer

euh...mieux que ca ? ca va etre dur ... :(

gen-hackman · Answer

as-tu eu la question de savoir si tu devais desinfecter ou pas ?

dedi820 · Answer

non non j'ai pas eu le temps je lisais à coté de mon pc en attendant puis tout d'un coup il s'est éteind puis rédémarrer et pas de rapport

gen-hackman · Answer

ok ton pc est il assez aéré ? te l'a-t-il deja fait ? de redemarrer tout seul ?

refais SAS et envoie-nous un rapport (supprimes quand meme ce qu il trouve s'il le detecte ce n est pas pour rien)  :)

dedi820 · Answer

aéré, sa veut dire quoi?? non il ne m'avait jamais fait ça, je vai faire sas

gen-hackman · Answer

aéré = dans un endroit pas trop enfermé

où l'air circule :)

dedi820 · Answer

ouais ouais aéré ya pas de problème, je fait en ce moment une analyse sas mais depuis quelques heures déjà lorsque je démarre un programme, il me mets une errer pas de disque : Esception Processing Message c0000013 Parameters 75afbf7c 4 75afbf7c 75afbf7c je ne sais pas ce que c'est...

gen-hackman · Answer

finis SAS , remets le rapport apres on avisea :)

dedi820 · Answer

j'ai l'impression que win32 vitro recommence à se répendre depuis que j'ai arrêter dr web avast refait des siennes

gen-hackman · Answer

finis SAS et renvoie DrWeb derriere il me faut un rapport de DrWeb

sinon Kill all => Killdisk

dedi820 · Answer

SUPERAntiSpyware Scan Log
https://www.superantispyware.com/

Generated 04/17/2009 at 05:01 PM

Application Version : 4.26.1000

Core Rules Database Version : 3843
Trace Rules Database Version: 1798

Scan type       : Complete Scan
Total Scan Time : 00:57:38

Memory items scanned      : 496
Memory threats detected   : 1
Registry items scanned    : 6870
Registry threats detected : 0
File items scanned        : 37167
File threats detected     : 15

Trojan.Downloader-SVCHost/Fake
	C:\WINDOWS\DHCP\SVCHOST.EXE
	C:\WINDOWS\DHCP\SVCHOST.EXE

Adware.Tracking Cookie
	C:\Documents and Settings\Michaël\Cookies\michaël@weborama[1].txt
	C:\Documents and Settings\Michaël\Cookies\michaël@bluestreak[1].txt
	C:\Documents and Settings\Michaël\Cookies\michaël@eyewonder[1].txt
	C:\Documents and Settings\Michaël\Cookies\michaël@xiti[1].txt
	C:\Documents and Settings\Michaël\Cookies\michaël@atdmt[2].txt
	C:\Documents and Settings\Michaël\Cookies\michaël@msnportal.112.2o7[1].txt
	C:\Documents and Settings\Michaël\Cookies\michaël@samsung.solution.weborama[2].txt
	C:\Documents and Settings\Michaël\Cookies\michaël@revsci[2].txt
	C:\Documents and Settings\Michaël\Cookies\michaël@doubleclick[1].txt
	C:\Documents and Settings\Michaël\Cookies\michaël@smartadserver[1].txt
	C:\Documents and Settings\Michaël\Local Settings\Temp\Cookies\michaël@atdmt[1].txt
	C:\Documents and Settings\Michaël\Local Settings\Temp\Cookies\michaël@consolidationwindowsfrie8.solution.weborama[2].txt
	C:\Documents and Settings\Michaël\Local Settings\Temp\Cookies\michaël@weborama[2].txt

Trojan.Dropper/Sys-NV
	C:\WINDOWS\SYSTEM32\AUTMGR.EXE




voilà le rapport de sas je relance dr web. juste une question, le fichier kernel32.dll est infecté, je souhaitais le remplacer par un télécharger sur le net pour que ce soit plus simple, est-ce bien ?? comment je fait pour le remplacer puisqu'il est utilisé ?? (de même que kernel32_check.dll)

gen-hackman · Answer

ok j attends le rapport de DrWeb

dedi820 · Answer

sa paraît mal parti, dr web ne detecte rien, juste un dll infecté mais pas kernel32.dll infecté par win32: vitro, apprement juste avast le détecte

ms32clod.dll	C:\WINDOWS\system32	Probablement DLOADER.Trojan


voilà le rapport de docteur web...

dedi820 · Answer

voilà, c'est tout pour ce soir, j'arr^te, ça m'énerve, je revienrai demain, mais je pense que je vais essayer de continuer à vivre un peu comme ça jusqu'a ce que je trouve un cd d'installation, vers le 10 mai si mon pc tien jusque là, sa va je le formaterai avec un killdisk et puis c'est bon, en tout cas merci pour votre aide et si vous arrivez à tirrer quelque chose des rapports ou si vous avez une autre idée, n'hésitez pas, merci

aurevoir, dedi820

gen-hackman · Answer

salut ben ok  :(

dedi820 · Answer

sa va mieux maintenant, apparement dr web l'a éradiqué je n'ai plus de problème, mais je vais repasser sur antivir marci beaucoup

gen-hackman · Answer

d'accord fais du menage : Télécharge :ATF Cleaner par Atribune Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus. __________________________________________________ ---> Télécharge ToolCleaner2 sur ton Bureau. * Double-clique sur ToolsCleaner2.exe pour le lancer. * Clique sur Recherche et laisse le scan agir. * Clique sur Suppression pour finaliser. * Tu peux, si tu le souhaites, te servir des Options Facultatives. * Clique sur Quitter pour obtenir le rapport. * Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). _________________________________________________ supprime toolscleaner2 manuellement ________________________________________________ ---> Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : * Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... * Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. * Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse(Sauvegarde la base de registre). * Veille a ce que dans les options le reglage soit au demarrage de windows et réglé sur "effacement securisé" 35 passes (guttman) __________________________________________________ Attention : ne pas toucher au PC pendant qu'il travaille ! B-Nettoyage et Défragmentation de tes Disques *Nettoyage : Clic droit sur "poste de travail" ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général" Cliques sur le bouton "nettoyage de disque", OK tu le fais pour chacun de tes disques ________________________________________________ *Vérifications des erreurs : Clic droit sur "poste de travail" ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ________________________________________________ ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK tu le fais pour chacun de tes disques _______________________________________________ Note : si tu as un utilitaire pour défragmenter , utilises le à la place pour ce faire Defraggler est proposé : _________________________________________________ > Peux-tu vérifier Console Java ? : , et installer la nouvelle version si besoin est (dans ce cas désinstalle avant l'ancienne version). Pour info. ou en cas de problème : Tuto voici pour desinstaller : JavaRa Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). * Double-clique sur le répertoire JavaRa. * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). * Choisis Français puis clique sur Select. * Clique sur Recherche de mises à jour. * Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. * Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. * L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. * Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. * Ferme l'application. Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. _________________________________________________ > Mets à jour Adobe Reader si ce n'est pas le cas (désinstalle avant la version antérieure) __________________________________________________ > Tu peux aussi vider ta corbeille,quoi que Ccleaner le fasse tout seul _____________________________________________________ > Si nous avons utilisé MalwaresByte's Anti-Malware : vide sa quarantaine. - Lance le programme puis clique sur . - Sélectionne tous les éléments puis clique sur . - Quitte la programme. ______________________________________________________ >si tu as installé Antivir : Configuration de Antivir (Merci a Nico): clic droit sur son icone dans la barre des taches et séléctionner Configurer Antivir. cocher la case : Mode Expert. => Cliquer sur Scanner dans le volet de gauche : > Dans "Fichiers" séléctionner Tous les fichiers. > Dans procédure de recherche, cocher Autoriser l'arrêt, et dans "priorité scanner" séléctionner Elevé. > Dans "Autres réglages" cocher toutes les cases. NE SURTOUT PAS OUBLIER LA RECHERCHE DES ROOTKIT QUI EST TRES IMPORTANTE ! => Cliquer sur "Recherche" dans le volet de gauche et appliquer les mêmes paramètres que précédemment. => Dérouler "Recherche" en cliquant sur le +. Cliquer sur "Heuristique" : > Cocher "Heuristique de MacroVirus" et "Heuristique fichier Win32" avec degré d'indentification ELEVE ! => Dans le volet de gauche, dérouler "Guard" puis dérouler "Recherche" : > Cocher "Heuristique de MacroVirus" et "Heuristique fichier Win32" avec degré d'identification ELEVE ! ________________________________________________________ > Idem pour ton antivirus : vide sa quarantaine si ce n'est pas déjà fait ______________________________________________________ > Désactive et réactive la restauration de système, pour cela : suis les instructions du lien : Lien XP Lien Vista ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Quelques conseils et recommandations pour l'avenir : > Passe un coup de MalwareByte's Anti-Malware de temps en temps (1 fois par semaine , suivant l'utilisation que tu fais de ton PC. - Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser. - Pense aussi à faire une défragmentation de tes disques durs de temps en temps (garde suffisamment d'espace sur C:\ (1/3 de libre pour être à l'aise)) _____________ > Pour bien protéger ton PC : [1 seul Antivirus] + [1 seul Pare feu (/!\ les routeurs et box en possèdent un)] + [Un bon Antispyware avec immunisation] + [Mises à Jour récentes Windows et Logiciels de Protection] + [Utilisation de Firefox -ou autres- (Internet Explorer présente des failles de sécurité qui mettent longtemps avant d'être corrigées mais il faut absolument le conserver pour les mises à jour Windows et Windows live Messenger)] PS : En fait la meilleure des protections c'est toi même : ce que tu fais avec ton PC : où tu surfes, télécharges...ect.... Les virus utilisent les failles de ton PC pour infecter un système dans le souhait de vouloir desinstaller un antivirus au profit d'un autre , voici quelques liens : Desinstaller Avast Desinstaller BitDefender Desinstaller Norton Desinstaller Kaspersky Desinstaller AVG ou tout en un : Désinstallation Antivirus , Parefeu , Antispyware _____________ >lien utile >SpywareBlaster = petit logiciel qui bloque l'installation d'activeX nuisibles au PC.(Fonctionne en arrière plan) ____________ Si tu as Vista n'oublie pas de réactiver le controle des comptes des utilisateurs(UAC) ___________ Si tu as Spybot S&D et que nous avons desactive le "Tea-timer" tu peux le réactiver ____________ Voila, Bonne lecture, à bientot,une fois tout ceci fait tu peux mettre le topic en resolu Gen-hackman

dedi820 · Answer

ioups désolé avait oublier de le mettre en résolu, ben merci beaucoup pour aide, mais j'ai plus eu trop de prob depuis drweb donc sa va je pense que le méchant virus il est parti en tout cas merci pour votre aide :-)

gen-hackman · Answer

ok finis bien le final c'est aussi important que la desinfection hein ?

Win32 : Vitro , virut 56 et rootkit-gen

45 réponses

Votre réponse

Discussions similaires

Newsletters