Sujet Précédent Sujet Suivant

Virus - W32/Sality

Fermé
Kaze - 30 août 2009 à 14:57
 andyferny - 11 janv. 2010 à 16:12
Bonjour,
j'ai décidé après le plantage quasi-total d'un de mes PC de tout sauvegarder sur un disque dur externe (d'où le virus est arrivé je présume).
Depuis n autre ordi (que je vais reformater plus tard) j'ai lancé antivir qui m'a détecté 118 virus.
Manifestement, W32/Sality est le plus répandu.
Quelle est la marce à suivre pour nettoyer mon Disque dur externe, supprimer les fichiers infectés, etc... ?
Merci de prêter attention à mon problème.
A voir également:

26 réponses

Précédent
  • 1
  • 2
Réponse 21 / 26
Ced_King Messages postés 3519 Date d'inscription lundi 2 mars 2009 Statut Contributeur Dernière intervention 10 octobre 2016 571
1 sept. 2009 à 11:49
Salut,

- Lorsque le téléchargement est terminé, clique sur le bouton suivant pour passer à l'étape suivante

- Tu dois ensuite choisir les éléments que tu désires scanner --> Poste de travail

Voici un autre tutoriel
0
kazend Messages postés 8 Date d'inscription lundi 31 août 2009 Statut Membre Dernière intervention 8 janvier 2015
1 sept. 2009 à 11:57
Chez moi la barre d'analyse est grisée.
Et je vois pas de "suivant" :/
0
Réponse 22 / 26
Ced_King Messages postés 3519 Date d'inscription lundi 2 mars 2009 Statut Contributeur Dernière intervention 10 octobre 2016 571
1 sept. 2009 à 12:31
Télécharge Combofix et enregistres le sur ton bureau



/!\ Désactive la garde ton antivirus et celle de ton(es) antispyware(s) /!\


- Déconnecte toi et ferme toutes les applications en cours

- clic-droit ( exécuter en tant qu'administrateur) sur Combofix.exe >> un message apparait > réponds " oui "

- ( installe la console de récupérations)

- Sélectionne la langue et presse la touche 1 ( yes) pour lancer le scan

/!\ Ne touche ni à la souris, ni au clavier durant le scan, cela pourrait figer l'ordi /!\

- A la fin du scan, Combofix aura besoin de redémarrer pour finir la désinfection, laisses le faire

- Une fois terminé, un rapport s'affiche, poste son contenu que tu peux aussi trouver à c:\combofix.txt

Tutoriel combofix

0
kazend
1 sept. 2009 à 13:14
Bon, il ne m'a pas proposé de redémarrer et m'a tout de même rédigé un rapport que voici :

ComboFix 09-08-31.03 - odewit 01/09/2009 12:55.1.2 - NTFSx86
Microsoft® Windows Vista™ Professionnel 6.0.6000.0.1252.33.1036.18.2046.1339 [GMT 2:00]
Running from: c:\users\odewit\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
SP: AntiVir Desktop *disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\fsc.tmp\1009078\_desktop.ini
c:\fsc.tmp\1009078\Eula\_desktop.ini

.
((((((((((((((((((((((((( Files Created from 2009-08-01 to 2009-09-01 )))))))))))))))))))))))))))))))
.

2009-09-01 11:09 . 2009-09-01 11:10 -------- d-----w- c:\users\odewit\AppData\Local\temp
2009-09-01 11:09 . 2009-09-01 11:09 -------- d-----w- c:\users\Default\AppData\Local\temp
2009-08-31 21:24 . 2009-08-31 21:24 -------- d--h--w- c:\windows\msdownld.tmp
2009-08-31 21:15 . 2009-03-08 11:32 72704 ----a-w- c:\windows\system32\admparse.dll
2009-08-31 20:45 . 2009-08-31 20:45 -------- d-----w- c:\windows\Sun
2009-08-31 20:34 . 2009-08-31 20:34 -------- d-----w- c:\program files\CCleaner
2009-08-31 20:31 . 2009-08-31 20:31 -------- d-----w- c:\users\odewit\AppData\Roaming\Yahoo!
2009-08-31 20:31 . 2009-08-31 21:52 -------- d-----w- c:\program files\Yahoo!
2009-08-31 08:58 . 2009-08-31 08:58 -------- d-----w- c:\users\odewit\AppData\Local\Opera
2009-08-31 08:57 . 2009-08-31 08:58 -------- d-----w- c:\program files\Opera
2009-08-30 22:28 . 2009-08-30 22:33 -------- dcsh--w- c:\program files\Common Files\WindowsLiveInstaller
2009-08-30 22:28 . 2009-08-30 22:33 -------- d-----w- c:\program files\Windows Live
2009-08-30 22:27 . 2009-08-30 22:27 -------- d-----w- c:\programdata\WLInstaller
2009-08-30 16:35 . 2009-08-31 22:14 -------- d-----w- C:\UsbFix
2009-08-30 16:17 . 2009-08-30 16:25 -------- d-----w- c:\program files\trend micro
2009-08-30 16:17 . 2009-08-30 16:18 -------- d-----w- C:\rsit
2009-08-30 11:46 . 2009-08-30 11:49 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-08-30 11:46 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-08-30 11:45 . 2009-08-30 11:45 -------- d-----w- c:\programdata\Avira
2009-08-30 11:45 . 2009-08-30 11:45 -------- d-----w- c:\program files\Avira

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-01 07:58 . 2006-11-02 15:47 690804 ----a-w- c:\windows\system32\perfh00C.dat
2009-09-01 07:58 . 2006-11-02 15:47 117572 ----a-w- c:\windows\system32\perfc00C.dat
2009-09-01 07:54 . 2009-01-29 20:55 23240 ----a-w- c:\users\odewit\AppData\Roaming\nvModes.dat
2009-09-01 07:51 . 2009-02-08 08:50 -------- d-----w- c:\users\odewit\AppData\Roaming\WTablet
2009-08-31 22:26 . 2009-01-29 20:13 12 ----a-w- c:\windows\bthservsdp.dat
2009-08-31 11:59 . 2009-01-31 09:25 -------- d-----w- c:\users\odewit\AppData\Roaming\XnView
2009-07-21 21:52 . 2009-08-31 21:21 915456 ----a-w- c:\windows\system32\wininet.dll
2009-07-21 21:47 . 2009-08-31 21:21 109056 ----a-w- c:\windows\system32\iesysprep.dll
2009-07-21 21:47 . 2009-08-31 21:21 71680 ----a-w- c:\windows\system32\iesetup.dll
2009-07-21 20:13 . 2009-08-31 21:21 133632 ----a-w- c:\windows\system32\ieUnatt.exe
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-01-31 1232896]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-12-29 687560]
"Google Update"="c:\users\odewit\AppData\Local\Google\Update\GoogleUpdate.exe" [2009-04-26 133104]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2009-01-31 1006264]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2006-12-10 90191]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-12-10 7766016]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-12-10 81920]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2006-11-07 159744]
"readericon10"="c:\program files\Multimedia Card Reader\readericon10.exe" [2006-11-17 143360]
"FuncKey"="c:\program files\Hotkey Management\FuncKey.exe" [2006-11-23 20480]
"PowerManager"="c:\program files\Power Manager\PM.exe" [2006-11-06 26112]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"RtHDVCpl"="RtHDVCpl.exe" - c:\windows\RtHDVCpl.exe [2006-11-09 3784704]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"UacDisableNotify"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{A69DC478-34CC-4FA6-A4EE-EC2E752D0EF9}"= TCP:6004|c:\program files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{AEA0D468-A33D-4148-9EC0-29606363B46B}"= UDP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{975836E4-5542-4A8C-AF9E-B829DA6F0F60}"= TCP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"TCP Query User{CD2CF2BD-7AFE-4ED9-B48B-61104401C549}c:\\program files\\filezilla ftp client\\filezilla.exe"= UDP:c:\program files\filezilla ftp client\filezilla.exe:FileZilla FTP Client
"UDP Query User{24D40AEB-9C78-4CC9-914F-977A211707F5}c:\\program files\\filezilla ftp client\\filezilla.exe"= TCP:c:\program files\filezilla ftp client\filezilla.exe:FileZilla FTP Client
"TCP Query User{FD642776-9BCA-4955-80E3-66D6B7F08E4B}c:\\program files\\internet explorer\\iexplore.exe"= UDP:c:\program files\internet explorer\iexplore.exe:Internet Explorer
"UDP Query User{0DC8E8AC-9A75-4933-93FD-6C020839D6E4}c:\\program files\\internet explorer\\iexplore.exe"= TCP:c:\program files\internet explorer\iexplore.exe:Internet Explorer
"{8D05D0A8-BC8F-4E31-BDE9-7BEFD5C20B12}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [30/08/2009 13:46 108289]
R2 TabletServicePen;TabletServicePen;c:\windows\System32\Pen_Tablet.exe [08/02/2009 10:41 2749736]
R3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;c:\windows\System32\drivers\sis163u.sys [29/01/2009 23:01 218624]
R3 wacmoumonitor;Wacom Mode Helper;c:\windows\System32\drivers\wacmoumonitor.sys [08/02/2009 10:41 15656]
S3 VSPerfDrv90;Performance Tools Driver 9.0;c:\program files\Microsoft Visual Studio 9.0\Team Tools\Performance Tools\VSPerfDrv90.sys [05/09/2007 09:53 55664]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
bthsvcs REG_MULTI_SZ BthServ
.
Contents of the 'Scheduled Tasks' folder

2009-09-01 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-80058983-4048664673-845646338-1000Core.job
- c:\users\odewit\AppData\Local\Google\Update\GoogleUpdate.exe [2009-04-26 14:16]

2009-09-01 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-80058983-4048664673-845646338-1000UA.job
- c:\users\odewit\AppData\Local\Google\Update\GoogleUpdate.exe [2009-04-26 14:16]
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-feedreader.exe - c:\program files\FeedReader30\feedreader.exe


.
------- Supplementary Scan -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\odewit\AppData\Roaming\Mozilla\Firefox\Profiles\twffsh9k.default\
FF - plugin: c:\users\odewit\AppData\Local\Google\Update\1.2.183.7\npGoogleOneClick8.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-01 13:10
Windows 6.0.6000 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Completion time: 2009-09-01 13:12
ComboFix-quarantined-files.txt 2009-09-01 11:12

Pre-Run: 102 611 546 112 octets libres
Post-Run: 102 679 433 216 octets libres

136 --- E O F --- 2009-05-21 05:58








Dois-je redémarrer manuellement l'ordinateur ?
0
Réponse 23 / 26
kazend
1 sept. 2009 à 14:49
Bon et je rescanne mon DDE avec antivir, y'a toujours tout plein de virus infectés par w32/sality :/
0
Réponse 24 / 26
Ced_King Messages postés 3519 Date d'inscription lundi 2 mars 2009 Statut Contributeur Dernière intervention 10 octobre 2016 571
1 sept. 2009 à 15:16
Télécharge eScan Antivirus Toolkit

Installe-le comme expliqué ici

Une fois à jour et paramétré, redémarre le pc en " Mode sans echec "

- Au démarrage de l'ordi, tapotes sur la touche F8 ou F5 de ton clavier ( juste après le bip du bios et avant l'apparition du logo " Windows ")
- Un écran avec plusieurs choix apparaitra, sélectionne à l'aide des flèches du clavier, le mode sans echec et valides avec la touche " Entrée "

Une fois en mode sans échec, lance le scan...
0
kazend
1 sept. 2009 à 16:31
Tout se passe bie, sauf qu'une fois en mode sans échecs, au moment de lacer l'antivirus, il m'en empêche car la version est vieille de plus de 30 jours et me conseille de chopper la version la plus récente.

Donc là je suis sur le site internet, dans la liste des produits à télécharger, je sélectionne lequel ?
Bon et des quelques essais effectués je n'ai pas reçu le mail (je suis forcé d'utiliser mail.google.com) ...
0
kazend > kazend
1 sept. 2009 à 16:45
Hmoui, ce qu'il me dit vraiment c'est "the virus database is older than 30-days"
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 26
Ced_King Messages postés 3519 Date d'inscription lundi 2 mars 2009 Statut Contributeur Dernière intervention 10 octobre 2016 571
1 sept. 2009 à 17:16
Il faut suivre la procédure ainsi :

* Téléchargez eScan Antivirus Toolkit sur votre Bureau.

* Double-cliquez le fichier mwav.exe qui se trouve sur le Bureau ; dézippez les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer et vous devez le quitter (cliquez sur Exit puis Exit).

* Double-cliquez sur le Poste de travail (Ordinateur sous Vista), puis double-cliquez sur le lecteur principal (habituellement C:\), double-cliquez sur le dossier Kaspersky ; ensuite, double-cliquez sur le fichier kavupd.exe. Vous verrez maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

* Lorsque la mise à jour sera complétée, vous verrez Press any key to continue ; tape sur une touche pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).

* Sélectionnez/copiez tous les fichiers présents dans le dossier C:\Downloads, puis collez-les dans le dossier C:\Kaspersky. Acceptez à l'invite de remplacer les fichiers existants.
0
Réponse 26 / 26
kazend
1 sept. 2009 à 20:42
Bon, j'ai pas pu passer exactement le même outil vu qu'il ne fonctionnait pas (le lien que tu me donnait me faisait télécharger un escan dont la virus database était dépassée de 30 jours quoiqu'il arrive ...)
Je me suis rendu sur le site, ai téléchargé la version 11 et l'ai laissée tourer.
Il n'a détecté aucun virus sur le disque dur.
J'ai ensuite sélectionné mon Disque externe et il n'a rien signalé du tout non plus.
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
problême Opéra est ce un virus??
sand2504 -
sand2504 -

85 réponses
win32:malware-gen bloqué par avast
ikkual -
Utilisateur anonyme -

69 réponses