virus total security et VirutRésolu/Fermé

Question

Bonjour,
J'ai été infecté par Virus Total security  et Virus.Sality que malwarebytes a identifié (après de nombreuses tentatives via le gestionnaire de taches pour reprendre la main) et supprimé (je crois).
Quelqu'un peut il me dire si ma machine est saine maintenant car il me semble qu'elle est devenu lente et lague parfois.
Malwarebytes ne trouve plus rien, ni spybot S&D, ni Ad Aware et le scan virus de bitedefender total security 2010 que je viens d'acheter a mis en quarantaine le virus rmvirut(1).exe (Generic.Horstbased.AFA7BEFO), mais j'ai l'impression qu'il s'est mal installé alors que j'ai bien desinstallé BD total security 2008 en mode sans echec et reinstallé BD TS 2010 également en mode sans echec puis fais les mises à jour.

Comment être sur de mon systeme car j'ai lu ici et là que virus.sality faisait pas mal de dégats et n'était pas si facile à éliminer ?
J'y connais rien en informatique, quelqu'un peut il m'aider ???
 voici les 2 rapports MAM:

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3238
Windows 5.1.2600 Service Pack 3

26/11/2009 23:35:56
mbam-log-2009-11-26 (23-35-56).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 263115
Temps écoulé: 1 hour(s), 41 minute(s), 55 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\AvScan (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\qwtxhbtf (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\qwtxhbtf (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Matthieu\Local Settings\Application Data\fiikpb\rhhgsysguard.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3260
Windows 5.1.2600 Service Pack 3

30/11/2009 15:01:04
mbam-log-2009-11-30 (15-01-04).txt

Type de recherche: Examen complet (C:\|G:\|)
Eléments examinés: 266995
Temps écoulé: 1 hour(s), 54 minute(s), 29 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\BitDefender\BitDefender 2010\imgcln.exe (Virus.Sality) -> Delete on reboot.
C:\System Volume Information\_restore{EB633BA2-4F61-40B6-86F0-A87FDC4A394F}\RP529\A0094231.exe (Virus.Sality) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{EB633BA2-4F61-40B6-86F0-A87FDC4A394F}\RP530\A0095182.exe (Virus.Sality) -> Quarantined and deleted successfully.

Merci de  bien vouloir m'indiquer comment checker mon PC pour être sur qu'il est sain.

Xplode · Answer

Salut, sality est une variante de virut coriace, on va voir si il reste quelque chose ( à mon avis oui )

-+-+-+-> Dr.Web CureIt! <-+-+-+-


[x] Télécharge Dr.Web CureIt

[x] Lance le, puis clique sur " Commencer le scan "

[x] Il commencera une analyse des processus, s'il trouve des processus infectés, clique sur " Oui pour tout ".

[x] A la fin du scan rapide, clique sur Option > Changer la configuration

[x] A l'onglet Scanner, décoche " Analyse heuristique ".

[x] De retour à la fenêtre principale, choisis " Analyse complète "

[x] Clique sur la flèche verte pour que le scan débute.

[x] Si un fichier est détécté, clique sur " Oui pour tout "

[x] A la fin du scan, si des infections sont trouvées, clique sur Tout séléctionner > Désinfecter

[x] Si la désinfection est impossible, mettre en quarantaine.

[x] De retour au menu principal, clique sur Fichier > Enregistrer le rapport

[x] Sauvegarde le sur ton bureau, puis ferme Dr.Web et redémarre ton ordinateur ( important )

[x] Au redémarrage, poste le contenu du rapport de DrWeb ( DrWeb.csv ) dans ta prochaine réponse.

Xplode · Answer

Le scan peut durer assez longtemps si le PC est bien vérolé en effet. Tu dois avoir un rapport Drweb.csv quelque part sur ton PC, si tu ne l'as pas/plus, c'est pas grave.

Pour commencer on va désactiver la restauration système, puisqu'apparement sality est dedans.

http://www.bibou0007.com/windows-xp-f101/purger-la-restauration-du-systeme-sous-windows-xp-t151.htm

Important :  suis seulement la partie " Désactiver " , ne la réactive pas. On la réactivera à la fin de la désinfection.

Ensuite, apparement y'a un soucis avec bit defender. Tu l'as sur CD ou clé USB ? Le mieux serais de le désinstaller proprement à l'aide de cet outil puis de le réinstaller proprement.

Pour faire un diagnostic du PC , j'aurais également besoin de ceci :

-+-+-+-> ZHPDiag <-+-+-+-


[x] Télécharge ZHPDiag ( de Nicolas coolman ).

[x] Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

[x] Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau

[x] Clique sur l'icône en forme de dossier avec une loupe " Analyse détaillée MD5 ", puis laisse l'outil scanner.

[x] Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

[x] Rend toi sur Cijoint

[x] Clique sur " Parcourir " dans la partie " Joindre un fichier[...] "

[x] Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

[x] Clique ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message

Dj Tidan · Answer

Hola, Je vais te donner un antivirus pas français mais etranger il est parfait il ma trouver 120 virus, tu pourras le télécharger ici : https://www.hugedomains.com/domain_profile.cfm?d=ansav&e=com 


J'espere pouvoir satisfaire tes besoins 


un autres programmes tres utiles Avorax : http://www.arovaxantispyware.com/

et encore un autres Norman Malware : http://www.norman.com/support/support_tools/58732/fr

ou encore Spywareterminator : http://www.spywareterminator.com/

Je me sert de tous sa et c'est completement gratuit et je n'ai plus un seul virus malware etc....

Xplode · Answer

Après

jalobservateur · Answer

Xplode : À voir...  C:\Program Files\BitDefender\BitDefender 2010\imgcln.exe (Virus.Sality)
http://forum.bitdefender.com/lofiversion/index.php/t17078.html

Xplode · Answer

Re-bonsoir à vous deux,

gromitmb, tu devrais suivre le lien qu'à posté jalobservateur concernant sality detecté par MBAM dans bitdefender.

J'attend ton rapport ZHPDiag pour vérifier ce qu'il en est.

Xplode · Answer

Tu renommes le fichier en .txt, ca devrait passer.

Fais aussi un rapport ZHPDiag normal ( icône " Loupe " en haut à gauche )

Xplode · Answer

-+-+-+-> USBfix ( Infections USB ) <-+-+-+-


[x] Télécharge USBfix ( de Chiquitine29 )

[x] Un tutoriel est disponible ici

[x] Installe le

/!\ Branche tout tes médias amovibles ( clés USB, DD externe, Cartes SD ) /!\

[x] Lance USBfix en cliquant sur l'icône qui est sur ton bureau ( Clique droit -> Executer en tant qu'administrateur pour vista )

[x] Choisis l'option F ( pour français ) et valide en appuyant sur entrée.

[x] Au menu principal, choisis l'option 2

[x] Laisse l'outil travailler puis poste le rapport dans ton prochain message

Xplode · Answer

Branche les tous, ils ne seront pas infectés

Xplode · Answer

Salut, peux tu me refaire un rapport ZHPDiag stp, histoire de vérifier.

Xplode · Answer

-+-+-+-> ZHPfix <-+-+-+-


[x] Relance ZHPDiag ( Clic droit " Executer en tant qu'administrateur " sous vista ) , fais un scan puis cette fois-ci cliques sur l'icone en forme d'écusson vert " ZHPFix ".

[x] ZHPFix se lancera, clique maintenant sur le " H " bleu ( coller les lignes helper ) puis copie/colle ce qui se trouve à ce lien dans le grand encadré jaune ( vide ) :

http://www.cijoint.fr/cjlink.php?file=cj200912/cijf3Tk16I.txt

[x] Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

[x] Copie/Colle le rapport à l'écran dans ton prochain message

Xplode · Answer

Il fallait ouvrir le lien, puis copier/coller ce qui est dedans et pas copier/coller le lien lui même

Xplode · Answer

Comment se porte le PC ?

Xplode · Answer

Re, je vais répondre à toutes tes questions :

1 - / Oui, tu peux réinstaller BD 2010 ( en suivant la procédure indiquée par jalobservateur )

2 - / Visiblement, plus rien de suspect sur les rapports, donc le système semble clean ( j'ai bien dis,  " semble clean )

3 - / Tu peux désinstaller spybot S&D , personnellement je ne l'aime pas, je le trouve inefficace. Trojan remover idem, inutile.

4 - / La personne qui t'as dis ça se trompe a moitié. Si ton système est déjà infecté, il est vrai qu'installer un antivirus après en espérant que ca supprimera tout, c'est se mettre le doigt dans l'oeil. Par contre, il ne faut pas non plus reformater de suite sans avoir essayé au préalable de supprimer l'infection. Dans ton cas, il semblerait que le système sois clean, donc pas de reformatage prévu.

5 - / Comme dis plus haut, tu n'as pas besoin de faire un reformatage.

En fait, j'ai l'impression que tu n'étais pas infecté par sality, mais que c'était plutôt un faux positif de MBAM. Tu avais apparement juste des infections banales style trojan fakealert etc..

Tu devrais donc réinstaller Bitdefender, puis faire un scan complet et me poster le rapport ainsi qu'un nouveau ZHPDiag pour vérification + un RSIT en faisant comme suis :

-+-+-+-> RSIT <-+-+-+-


[x] Télécharge Random's System Information Tool

[x] Double clique sur " RSIT.exe ".

[x] Clique sur " Continue ".

[x] Si hijackthis n'est pas présent il sera automatiquement téléchargé et tu devras accepter la license.

[x] Une fois l'analyse finie, deux fichiers ( info.txt & log.txt ) s'ouvriront.

[x] Copie/Colle leur contenu dans ton prochain message.

Xplode · Answer

Salut à toi,

Pour commencer, bonne nouvelle : Tous les rapports sont clean, je ne vois plus aucune infection. Juste de l'optimisation à faire ( on va y venir ).

Concernant MBAM, je pense que suite à la MaJ ils ont mis automatiquement le fichier concerné en liste d'exclusion en attendant la sortie d'une nouvelle version de MBAM ( le faux positif sera surement supprimé à la suite de cette maj )

Donc pas d'inquiétude, c'était seulement un faux positif.

Si tu n'as plus aucun soucis, on passera à l'optimisation, j'attend ton feu vert.

Xplode · Answer

1 - / Le processus csrss.exe est un processus légitime, pas d'inquiétude.

2 - / Concernant ton logiciel terratec home, aucune idée. Tu devrais le désinstaller, suivre la procédure que je vais t'indiquer puis le réinstaller, normalement ca devrait marcher.

-+-+-+-> Hijackthis <-+-+-+-


[x] Lance hijackthis ( C:\Program Files\Trend Micro\Hijackthis.exe )

[x] Clique sur " None of the above, just start the program " puis sur " Scan "

[x] Coche les lignes en gras ci dessous :


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2010\IEToolbar.dll    
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet    => NVidia®nView
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot    
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime   
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe   
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe   
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"   
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')   
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') 
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')   
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')   
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe 


[x] Clique ensuite sur " Fix checked "

Xplode · Answer

Suis la procédure hijackthis plus haut, ca optimisera largement le démarrage de ton PC ( en effet, toutes les lignes 04 correspondent a un programme qui se lance au démarrage ). Du coup, en les supprimant , ton PC démarrera plus vite :-)

Une fois que tu auras fais ceci, on terminera.

Xplode · Answer

Tu redémarre le PC , puis tu fais ceci ( dans l'ordre ) : -+-+-+-> Procédure de fin de désinfection <-+-+-+- [x] 1-/ Nettoyage -+-+-+-> OTCleanIt <-+-+-+- [x] Télécharge OTC sur ton bureau. [x] Lance le ( Clic droit -> " Executer en tant qu'administrateur " sous vista ). [x] Clique sur " CleanUp! " puis sur " Yes " à la fenêtre de confirmation. [x] Redémarre ton PC, OTCleanIt se supprimera de lui même. ********************************************************************** -+-+-+-> CCleaner <-+-+-+- [x] Télécharge CCleaner. [X] Choisis " french " pour l'installation. /!\ Important : Décoche " Ajouter la barre d'outil Yahoo toolbar ! /!\ [x] Lance le, dans options, onglet Avancé, décoche " Effacer uniquement les fichiers temporaires de windows datant de + de 48h " [x] Rends toi ensuite dans la partie " nettoyeur " clique sur " analyser " à droite puis ensuite sur " nettoyer " [x] Clique sur l'onglet " Registre " puis " chercher les erreurs " [x] Clique sur " corriger les erreurs " puis un message de demandera si tu veux faire un backup, accepte en cliquant sur " oui " et enregistre le quelque part. [x] Clique enfin sur " Corriger toutes les erreurs séléctionnées " [x] Pense à renouveller l'opération assez souvent pour garder un pc propre. ********************************************************************** Purge de la restauration système : Windows XP Windows Vista ********************************************************************** [x] 2-/ Optimisation [x] Clique sur démarrer -> Executer ( windows + R sous vista ) et tapes msconfig [x] Valide en appuyant sur " ok " [x] Une fenêtre s'ouvre, va à l'onglet démarrage et décoche tout les programmes qui te semblent inutiles à charger au démarrage ( en général on laisse que l'antivirus + le pare-feu ) ********************************************************************** Défragmente régulièrement ton PC ********************************************************************** [x] 3-/ Sécurité I - Attitude sur le net - Sécuriser son PC, c'est tout d'abord être responsable. 1-> Les sites de cracks sont à bannir ( Plus d'infos ici : https://forum.malekal.com/viewtopic.php?f=33&t=893 ) 2-> Le P2P est également à éviter, source de nombreuses infections. ( Bagle par ex.) ( Plus d'infos ici : http://www.libellules.ch/... ) 3-> Il est aussi très important de faire toutes les mises à jour de windows, qui sont nécessaire pour corriger les failles. ( IE, Mises à jour critiques, Service Pack etc.. ) ( Pourquoi mettre à jour son système : http://forum.malekal.com/ftopic3563.php ) 4-> Adobe flash player, Java , et acrobat reader sont également à mettre à jour, pour éviter les exploits ( https://forum.malekal.com/viewtopic.php?f=33&t=13629 ) ********************************************************************** II - Logiciels de protection - Il faut ensuite avoir un bon antivirus, je recommande antivir qui est l'un de meilleur antivirus gratuit à ce jour ( et qui plus est en français ) : Pour le télécharger --> http://www.commentcamarche.net/telecharger/telecharger-55-antivir - Un bon pare-feu est aussi de rigueur, je recommande Comodo ( gratuit ) ou ZoneAlarm ( payant ) Comodo : https://www.commentcamarche.net/telecharger/securite/6291-comodo-firewall-free-windows/ ZoneAlarm : https://www.commentcamarche.net/telecharger/securite/24863-zonealarm/ - Pour complèter le tout, un anti-spyware est recommandé. Malwarebyte's : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/ SpywareTerminator ( Protection en temps réel ) : https://www.commentcamarche.net/telecharger/securite/20947-spyware-terminator/ ********************************************************************** III - Liens utiles -> Malekal - Sécuriser son PC : https://www.malekal.com/proteger-pc-virus-pirates/ -> Malekal - Les spywares/vers/malwares sous windows : http://www.malekal.com/spywares.php -> Malekal - Les toolbars : https://forum.malekal.com/viewtopic.php?t=6173&start= ********************************************************************** [x] 4-/ Mise à jour -+-+-+-> Update Checker <-+-+-+- Voici un excellent petit logiciel très utile qui te permettra de savoir les nouvelles mises à jour disponibles pour les différents logiciels installés sur ton PC : ▶ Télécharge Update Checker ▶ Installe le avec les paramètres par défaut en cliquant chaque fois sur Suivant. ▶ Une fois installé, patiente quelques secondes et tu verras apparaître une icône verte dans ta barre des tâches te signalant qu'il y a des mises à jour disponibles. ▶ Double-cliques sur l'icône pour être redirigé sur le site de téléchargement des mises à jour. ▶ Un conseil : n'installe pas les BETA qui sont listées en dessous. ▶ Tu installes les mises à jour que tu désires, les plus importantes sont : ● Java ● Adobe Reader ● Adobe Flash Player ● Internet explorer

jalobservateur · Answer

Voici un lien pour plus de facilité et guide pour désactiver les inutiles services : https://www.pcastuces.com/pratique/windows/services/page1.htm
Puis une vraie défrag pour finir ;-)
 ouais on es emM&*?(%9 ;-)
https://www.commentcamarche.net/download/s/

jalobservateur · Answer

Il ne reste qu'à voir  les résultats de ces manips pour la réactivité de la machine et ça devrait aller au max de ce qu'un W$ peut rouler ;-)
PS: Je n'ajouterais pas Spy Term à BDef ...
Il suffit.
Je ferais plutôt appel à un gardien de navigateur qui ne consomme rien sur la machine et ne risque aucun conflict.
http://consultaide.e-monsite.com/rubrique,spywareblaster-tuto-complet,262879.html
Mais c'est selon...

Xplode · Answer

Très bonne remarque.

Je crois que je vais supprimer spyware terminator de mon canned, il est efficace, mais vraiment beaucoup trop lourd..

jalobservateur · Answer

Oui d'accord, de plus il vaut mieux toujours indiquer : De ne pas activer la protection Web ( Crawler toolbar) , puis de désactiver ou d'activer le HIPS avenant que l'on a un parefeu intelligent déjà muni d'un HIPS et souvent couplé d'un IDS.
Dans le cas d'absence de bon parefeu, oui le HIPS STerm est à activer.
Alors ça fait bien des si et des pourquoi et des comments pour bien faire ;-)
 Voilà pourquoi aussi , sinon l'absence de consommation, SpywareBlaster est de loin mon choix depuis des lustres.
Il faut juste pas l'oublier et le mettre à jour aux 15 jours environ.
Tellement que sur les machines sous W$ que je nettoie et sécurise, 'je renomme' SpywareBlaster sur le bureau en '1 Mise à jour/15 jours' ;-)

jalobservateur · Answer

Salut , bon boulot ;-)
 Si tu demandes le gestionnaire de tâches, Crtl/Alt/Del, tu devrais avoir un UC plutôt bas et une charge minimale ou presque.
Dont moins de 30 processus actifs pour être pas si mal.
 Bonne soirée. 
@+

Virus total security et Virut

23 réponses

Discussions similaires

Newsletters