infecté par W32/Sality.AA

Question

Bonjour, 
j'ai fait un scan avec panda security et voila résultat positif 
;***********************************************************************************************************************************************************************************
ANALYSIS: 2010-09-13 01:16:49
PROTECTIONS: 1
MALWARE: 2
SUSPECTS: 2
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
AntiVir Desktop                                                            Yes       Yes
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
02949054  Generic Trojan                     Virus/Trojan        No        0         Yes            No           c:\program files\counter-strike source\uninstall.exe
06192730  W32/Sality.AA                      Virus               No        0         No             No           c:\logiciels
ero
eroexpress\installation\data\d1bd9a8e.cab[dvdblockacc0cf0e066.dll]
;===================================================================================================================================================================================
SUSPECTS
Sent      Location
;===================================================================================================================================================================================
No        c:\program files\orange\connexion internet orange\connectivity\corecom\autodial.dll
No        c:\program files\ubisoft	om clancy's splinter cell conviction\src\system\ubiorbitapi_r2.dll
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity       Description
;===================================================================================================================================================================================
;===================================================================================================================================================================================
 pouvez vous m'aider à résoudre se probleme.

Configuration: Firefox 3.6
Windows 7 Édition Familiale Premium

MOI32 · Answer

aidez moi s'il vous plait

Utilisateur anonyme · Answer

Bonjour
*Tu as attrapé le pire des nuisibles du net
*Evite les téléchargements par le P2P (Limewire, Emule, Shearaza), car c'est comme cela que tu as attrapé cette cochonnerie
*Utilise le moins possible ton PC, car plus tu l'utilises, plus tu l'infecte, car le virut et le Sality
attaquent les fichiers exécutables et y injectent un code malveillant dedans
*Sauvegarde tous tes documents (photos...), sauf les fichiers .exe, .rar, .scr, .html, .htm, .dll, .dat, zip, keygens, keygens générator ou cracks dernièrement téléchargés
*Utilise seulement ton PC que pour les manips que je te demande de faire, et ne perd surtout pas de temps, fait tout de suite ce que je te demande
*Dans ce genre d'infection très difficile à traiter,le temps est contre nous

Tu dois supprimer les points de restauration infectés:

*Démarrer, clic droit sur ordinateur
*Clique sur propriétés
*Dans le volet gauche, clique sur protection du système (l'UAC nous met en garde si on est à l'origine de cette action)
*Dans la fenêtre propriètés système, va dans l'onglet protection du système
*Sélectionne le disque Système, puis clique sur configurer
*Dans protection système pour disque local (C), clique sur supprimer


 Télécharge Dr Web CureIt sur ton Bureau :

ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

- Double clique drweb-cureit.exe et ensuite clique sur Analyse;

- Clique Ok à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton Oui.
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".
- Lorsque le scan rapide est terminé, clique sur le menu Options puis Changer la configuration ; Choisis l'onglet Scanner, et décoche Analyse heuristique. Clique ensuite sur Ok.
- De retour à la fenêtre principale : clique pour activer Analyse complète
- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
- Clique Oui pour tout à l'invite Désinfecter ? lorsqu'un fichier est détecté, et ensuite clique Désinfecter.
- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône Suivant, au dessous, et choisis Déplacer en quarantaine l'objet indésirable.
- Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
- Ferme Dr.Web Cureit
- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
- Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse.

MOI32 · Answer

merci de m'avoir répondu
j'ai eu du mal à effectuer ce vous me demandiez le programme c'est arrêté a plusieurs reprises. j'ai du relancer le scan. il a détecter plusieurs chose qu'il a traiter .
mais impossible de générer de rapport lors du scan complet( il n'a rien détecter a celui ci

Utilisateur anonyme · Answer

Bonjour
On va examiner le PC pour voir
* Télécharge ZHPDiag (de Nicolas Coolman)
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
Héberge le rapport ICI

MOI32 · Answer

voila c'est fait 
http://www.cijoint.fr/cjlink.php?file=cj201009/cijufZpGd2.txt

Utilisateur anonyme · Answer

J'ai analysé le rapport, pas d'infection
Met à jour Malwarebytes, et fait un scan complet

MOI32 · Answer

dois je me déconnecter d'internet et arrêter toute activité????

Utilisateur anonyme · Answer

non, pas la peine

nordin · Answer

bonjour
sality n'est plus un probléme  c'est un win32 infector

essaye 
https://support.kaspersky.com/downloads/utils/salitykiller.zip

http://support.kaspersky.com/viruses/solutions?print=true&qid=208279889

sinon cherche sality_off.exe sur le net c'est rapide et incroyable 


bonne chance

MOI32 · Answer

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4614

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

14/09/2010 19:37:18
mbam-log-2010-09-14 (19-37-18).txt

Type d'examen: Examen complet (C:\|D:\|F:\|G:\|)
Elément(s) analysé(s): 301297
Temps écoulé: 52 minute(s), 48 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

nordin · Answer

bonjour
@MOI32
malwarebytes c'est bien, mais il donne beaucoup de faux positifs.si tu es certain que c'est sality essaye le Tools bien connue de kasperskey
en un click il te débarrasse du virus
Ne cherche pas trop loin ce qui est tout près, sinon tu va te retrouver avec des tonnes d'utilitaires installés...
https://support.kaspersky.com/downloads/utils/salitykiller.zip

MOI32 · Answer

@nordin
merci de m'aider
pour le tool que tu m'indique il y a juste besoin de le lancer 
pas de mode sans échec ou autre manip???

nordin · Answer

bonjour 
rien  simplement le lancer   meme pas en mode sans echec 
il scanera tes HD puis desinfectera les fichier c tt 
en plus c'est un site de confiance  et sality n'est plus un probleme depuis la sortie de ce fix, quelques minutes suffisent (si c'est bien sality. )
++

MOI32 · Answer

il a fini et il a rien trouvé
que faire de plus??

nordin · Answer

donc tu n'est pas infecté par  win32/sality.aa
et en regardant bien ton premier post je remarque que le fichier infexté par sality esr :
c:\logiciels
ero
eroexpress\installation\data\d1bd9a8e.cab[dvdblockacc0cf0e066.dll] 
or en general sality infext les executables et se charge e memoire pour infecter tt les .exe du pc et la t" a une dll ce qui parait comme un faux positif
ton pc est clean, ya rien de suspect
la derniere fois que j'ai eu affaire a sality.aa quand j'ai lancé salitykiller il a trouvé 3000 fichier infecté

MOI32 · Answer

ce que vous me dites là est rassurant mais nero ca fait longtemps que je l'ai 
et j'utilise panda security régulièrement alors comment expliquer que ce faux positif n'apparaisse que maintenant????

Utilisateur anonyme · Answer

Bonsoir nordin   
Il me semble que c'est moi qui ai pris en charge ce topic   
Je tiens à te faire une remarque que Dr Web avait nettoyé Sality, alors   
pourquoi tu lui fait passer un outil qui ne sert à rien    
Malwarebytes est un logiciel performent pour nettoyer les malwares, les   
rogues, les adwares, les spywares, EoRezo, Navipromo...   
Il nettoie les traces d'infections aussi, et peut trouver quelques FP, mais    
cela reste un logiciel efficace après avoir passé les outils spécifiques 
O.o°*??? Ex Nathandre aux 12938 messages depuis le 27.10.2008 °.Oø¤º°'°º¤ø

nordin · Answer

bonjour Jawaryinti 
Désole  pour  mes posts  , je te remercie   de me le faire remarquer poliment , je n'avis aucun intention de prendre ta palace mais je pensais simplement aider puisque sality m' a pollué la vie a une époque  et le seule outille qui m' a permis de s'en débarrasser était salitykiller même les antivirus était incapable de s'en débarrasser parce que précisément  sality se cache en mémoire et attaque  injecte son code dans les .Exe ce qui donnaient beaucoup d'erreur quand on lançaient un .Exe infecté et l'infection  touche en premier les antivirus :impossible de lancer un antivirus dans un milieu infecté par sality et je doute que MBAM peut venir a bout, et personnellement je vois qu'il donne beaucoup de faux positif  les paranoïaques y verront  un bon signe mais pour moi un antimalware qui prend une cookie pour un malware....
Mais bon ,désolé une deuxième fois et j'espère que  MOI32 n' a plus de soucie

Bonne nuit

MOI32 · Answer

panda security me détecte toujours le virus
que dois je faire de plus s'il vous plait????

Utilisateur anonyme · Answer

MOI32, es tu toujours là ?

Utilisateur anonyme · Answer

Je voulais savoir si tu n'as plus de problème ?

MOI32 · Answer

panda security détecte toujours w32/Sality.AA

Utilisateur anonyme · Answer

C'est mauvais ça
J'espère que tu as sauvegardé tous tes documents comme je l'ai expliqué
au début, et as tu un CD Windows ?

  *  Le scan va s'éffectuer en Mode sans échec : comme tu n'auras pas accès à Internet, je te conseille d'imprimer cette procédure.
    * Tu peux imprimer le message en cliquant sur l'imprimante Image en dessous du message.

    * Télécharge le scanner portable AVPTool sur ton bureau.
http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool

    * Ensuite Redémarre le PC en mode sans échec

    * Choisis ta session habituelle
    * Lance l'exécutable intitulé setup_7.0xxxxx en double-cliquant dessus.
    * Réponds Oui à la question Do you want to continue installation ?
    * Clique sur Next pour les deux fenêtres suivantes.
    * AVPTool s'installe sur ton Bureau dans un dossier nommé Kaspersky Lab Tool.
    * L'outil se lance tout seul : coche toutes les cases dans l'onglet Automatic Scan.
    * Clique maintenant sur Scan.
    * Le scan commence, une nouvelle fenêtre s'ouvre indiquant la progression du balayage en pourcentage.
    * A la fin du scan, AVPTool signale les objets infectés par l'intermédiaire d'un pop-up.
    * Coche alors Apply to all et clique sur Disinfect ou sur Delete selon ce que propose la fenêtre.
    * Une fois les infections traitées par l'intermédiaire des pop-ups, il se peut que des fichiers malsains n'aient pas été supprimés.
    * Ils apparaissent en rouge dans la liste : clique alors sur le bouton Neutralize all de la fenêtre de progression du scan.
    * Si une pop-up indique qu'il faut redémarrer, accepte en cliquant sur OK.
    * Rends-toi maintenant dans l'onglet Events de la fenêtre de progression du scan et décoche Show all events.
    * Clique enfin sur Reports puis Save to file et enregistre le rapport sur ton Bureau sous le nom Rapport AVPTool.
    * Ferme les fenêtres d'AVPTool : un message apparaît proposant de désinstaller le logiciel
    * choisis Yes.
    * Un message d'alerte indique que le PC doit être redémarré pour finir la désinstallation. À la question Would you like to restart now, réponds Oui et laisse ton ordinateur redémarrer en Mode normal.
    * Ensuite poste le rapport dans ta prochaine réponse.

MOI32 · Answer

je fais ca et je vous tien au courant 
non je n'est pas de cd de windows

Utilisateur anonyme · Answer

Je verrai cela demain
J'espère que ça va marcher

nordin · Answer

Bonjour
je vois que Jawaryinti  n'est plus la, en réponse a ta question si le fichier dll de nero n'a pas changé, ton antivirus a changé parce qu'il a reçu plusieurs mise a jour qui comprenaient des signatures de faut positif, peut être qu'après quelques temps il ne détectera plus rien...mais une chose est sure quand un pc est infecté par sality on en trouve des milliers..Jamais un seule fichier
Ne te fais pas trop de soucis
Bonne nuit et bonne chance

MOI32 · Answer

à Jawaryinti
j'ai fait un premier scan mais je n'ai rein trouvé et je n'est pas réussi a faire de rapport.
la version de l'outil est setup_9.0.0.722_15.09.2010_00-23 et non du type setup_7.0xxxxx

Utilisateur anonyme · Answer

Est-ce que ton Panda détecte toujours Sality A.A ?

MOI32 · Answer

;***********************************************************************************************************************************************************************************
ANALYSIS: 2010-09-16 06:58:35
PROTECTIONS: 1
MALWARE: 2
SUSPECTS: 3
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
AntiVir Desktop                                                            Yes       Yes
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
02949054  Generic Trojan                     Virus/Trojan        No        0         Yes            No           c:\program files\counter-strike source\uninstall.exe
06192730  W32/Sality.AA                      Virus               No        0         No             No           c:\logiciels
ero
eroexpress\installation\data\d1bd9a8e.cab[dvdblockacc0cf0e066.dll]
;===================================================================================================================================================================================
SUSPECTS
Sent      Location
;===================================================================================================================================================================================
No        c:\program files\orange\connexion internet orange\connectivity\corecom\autodial.dll
No        c:\program files\ubisoft	om clancy's splinter cell conviction\src\system\ubiorbitapi_r2.dll
No        g:\scc\crack.scc.skidrow.byermax83.rar[crack.scc.skidrow.byermax83\system\ubiorbitapi_r2.dll]
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity       Description
;===================================================================================================================================================================================
;===================================================================================================================================================================================

Infecté par W32/Sality.AA

29 réponses

Votre réponse

Discussions similaires

Newsletters