Trojan invirable!!!

tieum Messages postés 162 Statut Membre -  
tieum Messages postés 162 Statut Membre -
Bonsoir,

J'ai un trojan invirable ds 1 dossier appelé :"system volume information " sur mon disque de donnée. Je me le trimballe depuis + d'un mois!

C'est le scan en ligne de bidefender qui l'à débusqué, l'ennui c qu'il ne peux pas le virer...
A part ça kaspersky (mon AV résident) et trendmicro (scan en ligne) ne le détectent pas et le log d'hijackthis est nickel.

Si quelqu'un, sait comment me débarasser de cet intrus ça m'dépannerai bien. (a et oui au fait il fait quoi ce trojan au juste?)

merci d'avance
Configuration: 1er PC: XP SP2, RADEON X700, DD SATA, AMD 64 3200+,1 GO DE DDR, ASUS A8NE
<br>2eme PC: XP SP2, RADEON 9600 pro, 2 DD de 80 GO, 1,5GO  DE DDR, ASUS A7N8X, PROC 1,14 GHZ

16 réponses

  1. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Bonjour,

    Ton virus se trouve dans les fichiers de restauration de windows.

    Désactive la restauration système
    Clic droit sur poste de travail > propriétés > onglet restauration système
    puis cocher "désactiver la restauration système".

    Reboot le pc normalement

    Et recrée par le même principe un point de restauration

    Bon courage.

    A+
    0
    1. tieum Messages postés 162 Statut Membre 14
       
      Salut a toi incognito,

      G testé ta soluce qui avait l'air séduisante...

      Mais il y a encore 1 intru après la supression puis la réinitialisation de son contenant ("system volume information").

      Sais tu si la desactivation/réactivation de ce dossier le supprime vraiment?

      Je capte pas.

      Encore + strange mon trojan n'est + là et est "remplacé" par "VirTool.WatchHook.A" (tjrs d'après le scan en ligne de bitdefender).
      J'ai du finir par avoir le trojan avec l'un des scans en ligne que j'ai essayé sans m'en rendre compte sur le moment...

      Le nv ("VirTool.WatchHook.A") est aussi nvirable avec ta technique.

      Si tu peux m'éclairer je suis preneur et meci de toute façon
      0
  2. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Bonjour ,

    Dans un premier temps, fait déja tout cela :

    telecharge et execute ces antispywares ( pense a les mettre a jour avant de les lancer)

    (1) ad-aware version 1.06

    (ici) http://www.florensac-chasse-trap.com/ section virus/logiciel de securite
    voir demo
    http://pageperso.aol.fr/balltrap34/adwseflash.zip

    ***

    (2) spybot version 1.4

    (ici) http://www.florensac-chasse-trap.com/ section virus/logiciel de securite
    voir demo d utilisation
    http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm
    ***

    et aussi ceci
    (3) CleanUp40.exe
    http://www.florensac-chasse-trap.com/ section virus/logiciel de securite
    voir demo
    http://pageperso.aol.fr/balltrap34/democleanup.htm

    ***

    (4) Edwido
    http://download.ewido.net/ewido-setup.exe
    Pendant l'installation, sur la page "Additional Options", décoche les deux options "Install background guard" et "Install scan via context menu Ewido Security Suite. Clique sur mise à jour.

    Clique sur scanner puis sur scan complet du système.

    (6)télécharge HijackThis ici:
    http://www.hijackthis.de/downloads/hijackthis_199.zip

    Dézippe le dans un dossier prévu à cet effet.
    Par exemple C:\hijackthis < Enregistre le bien dans c : !
    Démo : (Merci a Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/Hijenr.gif

    Lance le puis:
    clique sur "do a system scan and save logfile" (cf démo)
    faire un copier coller du log entier sur le forum

    Démo : (Merci a Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/demohijack.htm

    Bon courage

    A+
    0
  3. tieum Messages postés 162 Statut Membre 14
     
    Pour ad-aware, spybot et hijack; je connaissais et je me sert réguliérement de ces 3 logiciels. D'ailleurs, je me plante ou les 2 1ers sont exlusivement consacrés aux spyware, malware et autres intrus sympathiques de cet accabi?
    Leurs utilisations me parait vaine pour mon pb de virus...

    Voici le log d'hijackthis:

    Logfile of HijackThis v1.99.1
    Scan saved at 17:44:12, on 08/04/2006
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\SiSWLSvc.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\D-Tools\daemon.exe
    D:\Programmes\Netools\deeEnes\DeeEnEs.exe
    C:\Program Files\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\WlanCU.exe
    C:\Program Files\Outlook Express\msimn.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\ewido anti-malware\ewidoctrl.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\ewido anti-malware\SecuritySuite.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    D:\Programmes\Netools\hyjackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
    O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
    O4 - HKCU\..\Run: [DeeEnEs] D:\Programmes\Netools\deeEnes\DeeEnEs.exe
    O4 - Global Startup: Wireless Configuration Utility HW.32.lnk = ?
    O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
    O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://techgenix.com/security/
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
    O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
    O23 - Service: SiS WirelessLan Service (SiSWLSvc) - Unknown owner - C:\Program Files\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\SiSWLSvc.exe
    O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe

    tout à l'air ok...
    Sinon je connaissais pas cleanup et ewido. Ils semblent utiles mais, sauf erreur de ma part, je vois pas en quoi ils peuvent régler un pb viral.
    Sais tu comment récupérer des fichiers supprimés par cleanup? (il m'a viré des fichiers temp de ma mule!!!)
    Connais tu des bons scans en ligne?
    Quelle est, d'après toi la meilleure association AV/PARE-FEU?

    Merci d'avance
    0
  4. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Bonsoir,

    il n'est malheureusement pas possible de récupérer des fichiers supprimé par cleanup ... il me semble.

    Tu peux m'en dire plus sur ton nouveau virus, où il se situe par exemple.

    Un Firewall style Zonealarm (gratuit) c'est préférable.

    A+

    0
    1. tieum Messages postés 162 Statut Membre 14
       
      Dommage pour cleanup...
      Le nv virus:
      D:\System Volume Information\_restore{496F7B43-9543-45C1-9DFF-D09A65C3558D}\RP3\A0003415.exe=>wise0064
      Infected with: VirTool.WatchHook.A

      C'est le rapport de bitdefender.
      Et que t'inspire le log d'hijackthis? c ok?

      Zone alarm, c le meilleur gratuit d'après toi? (on m'a conseillé kerio et sygate qu'en penses tu?)

      Et niveau AV/PARE-FEU payant que recommande tu?
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Bonsoir,

    Pour ton virus dans le fichier de resto : ce n'est pas très grave.

    Pour ton log hijackthis, il me parait ok

    Pour le firewall, je te renvoie à ce très bon article avec des liens interessants :
    https://www.commentcamarche.net/faq/2008-securite-utilisation-d-un-firewall

    Conseil :
    installe un firewall puis crée un point de restauration.

    Bon courage.

    A+

    0
  7. tieum Messages postés 162 Statut Membre 14
     
    Pour ton virus dans le fichier de resto : ce n'est pas très grave.

    Comment évalue tu la dangerosité d'un virus?

    installe un firewall

    J'installe kerio

    Dans un autre registre, sias tu comment sécuriser simplement et efficacement un réseau wifi? (chez moi le cryptage wep fout le réseau en l'air, mon LAN n'est donc pas sécurisé!!!)
    0
  8. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Bonsoir,

    Ton virus se situe dans le fichier de restauration de windows.
    Il est inactif tant que tu ne demandes pas une restauration de windows.

    pour ton problème de reseau, je suis désolé, je n'ai pas trop de solution.

    A+
    0
  9. tieum Messages postés 162 Statut Membre 14
     

    Ton virus se situe dans le fichier de restauration de windows.
    Il est inactif tant que tu ne demandes pas une restauration de windows.


    Comment se fait il que la desactivation/réactivation de system volume information ne réinitialise pas vraiment ce dossier?

    pour ton problème de reseau, je suis désolé, je n'ai pas trop de solution
    c pas grave merci qd même
    0
  10. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Re,

    Essaie ceci pour le point de restau récalcitrant :
    Démarrer/programme/accessoire/outil système/ nettoyage du disque.

    A+
    0
  11. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Re,

    Essaie ceci pour le point de restau récalcitrant :
    Démarrer/programme/accessoire/outil système/ nettoyage du disque.

    A+
    0
  12. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Re,

    petit tuto pour le nettoyage :
    http://www.libellules.ch/dotclear/index.php?2005/12/16/704-supprimer-les-points-d...

    A+
    0
  13. tieum Messages postés 162 Statut Membre 14
     
    Ok cool

    Je vais refaire un scan bitdefender et je te tiens au courant
    0
  14. incognito02 Messages postés 3487 Statut Contributeur 138
     
    Ok,

    Bonne nuit.

    A+
    0
  15. Qc001 Messages postés 256 Statut Membre 17
     
    Bonsoir à vous deux ;

    Juste de passage. J'aime pas ce genre de souffrance..lol..

    Ok ; d'après mes recherches, Ewido devrait pouvoir nous virer ce fichier infecté. Ewido est l'un des rares (et bons) scanneurs capable de virer des fichiers en restau ; cependant, à cause des protections de Windows, la manip doit être faite en mode Sans Échec impérativement.

    Tieum : tu peux passer un scan complet avec Ewido en sans échec ? Sauvegarde le rapport généré sur ton Bureau. Redémarre en Normal après le scan d'Ewido et poste le rapport ici.

    Instructions pour le mode Sans Échec ici, si nécessaire :
    http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112...
    (clique sur le petit "+" à côté de Windows XP)

    Bonne continuation :-)
    0
  16. tieum Messages postés 162 Statut Membre 14
     
    ---------------------------------------------------------
    ewido anti-malware - Rapport de scan
    ---------------------------------------------------------

    + Créé le: 10:10:57, 10/04/2006
    + Somme de contrôle: DE6274D4

    + Résultats du scan:

    Pas de fichiers infectés trouvés!

    ::Fin du rapport

    Volia g fait ce que tu m'as conseillé ewido n'a pas trouvé l'intrus...
    Par contre il y a un truc bizarre avec msconfig: je ne peux + le lance via executer! Je suis obligé d'aller le chercher manuellement.
    Si quelqu'un a une explication qu'il n'hésite pas
    0
  17. Qc001 Messages postés 256 Statut Membre 17
     
    Bonjour ;

    Bon, ben ce fichier en restau est ré-écrit par un p'tit coquin qui semble bien caché. Je te fais passer un autre scan, si tu veux bien. Ton problème de msconfig est probablement lié à l'infection :
    ==============================

    **Fais ce scan en mode Normal stp ; l'outil est codé pour nettoyer au redémarrage si des fichiers récalcitrants sont repérés (y compris en restau).

    Télécharge [b]SpySweeper[/b] (de Webroot) de ce lien : https://www.webroot.com/us/en/home/products/trials
    (version d'essai - 14 jours)

    [*]Installe le programme. Une fois installé, il se lancera.
    [*]L'option de le mettre à jour s'affichera; clic Yes.
    [*]Lorsque les mises à jour seront installées, clic Options sur la gauche.
    [*]Clic sur l'onglet Sweep Options.
    [*]Sous What to Sweep, coche les options suivantes:

    [*]Sweep Memory
    [*]Sweep Registry
    [*]Sweep Cookies
    [*]Sweep All User Accounts
    [*]Enable Direct Disk Sweeping
    [*]Sweep Contents of Compressed Files
    [*]Sweep for Rootkits
    [*]DÉCOCHE "Do not Sweep System Restore Folder".

    [*]Clic Sweep Now sur la gauche.
    [*]Clic sur Start.
    [*]Quand le scan est terminé, clic sur Next.
    [*]Assure-toi que tous les items sont cochés, puis clic sur Next.
    [*]Tous les items cochés seront éliminés.
    [*]Si Spy Sweeper veut redémarrer pour terminer le nettoyage : ACCEPTE.
    [*]Clic Session Log au haut - à droite, et copie tout ce qu'il y a dans la fenêtre.
    [*]Clic sur l'onglet Summary, puis clic sur Finish.
    [*]Colle le contenu du "Session Log" dans ta prochaine réponse.

    Colle un nouveau log HijackThis! également.

    @+
    0
    1. tieum Messages postés 162 Statut Membre 14
       
      Salut,

      Désolé pour le silence radio...

      J'ai résolu mon pb de virus stocké dans le dossier system volume information et un pb de dossiers ineffacables (voir mon message intitulé : " dossier ineffacable") par le même moyen.

      Ces une soluce en 2 tps: -décocher la case "utiliser le partage de fichier simple" situé tout en bas de l'onglet affichage dans les options de dossier
      (situées dans le menu outil du poste de travail)

      -allez sur l'onglet sécurité des dossiers à virer ou à vider (dans le cas de mon dossier system volume information contenant un virus invirable). Puis ajoutez le nom du compte administrateur de votre pc et enfin donnez lui toutes les autorisations

      et voila je dois dire que ça fait du bien de reprendre le contrôle de sa machine :)

      @+
      0