Infection par virus Win32:VB-HIP [Wrm]
Fermé
Benzawi
-
12 sept. 2011 à 15:16
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 12 sept. 2011 à 20:55
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 12 sept. 2011 à 20:55
A voir également:
- Infection par virus Win32:VB-HIP [Wrm]
- Svchost.exe virus - Guide
- Win32 pup gen ✓ - Forum Linux / Unix
- Faux message virus iphone ✓ - Forum iPhone
- Win32:bogent - Forum Virus
- Win32:malware-gen ✓ - Forum Virus
2 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
12 sept. 2011 à 16:43
12 sept. 2011 à 16:43
Salut,
puis j'ai installé MalwareBytes pour voir si j'avais autre chose et ce dernier repère les mêmes fichiers infectés.
Et tu as supprimé ce qui était détecté ?
Tu peux copier/coller le rapport Malwarebyte ici puis :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
puis j'ai installé MalwareBytes pour voir si j'avais autre chose et ce dernier repère les mêmes fichiers infectés.
Et tu as supprimé ce qui était détecté ?
Tu peux copier/coller le rapport Malwarebyte ici puis :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
12 sept. 2011 à 20:55
12 sept. 2011 à 20:55
faut pas lancer OTL en sandbox.
Désactive Avast! avant.
Désactive Avast! avant.
12 sept. 2011 à 20:07
Je n'ai pas osé supprimer les fichiers effectivement, étant donné que ça me paraissait être des fichiers utiles pour le système d'exploitation et ma connexion réseau et internet ... que peut-il se passer si je les supprime d'ailleurs ?
J'ai relancé malwarebytes pour obtenir un log et AVAST s'est mis à hurler qu'une menace avait été detectée (toujours le même vers VB-HIP) mais dans \System volume information\_restore....
Ces fichiers ont été mis automatiquement en quarantaine ...
Et en lisant le journal d'avast, j'ai réalisé que les 2 fichiers infectés pécédemment avait aussi été mis en quarantaine ... sans que ça ait posé le moindre problème d'ailleurs !!!!
Voici le rapport de malwarebytes :
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Version de la base de données: 7696
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
12/09/2011 20:04:05
mbam-log-2011-09-12 (20-03-17).txt
Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 216835
Temps écoulé: 1 heure(s), 8 minute(s), 11 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\system volume information\_restore{1b84c478-f6cb-4d18-8e43-f9014e755f42}\rp696\a0092207.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{1b84c478-f6cb-4d18-8e43-f9014e755f42}\rp696\a0092208.exe (Worm.AutoRun) -> No action taken.
---------------------
Je fais le scan avec OTL et je post le lien ASAP.
A bientôt.
B.
12 sept. 2011 à 20:54
J'ai lancé OTL.exe ... alors AVAST m'a recommandé de le lancer sous AutoSandBox.
J'ai opté pour cette option ... et après avoir tourné quelques minutes, tout a commencé à déconner au niveau de l'affichage de mes icones sur le bureau et ça a fini par planter car OTL ne pouvait pas créer un fichier .bat
Bref, j'ai rebooté mon PC ... et en relançant chrome pour aller sur internet, il me dit qu'il ne peut plus lire mes préférences ni les enregistrer !!!
Dois-je craindre d'autre surprises de ce genre et que puis-je faire maintenant ?
Cordialement,
B.