Infection par virus Win32:VB-HIP [Wrm]

Fermé
Benzawi - 12 sept. 2011 à 15:16
Malekal_morte-
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
- 12 sept. 2011 à 20:55
Bonjour,
depuis quelques semaines, à chaque fois que j'allume mon ordi, je note que la partition système de mon disque dur perd entre 50 et 100 Mo à chaque démarrage.

J'ai donc fait un scan minutieux avec mon antivirus AVAST et il a découvert que mes fichiers WINDOWS\Config\Svchost.exe et \system.exe étaient infecté par Win32:VB-HIP [Wrm].

J'ai effectué un scan en ligne via secuser.com (qui n'a rien donné) puis j'ai installé MalwareBytes pour voir si j'avais autre chose et ce dernier repère les mêmes fichiers infectés.

J'ai cherché une solution sur différents forum pour savoir quoi faire pour me débarrasser de ce virus sans avoir à réinstaller tout mon système, mais les réponses trouvées datent un peu.

Auriez-vous une solution SVP ? Merci d'avance pour votre Aide.

Bien à vous, B.

2 réponses

Malekal_morte-
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 557
12 sept. 2011 à 16:43
Salut,

puis j'ai installé MalwareBytes pour voir si j'avais autre chose et ce dernier repère les mêmes fichiers infectés.

Et tu as supprimé ce qui était détecté ?
Tu peux copier/coller le rapport Malwarebyte ici puis :


Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs

* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.

0
Merci pour ta réponse rapide :))

Je n'ai pas osé supprimer les fichiers effectivement, étant donné que ça me paraissait être des fichiers utiles pour le système d'exploitation et ma connexion réseau et internet ... que peut-il se passer si je les supprime d'ailleurs ?

J'ai relancé malwarebytes pour obtenir un log et AVAST s'est mis à hurler qu'une menace avait été detectée (toujours le même vers VB-HIP) mais dans \System volume information\_restore....
Ces fichiers ont été mis automatiquement en quarantaine ...
Et en lisant le journal d'avast, j'ai réalisé que les 2 fichiers infectés pécédemment avait aussi été mis en quarantaine ... sans que ça ait posé le moindre problème d'ailleurs !!!!

Voici le rapport de malwarebytes :
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7696

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

12/09/2011 20:04:05
mbam-log-2011-09-12 (20-03-17).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 216835
Temps écoulé: 1 heure(s), 8 minute(s), 11 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\system volume information\_restore{1b84c478-f6cb-4d18-8e43-f9014e755f42}\rp696\a0092207.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{1b84c478-f6cb-4d18-8e43-f9014e755f42}\rp696\a0092208.exe (Worm.AutoRun) -> No action taken.

---------------------

Je fais le scan avec OTL et je post le lien ASAP.
A bientôt.
B.
0
Bon, je suis pas trop rassuré là ...
J'ai lancé OTL.exe ... alors AVAST m'a recommandé de le lancer sous AutoSandBox.
J'ai opté pour cette option ... et après avoir tourné quelques minutes, tout a commencé à déconner au niveau de l'affichage de mes icones sur le bureau et ça a fini par planter car OTL ne pouvait pas créer un fichier .bat
Bref, j'ai rebooté mon PC ... et en relançant chrome pour aller sur internet, il me dit qu'il ne peut plus lire mes préférences ni les enregistrer !!!
Dois-je craindre d'autre surprises de ce genre et que puis-je faire maintenant ?
Cordialement,
B.
0
Malekal_morte-
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 557
12 sept. 2011 à 20:55
faut pas lancer OTL en sandbox.
Désactive Avast! avant.
0