[VIRUS] infection chronique VIRUT.A
Résolu
persopolo
Messages postés
19
Statut
Membre
-
persopolo Messages postés 19 Statut Membre -
persopolo Messages postés 19 Statut Membre -
bonjour à tous les bienfaiteurs du forum.
mon problème s'appelle VIRUT.A
Il infecte tous les fichiers exécutables et se planque dans les bas-fond du système, résistant au formatage (il se duplique sur toutes les partitions).
- J'ai fait un premier formatage après avoir supprimé tous les .exe de toutes mes partitions, et fait quelques procédures vaines de nettoyage (scan en ligne bitdefender, nettoyage avast en mode sans échec, etc...)
Rien à faire, VIRUT.A est revenu.
- j'ai débranché physiquement mon disque dur qui me sert pour mes données, et laissé
uniquement le disque pour mon OS que j'ai formaté par la procédure de réinstallation de windows.
Rien à faire, VIRUT.A est revenu.
- aujourd'hui, ca fait 4 jours que je galère, j'ai mon windows sans logiciels, sans drivers, avec 10 processus vérolés aux noms exotiques qui tournent, se dupliquent, alternent gaiement et me bombardent de pop-up,d'arrêt "autorité système NT", et le scan online SECUSER me nettoie à chaque coup 200 fichiers vérolés par VIRUT.A, et 4 ou 5 autres petits trojans (Agent.EQF, Dloader, PuritySCY) Dieu merci, la connection internet marche.
Que puis-je faire pour nettoyer tout ca?
( faut-il que je rebranche mon lecteur de données pour suivre une procédure de nettoyage, ou pourrais-je le nettoyer une fois le système réinstallé ? n'y at-il pas un risque de ne le décontaminer que dans un deuxième temps?)
mon problème s'appelle VIRUT.A
Il infecte tous les fichiers exécutables et se planque dans les bas-fond du système, résistant au formatage (il se duplique sur toutes les partitions).
- J'ai fait un premier formatage après avoir supprimé tous les .exe de toutes mes partitions, et fait quelques procédures vaines de nettoyage (scan en ligne bitdefender, nettoyage avast en mode sans échec, etc...)
Rien à faire, VIRUT.A est revenu.
- j'ai débranché physiquement mon disque dur qui me sert pour mes données, et laissé
uniquement le disque pour mon OS que j'ai formaté par la procédure de réinstallation de windows.
Rien à faire, VIRUT.A est revenu.
- aujourd'hui, ca fait 4 jours que je galère, j'ai mon windows sans logiciels, sans drivers, avec 10 processus vérolés aux noms exotiques qui tournent, se dupliquent, alternent gaiement et me bombardent de pop-up,d'arrêt "autorité système NT", et le scan online SECUSER me nettoie à chaque coup 200 fichiers vérolés par VIRUT.A, et 4 ou 5 autres petits trojans (Agent.EQF, Dloader, PuritySCY) Dieu merci, la connection internet marche.
Que puis-je faire pour nettoyer tout ca?
( faut-il que je rebranche mon lecteur de données pour suivre une procédure de nettoyage, ou pourrais-je le nettoyer une fois le système réinstallé ? n'y at-il pas un risque de ne le décontaminer que dans un deuxième temps?)
A voir également:
- [VIRUS] infection chronique VIRUT.A
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Virus informatique - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Undisclosed-recipients virus - Guide
5 réponses
accessoirement, un log highjack tout chaud:
Logfile of HijackThis v1.99.1
Scan saved at 21:12:29, on 16/10/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\winIogon.exe
C:\WINDOWS\System32\algs.exe
C:\WINDOWS\System32\lssas.exe
C:\WINDOWS\System32\winamp.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\nwnmff_e31.exe
C:\kybrdff_e31.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\scvhost.exe
C:\WINDOWS\UG9sIExvbw\command.exe
C:\WINDOWS\svchost.exe
C:\Program Files\Network Monitor\netmon.exe
C:\WINDOWS\update\updmgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe
C:\dfug.exe
C:\sxe6.tmp
C:\Documents and Settings\Pol\Bureau\hijackthis_199\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - C:\Program Files\DeluxeCommunications\DxcBho.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Program Files\TheSearchAccelerator\UCMTSAIE.dll
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
O4 - HKLM\..\Run: [Services] C:\sxe6.tmp
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe
O4 - HKLM\..\Run: [mtxe3581] RUNDLL32.EXE w00691b3.dll,n 005e357c0000000a00691b3
O4 - HKLM\..\Run: [newname] C:\\nwnmff_e31.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e31.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e31.exe
O4 - HKLM\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
O4 - HKLM\..\Run: [Configuration Loader] scvhost.exe
O4 - HKLM\..\Run: [Microsoft (R) Windows Update Manager] C:\WINDOWS\update\updmgr.exe
O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe
O4 - HKLM\..\RunServices: [Configuration Loader] scvhost.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - a840.g.akamai.net
O20 - AppInit_DLLs: dxclib303562752.dll
O20 - Winlogon Notify: Shell Extensions - C:\WINDOWS\system32\s4pu0e79eh.dll
O20 - Winlogon Notify: Uninstall - C:\WINDOWS\system32\fhntsub.dll (file missing)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\UG9sIExvbw\command.exe
O23 - Service: Generic Host Process for Win32 Service - Unknown owner - C:\WINDOWS\svchost.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINDOWS\update\updmgr.exe
----------------------------------
merci d'avance à celui qui relèvera le défi !
Logfile of HijackThis v1.99.1
Scan saved at 21:12:29, on 16/10/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\winIogon.exe
C:\WINDOWS\System32\algs.exe
C:\WINDOWS\System32\lssas.exe
C:\WINDOWS\System32\winamp.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\nwnmff_e31.exe
C:\kybrdff_e31.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\scvhost.exe
C:\WINDOWS\UG9sIExvbw\command.exe
C:\WINDOWS\svchost.exe
C:\Program Files\Network Monitor\netmon.exe
C:\WINDOWS\update\updmgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe
C:\dfug.exe
C:\sxe6.tmp
C:\Documents and Settings\Pol\Bureau\hijackthis_199\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - C:\Program Files\DeluxeCommunications\DxcBho.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Program Files\TheSearchAccelerator\UCMTSAIE.dll
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe
O4 - HKLM\..\Run: [Services] C:\sxe6.tmp
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe
O4 - HKLM\..\Run: [mtxe3581] RUNDLL32.EXE w00691b3.dll,n 005e357c0000000a00691b3
O4 - HKLM\..\Run: [newname] C:\\nwnmff_e31.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e31.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e31.exe
O4 - HKLM\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
O4 - HKLM\..\Run: [Configuration Loader] scvhost.exe
O4 - HKLM\..\Run: [Microsoft (R) Windows Update Manager] C:\WINDOWS\update\updmgr.exe
O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe
O4 - HKLM\..\RunServices: [Configuration Loader] scvhost.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DeluxeCommunications] C:\Program Files\DeluxeCommunications\Dxc.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - a840.g.akamai.net
O20 - AppInit_DLLs: dxclib303562752.dll
O20 - Winlogon Notify: Shell Extensions - C:\WINDOWS\system32\s4pu0e79eh.dll
O20 - Winlogon Notify: Uninstall - C:\WINDOWS\system32\fhntsub.dll (file missing)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\UG9sIExvbw\command.exe
O23 - Service: Generic Host Process for Win32 Service - Unknown owner - C:\WINDOWS\svchost.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINDOWS\update\updmgr.exe
----------------------------------
merci d'avance à celui qui relèvera le défi !
Salut,
il te faut toujours un anti-virus et un pare-feu d'installer sinon tu vas pas aller loin comme ça
Installe ces logiciels
Avast: (anti-virus gratuit en français!)
Avast
installe ce pare-feu pour plus de sécurité
Kerio: (pare-feu, qui reste gratuit après la periode d'essai!)
Kerio
-tutoriel: pour configurer et comprendre l'utilisation de Kerio
https://kerio.probb.fr/
Telecharge, installe puis mets à jour ce logiciel(Ewido), une fois que c'est fait, fais un scan complet de ton système, supprime (delete) tout ce qu'il te trouve puis colle le rapport ici
Ewido: (reste gratuit après la période d'essai)
Ewido
Fait ce scan anti-virus en ligne avec Internet Explorer, accepte l'active X; la barre anti-popup du SP2 (en haut) va se mettre à clignoter, clic dessus et choisis "accepter l'active X" pour faire fonctionner le scan anti-virus.
Une fois qu'il a terminé colle le rapport ici stp
https://www.bitdefender.com/toolbox/
A++
il te faut toujours un anti-virus et un pare-feu d'installer sinon tu vas pas aller loin comme ça
Installe ces logiciels
Avast: (anti-virus gratuit en français!)
Avast
installe ce pare-feu pour plus de sécurité
Kerio: (pare-feu, qui reste gratuit après la periode d'essai!)
Kerio
-tutoriel: pour configurer et comprendre l'utilisation de Kerio
https://kerio.probb.fr/
Telecharge, installe puis mets à jour ce logiciel(Ewido), une fois que c'est fait, fais un scan complet de ton système, supprime (delete) tout ce qu'il te trouve puis colle le rapport ici
Ewido: (reste gratuit après la période d'essai)
Ewido
Fait ce scan anti-virus en ligne avec Internet Explorer, accepte l'active X; la barre anti-popup du SP2 (en haut) va se mettre à clignoter, clic dessus et choisis "accepter l'active X" pour faire fonctionner le scan anti-virus.
Une fois qu'il a terminé colle le rapport ici stp
https://www.bitdefender.com/toolbox/
A++
Bon. L'installation d'Avast, suivi du scan au reboot m'on identifié mes 200 fichiers .exe infectés. 1 sur 5 était impossible à réparer, donc la fonction "2-réparer tout" n'était pas utilisable, j'ai donc tout mis en quarantaine.
Le fichier iexplore.exe est passé à la trappe, donc je l'ai dans le c** pour télécharger ewido (plus de navigateur web), et l'aurais-je téléchargé installé avant, il aurait été infecté / supprimé.
Le temps de réinstaller mon navigateur, ou de trouver une combine pour jongler avec la connection internet du bureau (je n'ai que 3 kms à faire), et je te poste le rapport ewido,
sous condition qu'Avast ne me supprime pas systématiquement tous les .exe que VIRUT.A m'infecte.
Le fichier iexplore.exe est passé à la trappe, donc je l'ai dans le c** pour télécharger ewido (plus de navigateur web), et l'aurais-je téléchargé installé avant, il aurait été infecté / supprimé.
Le temps de réinstaller mon navigateur, ou de trouver une combine pour jongler avec la connection internet du bureau (je n'ai que 3 kms à faire), et je te poste le rapport ewido,
sous condition qu'Avast ne me supprime pas systématiquement tous les .exe que VIRUT.A m'infecte.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Je n'avais pas encore tout réinstallé (drivers), donc j'ai préféré tenter le formatage à partir d'une disquette DOS, parceque je suspectais le virus de se planquer dans la mémoire virtuelle pendant le formatage/installation de windows.
Chose faite. Rien à faire, il était encore là. (rdriv.sys)
J'ai installé Kerio, Avast comme indiqué, et j'ai appris à analyser moi-même mes logs hijack: (https://www.zebulon.fr/dossiers/securite/56-analyse-rapports-hijackthis.html )
et plusieurs passes d'Avast, des nettoyages successifs par Hijack, en arrêtant les processus pourris par services.msc, et en supprimant les fichiers tenaces en mode sans échec, j'ai finalement réussi à avoir quelquechose de propre.
A force, on apprend.
Merci, et... à la prochaine ! ;-)
Chose faite. Rien à faire, il était encore là. (rdriv.sys)
J'ai installé Kerio, Avast comme indiqué, et j'ai appris à analyser moi-même mes logs hijack: (https://www.zebulon.fr/dossiers/securite/56-analyse-rapports-hijackthis.html )
et plusieurs passes d'Avast, des nettoyages successifs par Hijack, en arrêtant les processus pourris par services.msc, et en supprimant les fichiers tenaces en mode sans échec, j'ai finalement réussi à avoir quelquechose de propre.
A force, on apprend.
Merci, et... à la prochaine ! ;-)
