Virus "dwh???.exe"

joh9n Messages postés 23 Statut Membre -  
joh9n Messages postés 23 Statut Membre -
Bonjour "Malekal_morte",

Je vous ai contacté depuis Jeudi passée à propos d'un virus "dwh???.exe", mais je pense que vous n'avez pas vue mon message.

Mon antivirus (Symantec) me detecte des trojan horses tous les jours.
Comme "argoat" j'ai un problème de virus "dwh???.exe", avec l'extension ".exe" au lieu de ".tmp" pour lui. J'ai remarqué qu'à chaque fois, les fichiers se nomment "dwh???.exe" les ? sont des chiffres et lettres minuscules. Mon antivirus me les met en quarantaine dès qu'il les voit mais ca n'en finit jamais... Quelqu'un pourrait m'aider à stopper ces canassons, je ne sais pas d'où ils pourraient venir, je ne sais pas comment le savoir, bref je m'en remets à vous.
Merci, pour vos réponses.

24 réponses

  • 1
  • 2
  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    * Lance OTL
    * En haut à droite de Analyse rapide, coche "tous les utilisateurs"
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\consrv.dll
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
    CREATERESTOREPOINT
    nslookup www.google.fr /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs

    * Clique sur le bouton Analyse.
    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
    0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Je vois pas les fichiers mentionnés sur ton rapport.
    Peut-être que ce sont des fichiers créés par une application qui font couiner Symantec.

    Ca donne quoi un scan en ligne NOD32 ?
    https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32
    https://www.commentcamarche.net/faq/29643-scanner-en-ligne-avec-eset-nod32

    Mets le rapport sur pjjoint et donne le lien ici.
    0
  3. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    donc rien d'anormal.
    Je pense donc que c'est un faux positif de Symantec si tu as encore des alertes.
    0
  5. joh9n Messages postés 23 Statut Membre
     
    Bonjour,

    Mais actuellement ils sont en milliers (4 chiffres) et c'est l'Autoscan de Symantec qui les détectes avant le Full Scan de 12h40.

    Hier et ces derniers jours les fichiers sont milliers qui se nomment "dwh????.exe" les ? sont des chiffres et lettres minuscules (4 au lieu de 3).

    Que doit-je faire ?

    Merci.
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Tu peux poster un rapport ou une capture ou qq chose avec les infos ?
      0
  6. joh9n Messages postés 23 Statut Membre
     
    Bonjour,

    J'ai Exporté le "Virus and Spyware Protection Log History". Il y a 2 types de fichiers d'exportation CSV (Comma Delimited)(*.csv) que j'ai pu ouvrir avec MS Excel et Access Database (*.mdb) que je n'ai pas pu consulter avec MS Access.

    En ouvrant le fichier "Virus and Spyware Protection Log History.csv" avec MS Excel j'espère que l'Autoscan de Symantec d'avant hier 17/03 est complet, ou vous pouvez voir dans la colone de gauche des fichiers tell que "dwh113b.exe", "dwh114c.exe" etc...

    Je tiens à vous informer que j'ai arrêté l'Autoscan de Symantec d'hier 18/03 pour favoriser le scan en ligne NOD32 qui a duré une dizaine d'heures.

    Les fichiers avec les extensions .csv et .mdb ne peuvent pas être uploadés dans pjjoint !

    Que doit-je faire ?

    Merci.
    0
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    zip le et envoie le sur pjjoint et file le lien.
    0
  8. joh9n Messages postés 23 Statut Membre
     
    Bonjour,

    Lien pjjoint "Virus and Spyware Protection Log History.csv" avec MS Excel :

    https://pjjoint.malekal.com/files.php?id=20120319_e13q11m614b15

    Lien pjjoint "Virus and Spyware Protection Log History.mdb" avec MS Access :

    https://pjjoint.malekal.com/files.php?id=20120319_o10k10o8x15x15

    En ouvrant le fichier "Virus and Spyware Protection Log History.csv" avec MS Excel j'espère que l'Autoscan de Symantec d'avant hier 17/03 est complet, ou vous pouvez voir dans la colonne de gauche des fichiers tell que "dwh113b.exe", "dwh114c.exe" etc...

    Je tiens à vous informer que j'ai arrêté l'Autoscan de Symantec d'hier 18/03 pour favoriser le scan en ligne NOD32 qui a duré une dizaine d'heures.

    Que doit-je faire ?

    Merci.
    0
  9. joh9n Messages postés 23 Statut Membre
     
    Qu'est ce qu'il en est, deux jours après ?

    Merci.
    0
  10. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Ils sont dans %temp%
    Donc tu désactives Symantec pendant 1h ou 2h.
    Tu vas dans %TEMP% (tu tapes %TEMP% dans la barre d'adresse du poste de travail).
    T'attends qu'un de ces fichiers arrivent (faut rafraichir la liste, via le menu Editionj / Actualiser de temps en temps).
    Et quand tu en as un, tu l'envoies sur http://upload.malekal.com
    0
  11. joh9n Messages postés 23 Statut Membre
     
    Bonjour,

    Les symptômes sur un deuxième micro infecté sont différents.

    Dois-je utiliser OTL avec le même script pour l'analyse que vous m'avez donné pour ce premier micro ou allez vous me donner un autre script pour l'analyse avec OTL ?

    Merci.

    Config : Windows XP SP3 / Chrome 17
    0
  12. joh9n Messages postés 23 Statut Membre
     
    Bonjour,

    J'attends votre réponse depuis QUATRE JOURS !?

    Les symptômes sur un deuxième micro infecté sont différents.

    Dois-je utiliser OTL avec le même script pour l'analyse que vous m'avez donné pour ce premier micro ou allez vous me donner un autre script pour l'analyse avec OTL ?

    Merci.

    Config : Windows XP SP3 / Chrome 17
    0
  13. joh9n Messages postés 23 Statut Membre
     
    1er Micro :

    J'attends que l'un de ces fichiers "dwh????.exe" arrive pour te l'envoyer.

    2eme Micro :

    Les symptômes sur un deuxième micro infecté sont différents.

    Dois-je utiliser OTL avec le même script pour l'analyse que vous m'avez donné pour ce premier micro ou allez vous me donner un autre script pour l'analyse avec OTL ?

    Merci.

    Config : Windows XP SP3 / Chrome 17
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Si tu veux pour OTL, avec le même script oui.
      C'est quoi les symptômes ?
      0
  14. joh9n Messages postés 23 Statut Membre
     
    1er Micro :

    Je viens de t'envoyer un fichier "dwh????.exe".

    L'upload a réussi !

    2eme Micro :

    Les symptômes sur un deuxième micro infecté sont différents.

    Dois-je utiliser OTL avec le même script pour l'analyse que vous m'avez donné pour ce premier micro ou allez vous me donner un autre script pour l'analyse avec OTL ?

    Merci.

    Config : Windows XP SP3 / Chrome 17
    0
  15. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Bon ton fichier : https://www.virustotal.com/gui/file/a09b47d76ce0b673043fd41f6b614ece6c597d1befe23ee57c4d10bb6e130cd6

    Virut ou Sality.

    Dans les deux cas, c'est un virus au sens strict du terme, à savoir il infecte les executables.
    => https://www.malekal.com/supprimer-win32virut/

    ~~

    Pas simple à virer...
    Voir : https://www.malekal.com/supprimer-win32virut/
    avec notamment KAspersky removal tool : https://forum.malekal.com/viewtopic.php?t=33710&start=
    Active bien les actions automatiques

    0
  16. joh9n Messages postés 23 Statut Membre
     
    Bonjour,

    1) Mon micro se rempli. Dois-je effacer, sans risque, les fichers dwh????.tmp ( au nombre de 13000 dans ma session et de 4000 dans la session administrateur )

    2) Dois-je vider la Quarantine de Symantec ?

    3) Dois-je choisir "Effacer" aulieu de "Mettre en Quarantine" pour Symantec ?

    4) Avant d'exécuter Kaspersky removal tool dois-je désactiver Symantec ? et pendant combien de temps ?

    Merci.
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      yep faudrait désactiver Symantec durant le scan Kaspersky.
      0
  17. joh9n Messages postés 23 Statut Membre
     
    Bonjour,

    Dans le Menu Etoile de Kaspersky removal tool pour les Actions, doit-je laisser l'Option par défaut "Confirmer dès la découverte" ou je change en "Exécuter l'action Réparer" et "Exécuter l'action Supprimer si la réparation est impossible"

    Merci.
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      non faut pas supprimer si c'est pas possible de réparer sinon ça va virer plein de fichiers.
      0
  18. joh9n Messages postés 23 Statut Membre
     
    Bonjour,

    1er Micro :

    Avant d'exécuter Kaspersky removal tool, je viens de poser le problème à Symantec et j'attends aussi leur réponse à propos des fichiers "dwh????.exe".

    2eme Micro :

    Les symptômes sur un deuxième micro infecté sont différents et l'antivirus est Avast gratuit et l'anti-malware est Malwarebytes Anti-Malware.

    Dois-je utiliser OTL avec le même script pour l'analyse que vous m'avez donné pour ce premier micro ou allez vous me donner un autre script pour l'analyse avec OTL ?

    Config : Windows XP SP3 / Chrome 17

    Merci.
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Tu peux effacer les dwh si tu veux.
      Eventuellement passe CCleaner Avant.

      Pour OTL, déjà réponds oui avec le script.
      0
  19. joh9n
     
    Bonjour,

    2eme Micro :

    L'antivirus est Avast 7 gratuit et l'anti-matware est Malwarebytes Anti-Maware.

    Les symptômes sont différents :

    1) Avast a détecté le virus "Win32:Sality" dans environ 200 fichiers .exe que j'ai essayé de réparer, ce qu'il n'a pas pu faire. J'ai alors essayé de les mettre en quarantaine, ce qu'il n'a pas aussi pu faire. Alors il les a Supprimé soit en scan Minutieux ou scan au Démarrage, mais j'ai l'impression qu'il en reste.

    2) Les fichiers effacés ne sont pas des fichiers system.

    3) Malwarebytes Anti-Malware a détecté les virus "PUM.Hijack.TaskManager" et "PUM.Hijack.Regedit" et ils les a apparemment Supprimé.

    4) Au démarrage Les noms des Raccourcis sur le bureau et les Menus dans "Démarrer" sont normal et ils devients "Gras".

    Merci.
    0
  • 1
  • 2