Virus "dwh???.exe"Fermé

Question

Bonjour "Malekal_morte", 

Je vous ai contacté depuis Jeudi passée à propos d'un virus "dwh???.exe", mais je pense que vous n'avez pas vue mon message.

Mon antivirus (Symantec) me detecte des trojan horses tous les jours.
Comme "argoat"  j'ai un problème de virus "dwh???.exe", avec l'extension ".exe" au lieu de ".tmp" pour lui. J'ai remarqué qu'à chaque fois, les fichiers se nomment "dwh???.exe" les ? sont des chiffres et lettres minuscules. Mon antivirus me les met en quarantaine dès qu'il les voit mais ca n'en finit jamais... Quelqu'un pourrait m'aider à stopper ces canassons, je ne sais pas d'où ils pourraient venir, je ne sais pas comment le savoir, bref je m'en remets à vous.
Merci, pour vos réponses.

Configuration: Windows XP SP3 / Google Chrome 17

Malekal_morte- · Answer

Salut,


Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    
netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%systemroot%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe   
wininit.exe   
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT   
nslookup www.google.fr /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs    
* Clique sur le bouton Analyse.    
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.

joh9n · Answer

Bonjour,

OTL.txt :
https://pjjoint.malekal.com/files.php?id=20120317_h10h1514v12f10

Extra.txt :
https://pjjoint.malekal.com/files.php?id=20120317_c14t8b5i15q12

Merci.

Malekal_morte- · Answer

Je vois pas les fichiers mentionnés sur ton rapport.
Peut-être que ce sont des fichiers créés par une application qui font couiner Symantec.

Ca donne quoi un scan en ligne NOD32 ?
https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32
https://www.commentcamarche.net/faq/29643-scanner-en-ligne-avec-eset-nod32

Mets le rapport sur pjjoint et donne le lien ici.

joh9n · Answer

Bonjour, 

Rapport scan en ligne NOD32.txt : 

https://pjjoint.malekal.com/files.php?id=20120319_m10i8o13p6f12 

Hier et ces derniers jours les fichiers sont plus nombreux qui se nomment "dwh????.exe" les ? sont des chiffres et lettres minuscules (4 au lieu de 3).

Merci.

Malekal_morte- · Answer

donc rien d'anormal.
Je pense donc que c'est un faux positif de Symantec si tu as encore des alertes.

joh9n · Answer

Bonjour, 

Mais actuellement ils sont en milliers (4 chiffres) et c'est l'Autoscan de Symantec qui les détectes avant le Full Scan de 12h40.

Hier et ces derniers jours les fichiers sont milliers  qui se nomment "dwh????.exe" les ? sont des chiffres et lettres minuscules (4 au lieu de 3). 

Que doit-je faire ?

Merci.

joh9n · Answer

Bonjour, 

J'ai Exporté le "Virus and Spyware Protection Log History". Il y a 2 types de fichiers d'exportation CSV (Comma Delimited)(*.csv) que j'ai pu ouvrir avec MS Excel et Access Database (*.mdb) que je n'ai pas pu consulter avec MS Access.

En ouvrant le fichier "Virus and Spyware Protection Log History.csv" avec MS Excel j'espère que l'Autoscan de Symantec d'avant hier 17/03 est complet, ou vous pouvez voir dans la colone de gauche des fichiers tell que "dwh113b.exe", "dwh114c.exe" etc...

Je tiens à vous informer que j'ai arrêté l'Autoscan de Symantec d'hier 18/03 pour favoriser le scan en ligne NOD32 qui a duré une dizaine d'heures.

Les fichiers avec les extensions .csv et .mdb ne peuvent pas être uploadés dans pjjoint !

Que doit-je faire ? 

Merci.

Malekal_morte- · Answer

zip le et envoie le sur pjjoint et file le lien.

joh9n · Answer

Bonjour,

Lien pjjoint  "Virus and Spyware Protection Log History.csv" avec MS Excel :

https://pjjoint.malekal.com/files.php?id=20120319_e13q11m614b15

Lien pjjoint  "Virus and Spyware Protection Log History.mdb" avec MS Access : 

https://pjjoint.malekal.com/files.php?id=20120319_o10k10o8x15x15

En ouvrant le fichier "Virus and Spyware Protection Log History.csv" avec MS Excel j'espère que l'Autoscan de Symantec d'avant hier 17/03 est complet, ou vous pouvez voir dans la colonne de gauche des fichiers tell que "dwh113b.exe", "dwh114c.exe" etc... 

Je tiens à vous informer que j'ai arrêté l'Autoscan de Symantec d'hier 18/03 pour favoriser le scan en ligne NOD32 qui a duré une dizaine d'heures. 

Que doit-je faire ? 

Merci.

joh9n · Answer

Qu'est ce qu'il en est, deux jours après ?

Merci.

Malekal_morte- · Answer

Ils sont dans %temp%
Donc tu désactives Symantec pendant 1h ou 2h.
Tu vas dans %TEMP% (tu tapes %TEMP% dans la barre d'adresse du poste de travail).
T'attends qu'un de ces fichiers arrivent (faut rafraichir la liste, via le menu Editionj / Actualiser de temps en temps).
Et quand tu en as un, tu l'envoies sur http://upload.malekal.com

joh9n · Answer

Bonjour, 

Les symptômes sur un deuxième micro infecté sont différents.

Dois-je utiliser OTL avec le même script pour l'analyse que vous m'avez donné  pour ce premier micro ou allez vous me donner un autre script pour l'analyse avec OTL ?

Merci.

Config : Windows XP SP3 / Chrome 17

joh9n · Answer

Bonjour, 

J'attends votre réponse depuis QUATRE JOURS !?

Les symptômes sur un deuxième micro infecté sont différents. 

Dois-je utiliser OTL avec le même script pour l'analyse que vous m'avez donné pour ce premier micro ou allez vous me donner un autre script pour l'analyse avec OTL ? 

Merci. 

Config : Windows XP SP3 / Chrome 17

joh9n · Answer

1er Micro : 

J'attends que l'un de ces fichiers "dwh????.exe" arrive pour te l'envoyer. 

2eme Micro :  

Les symptômes sur un deuxième micro infecté sont différents.  

Dois-je utiliser OTL avec le même script pour l'analyse que vous m'avez donné pour ce premier micro ou allez vous me donner un autre script pour l'analyse avec OTL ?  

Merci.  

Config : Windows XP SP3 / Chrome 17

joh9n · Answer

1er Micro : 

Je viens de t'envoyer un fichier "dwh????.exe". 

L'upload a réussi !

2eme Micro : 

Les symptômes sur un deuxième micro infecté sont différents. 

Dois-je utiliser OTL avec le même script pour l'analyse que vous m'avez donné pour ce premier micro ou allez vous me donner un autre script pour l'analyse avec OTL ? 

Merci. 

Config : Windows XP SP3 / Chrome 17

Malekal_morte- · Answer

Bon ton fichier : https://www.virustotal.com/gui/file/a09b47d76ce0b673043fd41f6b614ece6c597d1befe23ee57c4d10bb6e130cd6

Virut ou Sality.

Dans les deux cas, c'est un virus au sens strict du terme, à savoir il infecte les executables.
=> https://www.malekal.com/supprimer-win32virut/

~~

Pas simple à virer...
Voir : https://www.malekal.com/supprimer-win32virut/
avec notamment KAspersky removal tool : https://forum.malekal.com/viewtopic.php?t=33710&start=
Active bien les actions automatiques

joh9n · Answer

Bonjour, 

1) Mon micro se rempli. Dois-je effacer, sans risque, les fichers dwh????.tmp ( au nombre de 13000 dans ma session et de 4000 dans la session administrateur ) 

2) Dois-je vider la Quarantine de Symantec ? 

3) Dois-je choisir "Effacer" aulieu de "Mettre en Quarantine" pour Symantec  ? 

4) Avant d'exécuter Kaspersky removal tool dois-je désactiver Symantec ? et pendant combien de temps ?

Merci.

joh9n · Answer

Bonjour, 

Dans le Menu Etoile de Kaspersky removal tool pour les Actions, doit-je laisser l'Option par défaut "Confirmer dès la découverte" ou je change en "Exécuter l'action Réparer" et  "Exécuter l'action Supprimer si la réparation est impossible"

Merci.

joh9n · Answer

Bonjour, 

1er Micro :  

Avant d'exécuter Kaspersky removal tool, je viens de poser le problème à Symantec et j'attends aussi leur réponse à propos des fichiers "dwh????.exe".  

2eme Micro :  

Les symptômes sur un deuxième micro infecté sont différents et l'antivirus est Avast gratuit et l'anti-malware est Malwarebytes Anti-Malware.  

Dois-je utiliser OTL avec le même script pour l'analyse que vous m'avez donné pour ce premier micro ou allez vous me donner un autre script pour l'analyse avec OTL ?  

Config : Windows XP SP3 / Chrome 17 

Merci.

joh9n · Answer

Bonjour, 

2eme Micro :  

L'antivirus est Avast 7 gratuit et l'anti-matware est Malwarebytes Anti-Maware. 

Les symptômes sont différents : 

1)  Avast a détecté le virus "Win32:Sality" dans environ 200 fichiers .exe que j'ai essayé de réparer, ce qu'il n'a pas pu faire. J'ai alors essayé de les mettre en quarantaine, ce qu'il n'a pas aussi pu faire. Alors il les a Supprimé soit en scan Minutieux ou scan au Démarrage, mais j'ai l'impression qu'il en reste. 

2) Les fichiers effacés ne sont pas des fichiers system. 

3) Malwarebytes Anti-Malware a détecté les virus "PUM.Hijack.TaskManager" et "PUM.Hijack.Regedit" et ils les a apparemment Supprimé. 

4) Au démarrage Les noms des Raccourcis sur le bureau et les Menus dans "Démarrer" sont normal et ils devients "Gras".  

Merci.

joh9n · Answer

Bonjour,

2eme Micro :

Dois-je utiliser OTL avec le même script pour l'analyse que vous m'avez donné pour ce premier micro ou allez vous me donner un autre script pour l'analyse avec OTL ? 

Config : Windows XP SP3 / Chrome 17 

Merci.

joh9n · Answer

Bonjour, 

2eme Micro :

OTL.txt : 
http://pjjoint.malekal.com/files.php?id=20120328_n8o10y13y9z7 

Extra.txt : 
http://pjjoint.malekal.com/files.php?id=20120328_o11u15s9i14h5
Merci.

Malekal_morte- · Answer

Faire Kaspersky removal tool comme sur l'autre.

Si Avast détecte Sality alors c'est la même infection que sur l'autre post. 
=> https://forums.commentcamarche.net/forum/affich-24730014-virus-dwh-exe#19

joh9n · Answer

Bonjour,  

2eme Micro : 

Qu'a tu trouvé dans les rapports ?  

1) Dans le  2eme Micro je n'ai jamais vu de fichiers "dwh????.exe" et il n'y a pas de reproduction de ces fichiers. 

2) Dans le  2eme Micro Avast et Malwarebytes Anti-Malware n'ont pas détécté de virus depuis Onze jours. 

3) Dans le  2eme Micro au démarrage Les noms des Raccourcis sur le bureau et les Menus dans "Démarrer" sont normal et ils devients "Gras". 

Merci.

Virus "dwh???.exe"

24 réponses

Discussions similaires

Newsletters