Win32:virut

Résolu/Fermé
mathieu12345 Messages postés 130 Date d'inscription vendredi 10 octobre 2008 Statut Membre Dernière intervention 18 mai 2016 - 10 oct. 2008 à 10:40
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 - 8 déc. 2008 à 15:25
Bonjour,

Avast a détecté win32:virut sur mon pc. J'ai tenté la manip exlpliquée sur un tuto (https://www.malekal.com/supprimer-win32virut/ mais l'installation du programme conseillé bloque.

J'ai 2 HDD:
- 1 avec une partition système + lociciels (C:) et une partition données (E:). Ce HDD est infecté et une suppression de la partition C: avec le CD d'installation windows XP pro ne suffit pas à éradiquer le virus ;
- 1 non partitionné avec mes photos et ma musique (D:). Je n'ai pas encore testé ce HDD et je l'ai débranché en attendant de désinfecter l'autre HDD.

Je voudrais savoir si je peux formater "en profondeur" uniquement la partition C: en laissant intacte la partition E:.
Dans l'affirmative, quels sont le logiciel et la manip?
Dans la négative, à part le formatage total du HDD 1 "en profondeur" et la manip du tuto ci-dessus, que puis-je faire?

Merci

16 réponses

Utilisateur anonyme
13 oct. 2008 à 23:29
Bonsoir,
avant de supprimer quoi que soit peux tu faire ceci stp ?

> Fais un scan en ligne avec Kaspersky : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
N.B. : Le scan ne marche que sous Internet Explorer.
- Commence par connecter tout ton matériel de stockage à ton PC (clés USB, DD amovible...). Allume les si necessaire.
- Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >.
- On va te demander de télécharger un contrôle active x, accepte .
- Dans le menu < Choisissez la cible de l'analyse >, sélectionne < Poste de travail >. Le scan va commencer.
- Poste le rapport qui sera généré stp. (clique sur <enregistrer le rapport> puis sauvegarde-le sur ton bureau en choisissant "fichier texte (*.txt)" pour l'extension).
S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : http://www.inoculer.com/activex.php3
Rappel : le scan est à faire sous Internet Explorer
Tuto ici si problème : http://www.vista-xp.fr/forum/topic109.html
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
Pour le rapport Kaspersky il faut que tu choisisses "Afficher le rapport" puis que tu l'enregistres sur ton bureau sous forme de fichier texte (type de fichier "tous les fichiers").



Merci.

:-)
2
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
10 oct. 2008 à 11:09
Bonjourrr;commence par ceci je doit bouger mais quelqu'un d'autre prendra le relai là c'est juste pour t'avancer

poste un rapport hijackthis (outil de diagnostic)
Télécharge http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

--) Enregistre HJTInstall.exe sur ton bureau
--) Double-clique sur HJTInstall.exe pour lancer le programme
--) Par défaut, il s'installera içi C:\Programme Files\Trend Micro\HijackThis
--) Accepte la license en cliquant sur le bouton "I Accept"
--) Choisis l'option "Do a system scan and save a log file"
--) Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
--) Clique sur "Édition -> Sélectionner tout", puis sur "Édition -> Copier" pour copier tout le contenu du rapport
--) Colle le rapport que tu viens de copier sur ce forum
--) Ne fixe encore AUCUNE ligne,
1
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
24 oct. 2008 à 11:21
"C:\WINDOWS\brastk.exe Infecté : Virus.Win32.Virut.n ignoré"

---> Même l'infection est infectée par Virut lol.
1
mathieu12345 Messages postés 130 Date d'inscription vendredi 10 octobre 2008 Statut Membre Dernière intervention 18 mai 2016 22
10 oct. 2008 à 14:28
Merci Benurrr.

De toute façon je dois formater ma partition C: et je n'ai presque pas de logiciels d'installés, donc plutôt que de la formater avec le CD d'instal windows, est-ce que tu peux m'indiquer le logiciel et la manip pour faire un formatage poussé?

Après j'installerai Avast (l'installation d'Avira n'a pas marché, je poserai plus tard le contenu du message d'erreur) et je scannerai ma partition E: et mon HDD D:

Que penses-tu de ce mode opératoire?
0
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
10 oct. 2008 à 16:49
-1

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
mathieu12345 Messages postés 130 Date d'inscription vendredi 10 octobre 2008 Statut Membre Dernière intervention 18 mai 2016 22
23 oct. 2008 à 10:25
Salut DllD.

Ma copine a le même virus sur son portable. J'ai fait un scan en ligne avec BitDefender (je n'arrivais pas à installer les contrôles ActiveX pour Inoculer et Kapersky) qui a viré pas mal de saloperies.

Puis j'ainstallé Spybot et Avast. Avast n'a rien détecté au redémarrage pendant le scan du HDD mais une fois windows XP lancé, il a détecté win32:virut. J'ai cliqué sur "ne rien faire" et ai désactivé la protection résidente d'Avast.

Dios-je suivre ce qui est indiqué sur ce tuto : https://www.malekal.com/supprimer-win32virut/ ?

Merci à toutes vos contributions.
0
Utilisateur anonyme
23 oct. 2008 à 13:12
Bonjour,
j'avais oublié de rééditer mon message.
Mais pour ton cas c'était le formatage assuré.

Toutes mes condoléances pour les PC.

Bon,
pour le PC de ta copine : oui, c'est une solution. C'est pour cela que je te demandais un Kasper en ligne plus haut.

J'attire ton attention sur deux des phrases de Malekal :
Si vous êtes infectés je vous conseille de démarrer le minimum de programme afin de limiter la propagation du virus.
et
Attention selon l'étendue de l'infection, la seule solution fiable pour se débarrasser du virus ne peut-être que le formatage.


Il existe une autre méthode qui est plus efficace je pense car directement adaptée (je te conseille de faire les deux et de commencer par celle avec Rmvirut et DrWeb (méthode 1)).

Commence par faire une sauvegarde de tous tes fichiers personnels sur un disque dur externe (sauf les cracks éventuels que tu as).



Méthode 1 :

> Télécharge sur ton bureau les programmes suivants :
- http://www.commentcamarche.net/telecharger/telecharger 34055348 rmvirut ou http://download.grisoft.cz/filedir/util/avg_rem_sup.dir/rmvirut/
- http://www.grisoft.cz/filedir/util/avg_rem_sup.dir/rmvirut/rmvirut.nt
- Créer un nouveau dossier sur ton Bureau (Clic-droit => Nouveau => Dossier) et mets dedans les programmes téléchargés (pas ailleurs).
- Lance rmvirut.exe : le scanne se lance, patiente.
- Enregistre le rapport qui va être généré dans le dossier créé sur ton bureau puis poste ce rapport sur le forum.
NB : Il peut s'avérer que le rapport soit trop long pour être posté. Dans ce cas utilise ce service http://www.cijoint.fr pour me l'envoyer (dépose le fichier puis poste le lien sur le forum).

- Lance Dr.Web CureIt :
- Clique sur <Analyse> puis sur <Ok> à l'invite de l'analyse rapide.
Le scan va analyser les processus chargés en mémoire. S'il trouve des infections clique sur le bouton <Oui> à chaque propositions.
NB : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction". Quitte en cliquant le <X>.
- Une fois le scan rapide achevé, clique sur <Menu Options> puis choisis <Changer la configuration>. Choisis l'onglet <Scanner>, décoche <Analyse heuristique> puis clique sur <Ok>.
- De retour à la fenêtre principale, clique pour activer <Analyse complète> puis sur le bouton avec la flèche verte => le scan débute alors.
- Lorsque qu'un fichier est détecté, clique sur <Oui> pour tout à l'invite <Désinfecter ?> puis sur <Désinfecter>.
- Lorsque le scan sera terminé, regarde si tu peux cliquer sur cet icône adjacent aux fichiers détectés. Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant> au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
- En haut à gauche du menu principal de l'outil, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>.
- Sauvegarde le rapport dans le dossier de ton bureau créé au début de la manip. Il se nomme : DrWeb.csv
- Ferme Dr.Web Cureit.
- Redémarre ton PC (c'est très important car certains fichiers peuvent être déplacés/réparés au redémarrage.
- Après redémarrage copie/colle le rapport Dr. Web sur le forum.




Méthode 2 : celle de Malekal.

> Télécharge la version d'évaluation de Kaspersky mais ne l'installe pas : https://www.malekal.com/tutorial-kaspersky-trial/
Ensuite,
> Télécharge eScan Antivirus Toolkit (sans l'installer): http://www.spywareinfo.dk/download/mwav.exe
- Démarre Windows en mode sans échec avec prise en charge du réseau : Redémarre l'ordinateur, tapote sur la touche F8 avant la page avec le logo de Windows. Un menu apparaît sélectionne Mode sans échec avec prise en charge du réseau.
- Lance l'installation de Kaspersky Trial. Après l'installation, lors de la configuration via l'assistant :
- Active la version d'évaluation des licences de 30 jours.
- Lance une mise à jour automatique.
- Active la protection de base.
- Ne lance pas le scan une fois le programme installé et configuré
- Installe eScan Antivirus Toolkit dans le dossier Kaspersky (C:\Kaspersky).
- Ouvre le dossier C:\Kaspersky et double-clique sur kavupd.exe pour mettre à jour eScan.
- Ouvre le fichier mwavscan.com (de eScan) puis coche les options comme indiquées sur cette page : https://www.malekal.com/fichiers/eScan/eScan3.png
- Clique <Scan Clean> pour démarrer le scan.
- Lorsque le scan avec eScan Antivirus Toolkit est terminé, démarre Kaspersky à partir du Menu Démarrer / Tous les programmes / Kaspersky Anti-virus
- Une icone avec un K grisé va apparaître en bas à droite à côté de l'horloge.
- Fais un clic droit sur cette icône puis choisis <Analyser le Poste de travail>.
- Le scan de l'ordinateur va démarrer. Une fois le scan terminé, supprime tous les malwares détectés.
- Si tu as la possibilité d'avoir un rapport alors enregistre- le sur ton bureau puis poste le sur le forum.
- Redémarre l'ordinateur.



Je te souhaite bien du courage.

A+
0
mathieu12345 Messages postés 130 Date d'inscription vendredi 10 octobre 2008 Statut Membre Dernière intervention 18 mai 2016 22
24 oct. 2008 à 09:57
1) DllD, j'qi suivi tes recommandations et ait installe rmvirut dans in nouveau fichier sur le bureau: Pb : quand je le lance, j'ai le message d'erreur suivant : "The virus is active in memory and may disrupt cleaning. it is necessary to run the remover after reboot."
je reboot le pc, il fait l'analyse pendant le redemarrage en indiquant que tout est ok. mais quand je relance un scan avec rmvirut j'ai le meme message d'erreur. je me suis arrete la, n'ayant as de rapport a poster, sans lancer dr web cureit.

2) Après ça, j'ai eu la bonne idée de modifier les paramètres de sécurité du navigateur pouvoir DL les contrôles activeX, et j'ai pu lancer un scan en ligne avec Kapersky. Il m'a trouvé pas mal de fichiers vérouillés donc qui n'ont pas été contrôlés, 24 fichiers infectés et 7 virus.
Le rapport est le suivant:

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Monday, November 24, 2008 1:22:51 AM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.84.2
Dernière mise à jour de la base antivirus Kaspersky : 23/10/2008
Enregistrements dans la base antivirus Kaspersky : 1341077
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: étendue
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l'analyse - Zones critiques:
C:\WINDOWS
C:\DOCUME~1\alice\IMPOST~1\Temp\

Statistiques de l'analyse:
Total d'objets analysés: 16641
Nombre de virus trouvés: 7
Nombre d'objets infectés: 24 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 00:10:17

Nom de l'objet infecté / Nom du virus / Dernière action
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\systemprofile\Impostazioni locali\Temporary Internet Files\Content.IE5\GHIJKLMN\wr[1].jpg Infecté : Trojan-Downloader.Win32.Agent.ahus ignoré
C:\WINDOWS\system32\config\SYSTEM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SOFTWARE L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\DEFAULT L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\beep.sys Infecté : Backdoor.Win32.UltimateDefender.a ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\dllcache\beep.sys Infecté : Backdoor.Win32.UltimateDefender.a ignoré
C:\WINDOWS\system32\spoolsv.exe Infecté : Virus.Win32.Virut.n ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\ChCfg.exe Infecté : Virus.Win32.Virut.n ignoré
C:\WINDOWS\system32\karna.dat Infecté : Backdoor.Win32.Small.gjm ignoré
C:\WINDOWS\system32\alg.exe.tmp Infecté : Virus.Win32.Virut.n ignoré
C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe Infecté : Virus.Win32.Virut.n ignoré
C:\WINDOWS\system32\wini10331.exe Infecté : not-a-virus:FraudTool.Win32.XPSecurityCenter.be ignoré
C:\WINDOWS\system32\spoolsv.exe.tmp Infecté : Virus.Win32.Virut.n ignoré
C:\WINDOWS\system32\ctfmon.exe.tmp Infecté : Virus.Win32.Virut.n ignoré
C:\WINDOWS\Temp\stf2B.tmp Infecté : Trojan-Downloader.Win32.Agent.ajiq ignoré
C:\WINDOWS\Temp\stf2.tmp Infecté : Trojan-Downloader.Win32.Agent.ajiq ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\brastk.exe Infecté : Virus.Win32.Virut.n ignoré
C:\WINDOWS\karna.dat Infecté : Backdoor.Win32.Small.gjm ignoré
C:\WINDOWS\Installer\{90110410-6000-11D3-8CFE-0150048383C9}\outicon.exe Infecté : Virus.Win32.Virut.n ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\EventCache\{6A7CED1B-D1FC-4264-B876-D889CA56925E}.bin L'objet est verrouillé ignoré
C:\WINDOWS\explorer.exe.tmp Infecté : Virus.Win32.Virut.n ignoré
C:\WINDOWS\$NtUninstallKB956390$\iedw.exe.000 Infecté : Virus.Win32.Virut.n ignoré
C:\DOCUME~1\alice\IMPOST~1\Temp\wrdwn2/XP_AntiSpyware.exe Infecté : Trojan.Win32.FraudPack.gju ignoré
C:\DOCUME~1\alice\IMPOST~1\Temp\wrdwn2 CAB: infecté - 1 ignoré
C:\DOCUME~1\alice\IMPOST~1\Temp\Temporary Internet Files\Content.IE5\G7KNILEX\Binaries1[1].cab/XP_AntiSpyware.exe Infecté : Trojan.Win32.FraudPack.gju ignoré
C:\DOCUME~1\alice\IMPOST~1\Temp\Temporary Internet Files\Content.IE5\G7KNILEX\Binaries1[1].cab CAB: infecté - 1 ignoré
C:\DOCUME~1\alice\IMPOST~1\Temp\wrdwn6/XP_AntiSpyware.exe Infecté : Trojan.Win32.FraudPack.gju ignoré
C:\DOCUME~1\alice\IMPOST~1\Temp\wrdwn6 CAB: infecté - 1 ignoré

Analyse terminée.
0
mathieu12345 Messages postés 130 Date d'inscription vendredi 10 octobre 2008 Statut Membre Dernière intervention 18 mai 2016 22
24 oct. 2008 à 09:59
Une petite précision : je n'ai analysé que les zones critiques. Ma copine en a marre que je passe du temps à essayer de réparer nos PC. Elle est prête à continuer à vivre avec son virus. Penses-tu que c'est une bonne chose?
0
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
24 oct. 2008 à 10:48
Virut se développera jusqu'à ce que Windows soit complètement mort et le PC non utilisable.
0
Utilisateur anonyme
24 oct. 2008 à 11:17
Heu ?!

Elle est prête à continuer à vivre avec son virus.,

C'est une blague ? Tu as bien vu ce qu'est devenu ton PC ?! Le même sort attend celui de ta copine. Maintenant il n'est pas encore trop infecté. Mais il l'est. Et il n' y a pas que Virut.

Fais cette manip. alors : https://www.malekal.com/supprimer-win32virut/
Puis poste un nouveau rapport Kasper.

Merci.

A+
0
mathieu12345 Messages postés 130 Date d'inscription vendredi 10 octobre 2008 Statut Membre Dernière intervention 18 mai 2016 22
24 oct. 2008 à 11:19
J'ai transmis, en espérant que la réponse de Destrio aura du poids. Il est coriace, ce Virut.

Sinon, vos interprétations sur le log du scan kapersky?
0
mathieu12345 Messages postés 130 Date d'inscription vendredi 10 octobre 2008 Statut Membre Dernière intervention 18 mai 2016 22
8 déc. 2008 à 12:17
j'ai formaté avec DiskWiard et tout est rentré dans l'ordre
0
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
8 déc. 2008 à 15:25
Ok, merci ;)
0
mathieu12345 Messages postés 130 Date d'inscription vendredi 10 octobre 2008 Statut Membre Dernière intervention 18 mai 2016 22
10 oct. 2008 à 11:11
Ok merci je m'en occupe ce we.

Pour revenir au formatage, est-ce possible de formater "en profondeur" une partition sans toucher à l'autre?
-1
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
10 oct. 2008 à 11:13
oui c'est possible

formatage c'est le dernier recours
-1
mathieu12345 Messages postés 130 Date d'inscription vendredi 10 octobre 2008 Statut Membre Dernière intervention 18 mai 2016 22
13 oct. 2008 à 11:21
J'ai fait plusieurs fois le formatage de ma partition système (C:) avec le CD de boot windows, mais aujourd'hui j'ai beau supprimer la partition et reinstaller windows sur l'espace non partitionné, l'installation de windows ne se fait pas completement. J'ai du accepter qu'avast supprime des .exe essentiels.

Je pense donc formater ma partition avec le live CD ubuntu puis réinstaller windows dessus.

Sinon, le dernier recours sera Discwiard (=formatage de bas niveau de tout le HDD donc perte de ma partition données...).
-1
mathieu12345 Messages postés 130 Date d'inscription vendredi 10 octobre 2008 Statut Membre Dernière intervention 18 mai 2016 22
14 oct. 2008 à 09:43
Merci DllD, mais le pb c'est que j'ai déjà lancé une suppression massive des fichiers infectés avec avast, et depuis je n'arive plus à démarrer normallement ni à installer windows...
-1
Utilisateur anonyme
14 oct. 2008 à 11:35
Non, rien.

Je vais modifier mon message...

Une erreur..

:)
-1