Se connecter / S'enregistrer
Votre question

Virus aux noms exotiques..

Tags :
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
28 Mars 2006 11:51:17

Bonjour à toutes et à tous :-D

Après de multiples recherches infructueuses, je me permets de venir vous demander votre aide suite à un problème d'infection sur mon pc.

Je viens de formater XP et je me retrouve avec des tas de virus.Logique me direz-vous puisque je n'avais pas debranché le câble ethernet de la Freebox lors de la reinstall..

Je formate de nouveau mais cette fois-ci en debranchant (et en installant ZA et le SP2 hors connexion) et voila que je me retrouve avec le même virus qui semble se decomposer en plusieurs sous-virus aux noms exotiques..Ces derniers ne sont pas détectés par AVAST mais je vois des demandes de connexion au net via Zone alarm.

De même; Avast demande regulierement à redemarrer le pc (affichage d'une boîte de dialogue avec pour titre "Redemarrage du systeme necessaire" Avast doit redemarrer le systeme voulez-vous le faire maintenant?O/N)

Par ailleurs les deux logs suivants demandent à se connecter:
-winmmnsà.exe (avec l'accent hein!) puis
-WINPFVXW¥.EXE

Sans parler de ceux qui sont dans les logs et qui ont probablement tentés eux-aussi d'acceder au net:



Lorsque je fais une recherche sur google je ne trouve rien.. :-?

Le pire c'est que le log de Hickjackthis ne semble pas tres causant:
Citation :
Logfile of HijackThis v1.99.1
Scan saved at 11:22:12, on 28/03/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
E:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
E:\WINDOWS\system32\RUNDLL32.EXE
E:\WINDOWS\system32\RunDll32.exe
E:\Program Files\QuickTime\qttask.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Program Files\MSN Messenger\MsnMsgr.Exe
E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
E:\Program Files\Alwil Software\Avast4\ashServ.exe
E:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\WINDOWS\system32\ZoneLabs\vsmon.exe
E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
E:\Program Files\Alwil Software\Avast4\ashWebSv.exe
E:\WINDOWS\system32\wuauclt.exe
E:\Program Files\Mozilla Firefox\firefox.exe
E:\WINDOWS\system32\taskmgr.exe
E:\Documents and Settings\fred\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [Zone Labs Client] E:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avast!] E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "E:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = E:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Download with &DAP - E:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - E:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - E:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "E:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - E:\WINDOWS\system32\ZoneLabs\vsmon.exe


Je m'arrache les cheveux car je me vois mal tout réinstaller une troisieme fois! :-(

Grand merci par avance de votre aide.


Edit: Je m'aperçois que dans les logs de ZA apparaissent des composants (louches?) tels que:
wmiadap.exe et wmiprvse.exe localisés en E:\WINDOWS\system32\wbem et pour description WMI..
E:\WINDOWS\system32\wbem
:-o
J'ai également supprimé un ver (Win32.Email.Worm.Bagle) lors d'un scan de ZA à l'instant..
Pour infos ma config:
Win Xp ed Familiale Sp2 mis à jour, Avast et ZA.

Autres pages sur : virus noms exotiques

28 Mars 2006 13:15:32

commence par vider ton TEMP, les .exe dont tu parles sont surement tous là..
tu peux le faire manuellement ou avec un des nettoyeurs souvent cités..
Puis sert toi de EWIDO et fais un scan en ligne ( Bitdefender,Kasperky, Panda, ou autre ) .
30 Mars 2006 22:29:00

Bonjour,

J'ai effacé les fichiers en mode sans echec.

Tout allait bien jusqu'à aujourd'hui..! :-(

Les fichiers en question sont apparus de nouveau malgré la désinfection (Ewido, Spybot)

Petite capture..



Merci par avance de votre aide. :-P
Contenus similaires
30 Mars 2006 23:19:48

Bonsoir

HijackThis est propre.

Fais une analyse antivirus en ligne sur Kaspersky
http://webscanner.kaspersky.fr/
Il faut passer par Internet Explorer.
Colle son rapport ici.
30 Mars 2006 23:25:27

Mode sans échec (F8 au démarrage) supprime le contenu et restart
30 Mars 2006 23:32:21

ah j oubliais; oublie pas d'inclure TOUTES tes partitions
30 Mars 2006 23:40:34

et en plus t'as 2 rundll32.exe qui tournent je me poserais quelques questions à ce sujet
31 Mars 2006 12:45:11

Le problème c'est que ma machine refuse d'installer le composant Active X.. :evil: 

Sur le site de Kaspersky, la fenêtre change mais rien ne se passe et sur Secuser j'obtiens une belle erreur:
Citation :
Code: -1001
Either your browser does not support the object element or an error occurred while downloading the object. Unable to load the HouseCall ActiveX control


Là je commence à vraiment me poser des questions..En attendant j'ai lancé un scan Avast depuis hier soir en mode minutieux (sic) et c'est lent!! :-o

31 Mars 2006 12:53:27

Bonjour

Pour les scans en ligne, il faut passer par Internet Explorer.
31 Mars 2006 13:13:08

C'est bel et bien avec IE (no plugin ou ad) que j'obtiens ce problème..
31 Mars 2006 18:17:40

Arf j'ai bien crû que cette solution allait fonctionner mais le processus se bloque arrivé à la fin de l'installation du composant ActiveX de Panda. :-?

Depuis hier un virus est détecté par Avast mais il n'arrive pas à le supprimer et je suis obligé de cliquer sur Ne rien faire pour pouvoir continuer à utiliser ma machine..

Le log d'Avast..

Citation :
27/03/2006 23:21:00 fred 140 AAVM - scanning warning: x_AavmCheckFileDirectEx [UNI]: E:\DOCUME~1\fred\LOCALS~1\Temp\hk96shuf.msi (E:\DOCUME~1\fred\LOCALS~1\Temp\hk96shuf.msi) returning error, 0000A477.
28/03/2006 00:03:59 fred 140 Sign of "Win32:D ialer-518 [Trj]" has been found in "E:\DOCUME~1\fred\LOCALS~1\Temp\dlfz0bu7.exe\[UPX]" file.
28/03/2006 00:04:39 fred 140 Sign of "Win32:D ialer-518 [Trj]" has been found in "E:\Documents and Settings\fred\Local Settings\Application Data\Mozilla\Firefox\Profiles\v9jh6hny.default\Cache\F498AD79d01\[UPX]" file.
31/03/2006 05:38:00 fred 164 Sign of "Win32:Adan-062 [Adw]" has been found in "E:\Program Files\FlashGet\~GLH0031.TMP" file.
31/03/2006 05:38:10 fred 164 Sign of "Win32:Adan-062 [Adw]" has been found in "E:\Program Files\FlashGet\~GLH0031.TMP" file.
31/03/2006 05:38:15 fred 164 Sign of "Win32:Adan-062 [Adw]" has been found in "E:\PROGRA~1\FlashGet\~GLH0031.TMP" file.
31/03/2006 13:24:58 SYSTEM 228 Sign of "Win32:Sality-D-DLL [Wrm]" has been found in "E:\WINDOWS\system32\wmimgr32.dll" file.
31/03/2006 13:28:25 SYSTEM 228 Sign of "Win32:Sality-D-DLL [Wrm]" has been found in "E:\WINDOWS\SYSTEM32\WMIMGR32.DLL" file.
31/03/2006 13:28:33 SYSTEM 228 Sign of "Win32:Sality-D-DLL [Wrm]" has been found in "E:\WINDOWS\SYSTEM32\WMIMGR32.DLL" file.
31/03/2006 13:43:39 SYSTEM 228 Sign of "Win32:Sality-D-DLL [Wrm]" has been found in "E:\WINDOWS\SYSTEM32\WMIMGR32.DLL" file.
31/03/2006 13:43:44 SYSTEM 228 Sign of "Win32:Sality-D-DLL [Wrm]" has been found in "E:\WINDOWS\system32\wmimgr32.dll" file.
31/03/2006 13:56:48 SYSTEM 228 Sign of "Win32:Sality-D-DLL [Wrm]" has been found in "E:\WINDOWS\SYSTEM32\WMIMGR32.DLL" file.
31/03/2006 14:13:03 SYSTEM 228 Sign of "Win32:Sality-D-DLL [Wrm]" has been found in "E:\WINDOWS\system32\wmimgr32.dll" file.
31/03/2006 14:13:07 SYSTEM 228 Sign of "Win32:Sality-D-DLL [Wrm]" has been found in "E:\WINDOWS\system32\wmimgr32.dll" file.
31/03/2006 14:40:47 Administrateur 848 Sign of "Win32:Sality-D-DLL [Wrm]" has been found in "E:\WINDOWS\system32\wmimgr32.dll" file.
31/03/2006 15:58:04 SYSTEM 196 Sign of "Win32:Sality-D-DLL [Wrm]" has been found in "E:\WINDOWS\SYSTEM32\WMIMGR32.DLL" file.
31/03/2006 15:58:14 SYSTEM 196 Sign of "Win32:Sality-D-DLL [Wrm]" has been found in "E:\WINDOWS\system32\wmimgr32.dll" file.
31/03/2006 15:58:20 SYSTEM 196 Sign of "Win32:Sality-D-DLL [Wrm]" has been found in "E:\WINDOWS\SYSTEM32\WMIMGR32.DLL" file.
31/03/2006 16:04:55 SYSTEM 196 Sign of "Win32:CTX" has been found in "E:\WINDOWS\system32\ActiveScan\SET2E.tmp" file.
31/03/2006 18:09:16 SYSTEM 216 Sign of "Win32:Sality-D-DLL [Wrm]" has been found in "E:\WINDOWS\system32\wmimgr32.dll" file.
31/03/2006 18:09:41 SYSTEM 216 Sign of "Win32:Sality-D-DLL [Wrm]" has been found in "E:\WINDOWS\SYSTEM32\WMIMGR32.DLL" file.
31/03/2006 18:09:58 SYSTEM 216 Sign of "Win32:Sality-D-DLL [Wrm]" has been found in "E:\WINDOWS\SYSTEM32\WMIMGR32.DLL" file.
31/03/2006 18:10:23 SYSTEM 216 Sign of "Win32:Sality-D-DLL [Wrm]" has been found in "E:\WINDOWS\SYSTEM32\WMIMGR32.DLL" file.
31/03/2006 18:10:44 SYSTEM 216 Sign of "Win32:Sality-D-DLL [Wrm]" has been found in "E:\WINDOWS\system32\wmimgr32.dll" file.
31/03/2006 18:10:50 SYSTEM 216 Sign of "Win32:Sality-D-DLL [Wrm]" has been found in "E:\WINDOWS\SYSTEM32\WMIMGR32.DLL" file.
31 Mars 2006 18:34:42

Pour les virus dans les fichiers temp, ils devraient partir si tu vides les Temp.. à voir

Pour Sality :solution proposée par Trend micro
ça marche

1 rechercher et noter ( si ce n'est fait et là c'est fait) dans quel programme " tourne " l'infection


2 ouvrir le gestionnaire de taches; ctrl+shift(=touche au dessus de ctrl)+ esc ( ou echap) ou supp


puis onglet processus et sélectionner un à un les processus en rapport à l'infection et clic sur terminer le processus à chaque sélection

fermer le gestionnaire


4 désactiver la restauration système: pour cela : poste de travail, puis clic droit=> propriétés=>restauration système=>coche désactiver restauration système


5 puis scanner à: ( c'est + de 1 heure pour un scan complet et + rapide bien sur pour des fichiers sélectionnés et inutile d'acheter leur produit)

http://housecall.trendmicro.com/

(scan now. it's free) il faut accepter les cookies et plugin

corriger et supprimer ce qu'il trouve avec leurs outils ( étape 3)

7 réactiver restauration système..

si des trucs.dll résistent télécharge unlocker , applique la baguette magique aux trucs.dll et supprime
1 Avril 2006 14:47:02

J'ai suivi la procédure mais malheureusement rien à faire..

Un scan en ligne chez Kaspersky m'a permis de comprendre que ce dernier n'effectuait pas de réparation online, juste un diagnostic.

=>Desinstall d'Avast, Dl de Kaspersky, scan et découverte de pas moins de 625 fichiers infectés (pratiquement tous mes exe) et réparation de 622 d'entres-eux, les trois restants constituant les virus en eux-même.

Depuis plus aucun problème.Merci quand même pour votre aide et..

Vive Kaspersky! :-)
1 Avril 2006 17:56:28

Salut,

Citation :
scan et découverte de pas moins de 625 fichiers infectés (pratiquement tous mes exe) et réparation de 622 d'entres-eux, les trois restants constituant les virus en eux-même.


Tu en à fait quoi des 3 restants ? j'espere que tu les a supprimé manuellement ?

Si NON poste un rapport Kaspersky
6 Avril 2006 23:52:09

En effet tout a été supprimé à la main..

Plus aucun problème.. ;) 
7 Avril 2006 00:23:36

Conclusion : Avast, a éviter ! :biggrin:
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS