Se connecter / S'enregistrer
Votre question

Virus dans Systeme Volume Information

Tags :
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
6 Janvier 2006 21:39:24

Bonsoir,

Aprés avoir éliminé des dizaines de virus depuis une semaine, mon ordinateur est à peu prés sain. Mais j'ai un dernier problème: aprés avoir démarré l'ordi, au bout de 10-15 min, il m'est difficile d'installer des programmes et il m'est impossible d'accéder a supression des programmes ou encore au gestionnaire (en faisant ctrl+alt+suprm) Avast ne me trouve rien j'ai fais donc un scan avec panda qui m'a éliminé encore quelques virus et un scan avec kaspersky en ligne. Or ce dernier me trouve des virus dans le dossier "Systeme Volume Information". Mais je ne peux pas y avoir accés et kaspersky ne supprime pas ces virus. Je vous mets le diagnostique (note: pour les premiers virus il me semble facile de les détruire manuellement; j'attends cependant vos avis. C'est surtout le virus dans syteme volume information qui m'ennui)

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Friday, January 06, 2006 21:31:29
Operating System: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 6/01/2006
Kaspersky Anti-Virus database records: 159177
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\

Scan Statistics:
Total number of scanned objects: 45618
Number of viruses found: 4
Number of infected objects: 23
Number of suspicious objects: 4
Duration of the scan process: 2853 sec

Infected Object Name - Virus Name
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\ISearchTechISTsvc.zip/istsvc.exe Suspicious: Password-protected-EXE
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\ISearchTechISTsvc.zip Suspicious: Password-protected-EXE
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\SmitfraudC10.zip/svchost.exe Suspicious: Password-protected-EXE
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\SmitfraudC10.zip Suspicious: Password-protected-EXE
C:\Documents and Settings\LocalService.AUTORITE NT\Local Settings\Temporary Internet Files\Content.IE5\8BKP0VCZ\usbw32[1].exe/drsmartload106a.exe Infected: Trojan-Downloader.Win32.Adload.j
C:\Documents and Settings\LocalService.AUTORITE NT\Local Settings\Temporary Internet Files\Content.IE5\8BKP0VCZ\usbw32[1].exe/IELower.exe Infected: Trojan-Clicker.Win32.Small.fx
C:\Documents and Settings\LocalService.AUTORITE NT\Local Settings\Temporary Internet Files\Content.IE5\8BKP0VCZ\usbw32[1].exe Infected: Trojan-Clicker.Win32.Small.fx
C:\System Volume Information\_restore{D1F7B88F-D48B-4424-A177-622B028E9EFF}\RP0\A0000002.sys Infected: SpamTool.Win32.Mailbot.b
C:\System Volume Information\_restore{D1F7B88F-D48B-4424-A177-622B028E9EFF}\RP0\A0000005.sys Infected: SpamTool.Win32.Mailbot.b
C:\System Volume Information\_restore{D1F7B88F-D48B-4424-A177-622B028E9EFF}\RP1\A0000022.sys Infected: SpamTool.Win32.Mailbot.b
C:\System Volume Information\_restore{D1F7B88F-D48B-4424-A177-622B028E9EFF}\RP1\A0000030.sys Infected: SpamTool.Win32.Mailbot.b
C:\System Volume Information\_restore{D1F7B88F-D48B-4424-A177-622B028E9EFF}\RP1\A0001030.sys Infected: SpamTool.Win32.Mailbot.b
C:\System Volume Information\_restore{D1F7B88F-D48B-4424-A177-622B028E9EFF}\RP1\A0001045.sys Infected: SpamTool.Win32.Mailbot.b
C:\System Volume Information\_restore{D1F7B88F-D48B-4424-A177-622B028E9EFF}\RP1\A0001053.sys Infected: SpamTool.Win32.Mailbot.b
C:\System Volume Information\_restore{D1F7B88F-D48B-4424-A177-622B028E9EFF}\RP1\A0001061.sys Infected: SpamTool.Win32.Mailbot.b
C:\System Volume Information\_restore{D1F7B88F-D48B-4424-A177-622B028E9EFF}\RP1\A0001070.sys Infected: SpamTool.Win32.Mailbot.b
C:\System Volume Information\_restore{D1F7B88F-D48B-4424-A177-622B028E9EFF}\RP1\A0001087.sys Infected: SpamTool.Win32.Mailbot.b
C:\System Volume Information\_restore{D1F7B88F-D48B-4424-A177-622B028E9EFF}\RP1\A0002087.sys Infected: SpamTool.Win32.Mailbot.b
C:\System Volume Information\_restore{D1F7B88F-D48B-4424-A177-622B028E9EFF}\RP1\A0003087.sys Infected: SpamTool.Win32.Mailbot.b
C:\System Volume Information\_restore{D1F7B88F-D48B-4424-A177-622B028E9EFF}\RP1\A0004087.sys Infected: SpamTool.Win32.Mailbot.b
C:\System Volume Information\_restore{D1F7B88F-D48B-4424-A177-622B028E9EFF}\RP1\A0005087.sys Infected: SpamTool.Win32.Mailbot.b
C:\System Volume Information\_restore{D1F7B88F-D48B-4424-A177-622B028E9EFF}\RP1\A0006087.sys Infected: SpamTool.Win32.Mailbot.b
C:\System Volume Information\_restore{D1F7B88F-D48B-4424-A177-622B028E9EFF}\RP1\A0007087.sys Infected: SpamTool.Win32.Mailbot.b
C:\System Volume Information\_restore{D1F7B88F-D48B-4424-A177-622B028E9EFF}\RP1\A0008087.sys Infected: SpamTool.Win32.Mailbot.b
C:\System Volume Information\_restore{D1F7B88F-D48B-4424-A177-622B028E9EFF}\RP1\A0009087.sys Infected: SpamTool.Win32.Mailbot.b
C:\System Volume Information\_restore{D1F7B88F-D48B-4424-A177-622B028E9EFF}\RP1\A0010087.sys Infected: SpamTool.Win32.Mailbot.b
C:\System Volume Information\_restore{D1F7B88F-D48B-4424-A177-622B028E9EFF}\RP1\A0011085.sys Infected: SpamTool.Win32.Mailbot.b

Scan process completed.



Voici mon log hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 21:41:46, on 06/01/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\PROGRA~1\PESTPA~1\PPControl.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Documents and Settings\John-David.NIETZSCHE.000\Bureau\UTILITAIRES\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unico...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst....
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Spouleur d'impression (Spooler) - Unknown owner - C:\WINDOWS\system32\spoolsv.exe (file missing)





Autres pages sur : virus systeme volume information

6 Janvier 2006 22:58:18

Bonsoir,

Les virus localisés dans C:\System Volume Information\_restore{...
sont dans les points de restauration du système donc :
Désactive la restauration du système pour supprimer ces points de restauration (clic droit sur poste de travail/propriétés/restauration du système/cocher la case : désactiver la restauration du système)
puis réactive-la
7 Janvier 2006 18:05:02

Mais mon système de restauration est déjà désactivé et pourtant je ne aprviens aps à accéder à ce fichier ou à supprimer les virus. Windows refuse mêm l'accés de ce dossier à avast quand je tente de l'analyser.
Contenus similaires
9 Janvier 2006 09:59:17

Salut,

Si ton système de restauration est désactivé, le dossier Volume System Restore est forcément vide..
9 Janvier 2006 12:08:32

Non non ce n'était pas vide. J'ai trouvé le moyen d'entrer dans ce dossier (en prenant le controle total de ce fichier, dans l'onglet sécurité, avec les droits d'administrateur.) Il y avait deux dossiers contenant des lignes de restaurations. Je les ai supprimé et Kaspersky ne trouve plus de virus dans volume systeme information.

Par contre j'ai toujours le même problème: lorsque je tente, au bout de 10 min à peu prés, d'ouvrir un des fichiers dans panneau de configuration, aucune fenêtre ne s'ouvre ou lorsque je tente d'installer un programme, le programme d'installation se bloque. Panda m'avait trouvé le virus win32.sdbot.ftp (fichier i dans systeme 32,) qui a des effets similaires d'aprés mes recherches sur internet. Il l'avait supprimé. Mais en faisant une nouveau scan kaspersky je me suis rendu compte qu'il était réaparu. Je l'ai supprimé en mode sans échec ainsi qu'un fichier eraseme mais j'ai toujours le même problème. Je pense soit que j'ai oublié un fichier du virus soit qu'il est toujours en mémoire. Que dois-je faire selon vous? Merci de votre aide (rassurez-vous c'est le dernier problème auquel je suis confronté. Mis à part ce problème mon ordi marche impécablement. Plus de virus à part ce dernier qui réapparait de temps en temps ou qui tourne en mémoire. Normalement je ne viendrai plus vous embêter ;-) )
9 Janvier 2006 18:10:13

Bonsoir,

installe un pare-feu, par exemple ZoneAlarm qui est simple et gratuit.

et poste un nouveau rapport HJT pour vérif.
11 Janvier 2006 00:37:44

J'ai refais un log hijack this ainsi qu'un scan kaspersky. J'i toujours le même problème. Je pense réinstaller windows et peut-être formater. Peux-tu cependant analyser mon loghijackthis? Merci (je mets aussi le scan kaspersky.)

Logfile of HijackThis v1.99.1
Scan saved at 00:33:21, on 11/01/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\SpywareGuard\sgmain.exe
C:\Program Files\SpywareGuard\sgbhp.exe
C:\UTILITAIRES\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unico...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst....
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Wednesday, January 11, 2006 00:28:26
Operating System: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 10/01/2006
Kaspersky Anti-Virus database records: 160079
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\

Scan Statistics:
Total number of scanned objects: 36312
Number of viruses found: 1
Number of infected objects: 0
Number of suspicious objects: 2
Duration of the scan process: 3323 sec

Infected Object Name - Virus Name
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\ISearchTechISTsvc.zip/istsvc.exe Suspicious: Password-protected-EXE
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\ISearchTechISTsvc.zip Suspicious: Password-protected-EXE

Scan process completed.
11 Janvier 2006 00:49:03

il n'y a rien d'infectieux dans le rapport HJT.

et dans le rapport de Kaspersky il s'agit d'un fichier supprimé par Spybot S&D et conservé si on souhaite le restaurer
(il suffit de vider le dossier Sauvegardes de Spybot pour le virer)
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS