Virus Vitro

[Rosapilin]

Bonjour,

Apparemment je suis infecté par le virus vitro qui s'attaque au fichier .exe.

Cela concerne les fichiers du dossier system32 de Windows (logique !) et quelques autres fichiers de ma partition D: que j'ai mis en quarantaine.

J'ai également fait un rapport Hijackthis qui se semble rien révéler.

A noter que ce virus semble également empêcher la visite sur des sites de scan en ligne.

Naturellement j'aimerai bien qu'on me propose autre chose qu'un formatage même si j'ai lu que c'est surement la seule solution...

Merci de votre aide.
-----

[yoda1234]

Bonsoir


en attendant l'avis de quelqu'un de qualifié, consulte je te prie la procédure préliminaire du forum.

Reviens ensuite dans ce sujet pour poster en pièces jointes les rapports générés par la procédure.

[Rosapilin]

Bonsoir,

J'ai suivi le dossier, j'ai bien exécuté ATF mais je n'ai pas pu executer RSIT (le site m'est bloqué : par le virus ?)

Toutefois j'ai fait un rapport HiJackThis.

J'ai par ailleurs lu que c'est Avast qui pourrait disjoncter avec tout ces .exe. Qu'en est t-il ?

De plus il m'est impossible de poster des pièces jointes...

[b marlow]

Salut,
Clique-droit sur le Bureau>>Nouveau>>Dossier.
Nomme-le sality fix
Rends-toi à cette adresse et télécharge http://free.avg.com/virus-removal.ndi-67769

rmsality.exe
rmsality.nt
rmsality.dos

que tu enregistreras dans le dossier que tu as crée: (sality.fix)

Ouvre ce dossier puis double-clique sur rmsality.exe
sauvegarde ce rapport (VirusRemover.log) puis poste-le ici.


Ensuite copie-colle cette procédure dans le bloc-notes ou word puis enregistre-la sur le Bureau pour pouvoir y avoir accès facilement.

Important : branche tous disques externes, clés USB et autres ressources externes au pc.

Télécharge Dr.Web CureIt sur ton Bureau:

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

* Redémarre ton ordinateur
* Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
* A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
* Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
* Choisis ton compte.



* Double clique drweb-cureit.exe et ensuite clique sur Analyse ;
* Clique Ok à l'invite de l'analyse rapide. Ce scan permet l'analyse des processus chargés en mémoire ;
s'il trouve des processus infectés,clique le bouton Oui pour tout à l'invite.

**Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" ; tu peux quitter en cliquant le "X"

* Lorsque le scan rapide est terminé, Clique sur le menu Options >> Changer la configuration;
* Choisis l'onglet "Scanner", et décoche "Analyse heuristique". Clique "Ok"
* De retour à la fenêtre principale : clique pour activer "Analyse complète";
* Clique le bouton avec flèche verte sur la droite, et le scan débutera.
* Clique Oui pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
* Lorsque le scan sera complété, regarde si tu peux cliquer sur cet icône, adjacent aux fichiers détectés
* Si oui, alors clique dessus et ensuite clique sur l'icône "Suivant", au dessous, et choisis Déplacer en quarantaine l'objet indésirable
* Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport
* Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
* Ferme Dr.Web Cureit
* Redémarre ton ordi (*très important*), car certains fichiers peuvent être déplacés/réparés au redémarrage.
* Suite au redémarrage, poste le contenu du rapport Dr.Web dans ta prochaine réponse.


Si tu as des difficultés à poster les rapports ici, tu peux toujours les upper ici http://www.cijoint.fr/
ou là http://www.sendspace.com/



edit:: si tu voulais dire "infecté par virus Virut" laisses tomber la procédure indiquée et fais ceci:
http://www.freedrweb.com/livecd/?lng=fr graver l'image, faire un scan en bootant sur le cd, puis poster le rapport.

[A voir en vidéo sur Futura]

[Rosapilin]

Bonjour,

J'ai bien fait le scan avec le livecd (qui a duré près de 12h !) et il ne m'as pas proposé d'enregistrer un rapport. A moins qu'il soit enregistré par défaut ?

[b marlow]

non il n'enregistre pas de rapport par défaut. peux-tu à present faire un RSIT comme
indiqué dans la procédure plus haut ?

[Rosapilin]

RSIT était bloqué par mon navigateur la dernière fois, surement par le virus.

[b marlow]

RSIT était bloqué par mon navigateur la dernière fois, surement par le virus.

ok, et maintenant ca fonctionne ?

[Rosapilin]

Non, le site est toujours bloqué.
Par ailleurs j'ai lu qu'il valait mieux débrancher internet et qu'il fallait désactiver la restauration système. Le virus pouvant rester niché dedans.

[b marlow]

Télécharge ComboFix (de sUBs):
- Sauvegarde le sur ton Bureau.
- Double-clique sur Combofix.exe et suis les instructions.
- Lorsqu'il aura terminé, un rapport apparaîtra à l'écran (fichier texte).
- Poste le contenu du rapport dans ta prochaine réponse.

Le rapport est également sauvegardé ici : C:\ComboFix.txt

Ne pas cliquer dans la fenêtre de Combofix durant l'analyse ;
ceci provoquerait le gel du programme

Tuto ComboFix

[Rosapilin]

Il refuse de me lancer Combo, une première fois j'arrivais sur l'acceptation du contrat, je cliquais sur "Oui" puis, plus rien.
Cette fois-ci il me dit que le contenu du package a été détérioré.
Je le télécharge sur un ordi propre, je le mets sur CD RW et je le lance à partir de là ?

[Rosapilin]

Je précise que j'ai bien arrété tout les firewall, antivirus... comme précisé dans le tuto

[b marlow]

oui tu peux tenter comme ca.

[Rosapilin]

Non, rien à faire, ça marche pas. Je dois formater le CD RW je suppose ?

[b marlow]

Télécharge et installe Malwarebytes' Anti-Malware
Fait un scan rapide,coche puis clique sur Supprimer la sélection
puis poste le rapport final.

Aide en images.



supprime combofix comme ceci , démarrer>>exécuter>>copie-colle ComboFix /uninstall

[Rosapilin]

Voila le rapport :

http://www.cijoint.fr/cjlink.php?fil...cijop89z0j.txt

[b marlow]

tente cette fois-ci de repasser Dr Web en mode sans échec comme indiqué plus haut.
pas la version live cd mais le lien et et methode cité plus haut. enregistre le rapport final.

[Rosapilin]

Voilà j'ai fait le scan avec DrWeb, effectivement il y a énormément de fichiers contaminés :s

Voilà le rapport :
http://dl.free.fr/pfUlKkGGX

[b marlow]

il faut un identifiant et un mot de passe pour accéder au rapport.

[Rosapilin]

Ah oui, j'avais oublié :S

Identifiant tu mets : Rosapilin
MDP : ASER

Apparament ça marche, sinon je me débrouille autrement pour te le faire parvenir.

[b marlow]

Il semble que le tool ait bien travaillé, mais cette infection est tellement virulente
qu'il faut passer l'outil une seconde fois pour s'assurer de la propreté et de la
désinfection de la machine. Pour ce faire il est recommandé de télécharger à nouveau
Dr Web cureIt (pour avoir la mise à jour la plus fraiche et récente) et faire un scan complet
de l'ordinateur, tous les disques, y compris les disques amovibles. Toujours en mode sans
échec. poste le nouveau rapport.

Si le mot de passe que tu as communiqué ici est ton mot de passe courant ou habituel chez free
il vaut mieux le changer pour éviter les soucis...

[Rosapilin]

Ok je vais passer l'outil une seconde fois. Pour ce qui ai des disques amovibles je sais exactement de quand date l'infection, j'ai branché aucun disque depuis, de ce côté la ça devrait aller.
Pour ce qui est du MDP Free, c'est juste pour télécharger le fichier

Quant au CD RW que j'ai utilisé pour mettre ComboFix et DrWeb, je le formate non ?

[b marlow]

tu peux formater ton cd et tu peux télécharger aussi Dr Web directement avec l'ordi "malade".

[Rosapilin]

Bon, avast s'affole, ma 2ème partition est contaminée, je la scannerai aussi avec Dr Web.
De plus, mon firewall bloque une modification de Logonui dans System32, qu'est ce que c'est ?

[b marlow]

si c'est logonui.exe c'est le fichier qui détermine l'apparence et le fonctionnement du logon/ou
Interface utilisateur d'ouverture de session Windows.

ignore ton pare-feu pour l'instant, déconnecte-toi du net et fais un scan complet de ton ordi
(comme indiqué dans la procédure) Virut infecte les exécutables mais pas seulement, alors selon
le contenu de tes partitions ou dd externes, il y a des chances que tout l'ordi soit touché.
Dr Web, nouvelle version, devra scanner et nettoyer l'ensemble de la station de travail.

[Rosapilin]

J'ai scanné l'ensemble de mes partitions et d'autres virus fichiers ont été désinfectés.
Autre problème maintenant, après qu'il ait fait un Scandisk au démarrage, imposible de faire quoique ce soit. Le bureau est figé.
J'ai démarré en mode sans échec, aucun problème.
J'ai démarré en mode "derniers bon paramètres connus", ça reste figé.

Une idée ?

[b marlow]

J'ai scanné l'ensemble de mes partitions et d'autres virus fichiers ont été désinfectés.
Autre problème maintenant, après qu'il ait fait un Scandisk au démarrage, imposible de faire quoique ce soit. Le bureau est figé.

sans le rapport de scan on ne pourra pas savoir si ce n'est pas ton antivirus qui a supprimé un truc
qu'il ne fallait pas...tu peux récupérer le rapport en sans échec?

[Rosapilin]

Oui j'ai enregistré les 2 rapports, je les poste avec le mode sans échec avec prise en charge réseau.

[b marlow]

Ok, quand tu veux.

[Rosapilin]

Voila les 2 rapports C (système) et D

http://dl.free.fr/vtd7cO3oX