Virus Sality... ;(

[invite319be2a7]

Salut à tous
Voilà ça fait 3 jours que mon ordinateur est infecté par un virus. J'ai avast comme antivirus, et la première fois qu'il l'a detecté, c'était "Win32:Sality - U". Ensuite, il a detecté d'autres comme Win32:Rbot, etc. Apres avoir essyé de scanner et supprimer ce virus de mon ordi sans resultat, j'ai fait:
1. Formatage tout mon DD avec CD de Windows XP plusieurs fois (Sans Resultat)
2. Formatage de DD avec KillDisc (Sans Resultat)
3. Un "fixmbr" suivi de formatage de DD avec CD de WinXP (SR)
4. Installation sur tout le DD de Linux pour virer tout ce qui concerne Win, puis installation de WinXP (SR)

Voilà, j'ai vraiment besoin d'aide, ou même d'idées parce que là je n'ai plus d'idée ;(

PS: qd je reinstalle un nouveau XP (+Anti Virus) sans internet branché, au debut le scan ne donne rien, mais au bout de 15 à 30 minutes sur internet, j'ai tout sorte de virus. Qd je reinstalle un nouveau XP (+Anti Virus) avec internet branché, juste apres l'install j'ai 6 à 7 applications d'installées. Dans les deux cas, j'ai tj le meme virus.
-----

[igor51]

Bonjour,

c'est dommage d'avoir autant de fois formater. C'est une bestiole robuste mais ne t'inquiète pas on va s'en occuper.

Déja, installe un firewall parce que comme tu viens de formater celà ne sert à rien de courir plus de risque, ensuite poste un log hijakcthis en pièce jointe.

Bonne journée,

Igor

[invite319be2a7]

Merci d'avoir répondu.
mon ordi ramme trop, des qu' j'arrive à telecharger Hijackthis, je serais de retour

[invite319be2a7]

J'ai placé HiJackThis dans C:\ (c'est ce qu'il fallait faire), et voici le resultat:


Il faut lire la procédure jusqu'au bout:

Cliquez sur "Do a system scan and save a log files"
Remplacez l'extension .log du fichier ainsi créé par .txt et mettez-le en pièces jointes dans votre prochain message (en pièces jointes signifie : pas dans le corps du message).

Merci de l'appliquer a la lettre. De plus, dans cette procédure il t'es demandé deux rapports: Ewido et HJT.
Merci de faire attention.
Pour la modération,
yoda1234.


Existe-t-il un moyen de supprimer tout (vraiment tout) et faire une installation de WinXP propre ?

[A voir en vidéo sur Futura]

[invite319be2a7]

Merci de ta réponse Yoda1234
Voici le rapport de HJT

[invite319be2a7]

Par contre, lorsque j'installe Ewido, je n'ai pas l'option avancé comme indiqué dans tuto. De plus, quand je le lance, soit je n'ai pas le temps de finir le scan, soit je ne peux pax sauvegarder le rapport (Il y a un compte à rebour de 1 min se declanche). Mais il detecte des fichiers corrompus.

J'ai vraiment besoin d'aide pour eradiquer ce virus

[igor51]

Bonsoir,

eu pour le compte à rebours déjà : lorsqu'il commence fais: démarrer / éxécuter et tapes : shutdown -a ( j'ai un doute sur le "-" si celà ne marche pas essaie avec " / " )

Pour Ewido c'est normal, il a changé de version et de look aussi, on va refaire la procédure pendant les vacances mais sa peut prendre du temps donc pour l'instant mets le à jour et scanne ton pc en mode sans échec :
Au démarrage, tapote immédiatement sur la touche F8 (parfois c'est F5), puis tu verras un écran avec un choix de démarrages : choisis « Mode sans échec » avec les flèches du clavier, puis valide avec "Entrée". Choisis ton compte usuel (et non Administrateur).

NB:Si tu rencontres un problème, va voir ici : http://service1.symantec.com/support...20905112131924


Bon je viens de lire ton rapport hijackthis et tu possède un rootkit donc il faut s'en occuper avant tout autre chose même sality passe après.

Cette manipulation est à faire en mode normal

Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

Potse le rapport d'Ewido si tu arrives à le faire et celui de blacklight.

Bonne soirée,

Igor

PS: yoda, c'est moi qui ne lui est pas demandé de faire la procédure. Mais merci pour ton intervention on en aura besion en faite !!!!

[invite319be2a7]

Rebonsoir tout le monde.
Comme tout à l'heure je ne pouvais vraiment rien faire, j'ai de nouveau formater mon PC pour pouvoir l'uitliser (ou plustot reparer je dois dire). Là mon avast ne detecte plus rien, mais cela ne va pas tarder.
Tout d'abord un grand merci igor51. Comme mon PC va un peu mieux que tout à l'heure, je refais toute la procedure indiqué. Je poste les rapports demandés dès que cela sera fait.

Merci encore une fois de votre aide

[invite319be2a7]

Rebonsoir
Bon le virus est revenu. J'ai fait comme indiqué le scan avec ewido qui n'a rien detecté, mais d'ici une demi heure ça sera plus le cas. De meme, voici le resultat de HJT.

igor51: Dois-je faire maintenant les manips avec Blacklight ?

[igor51]

Rebonsoir,


c'est malheureux à dire mais tu as peut-être bien fait car on était pas sur de sortir idemne de ce rootkit. Mais dans le douten fais la procédure avec Blacklight.

Il faut absolument que tu installe un parefeu sinon tu va te refaire infecter tout de suite !!

-Zone alarm, kerio, outpost << Tous ces firewall vont protéger ton pc contre les intrusions extérieurs, ils vont aussi bloquer les connexions des programmes sur l'Internet à partir de ton pc.

Un seul suffit sinon il risque d'y avoir des conflits mais installe en un sinon tout ce qu'on va faire ne servira à rien.

On va s'occuper de de sality :

Étape 1:

• Crée un dossier que tu vas nommer Sysclean Package dans C:\Program Files par exemple.
  
• Désactive, le temps de la procédure, tous les contrôleurs d'intégrité
  (si présents) comme le tea timer de Spybot, Process Guard, Hanti hook,
  Winpooch, etc..
• Note: Les possesseurs d'Avast antivirus ne doivent pas utiliser Sysclean autrement qu'en mode sans échec car Avast considère sysclean.com comme infecté par le virus VBS:Redlof !!Pour scanner le pc en mode normal(en cas de problème pour accéder au mode sans échec) il faudra désactiver Avast le temps du scan pour éviter tout conflit.(cette remarque peut être valable pour d'autres antivirus!)

Étape 2:

• Télécharge Sysclean Package et enregistre le dans le dossier que tu viens de créer.

Étape 3: Mise à jour.

• Rends toi à la page suivante:Controlled Pattern Release,et accepte le disclaimer en cliquant sur I Accept.
  
• Une nouvelle fenêtre vas s'ouvrir:télécharge le fichier nommé lptXXX.zip (ou X représente la version du fichier,c'est le premier de la liste.),et dézippe le dans le dossier que tu viens de créer.

Étape 4:

• Redémarre le PC, impérativement en mode sans échec,(au démarrage, tapoter immédiatement la touche F8,puis apparaitra un écran avec choix de démarrages : choisir "Mode sans échec" avec les flèches du clavier, puis valider avec "Entrée".)
  Choisir le compte usuel (et non Administrateur).
  En cas de problème , appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec"

Étape 5:

• Lance le fichier "Sysclean" par un double clic. Une fenêtre nommée "Trend Micro Sysclean Package" va s'ouvrir.
• coche la case "Automatically clean or delete detected files"
• Clique sur le bouton Scan
• Patiente le scan peut prendre du temps!
• Une fois le scan terminé, clique sur le bouton View Log .Sauvegarde le rapport au format texte qui a été généré.
• Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.

Poste bien tous les rapports en pièce jointe.

Si tu as des questions n'hésites pas, mais ne formate plus on va en venir à bout!!


Bonne soirée,

Igor

[invite319be2a7]

Merci igor51 de cette explication detaillée. Je l'ai suivi à la lettre (sauf tout à la fin, je ne pouvais pas recopier ce qui a été genere par "View Log", mais j'ai vu qu'il a genere le meme rapport en txt qui est ici, et j'ai fait de plus le rapport de HJT), et voici les resultats:

[igor51]

Bonjour Mos314,

Bon sysclean n'a rien trouvé, et c'est étonnant. On va faire un scan en ligne:

Fais un scan en ligne avec Kaspersky WebScanner
Sous Démonstration en ligne" , on t'explique la marche à suivre , et pour lancer le scan il faut sélectionner "Exécuter l'analyse en ligne" .Le scan ne marche que sous Internet Explorer.
On va te demander de télécharger un contôle active x, accepte .
Dans le menu "Choisissez la cible de l'analyse" , sélectionne "Poste de travail".
Le scan va commencer.Poste le rapport qui sera généré stp.

Bonne journée,

Igor

[invite319be2a7]

Bonjour Igor51.
Je viens de faire le teste de Kaspersky, et je joinds le resultat.

Remarque: depuis mon dernier formatage, je n'ai plus eu le droit au compte à rebour, ni à la saturation de ma connexion internet, et chose étonnante, je n'ai plus la signalisation de detection de virus par avast. Mais le virus est tj là ;(

[igor51]

Bonjour Mos,

parles moi des signes qui te font penser que c'est un virus???
Le rapport de kasperky ne mopntre rien ( à part dans ta restauration système mais on y touche pas pour l'instant parce que ce n'est pas dangeureux )

As-tu mis un pare feu omme je te l'ai demandé?

Pour les symptomes, dit moi même si quelque chose te semble banale.

Bonne journée,

Igor

[invite319be2a7]

Tout d'abord un grand merci, l'OS est redevenu utilisable.
1. Pour le parfeu, j'ai mis Kerio.
2. En ce qui concerne le virus, avant que je fasse les manips avec "Trend Micro Sysclean" comme tu me l'as indiqué, mon avast avait detecté "Win32:HLLP Sality - U" (je crois qu'il l'a appellé comme ça exactement). Mais apres Sysclean, je n'ai plus eu de message de la part de avast, et comme sysclean n'a rien detecté, je pense qu'il doit être encore quelque part sur mon PC, en mode "veille".
3. Suis-je debarrassé de ce virus ? Si oui, je ferais une nouvelle installation/partition de Windows, puisque là je l'ai fait un peu vite (histoire d'avoir un OS sous la main pour reparer mon ordi).

[igor51]

Rebonsoir,

eu pour savoir si on s'en est vraiment débarrassé il faudra attendre quelque jour.

Par contre je n'ai pas compri ce que tu voulais faire après. tu veux formater encore une fois??

Par contre fais ceci :

[liste]

* Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
* Coche la case "Désactiver le système de restauration..."
* Redémarre l'ordinateur
* Après redémarrage, retourne dans le même onglet pour rétablir le Système de restauration
* Décoche la case "Désactiver le système de restauration..."

Et voila, un nouveau point de restauration qui est a priori propre[/list]

Bonne soirée,

igor

[invite319be2a7]

Bonsoir Igor51
Je viens de faire ce que tu m'as dit
En ce qui concerne le formatage, j'ai fait une "petite" partition où j'ai installé ce Windows afin de pouvoir continuer à suivre tes indications. Là je vais refaire l'installation + partition plus grande pour Windows. De plus, je vais laisser ma connection internet branché lors de l'installation, car si le virus est toujour là, alors j'aurais droit à qques applications préinstallées (comme cela était le cas quand j'ai installé mon Windows, avec Virus+connection à internet). Comme ça je pourrais savoir si le virus est tj là ou pas.

A+

[invite319be2a7]

Bonsoir tout le monde
Dernière nouvelles :
1. J'ai partitionné/formaté tout en étant connecté à internet, lorsque windows a demarré, je n'avais pas les logiciels que m'installait sality.
2. J'ai fait le teste de présence de virus avec avast, il n'a rien trouvé.
3. En mode sans échec, ewigo n'a rien trouvé
4. Et enfin, le teste de Kaspersky en ligne n'a rien detecté.

Voilà, je pense etre debarassé de ce Sality (j'éspère ne pas parler trop vite), et si ce n'est pas le cas, je le ferais savoir. Je remercie en particulier Igor51 pour ces indications claires et précises.

Bonne nuit à tous

[igor51]

Rebonsoir,

d'accord,

mais pour sality, je te conseille de refaire un scan en ligne, disons jeudi ou vendredi pour être bien sur que tout va bien.

Bonne continuation,

Igor