Vanti-bk Rootkit

[invite72e0e4ca]

Bonjour,

mon pc est infecté par un virus dont je n'arrive pas a me debarasser. Il provient d'une cle usb que j'avais pourtant scanné sans que l'anti-virus ne detecte un probleme mais le virus s'est manifesté lorsque j'ai double cliqué sur l'icone de la clé et etait placé dans "vga.sys". Je pensais qu'il n'avait pas pu aller plus loin puisque je l'avais mis en quarantaine.

Ce n'est que le lendemain que le virus Vanti-bk [rtk] a ete detecté par Avast dans mon systeme dans le dossier de windows system32 et plus particulierement dans les drivers > vga.sys.

Je n'ai pas pu le mettre en quarantaine et Avast a aussi detecté des vers dans le dossier windows avec des noms tels que "tt.exe" ou "2.exe" ou "kavo0.dll"

J'ai donc fait une restauration du systeme a la sortie usine avec le cd de reparation windows xp de c:, seulement meme apres ça mon pc est toujours infecté (ce coup ci, avast ne detecte rien avec vga.sys par contre). J'imagine donc que ma partition d: de donnees est aussi contaminee. Pensez vous qu'il soit possible de tout nettoyer sans que je sois obligee d'effacer aussi cette partition ?

Merci pour votre aide
-----

[invite72e0e4ca]

Nouveau "symptome", je ne peux plus entrer dans mes partitions de disque dur en double cliquant sur l'icone. Il me demande de choisir le programme dans une liste pour les ouvrir.
C'est suite a une alerte d'Avast pour un ver win32:AuCrypt [Cryp] une fois dans c: puis dans d: et nommé 9f3np.bat a la racine de chaque partition. Je dois donc entrer c: ou d: dans la barre d'adresse pour avoir acces a ce ki se trouve dans mon disque dur maintenant

[invite275db609]

Bonjour

Un peu de lecture pour te faire prendre conscience des lacunes d'avast du moment.

======================

Tu n'as pas de Firewall, c'est la 1ere des protections à installer pour un minimum de sécurité...
Le parefeu windows ne bloque QUE LES ENTREES, il ne bloque aucune sortie, ce qui fait que lorsque l'on est infecté, toutes les infos récupérées par les éditeurs de malwares peuvent sortir en douce sans que tu ne les apercoives, ce qui n'est pas le cas des parefeux suivants, qui bloque les entrées ET les sorties.

Tu DOIS ABSOLUMENT installer un FIREWALL, en voila 4, gratuits et performants :
Zone alarm, parefeu gratuit et performant :

• Téléchargement de ZoneAlarm : http://www.zonelabs.com/store/conten...&ctry=&lang=fr
• Tutorial de configuration : http://speedweb1.free.fr/frames2.php?page=tuto1

Kerio Personnal Firewall très bon et gratuit aussi :

• Téléchargement de Kerio : http://telechargement.zebulon.fr/kerio.html
• Tutorial de configuration : http://www.vulgarisation-informatique.com/kerio.php

Jetico, que je n'ai pas testé mais dont j'ai eu de très bons échos :

• Téléchargement de Jetico : http://www.jetico.com/download.htm
• Tutorial de configuration : http://www.malekal.com/tutorial_JeticoFirewall.php

Outpost

• Téléchargement d'Outpost : http://www.agnitum.com/products/outp...e/download.php
• Tutorial de configuration : http://c.rosu.free.fr/Conf_outpost.htm

======================

On attaque directement :

• Télécharge Flash Disinfector de sUBs.
• Branche tous tes périphériques amovibles (clé USB, disque dur externe, baladeur MP3, etc...)
• Double-clique dessus et laisse toi guider.

=======================

Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).

• Redémarre en mode sans échec :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

• Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.
• Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

=======================

• Fais un scan en ligne Kaspersky (avec Internet Explorer, IMPORTANT)
• Clique sur Accept
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
• clique une nouvelle fois sur "Accept"
• Les bases de mises à jour vont s'installer, patiente un moment
• Clique sur Next.
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

Copie/colle l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

=======================

Poste les rapports demandés : MBAM, KasperskyOnline et un nouveau hijackthis.

Bonne soirée

[invite72e0e4ca]

En fait j'utilise Zone Alarm d'habitude en firewall. J'ai fait les tests a vous envoyer juste apres mon formatage de c: et je n'avais reinstalle que mon anti-virus pour savoir si le formatage avait suffit Il est a nouveau en place depuis

[A voir en vidéo sur Futura]

[invite275db609]

Impeccable, fais dnc le reste de la procédure.

Bonne soirée

Excuses par avance le délai de réponse, je suis surchargé ces temps-ci.

[invite72e0e4ca]

Ce fut long

Voici les rapports. Je n'ai pas pu effectuer d'action suite au scan Kaspersky (eliminer ou mettre en quarantaine les fichiers infectes). C'est un peu frustrant, je les imagine se multiplier en laissant libre comme ça

[invite275db609]

Bonjour

As-tu lu l'article sur Avast ? (Comptes-tu rester avec cet Antivirus ??)

As-tu bien passé Flash Disinfector en ayant branché tous tes périphériques externes ?

===================

Assure toi d'avoir accès à tous les fichiers et dossiers :

• Ouvre ton poste de travail.
• Menu "Outils", "Option des dossiers", onglet "Affichage" :
• Active la case : "Afficher les fichiers et dossiers cachés"
• Désactive la case : "Masquer les extensions des fichiers dont le type est connu"
• Désactive la case : "Masquer les fichiers protégés du système d'exploitation"
• Clique sur "Appliquer".

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

===================

Cherche et supprime les fichiers suivants (en gras) :
C:\v3pif.bat
D:\v3pif.bat
F:\v3pif.bat
F:\autorun.inf
G:\autorun.inf
G:\v3pif.bat

===================

Comment se comporte ta machine ? As-tu encore des dysfonctionnements ??

Refais un scan Kaspersky et poste son rapport.

Bonne fin de journée

[invite72e0e4ca]

Bonsoir

J'ai lu l'article sur Avast. Je ne sais pas par quel antivirus le remplacer. Il y a un peu plus d'un an, j'avais eu un autre probleme de virus et a cette epoque là j'utilisais AVG antivirus. Il ne detectait pas certains virus, qu'Avast trouvait. Du coup j'etais passee a Avast.

J'ai egalement passe Flash Disinfector avec tous mes peripheriques branches mais il ne s'est rien passe de particulier.

Je ne note pas de dysfonctionnement depuis que j'ai efface les fichiers en gras. Je vais refaire un scan Kaspersky et le poster.

Merci

[invite72e0e4ca]

j'ai reinstalle mes programmes habituels. Tout semble fonctionner correctement.
voici enfin le rapport Kaspersky.

Bonne soiree

[invite275db609]

Bonjour

Impeccable, beau boulot.

• Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
• Coche la case "Désactiver le système de restauration..."
• Redémarre l'ordinateur
• Après redémarrage, retourne dans le même onglet pour rétablir le Système de restauration
• Décoche la case "Désactiver le système de restauration..."

Et voila, un nouveau point de restauration qui est a priori propre.

Désinsalle/supprime tout ce que je t'ai fait télécharger (tous les outils de désinfection).

Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.

Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.

Maintenant que ton ordinateur est désinfecté, tu as aussi la possibilité de nous aider à poursuivre les créateurs de ces malwares en justice en déposant un témoignage de ton infection sur Malware Complaints.

Pour cela, rends-toi sur Malware Complaints, et inscris-toi sur le forum.
Poste une réponse (en cliquant sur Post reply) dans ce type d'infection : Autres Infections
Ton infection était Trojan-PSW.Win32.OnLineGames.ahzq, Rootkit.Agent

Aide-toi des règles de Malware Complaints pour formater ton message.
Merci de ton aide

Bonne fin de journée

[invite72e0e4ca]

Ahem

Bonjour,

je ne comprends pas, mon pc semblait propre et depuis le dernier scan Kaspersky que j'avais posté, je n'ai rien fait de particulier avec mon pc. Seulement j'ai eu un message d'erreur lors du lancement de Windows live messenger un peu suspect, du coup j'ai relance un scan a nouveau. Et là il me retrouve Trojan-PSW.Win32.OnLineGames.ajpa dans mes temporaires. D'où peut il bien venir ? Cela signifie t il qu'il reste une petite source d'infection cachee quelque part ?

Pour le systeme de restauration, je l'ai desactive dès le debut de l'infection. J'attendais d'avoir tout nettoye pour le remettre.

Merci. Bonne soiree

[invite275db609]

Bonjour

Pour le systeme de restauration, je l'ai desactive dès le debut de l'infection. J'attendais d'avoir tout nettoye pour le remettre.

Il vaut mieux avoir un point de restauration infecté plutot qu'aucun ... si la machine crashe pendant la désinfection, comment feras-tu sans restauration système ?

D'où peut il bien venir ?

Certainement d'un site que tu as visité qui est piégé. Aucune certitude la-dessus, mais ca me parait le plus probable.
Supprime simplement le fichier détecté.
Pour un Antivirus efficace et gratuit, je te conseille de passer sur Antivir.

Bonne soirée

[invite72e0e4ca]

Merci beaucoup pour votre aide. Mon pc est sauvé
Je vais passer à Antivir.

Bonne journée !