Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2314 connectés 

  FORUM HardWare.fr
  Windows & Software
  Virus/Spywares

  ordinateur infecté par un ver et un cloaked malware

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

ordinateur infecté par un ver et un cloaked malware

n°2855082
stephendur​oux
Posté le 25-04-2009 à 13:02:46  profilanswer
 

Je suis sous XP-SP3 avec Avast 4.8 et Spybot 1.6.2.
 
Il y à 5 jours, Spybot ma afficher une alerte en me demandant de choisir entre bloquer, bloquer toujours et laisser passer, j'ai fait bloquer. Le lendemain matin en allumant mon pc, Avast ma alerter de la présence du Trojan : "C: /Windows/System32/brastia.exe", j'ai séléctionner mettre en quarantaine, quelques secondes plus tard, Avast à lancer une seconde alerte :"C: /Windows/system32/dllcache/figaro.sys", j'ai encore fait mettre en quarantaine. L'analyse de Spybot et AVAST ne donna rien donc j'ai installé : " Malwarebyte's Anti-Malware ", il trouva 80 fichiers infectés et les supprima.
 
Depuis plus de problème, jusqu'à avant hier ou je remarque dans le "gestionnaire de taches", la présence d'un nouveau processus: " WPV471239289922.exe" qui est dans " C: /Windows/system32 ", après quelques recherche sur le web, je découvre l'existence d'un virus/trojan/Ver qui s'appel: "WPV [series chiffre aleatoire].exe, je lance SPYBOT et AVAST qui ne trouverent rien, j'ai installé le logiciel " PREVX " qui scanne gratuitement mais est payant pour supprimer, il trouva 3 dangers:
 
proquota.exe -> C: /windows/system32/wbem (ver)
grpconv.exe ->  C: /windows/system32/wbem  
WPV471239289922.exe -> C: /windows/system32
 
J'ai utilisé "SDFIX", il supprima : "WPV471239289922.exe", je refais un coup de " PREVX" et voila ce qu'il reste :
 
proquota.exe -> C: /windows/system32/wbem (ver)
grpconv.exe ->  C: /windows/system32/wbem  
 
J'ai utilisé après "ComboFix", il supprima "grpconv.exe", je refais un coup de "PREVX" et en plus du dernier, il y à un nouveau :
 
proquota.exe -> C: /windows/system32/wbem (ver)
vfind.exe      -> C: /windows/                       ( CLOAKED MALWARE)
 
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
 
Si quelqu'un peut m'aider sans me faire installer n'inporte quoi et pondre des tonnes de rapport alors que tout est détaillé au-dessus, merci. :)


Message édité par stephenduroux le 25-04-2009 à 15:27:34
mood
Publicité
Posté le 25-04-2009 à 13:02:46  profilanswer
 

n°2855086
yf38
Posté le 25-04-2009 à 13:25:31  profilanswer
 

Sans rien installer tu peux faire menu demarrer executer msconfig et regarder dans l'onglet demarrage si tu ne vois pas quelque chose de
suspect.
Même chose avec regedit et  aller voir dans les cles run, run once, si rien de bizarre n'est lancé au demarrage.
C'est le minimum mais parfois çà suffit pour trouver.

Message cité 1 fois
Message édité par yf38 le 25-04-2009 à 13:30:31
n°2855123
stephendur​oux
Posté le 25-04-2009 à 15:20:00  profilanswer
 

yf38 a écrit :

Sans rien installer tu peux faire menu demarrer executer msconfig et regarder dans l'onglet demarrage si tu ne vois pas quelque chose de
suspect.
Même chose avec regedit et  aller voir dans les cles run, run once, si rien de bizarre n'est lancé au demarrage.


 
J'ai executer: " msconfig " et dans l'onglet demarrage, j'ai regardé les processus, aucun n'est suspect puisque qu'ils correspondent tous à à des services Windows ou des logiciels commerciaux que j'utilise.
 
J'ai exectuer: " regedit " et j'obtiens 5 dossiers et quand je doubleclick sur chacun, il y à pleins de sous dossier, l'amateur que je suis n'à pas les connaissances pour identifier ici ce qui semble bon ou mauvais ?
 
Merci de ton aide. :)  
 
PS: Entre mon premier post et les 2 trucs que je viens de vérifier sur tes conseils, j'avais lancé Malwarebyte's Anti-Malware en mode complet, sous window en mode sans echec et il n'à rien trouvé alors que PREVX, cite toujours les 2 fichiers que j'ai indiqué à la fin de mon 1ier poste.


Message édité par stephenduroux le 25-04-2009 à 15:28:54
n°2855208
yf38
Posté le 25-04-2009 à 21:30:09  profilanswer
 

Oublie la recherche avec regedit, d'une part c'est délicat, d'autre part
la commande msconfig que tu as passée affiche les éléments de demarrage contenus dans la base de registre (ce que tu vois avec regedit) donc pas besoin d'y aller "à la main".
Désolé de t'avoir donné une info inutile pour regedit.
Spécialiste trojan wanted, je n'en suis pas un.


Message édité par yf38 le 25-04-2009 à 21:31:57
n°2855211
stephendur​oux
Posté le 25-04-2009 à 21:48:43  profilanswer
 

Je recherche un bon logiciel anti-malware qui pourrait se débarasser des fichiers infectés.
 
Ci-dessous la liste des logiciels que j'ai utilise pour l'instant, tous en mode analyse le plus complet en mode sans echec :
 
- Avast 4.8
- Spybot 1.6.2
- Malwarebyte's Anti-Malware.
- SDFIX.
- MSCONFIG
 
C'est pas la peine de me dire que AVAST c'est nul, je l'utilise avec Spybot depuis 5 ans et j'ai rarement des problèmes.


Message édité par stephenduroux le 25-04-2009 à 21:50:52
n°2855213
yf38
Posté le 25-04-2009 à 21:57:04  profilanswer
 

Il y a aussi Windows Defender... de Microsoft, pour Xp et Vista.
Dire s'il est bon je n'en sais rien, il est installé ici mais n'a pas encore eu
l'occasion de détecter quelque chose.

n°2855220
stephendur​oux
Posté le 25-04-2009 à 22:42:32  profilanswer
 

Je vais tester "Windows Defender", je l'avais déjà repérer mais pas encore tester car ca me paraissait délirant qu'il peut arrêter/trouver/éradiquer des choses qui étaient passés à travers XP, d'un côté Microsoft aurait un anti-spyware à jour alors que XP et VISTA ne serait pas à jour. :lol:  
 
J'ai essayé d'installer: "AVG Anti-Spyware" mais la seule version gratuite que j'ai trouvé n'arrivait pas à se connecter au serveur pour se mettre à jour. Si quelqu'un à une version gratuite qui peut se mettre à jour, merci. :jap:


Message édité par stephenduroux le 25-04-2009 à 23:13:20
n°2855221
boulaysord
Posté le 25-04-2009 à 22:47:33  profilanswer
 

Essaye de scanner les fichiers suspects avec ce scan de malwares en ligne, pour voir ...
 
http://virusscan.jotti.org/

n°2855223
stephendur​oux
Posté le 25-04-2009 à 23:29:43  profilanswer
 

boulaysord a écrit :

Essaye de scanner les fichiers suspects avec ce scan de malwares en ligne, pour voir ...
 
http://virusscan.jotti.org/


 
Les anti-virus n'ont rien trouvé d'anormal pour: "vfind.exe" -> C: /Windows/
 
Plusieurs anti-virus ont détécté quelque chose pour: "Proquata.exe" -> C: /Windows/system32/wbem , ci-dessous le nom que donne chaque anti-virus à ce truc :
 
A-squared           = Found Trojan.Waledac!IK  
AntiVir                = Found TR/Waledac.34816.1  
BitDefender         = Found Trojan.Waledac.Gen.1  
ClamAV              = Found Worm.Waledac-1923
Ikarus                = Found Trojan.Waledac  
Quick Heal          = Found Trojan.Agent.ATV
Sophos Antivirus  = Found W32/Bredo-A  
 
Un grand merci pour ton lien BOULAYSORD, maintenant que j'ai le(s) nom(s) d'un des virus, je vais pouvoir chercher sur le Web, un fix et/ou utiliser l'un des anti-virus qui la détécté pour essayé de l'éradiqué, je vous tiens au courant. :hello:  
 
 
Ps: Pour "VFIND.exe", je verais pour d'autre recherche. :heink:


Message édité par stephenduroux le 25-04-2009 à 23:33:23
n°2855566
stephendur​oux
Posté le 27-04-2009 à 11:09:02  profilanswer
 

Est ce que les posseseurs de XP SP3 ont un fichier du nom de "Vfind.exe" sous C:/windows/ ?
 
J'ai regardé chez un copain qui à XP SP2 et une connaissance qui à XP SP3 et il ne l'ont pas.
 
--------------------------------------------------------------------
 
Est ce qu'une personne qui à XP SP3 peut tapper "proquota.exe" dans rechercher et me dire les emplacements de ce fichier, il me semble qu'il existe 3 ou 4 fichiers comme lui dans différents dossiers. J'aurais également besoin de leurs taille en ko style 50ko pour l'un.
 
Merci de votre aide. :hello:


Message édité par stephenduroux le 27-04-2009 à 11:10:56
mood
Publicité
Posté le 27-04-2009 à 11:09:02  profilanswer
 

n°2855573
boulaysord
Posté le 27-04-2009 à 11:32:30  profilanswer
 

Pas de Vfind.exe, chemins de proquota.exe ci-dessous :
 
http://img4.imageshack.us/img4/706/capturerhqd.jpg
 
Prog Microsoft apparemment (limitation de taille des utilisateurs) sinon à propos de ton trojan, cet article :
 
http://www.clubic.com/actualite-27 [...] otnet.html
 
edit : taille (Ko), dans l'ordre : 49.5, 49.5, 49.5, 44.5,


Message édité par boulaysord le 27-04-2009 à 11:37:20
n°2855641
stephendur​oux
Posté le 27-04-2009 à 17:54:20  profilanswer
 

Merci de ton aide. :hello:  
 
"proquota" est un fichier qui détermine la taille max des sessions sous XP, style tu ouvres plusieurs sessions pour ta famille sur ton pc mais tu limites chaque profil à part le tient à une dizaines de mégas, résultat dés qu'un profil dépasse la taille max dans son : "DocumentandSetting/MonsieurX ", la personne qui l'utilise ne pourra plus quitter sa session sans effacer ou déplacer assez de fichier pour redescendre en dessous de son espace max.
 
En ce qui me concerne, je n'ai plus ce fichier car un antivirus en ligne me la effacer car il était configuré pour supprimer les fichiers infectés qu'il n'arriverait pas à réparer. J'ai essayé de mettre celui d'un autre XP-SP3 mais quand j'ai redémarré mon pc et été sous ma session, j'ai eu droit à un message qui m'informait que mon espace profil était limité à une dizaines de méga or j'avais 4go dans "DocumentandSetting/StephenDuroux", c'est nomal, j'enregistre la TV sur mon ordinateur dans "MesDocuments/videos". Le message m'interdissait de quitter la session sans être retourner en dessous de la dizaine de mégas autoriser, j'ai redémarrer mechament mon pc et en mode sans echec, j'ai supprimer "proquota". De retours sur mon profil, je n'ai plus de message et ça semble marcher mais je me demande si ça peut faire des bétises ?
 
Ce matin en allumant le pc, au lieu de démarrer directement sur XP, le pc m'à proposé un choix entre XP (par défaut) et RecoverPro, ce dernier est un logiciel de restauration que je possède, si je ne touche à rien, au bout de 5 secondes, XP se lance normalement. C'est êtrange et ça le fait désormait à chaque fois.
 
Pour ce qui est de ton lien avec des fix pour effacer un trojan du mois d'avril, j'ai lancé l'utilitaire, il à fait un scan mais n'à rien trouvé.
 
"PREVX", le fameux scanner gratuit mais qui est payant pour solutionner les problèmes ne trouve plus de problème sur mon pc, c'est déjà ça, après faut voir la stabilité du système dans le temps, ça à bouger puisque au lancement, j'ai le choix entre XP et RecoverPro.
 
Je vous tiendrais au courant, merci pour tout. :jap:


Message édité par stephenduroux le 27-04-2009 à 18:08:51

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Virus/Spywares

  ordinateur infecté par un ver et un cloaked malware

 

Sujets relatifs
Mon ordinateur ne s'éteint plus !Photos numériques endommagées après changement d'ordinateur.
PC infecté...a cours d'idée :/Le malware VIRUT.CE infecte les .exe dans les .zip?
win32.worm.Mybot.TA / generic.malware.GFWX!!.BA715441win32.worm.Mybot.TA / generic.malware.GFWX!!.BA715441
Impossible de se connecter à un ordinateur distantOrdinateur qui rame énormément
configurer un ordinateur 
Plus de sujets relatifs à : ordinateur infecté par un ver et un cloaked malware


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR