Bonjour à tous,
mon antivirus AVG me détecte un virus nommé win32 sality depuis quelques jours. On dirait qu'il n'arive même pas à le mettre en 40ène et encore moins à se supprimer.
j'ai l'impression que ce virus me bloque mon ordinateur durant de la gravure, jeux vidéo et même lorsque mon pc est en écran de veille. Et là, je n'ai plus accès à rien, ni clavier ni souris et je suis obligé de faire un reset à la sauvage.
j'en conclue que c'est ce virus qui me pose souci. j'ai fait un peu le tour sur internet pour en apprendre plus et mis à part qu'aucun antivirus ne peut l'éradiquer actuellement, je n'ai pas trop trouvé de réponse.
j'ai lancé un Hijackthis, si vous pouviez m'aider à résoudre mon problème, j'en serait vraiment heureux
merci d'avance pour vos aides précieuses
Logfile of HijackThis v1.99.1
Scan saved at 08:10:41, on 24/05/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C: WINNT System32 smss.exe
C: WINNT system32 winlogon.exe
C: WINNT system32 services.exe
C: WINNT system32 lsass.exe
C: WINNT System32 Ati2evxx.exe
C: WINNT system32 svchost.exe
C: WINNT System32 svchost.exe
C: WINNT system32 spoolsv.exe
C: WINNT system32 Ati2evxx.exe
C: WINNT Explorer.EXE
C: Program Files ATI Technologies ATI Control Panel atiptaxx.exe
C: PROGRA~1 Grisoft AVGFRE~1 avgcc.exe
C: PROGRA~1 Grisoft AVGFRE~1 avgemc.exe
C: Program Files Analog Devices SoundMAX SMTray.exe
C: Program Files Spy Emergency 2005 SpyEmergency.exe
C: Program Files InterVideo Common Bin WinCinemaMgr.exe
C: Program Files Pinnacle Shared Files Programs Scheduler PCLEScheduler.exe
C: Program Files Reality Fusion Reality Fusion GameCam SE Program RFTRay.exe
C: PROGRA~1 Grisoft AVGFRE~1 avgamsvr.exe
C: PROGRA~1 Grisoft AVGFRE~1 avgupsvc.exe
C: Program Files Kerio Personal Firewall persfw.exe
C: Program Files Analog Devices SoundMAX SMAgent.exe
C: WINNT System32 svchost.exe
C: Documents and Settings Administrateur Local Settings Temporary Internet Files Content.IE5 RAZFP53S HijackThis[1].exe
R0 - HKCU Software Microsoft Internet Explorer Main,Start Page = http://www.google.fr/
R0 - HKCU Software Microsoft Internet Explorer Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C: Program Files Adobe Acrobat 5.0 Reader ActiveX AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C: WINNT System32 msdxm.ocx
O4 - HKLM .. Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM .. Run: [ATIPTA] C: Program Files ATI Technologies ATI Control Panel atiptaxx.exe
O4 - HKLM .. Run: [AVG7_CC] C: PROGRA~1 Grisoft AVGFRE~1 avgcc.exe /STARTUP
O4 - HKLM .. Run: [AVG7_EMC] C: PROGRA~1 Grisoft AVGFRE~1 avgemc.exe
O4 - HKLM .. Run: [Smapp] C: Program Files Analog Devices SoundMAX SMTray.exe
O4 - HKLM .. Run: [PinnacleDriverCheck] C: WINNT System32 PSDrvCheck.exe -CheckReg
O4 - HKLM .. Run: [QuickTime Task] "C: Program Files QuickTime qttask.exe" -atboottime
O4 - HKLM .. Run: [Microsoft Works Update Detection] C: Program Files Fichiers communs Microsoft Shared Works Shared WkUFind.exe
O4 - HKLM .. Run: [NeroFilterCheck] C: WINNT system32 NeroCheck.exe
O4 - HKCU .. Run: [SpyEmergency] "C: Program Files Spy Emergency 2005 SpyEmergency.exe"
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C: Program Files InterVideo Common Bin WinCinemaMgr.exe
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O4 - Global Startup: Reality Fusion GameCam SE.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C: PROGRA~1 MICROS~3 OFFICE11 EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C: PROGRA~1 MICROS~3 OFFICE11 REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C: WINNT System32 Shdocvw.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C: WINNT System32 Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C: WINNT system32 ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C: PROGRA~1 Grisoft AVGFRE~1 avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C: PROGRA~1 Grisoft AVGFRE~1 avgupsvc.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C: Program Files Kerio Personal Firewall persfw.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C: Program Files Analog Devices SoundMAX SMAgent.exe
J'ai eu un souci avec une virus une fois et j'ai contacté AVG qui m'a donné la solution pour le supprimer dans la journée
Pas bête remarque. Tu as fait ça par mel ?
J'imagine qu'ils ne doivent pas prendre le temps de répondre non plus à toutes les personnes en détresse comme moi
Bonjour,
Sauvegarde immédiatement tes fichiers importants 😉
D'après ce que j'ai pu avoir comme informations sur ce virus, la meilleur chose à faire, c'est de formater sans tarder 🙁
Pourquoi, car il infecte petit à petit tous les programmes et applications systemes de windows ce qui rend l'éradication très difficile car l'infection se propage.
Vu que beaucoup de choses ne fonctionnent plus sur ton pc, il a du déjà faire pas mal de dégats et pour réparer tout ça, ça risque de prendre plus de temps qu'une réinstallation.
Dans le doute reboot, dans la tomate format !
Bonjour,
Sauvegarde immédiatement les fichiers, favoris 😉
D'après ce que j'ai pu avoir comme informations sur ce virus, la meilleur chose à faire, c'est de formater sans tarder 🙁
Pourquoi, car il infecte petit à petit tous les programmes et applications systemes de windows ce qui rend l'éradication très difficile car l'infection se propage.
Vu que beaucoup de choses ne fonctionnent plus sur ton pc, il a du déjà faire pas mal de dégats et pour réparer tout ça, ça risque de prendre plus de temps qu'une réinstallation.
C'est ce que je craignais 🙁
Par contre, j'ai 2 disque, je formate juste le C: ou il y a les fichiers system ou alors j'ai le droit de le faire aussi pour le D: et mes documents ?
S'il n'y a que des documents sur le d, je ne pense pas qu'il soit nécessaire de formater cette partition, car je pense que le virus s'attaque aux applications, mais pas aux documents.
S'il y a des programme d'installé aussi sur cette partition, là il faudra aussi la formater par précaution, car certains de ces programmes installé sont peut-être infectés.
Dans le doute reboot, dans la tomate format !
Oui je l'ai fait par mail au:" serviceclient@avgfrance.com"
N'oublie pas de leur communiquer ton N° de licence
Oui je l'ai fait par mail au:" serviceclient@avgfrance.com"
N'oublie pas de leur communiquer ton N° de licence
c'est une licence gratuite, avg gratuit quoi.
je dois avoir le numéro, il faut que je regarde. merci pour l'info B)
sinon, le scan kaspersky a trouvé ça :
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER - RAPPORT
mercredi 24 mai 2006 18:26:51
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Version de Kaspersky On-line Scanner: 5.0.78.0
Dernière mise à jour de la base antivirus Kaspersky : 24/05/2006
Enregistrements dans la base antivirus Kaspersky : 184156
-------------------------------------------------------------------------------
Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie.: vrai
Cible de l'analyse - Poste de travail:
A:
C:
D:
E:
F:
G:
H:
I:
Statistiques de l'analyse:
Total d'objets analysés :: 61832
Nombre de virus trouvés: 8
Nombre d'objets infectés: 20
Nombre d'objets suspects: 33
Durée de l'analyse: 00:42:20
Analyse terminée.
j'ai zapé des lignes, confidenciel.
voila la fin du compte rendu, tout le reste concerne thunderbird
Ce sont des fichiers bizarres ! Etrange même !
Dans le doute reboot, dans la tomate format !
le scan de panda en ligne. par contre, il met désinfecté, je ne sais pas s'il l'a réellement fait car à la fin du scan, il me demande d'acheter le logiciel pour que la désinfection soit effective.
Virus:W32/Sdbot.ftp.worm Disinfected C:WINNTsystem32i
Virus:W32/Sdbot.HAM.worm Disinfected C:WINNTsystem32plko.exe
Virus:W32/Gaobot.MBQ.worm Disinfected C:WINNTsystem32TFTP1764
Virus:W32/Gaobot.MBQ.worm Disinfected C:WINNTsystem32TFTP196
Virus:W32/Gaobot.KHC.worm Disinfected C:WINNTsystem32TFTP240
Virus:Bck/Poebot.HA Disinfected C:WINNTsystem32xumw.exe
Virus:Trj/Downloader.JH Disinfected D:Mes logicielsbackupsbackup-20041027-162430-779.inf
Potentially unwanted tool:Application/SpywareStormer Not disinfected D:Mes logicielsbackupsbackup-20041202-131800-635.dll
Ou il est marqué Disinfected, c'est juste un trojan. Pour Win32 Sality, à mon avis, il n'a rien fait.
Dans le doute reboot, dans la tomate format !
Je viens de relancer un scan avec mon AVG et chose que n'avais pas fait avant, j'ai forcé la mise en 40ène de win32 sality trouvé ici :
Ensuite, une fois en 40ène, j'ai pu le suprimer mais je me suis dit qu'au redémarrage de l'ordi ou à un autre moment, il pouvait revenir. J'ai donc redémarré et relancé un scan. Ho surprise, plus de virus !
Est-il vraiment éradiqué ou peut il trainé encore quelque part sur mon pc ?
Par contre, AVG m'a donné cette liste lors de mon dernier scan, est ce normal tous ces fichiers ou faut-il y voir encore d'autres problèmes ?
En tout cas, un grand merci pour vos aides.
Est-il vraiment éradiqué ou peut il trainé encore quelque part sur mon pc ?
Il n'a supprimé qu'un fichier ? C'est possible qu'il soit encore là. Mais bon tu te rendra compte s'il se manifeste.
Par contre, AVG m'a donné cette liste lors de mon dernier scan, est ce normal tous ces fichiers ou faut-il y voir encore d'autres problèmes ?
Il y a quand même des trucs étranges, host changed par exemple. Un programme a du modifier le fichier host, peut-être dans le but de détourner certains sites. Maintenant, je ne sais pas si avg a réparé.
Dans le doute reboot, dans la tomate format !
Le virus n'est plus là mais mon pc se bloque toujours sur des applications explorer, jeux vidéo, logiciel de gravure.... : <_<
j'ai l'impression que le format est le dernier recours
Malgré toutes les manipulations que vous m'avez donné à faire, mon pc semble ne plus vouloir fonctionner correctement. C'est décidé, je passe au format C:
Merci à vous tous pour vos aides :jap:
