Infection win 32 gen

wizzl63 · Juin 24, 2007, 2:14

bonjour
apres un scan avast 2 trojans detectés win32 gen(vc) dans le killwind.exe c/hp/bin puis dans le volume restauration
preconisation avast mise en quarantaine
pour le volume restauration cela ne signifie t il pas que c’est un point de restauration qui est infecté? donc l’infection est elle inactive?
en désactivant la resto systeme cele suffit il?
de plus dans la zone de quarantaine avast apres avoir scanné les fichiers infectés reponse “virus détruit” action accomplie avec succès
mai la charmante voix de l 'anti virus m’annonce toujours que mon pc est infecté
quest ce que cela signifie t il ? pour le killwind exe etant sous matériel hp il semblerait que cela soit un fichier important à l’execution de certains programmes hp
j’ai pensé que cela pouvait aussi être des alertes de vrai faux positifs ( avast m’en a dejà fait une)
apres un scan au démarrage + un scan classique minutieux rien…
puis je supprimer ces fichiers ( notamment le volume restauration) sans risque dans la zone quarantaine avast
merci de votre aide car je suis un peu paûmée.

juju251 · Juin 24, 2007, 2:31

Procédure de désinfection:

(issue de ce topic, que personne ne lit … :sarcastic:)

4.Procédure en cas d’infection
- Tout d'abord la première chose a faire est de ne pas céder à la panique! :ane:

- La première précaution (dans la mesure du possible) consiste à déconnecter votre pc du réseau (réseau domestique, d'entreprise, d'internet) afin d'empêcher l'infection de se répandre. (ajouté suite à une intervention de Loader :jap:)

- Ensuite il faut (si possible) identifier le virus -probable- avec votre antivirus.

- Cherchez le maximum d'information sur le virus en question (avec google, ou sur les sites d'éditeurs d'antivirus, voir plus bas pour une liste, via un autre pc donc ;))

- Si l'étape de l'indentification du virus (enfin de la sale bête :paf: ) est impossible, allez faire un tour sur un site proposant un antivirus en ligne (liste plus bas).

- Note importante: Dans le cas où le virus est toujours actif (car non supprimé par votre antivirus, avant de réactiver votre connexion réseau pour faire un scan en ligne, il est important d'arreter les processus suspects (via le gestionnaire des taches, qui s'active en appuyant simultanément sur Ctrl-Alt-suppr, sous Win 2k et Xp.) Si vous avez besoin d'infos sur les processus tournants sur votre machine n'hésitez pas à demander ici (liste dispo à la rubrique liens.)

- Si vous êtes sous Widows Millenium (Me) ou WIndows XP, désactivez la restauration système afin d'être sur de bien supprimer tous les fichiers infectés.

- Mettez à jour votre antivirus (si vous ne l'avez pas fait avant...)

- Redémarrez Windows en mode sans échec.

- Videz le cache de votre navigateur ainsi que vos fichiers temporaires.

- Réalisez le scan complet de votre machine avec votre antivirus et le fix pour ce virus, s'il en existe un.

- Supprimez les éventuelles clés du registre permettant le lancement du fichier infecté au démarrage de Windows.

- Redémarrez votre pc, en mode normal cette fois, normalement tout doit être propre. :)

- Effectuer une dernière analyse, en mode normal, pour vous assurer que tout est propre.

- Réactivez la restauration système.


[u]En cas de présence d'un malware introuvable ou résistant[/u]
Votre ordianteur présente tous les symptômes d’une infection virale (occupation processeur élevée, erreurs lors de l’execution de softs de sécurité… Mais aucun programme malain n’est détecté lors des scans en lignes?

Vous êtes probablement confronté à un rootkit, qui à la faculté de se cacher assez profondément.

Ainsi, un rootkit peu:

Etre visible dans le gestionnaire des taches (souvent sous un nom bizarre du type “ahrgvtx.exe”, vraiment le nom qui ne rappelle rien de connu), mais pas trouvable lors d’une recherche de fichiers sur le disque dur.

Etre invisible dans le gestionnaire des taches, sur le disque dur et même dans la base de registre à la section démarrage! (pratique pour le désactiver, vous ne trouvez pas?! :paf: )

Dans ce cas, vous pouvez utiliser un antirootkit pour le réveler, mais vous pouvez également utiliser une procédure fort simple:

Notez le nom du potentiel agent infectieux.
Redémarrer Windows en mode sans échec (appuyez sur F8 après le premier écran du BIOS, et choisissez “mode sans échec” dans le menu affiché).
Recherchez sur votre disque dur le probable rootkit (dont vous aurez noté le nom). Une fois localisé => isolez le (en lançant votre antivirus et en le mettant en quarantaine par exemple. Notez d’ailleurs qu’il y a de fortes chances pour que votre antivirus détecte ce fichier comme étant un virus.), ou supprimez le.
Ensuite, allez dans démarrer / executer, taper “msconfig” (sans les guillemets), une fois dans msconfig, allez dans l’onglet démarrage, puis décochez la case correspondant au programme que vous avez localisé a l’étape précédente.
Pour être sur d’avoir tout bien supprimé regardez s’il n’y a pas d’autre nom étrange dans msconfig / démarrage.
Faites une analyse antivirus en mode sans échec.
Une fois tout ceci fait, redémarrez votre pc en mode normal, tout doit être rentré dans l’ordre.

Si vous avez un doute sur la marche à suivre, ou si vous doutez avoir reperré le bon programme infect, n’hésitez pas à poster ici.
[u]En cas d'impossibilité à vous rendre sur des sites d'antivirus ou dédiés à la sécurité[/u]
S’il vous est impossible de vous rendre sur des sites de fabricants d’antivirus, ou des sites destinés à la sécurité, vérifiez si votre dossier /windows/ contient un fichier nommé “hosts” (sans guillemets), si c’est le cas ouvrez le (avec le bloc notes windows.). Dans le cas ou vous obtenez plusieurs lignes commençant par 127.0.0.1, suivi d’une adresse de site internet, c’est la raison pour laquelle vous ne pouvez pas vous connecter au sites mentionnés dans ce fichier. Le fichier hosts peut etre utiliser pour interdire l’acces a des sites internet … ici c’est fait a votre insu.

1 Solution: Supprimer les lignes nuisible (typiquement, toutes sauf celle contenant 127.0.0.1 en face de “localhost” - sans guillemets -)

Je me suis aperçu que certains malware utilisent cette méthode fort simple pour empécher l’accès a des sites internet comme ceux d’antivirus.

Notez que ce fichier (hosts), sous Windows XP n’existe pas par défaut.

Fais aussi un scan avec hijackthis et poste le log obtenu :jap:

wizzl63 · Juin 24, 2007, 3:52

merci pour l’info
par contre desactiver la restauration sysyteme entraine l’annulation de tous les points de restauration est ce genant ou pas?

juju251 · Juin 24, 2007, 3:55

Non, si tu n’as pas besoin de restaurer dans l’immédiat. :neutre:

Une fois le nettoyage éffectué, rien ne t’empèche d’activer à nouveau la restauration système