Virus dans système volume information

Système d'exploitation Microsoft Windows
1

bonjour,
mon anti virus bitdefender a trouvé un virus dans système volume information qu’il n’arrive pas a supprimer ou déplacer,j’ai eu beau checher dans tout le forum et toutes les solutions ont échouées desactiver la restauration systeme les dernieres restaurations sont supprimées mais pas celle infecté.scannow arrive a 99% et me prévient que des erreurs ne sont pas corrigées,je suis sous vista , une analyse en ligne de kasperski n’a rien trouvé,un rapport hyjack this est disponible mais l’évaluation sur son site a l’air OK ,

voila le rapport de bitedender je ne sais pas quel fichier est vraiment infecté
Résumé:

C:\System Volume Information_restore{89F059FC-A2FD-496B-8CF6-0CF6AC11298A}\RP2\A0000132.EXE=>wise0011=>wise0009 Détecté: Adware.VDM
C:\System Volume Information_restore{89F059FC-A2FD-496B-8CF6-0CF6AC11298A}\RP2\A0000132.EXE=>wise0011=>wise0009 Désinfection impossible
C:\System Volume Information_restore{89F059FC-A2FD-496B-8CF6-0CF6AC11298A}\RP2\A0000132.EXE=>wise0011=>wise0009 Déplacement impossible

C:\System Volume Information_restore{B76BBBE8-C54E-4843-A732-E71FCDB2F0CA}\RP1\A0000062.EXE=>wise0011=>wise0009 Détecté: Adware.VDM
C:\System Volume Information_restore{B76BBBE8-C54E-4843-A732-E71FCDB2F0CA}\RP1\A0000062.EXE=>wise0011=>wise0009 Désinfection impossible
C:\System Volume Information_restore{B76BBBE8-C54E-4843-A732-E71FCDB2F0CA}\RP1\A0000062.EXE=>wise0011=>wise0009 Déplacement impossible

juste une idée qui me traverse l’esprit est-ce que ce virus adware.vdm qui date de début juin ne viendrait pas de la version précédente XP ? vu que j’ai fait la mise à jour vers vista dans cette période.
Edité le 16/07/2007 à 06:37

2

Bonjour,
J’ai vu quelque part que Bullguard interner security était capable de désinfecter ce malware.
Version d’essai pour 2 mois
www.bullguard.com…

P.S non testé par mes soins car je n’ai jamais attrapé cette bébette :slight_smile:

p.s.2 - par sécurité, je procèderais comme suit:
télécharger Bullguard
Couper la liaison internet
désactiver Bitdefender
Installer Bullguard et scanner
Edité le 02/07/2007 à 23:29

3

Désactivation la restauration système, scan et réactive le.

4

bonjour voila le resultat de l’analyse de bullguard + copie d’ecran
www.hiboox.com…

www.hiboox.com…

infected Files

----[ Infected Spyware Files ]------------

Malware: Adware.VDM
C:\System Volume Information_restore{89F059FC-A2FD-496B-8CF6-0CF6AC11298A}\RP2\A0000132.EXE=>wise0011=>wise0009
C:\System Volume Information_restore{B76BBBE8-C54E-4843-A732-E71FCDB2F0CA}\RP1\A0000062.EXE=>wise0011=>wise0009

Results after ROUND 0

Scan started: Tuesday, July 03, 2007 07:54:16
Scan duration: 0 days, 08 hours, 27 minutes, 08 seconds
Infections solved: 0
Infections left: 2
Viruses left: 1

----[ Spyware Files Still Infected ]------------

Malware: Adware.VDM
C:\System Volume Information_restore{89F059FC-A2FD-496B-8CF6-0CF6AC11298A}\RP2\A0000132.EXE=>wise0011=>wise0009
C:\System Volume Information_restore{B76BBBE8-C54E-4843-A732-E71FCDB2F0CA}\RP1\A0000062.EXE=>wise0011=>wise0009

Results after ROUND 1

Scan started: Tuesday, July 03, 2007 16:25:51
Scan duration: 0 days, 00 hours, 00 minutes, 04 seconds
Infections solved: 0
Infections left: 2
Viruses left: 1

----[ Spyware Files Still Infected ]------------

Malware: Adware.VDM
Status: Deletion Failed
C:\System Volume Information_restore{89F059FC-A2FD-496B-8CF6-0CF6AC11298A}\RP2\A0000132.EXE=>wise0011=>wise0009
C:\System Volume Information_restore{B76BBBE8-C54E-4843-A732-E71FCDB2F0CA}\RP1\A0000062.EXE=>wise0011=>wise0009

5

Je confirme ce que dit AdminOfPlaygroup.
Il faut desactiver la restauration système , scanner avec l’antivirus , puis réactiver la restauration système.
Les répertoires cités plus haut sont “lockés” par la restauration système

6

salut j
'ai essayé de nouveau cet apres midi desactivé scanné reactivé ça effacé les dernier points de restauration mais pas les 2
infectés
C:\System Volume Information_restore{89F059FC-A2FD-496B-8CF6-0CF6AC11298A}\RP2\A0000132.EXE=>wise0011=>wise0009
C:\System Volume Information_restore{B76BBBE8-C54E-4843-A732-E71FCDB2F0CA}\RP1\A0000062.EXE=>wise0011=>wise0009
merci

7

Alors il faut installer AVAST avec avec scan au reboot et la normalement ca marche

8

salut, désolé le même resultat virus détectés mais impossible de reparer ou supprimer
merci quand même

9

lu

désactive la restauration systeme , redémarre , supprime le dossier , puis redémarre la restauration système

c’est du brut de décoffrage , mais ce devrait fonctionner

++ :icon_biggrin:

11

salut
ça ne marche pas en mode sans echec non plus et il n’y a pas de message d’erreur windows me demande si je veux vraiment supprimer ces fichiers je dis oui et rien ne se passe, mais pourquoi ces fichiers sont grisés par rapport aux autres voir capture ecran si dessou
www.hiboox.com…
merci à tous

13

je vais bien dans ces fichiers et il ne se supprime pas et pas de message d’erreur

14

Autorisez le groupe administrateurs local en controle total sur le répértoire C:\System Volume Information
Essayez d’y aller en commande dos et utilisez la commande del.
Essayez aussi un chkdsk /F , peut etre que ces fichiers n’existent plus vraiment.

15

salut,
merci de votre réponse mais pouvez vous m’expliquer comment faire en commande dos et essayer un chkdsk /F sous vista

re salut, j'ai fait un chkdsk /F et apparementrien n'a été signalé y a t'il un journal de cette analyse?
16

Pour allez sous une fenetre DOS: “Demarrer” , “executer” Tapez cmd puis clic ok.
Vous obtenez une fenetre noire DOS.
Retapez la commande CHKDSK C: /F /R puis appuyez sur “enter”
Le PC devrait vous dire qu’il ne peut pas le faire tout de suite et vous propose de le faire au reboot, dites oui pour le reboot.

Avant de d’essayer de supprimer sous DOS les fichiers concernés il faut autoriser le groupe local administrateurs en “controle total” sur le repertoire “C:\System Volume Information” et desactiver la restauration.

Sous DOS comment supprimer un fichier ou un repertoire:
Dans votre cas dans la fenetre noire DOS tapez: c: puis enter
ensuite: cd \windows
puis: cd \system*
a ce niveau vous pouvez essayez de supprimer les repertoires “_restore{89F059FC-A2FD-496B-8CF6-0CF6AC11298A}\RP2” et “_restore{B76BBBE8-C54E-4843-A732-E71FCDB2F0CA}\RP1” en tapant:
rd _restore* /S
ou bien descendre dans chacun de sous repertoires et supprimer les fichiers concernés comme suit:
cd _restore{89F059FC*
puis: del A0000132.EXE /F
ensuite: cd …
puis: cd _restore{B76BBBE8*
puis: del A0000062.EXE /F

18

bonsoir,
j’ai essayé un peu tout ça mais rien ne va voici une capture d’écran
www.hiboox.com…
merci à tous

20

Pour effacer depuis Windows essaye en faisait “shift+suppr” plutot que suppr tout court

si ca ne fonctionne pas , essaye en passant par un logiciel de ce genre
www.clubic.com…

22

quand tu l’executes , tu fais un clic droit et tu choisis “éxecuter en tant qu’administrateur”

ca marche ?

23

Autant pour moi de ne pas avoir été précis pour DOS.
J’ai souvent eu le cas de fichiers impossible à supprimer sous l’environnement GUI (Graphique) et à chaque fois le seul moyen
pour effacer ces fichiers ou répertoires “exotiques” c’était en commande DOS (machine virtuelle :wink: ).

Il y a une erreur dans les commandes montrées plus hauts.

Une fois dans le répertoire C:\System Volume Information il faut tapez:
cd _restore{89F059FC* (sans le )

Dans toutes commandes il faut enlever ce \ fait pour la racine.
Edité le 06/07/2007 à 12:50

24

bonjour,
rien n’y fait même eraser ne supprime pas ces fichier de plus l’assistance de bitedefender m’a fait analyser par Bd.bat
et depuis le dossier restore ou il y a le virus est de 70 go que je n’arrive pas a supprimer.
je ne sais plus quoi faire
salutations à tous

25

De toute facon, le fichier restore ne te sert que si tu fais une restauration systeme (^^)
alors ton adware peut rester au chaud la dedans jusqu’a ca que Windows reécrivre par dessus et on en parle plus

le tout est de na pas vouloir faire une restauration a cette date :icon_biggrin: