inquietude Antivir

Le
Az Sam
Bonjour,

dimanche j'ai décidé, comme ca par controle, de scanner mon XP depuis l'Antivir
free
de mon Vista de test.
Chacun est sur un disque different dans le meme Pc. Le XP est surveillé par
Nod32 v3.0

J'ai obtenu une succession d'alertes virales inquietantes sur des exe du
%windir% et du %systemroot%
Au depart j'ai été surpris mais s'agissant de desinstalleurs je me suis dit
pourquoi pas
Mais ensuite ca c'est poursuivi sur des fichier programmes du systeme et
toujours avec le meme virus ou une de ses variantes.


log avant reparation XP (sans Spr): http://cjoint.com/?cljqCZqUgE = 30
indesirables
log apres reparation XP (avec Spr) : http://cjoint.com/?cljq6d1zYl = 7
indesirables (dont 2 SPR)


Je trouve que cela fait beaucoup de faux positifs.
ou serait ce que ma machine etait completement compromise avant la reparation ?
et qu'elle l'est de nouveau juste apres ?

j'ai refait un scan hier, des fois qu'une infection serait en cours, touchant
peu a peu les exe,j'obtiens les meme resultats que lors du scan apres
reparation.

qu'en pensez vous ? et qu'ets ce que ce Virut.D ?
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 3
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Ascadix
Le #18639231
Az Sam n'a pas économisé ses octets pour nous raconter que:

Bonjour,

dimanche j'ai décidé, comme ca par controle, de scanner mon XP depuis
l'Antivir free
de mon Vista de test.
Chacun est sur un disque different dans le meme Pc. Le XP est
surveillé par Nod32 v3.0

J'ai obtenu une succession d'alertes virales inquietantes sur des exe
du %windir% et du %systemroot%
Au depart j'ai été surpris mais s'agissant de desinstalleurs je me
suis dit pourquoi pas...
Mais ensuite ca c'est poursuivi sur des fichier programmes du systeme
et toujours avec le meme virus ou une de ses variantes.


log avant reparation XP (sans Spr): http://cjoint.com/?cljqCZqUgE = 30
indesirables
log apres reparation XP (avec Spr) : http://cjoint.com/?cljq6d1zYl = 7
indesirables (dont 2 SPR)


Je trouve que cela fait beaucoup de faux positifs....
ou serait ce que ma machine etait completement compromise avant la
reparation ? et qu'elle l'est de nouveau juste apres ?

j'ai refait un scan hier, des fois qu'une infection serait en cours,
touchant peu a peu les exe,j'obtiens les meme resultats que lors du
scan apres reparation.

qu'en pensez vous ? et qu'ets ce que ce Virut.D ?



Pour confirmer/infirmer le faux positif, balance donc un des exe par là:
http://www.virustotal.com/fr/
http://virusscan.jotti.org/
http://scanner.virus.org/
http://www.kaspersky.com/scanforvirus

NB: le 3° est souvent trés lent à réagir ..

et regarde les réponses

Si c'était un faux positif, tu ne serais pas isoél, hors il ne semble pas y
avoir eu récement de pb de ce gerne cité sur les ngs.

--
@+
Ascadix [MVP]
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.
oberthur
Le #18638551
Az Sam a écrit :

qu'en pensez vous ? et qu'ets ce que ce Virut.D ?


y virustotal y quoi git?
Az Sam
Le #18640381
"oberthur"
y virustotal y quoi git?



le meme "Virut" :

IsUninst.exe
https://www.virustotal.com/fr/analisis/06078dcd82609807f1497bb9f701d90b
InstallShield® unInstaller
WMPSTUB.EXE
https://www.virustotal.com/fr/analisis/0e15e593a18ddf07901768a6f4a2be9c
Windows Media Player Autoplay Loader
Uninstal.exe
https://www.virustotal.com/fr/analisis/af450dea50f3f75b902353de56d61b60
Uninstaller for EasyRecovery Professional Edition
WPDSHEXTAUTOPLAY.EXE
https://www.virustotal.com/fr/analisis/3dd92ca8504b6af2ee52a280058490fb
Windows Portable Device Shell Extension Autoplay Handler
XPSP1HFM.EXE
https://www.virustotal.com/fr/analisis/52bd5624f7f7e3fa6a5e9f982a4d27f6
Windows XP SP1 Service Pack Hotfix Migration Tool


les propres restent propres :

hh.exe : https://www.virustotal.com/fr/analisis/1f82b5bcddc84ff5888fdd6787905861
Microsoft® HTML Help Executable
runas.exe
https://www.virustotal.com/fr/analisis/36cabe700436d852a9ccb7f01c8cfdb7




--
Cordialement,
Az Sam.
Az Sam
Le #18640371
"Ascadix" 49920787$0$9421$


Si c'était un faux positif, tu ne serais pas isoél, hors il ne semble pas y
avoir eu récement de pb de ce gerne cité sur les ngs.




effectivement. Il s'agit bien d'une infection.
Virut et ses variantes se fond dans tous les exe appellés et ouvre une ecoute
sur un salon IRC.
Elle ne semble pas s'etendre mais devait etre là bien avant la reparation. Les
fichiers restant sont tout simplement des fichiers que la repararion ne remplace
pas.

Antivir continue de m'annoncer les 5memes exe touches :
H:WINDOWSUninstal.exe
[RESULTAT] Contient le modèle de détection du virus Windows W32/Virut.D
H:WINDOWSIsUninst.exe
[RESULTAT] Contient le modèle de détection du virus Windows W32/Virut.D
H:WINDOWSsystem32WMPSTUB.EXE
[RESULTAT] Contient le modèle de détection du virus Windows W32/Virut.D
H:WINDOWSsystem32WPDSHEXTAUTOPLAY.EXE
[RESULTAT] Contient le modèle de détection du virus Windows W32/Virut.E.dam
H:WINDOWSsystem32XPSP1HFM.EXE
[RESULTAT] Contient le modèle de détection du virus Windows W32/Virut.E.dam


mais Clamwin annonce la couleur avec 32 exe systeme corrompus !:
http://cjoint.com/?cnja6Mvw1m


Ca va pas etre simple de recuperer des versions saines de tous ces fichiers .


--
Cordialement,
Az Sam.
oberthur
Le #18645241
Az Sam a écrit :

"Ascadix" 49920787$0$9421$




Ca va pas etre simple de recuperer des versions saines de tous ces
fichiers .


format c:
fdisk /mbr
install win
Th.A.C
Le #18646321
Az Sam a écrit :



Ca va pas etre simple de recuperer des versions saines de tous ces
fichiers .





il y a une très forte chance que ses fichiers aient étés créés de toute
pièce par le virus et donc n'existaient pas avant.
Az Sam
Le #18646461
"Th.A.C" 49931583$0$12385$

il y a une très forte chance que ses fichiers aient étés créés de toute pièce
par le virus et donc n'existaient pas avant.




pour certains c'est possible mais des fichiers comme wmpstub.exe par exemple
sont bien des fichiers systeme
http://www.microsoft.com/About/Legal/eudecision/faq.mspx

pour l'instant j'en profite pour tester differentes solution AV, voir lequelles
le trouve ;-)
J'ai ete voir plus loin que le %windir% et là les degats sont consequents, env.
25% de mes applis sont touchées, comme c'est pas netoyable, je vais avoir de la
resinstalation a faire . :-(

il est fort probable que je suive les recommandations des formatistes sur ce
coup là.


--
Cordialement,
Az Sam.
Az Sam
Le #18646451
"oberthur" 4992fee0$0$1451$

format c:
fdisk /mbr install win




pourquoi le fixmbr, precaution ou raison technique ?


--
Cordialement,
Az Sam.
Eric Demeester
Le #18646861
dans (in) fr.comp.securite.virus, "Az Sam" (wrote) :

Bonsoir,

il est fort probable que je suive les recommandations des formatistes sur ce
coup là.



Je suis peut-être très con sur ce point, mais quitte à y passer des
heures, voire des jours, je me refuse à reformater un disque et à tout
réinstaller sous prétexte que la machine est infectée...

Question de fierté mal placée probablement, mais pour moi reformater
c'est perdre des données.

Tu me diras qu'il faut faire des backups. C'est ce que je me tue à
expliquer à mes clients, mais ils ne le font pas, ou pas assez souvent,
ou la dernière sauvegarde est infectée, du coup remonter une sauvegarde
ne résoud rien.

--
Eric
Az Sam
Le #18647141
--
Cordialement,
Az Sam.
"Eric Demeester"

Je suis peut-être très con sur ce point, mais quitte à y passer des
heures, voire des jours, je me refuse à reformater un disque et à tout
réinstaller sous prétexte que la machine est infectée...



je suis pareil :-)

Question de fierté mal placée probablement, mais pour moi reformater
c'est perdre des données.



des personnalisations et du temps a tout refaire/parametrer/mettre a jour.
bon tu me dira là j'en suis a 3 jours de verif... mais je voudrais bien trouver
le coupable d'origine car il est peut sur une sauvegarde. J'ai 5 DD sur le Pc +
3 externes + 4 clefs USB...

Tu me diras qu'il faut faire des backups. C'est ce que je me tue à
expliquer à mes clients, mais ils ne le font pas, ou pas assez souvent,
ou la dernière sauvegarde est infectée, du coup remonter une sauvegarde
ne résoud rien.



j'ai fait un image dernierement mais je soupsconne que cette infection soit là
depuis bien avant . et meme de plus anciennes dans ma backup capsule.
Vu que Nod32 ne voyait rien...
que Kaspersky non plus... (j'ai du faire un scan en ligne kasper il y a 1 mois
1/2, mais puisqu'il ets aveugle...)
Je vais devoir tester toutes mes images avant de restaurer.

car l'ennui est que je ne sais pas ou est le point d'entrée ni sa date.
Publicité
Poster une réponse
Anonyme