HELP!!!Virus dans mon ordi et incapable de faire de quoi avec

J'ai des trojan dans mon ordi dans les dossier system restore du lecteur E (contient xp) et lecteur C(contient seven)

C'est des high risk.

Y'en n'a un qui sert à créer des virus et l'autre sert à telecharger des logiciel depuis mon ordinateur... pis yen na dautre la!!!

Je capote , j'ai tout esseyer , je me suis donné le droit d'access au dossier system restore mais je ne peux rien supprimé dedans .

pis en plus y'ont l'air de changer de place quand j'essai de les supprimé avec l'anti-virus car apres avoir appliquer la suppresion ,sa dis qu'il n'est pas la finalement. MY GOD.

j'ai celui

VirTool:Win32/Obfuscator.XZ

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=VirTool%3aWin32%2fObfuscator.XZ&threatid=2147625929

HackTool:Win32/Keygen

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=HackTool%3aWin32%2fKeygen&threatid=2147593794

Le keygen est dans le restore alors ce nest pas à moi.

Et y'en n'a d'autre .

J'ai pourtant rien fais , je sais juste que 2 personne "amis" à mon frere sont allé sur mon ordi.

Je veux pas formater , je peux pas ....

Pour donné une idées des autres virus et bien tener,

Status: Quarantined (events: 3)

2010-08-13 10:33:55 Quarantined Trojan program Trojan.Win32.Genome.gvyy E:\System Volume Information\_restore{FE0C6A11-1CC1-45D0-875A-76062E50FA59}\RP100\A0028591.dll High

2010-08-13 10:44:52 Quarantined virus HEUR:Trojan.Win32.Generic C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{5A58141C-11DE-B2A0-76B2-976D03180DFC}-A0028588.exe High

2010-08-13 10:44:52 Quarantined virus HEUR:Trojan.Win32.Generic C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{5A58141C-11DE-B2A0-76B2-976D03180DFC}-A0028588.exe//PE-Crypt.XorPE High

C'est avec kaspersky sa alors que mon premier message est avec microsoft essantial.

1.

Microsoft internet security , j'ai fait supprimé quand il a détecter les virus et ca dit que le chemin etais pas bon (j'imagine qu'il a changer de place juste avant , ca speut tu?lol).

2.

J'ai fini par trouvé une info(pas dur internet security m'avais donné le chemin mais pas trouvé de virus) concernant le virus qui serait dans System Volume Information.

3.

Je me donne les droits d'access au dossier System Volume Information et ensuite j'essai de supprimé les dossier mais impossible ca ne fait rien.

4.

Je désactive la restauration system et c'est supposé aussi deleté tout le System Volume Information mais en vain ca na rien changer.

5.

Je telecharge Kaspersky le met à jour et lance le scan, il me trouve 34virus et 2trojans

1- 2010-08-13 10:33:55 Deleted: Trojan.Win32.Genome.gvyy AntiMalware Service Executable E:\System Volume Information\_restore{FE0C6A11-1CC1-45D0-875A-76062E50FA59}\RP100\A0028591.dll

2- 2010-08-13 10:44:43 Detected: HEUR:Trojan.Win32.Generic AntiMalware Service Executable C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{5A58141C-11DE-B2A0-76B2-976D03180DFC}-A0028588.exe/PE-Crypt.XorPE

3- 2010-08-13 11:36:06 Processing error Host Process for Windows Services C:\$EXTEND\$ObjId:$O:$INDEX_ALLOCATION Read error

Le scan est à 48% et pendant ce temps Microsoft internet security m'avait retrouvé le virus mais c'est la meme histoire.J'ai aussi Trojan Remover que j'ai tester mais qui n'a rien changer,j'ai aussi esseyer Smithfraudfix juste comme sa mais ca pas fonctionner.

Quelqu'un a une solution autre que de formaté car je ne peux formaté,il risque quand meme d'avoir infecté d'autre fichier et je dois arrivé à tout réparé.

Edited August 13, 2010 by jo1986

Dl Combofix installe-le et run-le en mode sans échec. Ça fait des merveilles parait-il!

Et j'imagine que tu a fait le tout en mode sans échec?

lolll non j'ai pas fait sa en mode sans échec j'y va le faire et je vo9us tient au courant.

Essaie un scan en mode sans échec avec Malwarebytes Anti-malware

http://www.techspot.com/downloads/4716-malwarebytes-anti-malware.html

ou encore avec la version gratuite de Ad-aware

http://www.lavasoft.com/single/trialpay.php

@+!

Et si tout a toujours échouer, essais G data .

Moi je me sert d'une machine virtuel comme sandbox pour tester les affaire qui vienne d'internet, sa coute rien (ou presque) ....

Moi je me sert de virtualbox avec l'option sans reseau et internet + sandboxie je transfere le fichier je veux tester a partire d'une cle usb et si jamais ca foire j'ai des points de restaure de la machine virtuelle

Ici Vmware ESXi sur un Quad core avec 4 Gb de ram, et 4 machine sous XP virtualisé dessus ;-), avec des snapshot originale de chaque version, mais bon.... Me connecte via RDP a chaque machine, et je gère le tout avec Vsphere client ....

Cool VMWare, on a appris à s'en servir dans un de mes cours. Et pis là faut justement essayer de faire connecter un client linux émulé sous VMWare installé sur un XP à un Windows Server 2003. Ben hâte de voir comment ça fonctionne.

Ya beaucoup de drivers qui sont mal gérés par exemple et les mosus de vmware tools for linux qui veulent jamais télécharger...

Malgré tout c'est un des softwares les plus utiles que j'ai vu.

Pour en revenir au topic, ya les cartes pci deepfreeze qui font fait la job mais crissement chiantes pour les utilisateurs... Ça prévient tout type d'infection, même pas besoin d'un antivirus mais d'un firewall oui pour la sécurité de ports. Même un rootkit s'fait baiser par ce genre de carte. Utiles en environnements sensibles (café internet, terminal d'emploi québec, guichet privé, cégeps, etc... ). Tu peux deleter ton c:\program files juste pour le fun et pis t'as juste a rebooter pour ravoir tout comme avant.

@jo1986: Ça a marché les scans ?

Edited August 13, 2010 by SebQc77

Si ils mettent vraiment un VFS (virutal file system) ou moin de permissions (masques de privilege pour effectuer une operation sur le systeme de fichier), tu peux y aller avec un live-cd. Soit tu download Genre Ubuntu ou un mini XP quelquonque (souvent infectes) ou tu va directement sur le site des compagnies d'anti virus. Beaucoup en ont avec leurs produits de preinstaller.

Avec un live-cd pas base sur Windows, tu est sur que le trojan ne sera pas capable de te limiter pendant que tu fait le menage.

mais

1) Separer ton disque en deux partition

2) mettre les donnees sur la partition qui est pas celle de Windows

3) Utiliser un live-cd avec plusieurs antivirus et antimalware pour netoyer les fichier

4) Formater Windows

Est la solution la moin longue et la plus safe

Merci ,

hier j'ai pas été en mode online de toute la journée et de la nuit.

J'ai lancé un scan avec malwarbyte , essantial et à la fin y ma trouvé plusieur trojan/virus mais j'ai pris trop de temps à les effacer et y'ont encore disparau de la list de l'anti-virus comme si y'avais deleter de lui meme ou y'avais changer de place.

Alors je lance le scan Kaspersky et rendu vers les 70% il commence à utilisé + de 4 gig de memoire et sa devien tres slow pis y veux pu changer de fichier ... Meme apres 7heure de scan y monte pas plus haut comme si le virus l'avais fucké.

Ensuite j'ai lancé le scan avec trojan remover qui n'est pas super écoeurant mais qui a encore trouvé un virus.

Tout sa en mode sans echec . Arf.

Je vais esseyer de me faire ou plutot de me trouvé un live-cd sur le net en souhaitant que y n'est pas de fichier qui décide d'infecté le tout.

J'ai aussi grace à Kaspersky , réussi à supprimé tout les fichier de c:/System Volume Information/_restore{FE0C6A11-1CC1-45D0-875A-76062E50FA59}

Edited August 14, 2010 by jo1986

G-data fini par fuckuyé le shit aussi apres un moment ...autant sans-echec que normal.

J'ai esseyer de créer un cd d'amorçage mais ca n'a pas fonctionner car j'ai mis un dvd et y veule que je place un cd (WTF).

La je vais tenté de sauvegarder les photos de ma blonde sur dvd et de formater mes 5partition . Je vais perdre environ 700-800gig de donné osti que ca m'écoeur!!!!!!!!!! Tout graver sur dvd sa serais bien trop long.... Pis branché un autre HDD pour transférer le stock bin le virus risquerais gros de contaminé ce disque.

Y'Existe pas une putain de pillule à faire gobé par le lecteur pour reglé sa? lol

Merci tout de meme de votre aide

Faut prévenir avant ...malheureusement un coup que le mal est fait yé souvent trop tard...

Backup tes données importantes et pis repart de zéro avec plus de protection.

J'ai perdu 5000 photos de famille (tout ce que j'avais pris depuis 2008) et 500Gb de données dernièrement suite a un crash de HDD alors j'te comprends...

@+!

as-tu essayé avec Combofix? Mon frère avait les même problèmes que toi et tout a été réparé avec ce logiciel. Run le en mode sans échec.

J'ai installer combofix et je l'Ai tester et puis voici le resultat.

ComboFix 10-08-14.02 - WarzoneX51 2010-08-14  18:43:27.2.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.2.1252.2.1036.18.3327.2971 [GMT -4:00]
Lancé depuis: c:\documents and settings\WarzoneX51\Bureau\ComboFix.exe
.

(((((((((((((((((((((((((((((   Fichiers créés du 2010-07-14 au 2010-08-14  ))))))))))))))))))))))))))))))))))))
.

2010-08-14 22:12 . 2010-08-14 22:12    --------    d-----r-    c:\documents and settings\WarzoneX51\Favoris
2010-08-14 22:12 . 2010-08-14 22:12    --------    d-----r-    c:\documents and settings\WarzoneX51\Mes documents
2010-08-14 22:12 . 2010-08-14 21:44    --------    d--h--w-    c:\documents and settings\WarzoneX51\Modèles
2010-08-14 22:12 . 2010-08-14 16:14    --------    d--h--w-    c:\documents and settings\WarzoneX51\Voisinage réseau
2010-08-14 22:12 . 2010-08-14 16:14    --------    d--h--w-    c:\documents and settings\WarzoneX51\Voisinage d'impression
2010-08-14 22:12 . 2010-08-14 16:14    --------    d-----r-    c:\documents and settings\WarzoneX51\Menu Démarrer
2010-08-14 22:11 . 2010-08-14 22:11    --------    d-s---w-    c:\windows\system32\Microsoft
2010-08-14 22:11 . 2010-08-14 22:11    --------    d-sh--w-    c:\documents and settings\LocalService
2010-08-14 22:11 . 2010-08-14 22:11    --------    d-----w-    c:\documents and settings\LocalService\Local Settings\Application Data\Microsoft

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-14 22:16 . 2001-08-28 12:00    48820    ----a-w-    c:\windows\system32\perfc00C.dat
2010-08-14 22:16 . 2001-08-28 12:00    367988    ----a-w-    c:\windows\system32\perfh00C.dat
2010-08-14 21:47 . 2010-08-14 21:47    --------    d-----w-    c:\program files\microsoft frontpage
2010-08-14 21:47 . 2010-08-14 21:47    86331    ----a-w-    c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-08-14 21:46 . 2010-08-14 21:46    --------    d-----w-    c:\program files\Services en ligne
2010-08-14 21:45 . 2010-08-14 21:45    21892    ----a-w-    c:\windows\system32\emptyregdb.dat
.

(((((((((((((((((((((((((((((   SnapShot@2010-08-14_22.35.26   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-08-14 21:45 . 2009-08-06 23:24    35552              c:\windows\system32\wups.dll
+ 2010-08-14 21:45 . 2009-08-06 23:24    35552              c:\windows\system32\dllcache\wups.dll
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

.

**************************************************************************
Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 

**************************************************************************
.
Heure de fin: 2010-08-14  18:45:04
ComboFix-quarantined-files.txt  2010-08-14 22:45
ComboFix2.txt  2010-08-14 22:35

Avant-CF: 316 595 589 120 octets libres
Après-CF: 316 593 954 816 octets libres

- - End Of File - - 74ADE49954351E4B3E5C958F5D1C928C

Ya rien d'écrit sur ce deuxieme test que j'ai lancé apres avoir rebranché mon hdd de donné.

Je comprend pas la ce que je pourrais faire d'autre :S.

Pour les DVD, tu perd ton temps, les malware vont etre dessus et au moment ou tu va les remettre sur ton ordi et que tu en ouvre un ca va se reinfecter. A la palce de prendre un live-cd, prend un live-dvd. Mais juste pour etre sur, tu grave bien le disque en temps d'image? Pas mettre le iso sur le DVD? Il y a vraiment beaucoup de monde qui font ca. Normalement mettre un CD sur un DVD ca marche, mais ca depend des logiciels et des BIOS, j'en ai vu qui les prennait pas. Si tu veux, te peux le mettre sur une cle USB aussi.

Personne a suggérer Spybot ?

Sinon, si rien y fait, généralement j'enlève le HD, et je le branche dans un PC clean (Avec un bon AV/Anti-spyware et compagnie), et je scan avec tout ce qui existe ;-) ....

En passant combofix, c'est surtout pour les rootkit ...

Et si sa marche pas, ben dit toi que ta appris une leçon, toujours avoir un bon AV, même si y faut payer pour .... Le truc de MS, est correct pour matante Ginette, qui va voir sont MSN, pis youtube, mais si tu va dans les coin un peux plus sombre de l'internet, tes mieux d'avoir un bon AV/Antimalware .... (Best arround, Gdata, Nod32, Malwarebyte, spybot) ....

J'en ai pas moi, et j'ai jamais / presque jamais (1 dans les dernier 4 ans) de virus / rootkit / malware

As-tu un firewall ? (worms...)

J'ai un routeur dlink-di-624

J'avais juste le programme de windows au départ sois , internet security essential.

Voici la suite,

j'ai débranché 2 de mes 3 disque dur et j'ai formaté celui qui restais car je ne pouvais rien rien booté meme pas linux , meme pas une réinstallation de seven , seule le format et l'installation de xp à fonctionné.

Une fois dans windows j'ai installer Combofix qui ont dirais n'a pas vraiment changer de quoi comme vous pouvez le voir ce le screen je vous ai donné.

J'ai aussi installé à nouveau G-data et spy-bot , j'ai ensuite branché un deuxieme HD et j'ai relancé combofix , j'ai lancé un test cette nuit de g-data et ce matin il n'avais rien mais rien , la je suis en train de faire un test avec spy-bot ...Mais je vais tout relancé en mode sans-echec.

J'ai aussi telecharger East-Tec Eraser 2010 et supprimé définitivement ce qui avais été simplement deleter . J'ai aussi utlisé "UNLOCKER" pour supprimé le dossier System Volume Information ou plutot son contenue total de mes 2 hdd (3 partition au total qui contenais ce dossier la).

Apres avoir tout fait mes test sur ces hdd , je vais branché l'autre qui contient aussi 2 autre partition.

D-jay, soit tes chanceux, soit tu fait "Rien" sur internet, a risque ou ben tes infecter sans le savoir.... Sans blague, si tu fait juste browser sur internet avec tout tes plugins a jour, naviguateur a jour, et os a jour, y'a déja un risque (minime, mais un risque que tu tombe sur un site avec un 0day).

Mais si tu va, a des endroits, un peux plus underground, ben la c'est carrément ridicule de pas avoir d'AV !

Sans blague, y'a des Malware, RAT (Remote administration tool, ou en somme le nouveau nom pour les Zombie/Bot), virus, qui sont bien écrit, et ceux la, sans AV, tu t'en rendra même pas compte qui sont la ! C'est ceux qui sont mal écrit qui font planter/ralentis les machines....

J'ai un routeur dlink-di-624

J'avais juste le programme de windows au départ sois , internet security essential.

Voici la suite,

j'ai débranché 2 de mes 3 disque dur et j'ai formaté celui qui restais car je ne pouvais rien rien booté meme pas linux , meme pas une réinstallation de seven , seule le format et l'installation de xp à fonctionné.

Une fois dans windows j'ai installer Combofix qui ont dirais n'a pas vraiment changer de quoi comme vous pouvez le voir ce le screen je vous ai donné.

J'ai aussi installé à nouveau G-data et spy-bot , j'ai ensuite branché un deuxieme HD et j'ai relancé combofix , j'ai lancé un test cette nuit de g-data et ce matin il n'avais rien mais rien , la je suis en train de faire un test avec spy-bot ...Mais je vais tout relancé en mode sans-echec.

J'ai aussi telecharger East-Tec Eraser 2010 et supprimé définitivement ce qui avais été simplement deleter . J'ai aussi utlisé "UNLOCKER" pour supprimé le dossier System Volume Information ou plutot son contenue total de mes 2 hdd (3 partition au total qui contenais ce dossier la).

Apres avoir tout fait mes test sur ces hdd , je vais branché l'autre qui contient aussi 2 autre partition.

Un firewall, sa fait juste rien contre les infections .... Si ta reformaté, Spybot trouvera rien, sauf si ton Windows est déja infecter..... Y trouvera pas un fichier infecter non actif .... Malwarebyte le fait par contre ....

Par contre Spybot SD-resident va empêcher les modifications que certain virus/trojan voudrais faire, donc sa aide un peux...

Quesse que vous prenez comme moyen pour vous protgegé ? Sa peut peut être en aidé plusieurs.