Win32 Sality

[pad74]

Bonjour à tous,

mon antivirus AVG me détecte un virus nommé win32 sality depuis quelques jours. On dirait qu'il n'arive même pas à le mettre en 40ène et encore moins à se supprimer.

j'ai l'impression que ce virus me bloque mon ordinateur durant de la gravure, jeux vidéo et même lorsque mon pc est en écran de veille. Et là, je n'ai plus accès à rien, ni clavier ni souris et je suis obligé de faire un reset à la sauvage.

j'en conclue que c'est ce virus qui me pose souci. j'ai fait un peu le tour sur internet pour en apprendre plus et mis à part qu'aucun antivirus ne peut l'éradiquer actuellement, je n'ai pas trop trouvé de réponse.

j'ai lancé un Hijackthis, si vous pouviez m'aider à résoudre mon problème, j'en serait vraiment heureux

merci d'avance pour vos aides précieuses

Logfile of HijackThis v1.99.1
Scan saved at 08:10:41, on 24/05/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\ WINNT\ System32\ smss.exe
C:\ WINNT\ system32\ winlogon.exe
C:\ WINNT\ system32\ services.exe
C:\ WINNT\ system32\ lsass.exe
C:\ WINNT\ System32\ Ati2evxx.exe
C:\ WINNT\ system32\ svchost.exe
C:\ WINNT\ System32\ svchost.exe
C:\ WINNT\ system32\ spoolsv.exe
C:\ WINNT\ system32\ Ati2evxx.exe
C:\ WINNT\ Explorer.EXE
C:\ Program Files\ ATI Technologies\ ATI Control Panel\ atiptaxx.exe
C:\ PROGRA~1\ Grisoft\ AVGFRE~1\ avgcc.exe
C:\ PROGRA~1\ Grisoft\ AVGFRE~1\ avgemc.exe
C:\ Program Files\ Analog Devices\ SoundMAX\ SMTray.exe
C:\ Program Files\ Spy Emergency 2005\ SpyEmergency.exe
C:\ Program Files\ InterVideo\ Common\ Bin\ WinCinemaMgr.exe
C:\ Program Files\ Pinnacle\ Shared Files\ Programs\ Scheduler\ PCLEScheduler.exe
C:\ Program Files\ Reality Fusion\ Reality Fusion GameCam SE\ Program\ RFTRay.exe
C:\ PROGRA~1\ Grisoft\ AVGFRE~1\ avgamsvr.exe
C:\ PROGRA~1\ Grisoft\ AVGFRE~1\ avgupsvc.exe
C:\ Program Files\ Kerio\ Personal Firewall\ persfw.exe
C:\ Program Files\ Analog Devices\ SoundMAX\ SMAgent.exe
C:\ WINNT\ System32\ svchost.exe
C:\ Documents and Settings\ Administrateur\ Local Settings\ Temporary Internet Files\ Content.IE5\ RAZFP53S\ HijackThis[1].exe

R0 - HKCU\ Software\ Microsoft\ Internet Explorer\ Main,Start Page = http://www.google.fr/
R0 - HKCU\ Software\ Microsoft\ Internet Explorer\ Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ Program Files\ Adobe\ Acrobat 5.0\ Reader\ ActiveX\ AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\ WINNT\ System32\ msdxm.ocx
O4 - HKLM\ ..\ Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\ ..\ Run: [ATIPTA] C:\ Program Files\ ATI Technologies\ ATI Control Panel\ atiptaxx.exe
O4 - HKLM\ ..\ Run: [AVG7_CC] C:\ PROGRA~1\ Grisoft\ AVGFRE~1\ avgcc.exe /STARTUP
O4 - HKLM\ ..\ Run: [AVG7_EMC] C:\ PROGRA~1\ Grisoft\ AVGFRE~1\ avgemc.exe
O4 - HKLM\ ..\ Run: [Smapp] C:\ Program Files\ Analog Devices\ SoundMAX\ SMTray.exe
O4 - HKLM\ ..\ Run: [PinnacleDriverCheck] C:\ WINNT\ System32\ PSDrvCheck.exe -CheckReg
O4 - HKLM\ ..\ Run: [QuickTime Task] "C:\ Program Files\ QuickTime\ qttask.exe" -atboottime
O4 - HKLM\ ..\ Run: [Microsoft Works Update Detection] C:\ Program Files\ Fichiers communs\ Microsoft Shared\ Works Shared\ WkUFind.exe
O4 - HKLM\ ..\ Run: [NeroFilterCheck] C:\ WINNT\ system32\ NeroCheck.exe
O4 - HKCU\ ..\ Run: [SpyEmergency] "C:\ Program Files\ Spy Emergency 2005\ SpyEmergency.exe"
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\ Program Files\ InterVideo\ Common\ Bin\ WinCinemaMgr.exe
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O4 - Global Startup: Reality Fusion GameCam SE.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\ PROGRA~1\ MICROS~3\ OFFICE11\ EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ PROGRA~1\ MICROS~3\ OFFICE11\ REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\ WINNT\ System32\ Shdocvw.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\ WINNT\ System32\ Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\ WINNT\ system32\ ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ PROGRA~1\ Grisoft\ AVGFRE~1\ avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ PROGRA~1\ Grisoft\ AVGFRE~1\ avgupsvc.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\ Program Files\ Kerio\ Personal Firewall\ persfw.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\ Program Files\ Analog Devices\ SoundMAX\ SMAgent.exe

[zazou77]

J'ai eu un souci avec une virus une fois et j'ai contacté AVG qui m'a donné la solution pour le supprimer dans la journée

[pad74]

Pas bête remarque. Tu as fait ça par mel ?

J'imagine qu'ils ne doivent pas prendre le temps de répondre non plus à toutes les personnes en détresse comme moi

[Malouk]

Bonjour,

Sauvegarde immédiatement tes fichiers importants

D'après ce que j'ai pu avoir comme informations sur ce virus, la meilleur chose à faire, c'est de formater sans tarder

Pourquoi, car il infecte petit à petit tous les programmes et applications systemes de windows ce qui rend l'éradication très difficile car l'infection se propage.

Vu que beaucoup de choses ne fonctionnent plus sur ton pc, il a du déjà faire pas mal de dégats et pour réparer tout ça, ça risque de prendre plus de temps qu'une réinstallation.

[pad74]

Bonjour,

Sauvegarde immédiatement les fichiers, favoris

D'après ce que j'ai pu avoir comme informations sur ce virus, la meilleur chose à faire, c'est de formater sans tarder

Pourquoi, car il infecte petit à petit tous les programmes et applications systemes de windows ce qui rend l'éradication très difficile car l'infection se propage.

Vu que beaucoup de choses ne fonctionnent plus sur ton pc, il a du déjà faire pas mal de dégats et pour réparer tout ça, ça risque de prendre plus de temps qu'une réinstallation.

C'est ce que je craignais

Par contre, j'ai 2 disque, je formate juste le C: ou il y a les fichiers system ou alors j'ai le droit de le faire aussi pour le D: et mes documents ?

[Malouk]

S'il n'y a que des documents sur le d, je ne pense pas qu'il soit nécessaire de formater cette partition, car je pense que le virus s'attaque aux applications, mais pas aux documents.

S'il y a des programme d'installé aussi sur cette partition, là il faudra aussi la formater par précaution, car certains de ces programmes installé sont peut-être infectés.

[zazou77]

Oui je l'ai fait par mail au:" serviceclient@avgfrance.com"
N'oublie pas de leur communiquer ton N° de licence

[pad74]

Oui je l'ai fait par mail au:" serviceclient@avgfrance.com"
N'oublie pas de leur communiquer ton N° de licence

c'est une licence gratuite, avg gratuit quoi.
je dois avoir le numéro, il faut que je regarde. merci pour l'info B)

sinon, le scan kaspersky a trouvé ça :

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER - RAPPORT
mercredi 24 mai 2006 18:26:51
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Version de Kaspersky On-line Scanner: 5.0.78.0
Dernière mise à jour de la base antivirus Kaspersky : 24/05/2006
Enregistrements dans la base antivirus Kaspersky : 184156
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie.: vrai

Cible de l'analyse - Poste de travail:
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\

Statistiques de l'analyse:
Total d'objets analysés :: 61832
Nombre de virus trouvés: 8
Nombre d'objets infectés: 20
Nombre d'objets suspects: 33
Durée de l'analyse: 00:42:20


Analyse terminée.

j'ai zapé des lignes, confidenciel.
voila la fin du compte rendu, tout le reste concerne thunderbird

[Malouk]

Ce sont des fichiers bizarres ! Etrange même !

[pad74]

le scan de panda en ligne. par contre, il met désinfecté, je ne sais pas s'il l'a réellement fait car à la fin du scan, il me demande d'acheter le logiciel pour que la désinfection soit effective.

Virus:W32/Sdbot.ftp.worm Disinfected C:\WINNT\system32\i
Virus:W32/Sdbot.HAM.worm Disinfected C:\WINNT\system32\plko.exe
Virus:W32/Gaobot.MBQ.worm Disinfected C:\WINNT\system32\TFTP1764
Virus:W32/Gaobot.MBQ.worm Disinfected C:\WINNT\system32\TFTP196
Virus:W32/Gaobot.KHC.worm Disinfected C:\WINNT\system32\TFTP240
Virus:Bck/Poebot.HA Disinfected C:\WINNT\system32\xumw.exe
Virus:Trj/Downloader.JH Disinfected D:\Mes logiciels\backups\backup-20041027-162430-779.inf
Potentially unwanted tool:Application/SpywareStormer Not disinfected D:\Mes logiciels\backups\backup-20041202-131800-635.dll

[Malouk]

Ou il est marqué Disinfected, c'est juste un trojan. Pour Win32 Sality, à mon avis, il n'a rien fait.

[pad74]

Je viens de relancer un scan avec mon AVG et chose que n'avais pas fait avant, j'ai forcé la mise en 40ène de win32 sality trouvé ici :



Ensuite, une fois en 40ène, j'ai pu le suprimer mais je me suis dit qu'au redémarrage de l'ordi ou à un autre moment, il pouvait revenir. J'ai donc redémarré et relancé un scan. Ho surprise, plus de virus !

Est-il vraiment éradiqué ou peut il trainé encore quelque part sur mon pc ?

Par contre, AVG m'a donné cette liste lors de mon dernier scan, est ce normal tous ces fichiers ou faut-il y voir encore d'autres problèmes ?

En tout cas, un grand merci pour vos aides.

[Malouk]

Est-il vraiment éradiqué ou peut il trainé encore quelque part sur mon pc ?

Il n'a supprimé qu'un fichier ? C'est possible qu'il soit encore là. Mais bon tu te rendra compte s'il se manifeste.

Par contre, AVG m'a donné cette liste lors de mon dernier scan, est ce normal tous ces fichiers ou faut-il y voir encore d'autres problèmes ?

Il y a quand même des trucs étranges, host changed par exemple. Un programme a du modifier le fichier host, peut-être dans le but de détourner certains sites. Maintenant, je ne sais pas si avg a réparé.

[pad74]

Le virus n'est plus là mais mon pc se bloque toujours sur des applications explorer, jeux vidéo, logiciel de gravure.... : <_<

j'ai l'impression que le format est le dernier recours

[pad74]

Malgré toutes les manipulations que vous m'avez donné à faire, mon pc semble ne plus vouloir fonctionner correctement. C'est décidé, je passe au format C:

Merci à vous tous pour vos aides :jap: