virus dans système volume information

Questions relatives à la sécurité de votre ordinateur sous Windows: résolution des problèmes liés aux virus, pare-feu, ...
Verrouillé
mjptj
Novice
Novice
Messages : 9
Enregistré le : 01 juil. 2007, 18:16

virus dans système volume information

Message par mjptj »

bonjour, mon anti virus bitdefender a trouvé un virus dans système volume information qu'il n'arrive pas a supprimer ou déplacer,j'ai eu beau checher dans tout le forum et toutes les solutions ont échouées desactiver la restauration systeme les dernieres restaurations sont supprimées mais pas celle infecté.scannow arrive a 99% et me prévient que des erreurs ne sont pas corrigées,je suis sous vista , une analyse en ligne de kasperski n'a rien trouvé,un rapport hyjack this est disponible mais l'évaluation sur son site a l'air OK
merci de votre aide
salutations à tous
salutationa à tous
Avatar du membre
nardino
Modérateurs
Modérateurs
Messages : 11993
Enregistré le : 05 févr. 2007, 17:38
Localisation : Reims
Contact :

Message par nardino »

Bonsoir,
Il peut s'agir d'un faux positif.
Peux-tu nous communiquer le nom du virus trouvé.
Image
Clic sur l'image pour ouvrir le site.
mjptj
Novice
Novice
Messages : 9
Enregistré le : 01 juil. 2007, 18:16

Message par mjptj »

bonjour, j'etais absent raison de la lenteur de ma réponse le virus detecteé serai adware vdm
merci de ton aide
salutationa à tous
mjptj
Novice
Novice
Messages : 9
Enregistré le : 01 juil. 2007, 18:16

Message par mjptj »

bonjour,
juste une idée qui me traverse l'esprit est-ce que ce virus adware.vdm qui date de début juin ne viendrait pas de la version précédente XP ? vu que j'ai fait la mise à jour vers vista dans cette période.
salutationa à tous
Avatar du membre
nardino
Modérateurs
Modérateurs
Messages : 11993
Enregistré le : 05 févr. 2007, 17:38
Localisation : Reims
Contact :

Message par nardino »

Bonjour.

Installe cet utilitaire:
http://pchelpbordeaux.free.fr/frames/lo ... S%20VF.exe

HijackThis 1.99.1 Français

Clique sur l'icône du bureau et sur Propiétés ena bas, puis dans l'onglet Compatibilité, coche la case du bas Exécuter en tant qu'administrateur.
Valide par Appliquer et OK
Lance-le par Scanner et sauvegarder le log.
Puis poste par copier-coller le Blocnote qui s'est ouvert.
CTRL+A pour tout sélectionner
CTRL+C pour copier
CTRL+V pour coller dans la réponse
Et tu le refermes pour le moment.
Tu attends les résultats de l'analyse.
Image
Clic sur l'image pour ouvrir le site.
mjptj
Novice
Novice
Messages : 9
Enregistré le : 01 juil. 2007, 18:16

Message par mjptj »

bonjour voici le rapport demandé:
Logfile of HijackThis v1.99.1
Scan saved at 18:34:34, on 02.07.2007
Platform: Unknown Windows (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Softwin\BitDefender10\bdmcon.exe
C:\Program Files\Softwin\BitDefender10\bdagent.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Total Uninstall 4\TuAgent.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Common Files\microsoft shared\Works Shared\WkCalRem.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Windows Mail\WinMail.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lemonde.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.5672\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: CBrowserHelperObject Object - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\BAE\BAE.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Total Uninstall Agent] "C:\Program Files\Total Uninstall 4\TuAgent.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Startup: WkCalRem.LNK = C:\Program Files\Common Files\microsoft shared\Works Shared\WkCalRem.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix:
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} (SysProWmi Class) - http://support.euro.dell.com/systemprofiler/SysPro.CAB
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/share ... insctl.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resour ... se9602.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 0281693938
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005 ... scan53.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.5.0_10) - http://javadl-esd.sun.com/update/1.5.0/ ... s-i586.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game11.zylom.com/activex/zylomgamesplayer.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\Windows\SYSTEM32\WgaLogon.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program Files\Common Files\EPSON\EBAPI\eEBSvc.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\Common Files\NMSAccessU.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
salutationa à tous
Avatar du membre
nardino
Modérateurs
Modérateurs
Messages : 11993
Enregistré le : 05 févr. 2007, 17:38
Localisation : Reims
Contact :

Message par nardino »

Bonsoir.

Pas de problème dans ce rapport.
Je pense qu'il s'agit bien d'un faux positif.

Fais sacnner le fichier "infecté" ici:
http://www.virustotal.com/xhtml/virustotal_en.html
Virustotal-maxi10mb

Enregistre et poste le rapport.
Image
Clic sur l'image pour ouvrir le site.
mjptj
Novice
Novice
Messages : 9
Enregistré le : 01 juil. 2007, 18:16

Message par mjptj »

bonsoir,
il y a beaucoup de fichier a analyser le les fait 1par1
sinon comment comment editer une capture d'ecran
salutationa à tous
mjptj
Novice
Novice
Messages : 9
Enregistré le : 01 juil. 2007, 18:16

Message par mjptj »

bonsoir,
vola le rapport de bitedender je ne sais pas quel fichier est vraiment infecté
merci de ta patience


Résumé:

C:\System Volume Information\_restore{89F059FC-A2FD-496B-8CF6-0CF6AC11298A}\RP2\A0000132.EXE=>wise0011=>wise0009 Détecté: Adware.VDM
C:\System Volume Information\_restore{89F059FC-A2FD-496B-8CF6-0CF6AC11298A}\RP2\A0000132.EXE=>wise0011=>wise0009 Désinfection impossible
C:\System Volume Information\_restore{89F059FC-A2FD-496B-8CF6-0CF6AC11298A}\RP2\A0000132.EXE=>wise0011=>wise0009 Déplacement impossible

C:\System Volume Information\_restore{B76BBBE8-C54E-4843-A732-E71FCDB2F0CA}\RP1\A0000062.EXE=>wise0011=>wise0009 Détecté: Adware.VDM
C:\System Volume Information\_restore{B76BBBE8-C54E-4843-A732-E71FCDB2F0CA}\RP1\A0000062.EXE=>wise0011=>wise0009 Désinfection impossible
C:\System Volume Information\_restore{B76BBBE8-C54E-4843-A732-E71FCDB2F0CA}\RP1\A0000062.EXE=>wise0011=>wise0009 Déplacement impossible
salutationa à tous
mjptj
Novice
Novice
Messages : 9
Enregistré le : 01 juil. 2007, 18:16

Message par mjptj »

bonsoir,
voila la capture d'ecran de virustotal
http://www.hiboox.com/lang-fr/image.php ... xt26so.jpg
salutationa à tous
Avatar du membre
nardino
Modérateurs
Modérateurs
Messages : 11993
Enregistré le : 05 févr. 2007, 17:38
Localisation : Reims
Contact :

Message par nardino »

Bonsoir,

Le problème est beaucoup plus simple.
Si infection il y a elle se trouve dans un point de restauration.
Aussi tu vas désactiver cette dernière pour effacer les points et la réactiver pour en créer un nouveau.

Passe par Panneau de configuration:


Image

Image

Image

Et ensuite tu refais le chemin pour recocher et recréer un point sain.
Image
Clic sur l'image pour ouvrir le site.
mjptj
Novice
Novice
Messages : 9
Enregistré le : 01 juil. 2007, 18:16

Message par mjptj »

bonjour,
c'est la premiere chose que j'ai fait ca efface les derniers points de restauration mais pas ceux infecté mais je vais reessayé quand même
ciao
salutationa à tous
mjptj
Novice
Novice
Messages : 9
Enregistré le : 01 juil. 2007, 18:16

Message par mjptj »

bonjour
voila le resultat de l'analyse de bullguard + copie d'ecran
http://www.hiboox.com/lang-fr/image.php ... qgi7q8.jpg

http://www.hiboox.com/lang-fr/image.php ... l90et9.jpg

infected Files
___________________________________________________________

----[ Infected Spyware Files ]------------

Malware: Adware.VDM
C:\System Volume Information\_restore{89F059FC-A2FD-496B-8CF6-0CF6AC11298A}\RP2\A0000132.EXE=>wise0011=>wise0009
C:\System Volume Information\_restore{B76BBBE8-C54E-4843-A732-E71FCDB2F0CA}\RP1\A0000062.EXE=>wise0011=>wise0009

___________________________________________________________

Results after ROUND 0
___________________________________________________________

Scan started: Tuesday, July 03, 2007 07:54:16
Scan duration: 0 days, 08 hours, 27 minutes, 08 seconds
Infections solved: 0
Infections left: 2
Viruses left: 1

----[ Spyware Files Still Infected ]------------

Malware: Adware.VDM
C:\System Volume Information\_restore{89F059FC-A2FD-496B-8CF6-0CF6AC11298A}\RP2\A0000132.EXE=>wise0011=>wise0009
C:\System Volume Information\_restore{B76BBBE8-C54E-4843-A732-E71FCDB2F0CA}\RP1\A0000062.EXE=>wise0011=>wise0009

___________________________________________________________

Results after ROUND 1
___________________________________________________________

Scan started: Tuesday, July 03, 2007 16:25:51
Scan duration: 0 days, 00 hours, 00 minutes, 04 seconds
Infections solved: 0
Infections left: 2
Viruses left: 1

----[ Spyware Files Still Infected ]------------

Malware: Adware.VDM
Status: Deletion Failed
C:\System Volume Information\_restore{89F059FC-A2FD-496B-8CF6-0CF6AC11298A}\RP2\A0000132.EXE=>wise0011=>wise0009
C:\System Volume Information\_restore{B76BBBE8-C54E-4843-A732-E71FCDB2F0CA}\RP1\A0000062.EXE=>wise0011=>wise0009
salutationa à tous
Verrouillé