[resolu]virus/ver "Win32:Protoride-AO [Wrm]" sur lecteur virtuel.

" sur lecteur virtuel. [resolu]virus/ver "Win32:Protoride-AO [Wrm] - Sécurité - Windows & Software

Marsh Posté le 22-01-2006 à 02:06:24    

Salut :(  
 
J'ai malheureusement choppé une vérolle, qui est passée au travers d'AVAST et de KERIO, en surfant sur internet.
Win32 Protoride-AO [Wrm]
 
J'ai fait un scan avast: le truc s'est foutu sur une image que j'avais montée sur un lecteur virtuel I:  :/
 
=>impossible de supprimer/déplacer/mettre en quarantaine...
 
  Quand je démonte l'image, en rescannant, avast ne détecte plus rien. :heink:  
 
   
  J'ai essayé de faire des scans en ligne, mais ils n'arrivent pas à se charger, "impossible de charger les machins ActiveX, vous devez être en droits d'administrateur, et la sécurité d'IE doit être mise sur Moyen..."...
edit: je suis en administrateur
 
 
Pourriez-vous me conseiller s'il vous plait, comment régler le probleme? Ou s'est fixé le ver??  
Quand je remonte l'image, immédiatement avast redétecte le ver!
J'ai scanné le fichier ISO qui était monté: rien!
Que faire?? :sweat:

Message cité 1 fois
Message édité par Gluonk le 24-01-2006 à 01:04:40
Reply

Marsh Posté le 22-01-2006 à 02:06:24   

Reply

Marsh Posté le 22-01-2006 à 03:47:53    

Gluonk a écrit :

Salut :(  
 
J'ai malheureusement choppé une vérolle, qui est passée au travers d'AVAST et de KERIO, en surfant sur internet.
Win32 Protoride-AO [Wrm]
 
J'ai fait un scan avast: le truc s'est foutu sur une image que j'avais montée sur un lecteur virtuel I:  :/
 
=>impossible de supprimer/déplacer/mettre en quarantaine...
 
  Quand je démonte l'image, en rescannant, avast ne détecte plus rien. :heink:  
 
   
  J'ai essayé de faire des scans en ligne, mais ils n'arrivent pas à se charger, "impossible de charger les machins ActiveX, vous devez être en droits d'administrateur, et la sécurité d'IE doit être mise sur Moyen..."...
edit: je suis en administrateur
 
 
Pourriez-vous me conseiller s'il vous plait, comment régler le probleme? Ou s'est fixé le ver??  
Quand je remonte l'image, immédiatement avast redétecte le ver!
J'ai scanné le fichier ISO qui était monté: rien!
Que faire?? :sweat:


Suprimer l'iso :)

Reply

Marsh Posté le 22-01-2006 à 12:54:40    

est-tu sûr que ça vient de l'ISO?? quand je la scanne, il n'y a rien! :sweat:  
Ne serait-ce pas plutot le lecteur virtuel qui est vérollé (le truc systeme qui y est associé?)
 
ps: est-ce que tu pourrais enlever la citation dans ta réponse, ça prend de la place pour rien, merci d'avance!...


Message édité par Gluonk le 22-01-2006 à 13:09:58
Reply

Marsh Posté le 22-01-2006 à 13:04:56    

en fait y'a un INSTALL.EXE qui ne correspond à rien (pas à l'ISO que j'ai montée), et qui me bouffe de la ressource, sans que ça soit visible dans le gestionnaire des tâches (on voit bien le processus, mais niveau CPU et ram il semble ne rien prendre ~ 310ko). Mon pc rame quand meme!
 
sinon, je viens d'essayer une autre image: le setup.exe de l'image se lance dans le gestionnaire, mais rien ne se passe à l'écran!!! kéblo!!!
L'INSTALL.EXE s'est lançé en meme temps, mais ça correspond à rien!! (au ver quoi).
gasp!
edit: je viens de démonter la 2e image, le pc ne rame plus, ça vient bien du lecteur virtuel (alcohol120%), et pas des ISO...


Message édité par Gluonk le 22-01-2006 à 13:07:49
Reply

Marsh Posté le 22-01-2006 à 13:24:23    

plus grave:
 
comme je vous l'ai dit précédemment, bizarrement les sites de scan en ligne, ça marche pas:
"Failed to load interface -- You must have administrative rights on this computer; you also must have the Internet Explorer security settings to the Medium level. "
 
et ce qui est dingue c'est ça:
http://img59.imageshack.us/img59/944/capture11bg.jpg
 
1)vous voyez bien que ma session "BAZAR" est en administrateur (c'est celle que j'utilise).
2) c'est quoi la session "ASP.NET Machine..." ?????????
 
J'l'avais JAMAIS vue avant!! chui sûr que c'est ça qui me bloque l'accès aux droits d'administrateur!!
AU SECOUUUUUR!


Message édité par Gluonk le 22-01-2006 à 13:25:35
Reply

Marsh Posté le 22-01-2006 à 13:27:30    

Non, la session "ASP.NET" provient d'une mise à jour récente...

Reply

Marsh Posté le 22-01-2006 à 13:34:43    

ok.
Y'aurait pas quelqu'un dans l'coin qui saurait régler l'probleme, parce que moi j'vais pas attendre que ça se propage, j'vais formater...(et jme fouterais plus jamais en administrateur!)
 
edit: je viens de monter l'ISO suspecte avec Daemon Tool, l'effet est le meme qu'avec alcohol120%: le ver est détecté.
Donc je vais être obligé de supprimer l'ISO effectivement...

 
1)sinon, y'a possibilité que je crée une session admin, et que je foute les autres en sessions secondaires??
(panneau de config?)

 
2)Y-a-t-il des risques pour que le ver aie contaminé autrechose que l'ISO? (systeme, en particulier l'émulation crée par daemon tools etc)
 
3)I.E est bien en mode moyen, les plugin ActiveX sont activé, mais je ne peux toujours pas faire de scan en ligne, et le message d'erreur est toujours le meme! Comment je règle le probleme?


Message édité par Gluonk le 22-01-2006 à 20:27:09
Reply

Marsh Posté le 23-01-2006 à 17:25:38    

Bon,  :)  
 
 
http://img372.imageshack.us/img372/9836/capture12px.jpg
 
c'est quoi ça??  J'ai formaté l'PC, et je voudrais savoir si ce truc est un processus normal ou quoi...

Reply

Marsh Posté le 23-01-2006 à 17:28:22    

Certianement une tentative d'entrée après t'être pris le troyen qui était dans ton ISO de logiciel piraté :sarcastic: :D

Reply

Marsh Posté le 23-01-2006 à 18:39:10    

logiciel piraté? bein, j'ai fait une image avec alcohol d'un de mes jeux, pour pas avoir à foutre le cd!
Pis en fait en surfant sur le net (hum, j'vous laisse deviner où), j'ai choppé une saloperie, qui s'est fixée sur l'image montée....
 
en tout cas, c'est vraiment une tentative d'entrée? ou tu dis ça pour déconner?? :)
edit: si oui, ça veut dire que j'ai encore le ver??


Message édité par Gluonk le 23-01-2006 à 18:44:54
Reply

Marsh Posté le 23-01-2006 à 18:39:10   

Reply

Marsh Posté le 23-01-2006 à 21:38:03    

Disons qu'une tentative d'entrée sur un port aussi "particulier", c'est plutôt bizarre. Il est possible que tu aies chopé un troyen (très fréquent sur les sites peu recommandables) et que ce soit son propriétaire qui tente de rentrer. Maintenant, cela ne veut pas dire pour autant que tu as encore le trojan.

Reply

Marsh Posté le 23-01-2006 à 22:44:29    

y'a un moyen définitif de bannir ça?
Si jamais je désactive kerio pour un autre truc (temporairement), chui mal...
 
edit: j'veux dire, y'a moyen de fermer définitivement le port qui est utilisé, pour éviter l'utilisation de ce port à des fins maléfiques?
(j'sais bien que kério bloque ce port, mais bon si y'avait une manip "base de registre" ou autre pour boucher le port...)
 
parce que kerio est distrait  :cry:  :
http://img472.imageshack.us/img472/616/capture27nz.jpg
 
en fait ce processus, on dirait que c'est un truc normal, parce que y'a marqué "cust.télé2.fr" (c'est mon FAI).
Genre ça semble être un processus systeme pour l'établissement de la connection internet...
Mais c'est ce dont je voudrais être sûr! (j'ai fait une recherche Google, et j'ai rien trouvé de certain pour l'instant...). 'Fin bon.


Message édité par Gluonk le 24-01-2006 à 00:58:38
Reply

Marsh Posté le 24-01-2006 à 01:04:05    

ok:
"Le generic host process services for win32 est nécessaire pour que votre machine reçoive les information DNS de votre Provider Internet."
http://www.sosordi.net/q4405.html
 
Bon, je sujet est clos. Merci à vous pour le coup d'main. ;)

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed