[Résolu] Désinfection PC récalcitrante

[bruce lee]

re,

 

toujours a titre vérificatif:

 

 

Télécharge VirtumundoBegone sur le bureau:

http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

 

Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.

Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau

 

Ne t'inquiète pas si tu vois un message Ecran bleu "Erreur fatale", c'est normal et attendu.

 

 

demarre en mode sans echec:

 

Supprime ce qui est en gras (si present):

 

C:\WINDOWS\system32\ .exe<== le fichier

C:\WINDOWS\system32\ khfdcde.dll<== le fichier

C:\WINDOWS\system32\ cbxutqo.dll<== le fichier

C:\WINDOWS\system32\ tuvspnm.dll<== le fichier

C:\WINDOWS\system32\ nnnlljk.dll<== le fichier

C:\WINDOWS\system32\ ddcyywu.dll<== le fichier

C:\WINDOWS\system32\ ljjgebb.dll<== le fichier

C:\WINDOWS\system32\ awttrsq.dll<== le fichier

C:\WINDOWS\system32\ 27031_redworld.exe<== le fichier

C:\WINDOWS\system32\ wdtdpddy.bat<== le fichier

C:\WINDOWS\system32\ dvqbqpt.bat<== le fichier

C:\WINDOWS\system32\ uxww.exe<== le fichier

C:\WINDOWS\system32\ wuauclt1.exe<== le fichier

 

redemarre en mode normal pui fais un scan en ligne via kaspersky puis poste le rapport.

 

@+

Modifié le 5 décembre 2006 par bruce lee

[maxr397]

vbg.txt :

[12/05/2006, 21:20:46] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Maxime\Bureau\VirtumundoBeGone.exe" )

[12/05/2006, 21:20:56] - Detected System Information:

[12/05/2006, 21:20:56] - Windows Version: 5.1.2600, Service Pack 1

[12/05/2006, 21:20:56] - Current Username: Maxime (Admin)

[12/05/2006, 21:20:56] - Windows is in NORMAL mode.

[12/05/2006, 21:20:56] - Searching for Browser Helper Objects:

[12/05/2006, 21:20:56] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)

[12/05/2006, 21:20:56] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} ()

[12/05/2006, 21:20:56] - WARNING: BHO has no default name. Checking for Winlogon reference.

[12/05/2006, 21:20:56] - Checking for HKLM\...\Winlogon\Notify\SDHelper

[12/05/2006, 21:20:56] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.

[12/05/2006, 21:20:56] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)

[12/05/2006, 21:20:56] - Finished Searching Browser Helper Objects

[12/05/2006, 21:20:56] - Finishing up...

[12/05/2006, 21:20:56] - Nothing found! Exiting...

[bruce lee]

re,

 

Ok. le rapport ne revele rien

[maxr397]

Je n'ai pas supprimé C:\WINDOWS\system32\ wuauclt1.exe car il ne fait pas la meme taille que tous les autres et surtout qd je le survole la description est "Client Mise à jour Windows Update".

 

j'ai aussi vu deux autres fichiers suspects : wvuvuvs.dll et ljjjkkl.dll, je vais les analysés avec jotti.

Apparemment ce sont des Trofan/Vundo donc je vais aussi les effacer.

Modifié le 5 décembre 2006 par maxr397

[bruce lee]

re,

 

c'est comme pour le lssas.exe qui est deux fois, quand tu regardes ici:

 

http://www.sophos.fr/security/analyses/w32rbotalo.html c'est une bestiole et ici:

 

http://www.programchecker.com/file/2849.aspx

 

fais le quand meme scanner chez JOTTI.

 

j'ai aussi vu deux autres fichiers suspects : wvuvuvs.dll et ljjjkkl.dll, je vais les analysés avec jotti.

 

Vu les noms ils sont surement a virer de plus inconnu de chez google

 

@ demain pour la suite bonne nuit

Modifié le 5 décembre 2006 par bruce lee

[maxr397]

j'ai scanné C:\WINDOWS\system32\ wuauclt1.exe et :

File: wuauclt1.exe

Status: OK

 

voici le rapport kaspersky:

-------------------------------------------------------------------------------

KASPERSKY ON-LINE SCANNER REPORT

Tuesday, December 05, 2006 10:26:20 PM

Système d'exploitation : Microsoft Windows XP Professional, Service Pack 1 (Build 2600)

Kaspersky On-line Scanner version : 5.0.83.0

Dernière mise à jour de la base antivirus Kaspersky : 5/12/2006

Enregistrements dans la base antivirus Kaspersky : 234307

-------------------------------------------------------------------------------

 

Paramètres d'analyse:

Analyser avec la base antivirus suivante: standard

Analyser les archives: vrai

Analyser les bases de messagerie: vrai

 

Cible de l'analyse - Dossiers:

C:\

 

Statistiques de l'analyse:

Total d'objets analysés: 27702

Nombre de virus trouvés: 1

Nombre d'objets infectés: 1 / 0

Nombre d'objets suspects: 0

Durée de l'analyse: 00:35:20

 

Nom de l'objet infecté / Nom du virus / Dernière action

C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Maxime\Application Data\Mozilla\Firefox\Profiles\ymqw85xb.default\cert8.db L'objet est verrouillé ignoré

C:\Documents and Settings\Maxime\Application Data\Mozilla\Firefox\Profiles\ymqw85xb.default\formhistory.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Maxime\Application Data\Mozilla\Firefox\Profiles\ymqw85xb.default\history.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Maxime\Application Data\Mozilla\Firefox\Profiles\ymqw85xb.default\key3.db L'objet est verrouillé ignoré

C:\Documents and Settings\Maxime\Application Data\Mozilla\Firefox\Profiles\ymqw85xb.default\parent.lock L'objet est verrouillé ignoré

C:\Documents and Settings\Maxime\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Maxime\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Maxime\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Maxime\Local Settings\Application Data\Mozilla\Firefox\Profiles\ymqw85xb.default\Cache\_CACHE_001_ L'objet est verrouillé ignoré

C:\Documents and Settings\Maxime\Local Settings\Application Data\Mozilla\Firefox\Profiles\ymqw85xb.default\Cache\_CACHE_002_ L'objet est verrouillé ignoré

C:\Documents and Settings\Maxime\Local Settings\Application Data\Mozilla\Firefox\Profiles\ymqw85xb.default\Cache\_CACHE_003_ L'objet est verrouillé ignoré

C:\Documents and Settings\Maxime\Local Settings\Application Data\Mozilla\Firefox\Profiles\ymqw85xb.default\Cache\_CACHE_MAP_ L'objet est verrouillé ignoré

C:\Documents and Settings\Maxime\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Maxime\Local Settings\Historique\History.IE5\MSHist012006120520061206\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Maxime\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Maxime\ntuser.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Maxime\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Program Files\BitDefender8\asdict.dat L'objet est verrouillé ignoré

C:\System Volume Information\_restore{F1920591-F463-49F6-8516-70B97323AB8A}\RP14\change.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\oakley.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\winsecure.exe.mwt Infecté : Backdoor.Win32.Rbot.bny ignoré

C:\WINDOWS\Temp\tmp00000b4e\tmp00000000 L'objet est verrouillé ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

 

Analyse terminée.

 

J'ai supprimé C:\WINDOWS\system32\winsecure.exe.mwt.

[bruce lee]

bonjour maxr397,

 

si tu as supprimé le fichier vide maintenant le contenu de ta corbeille puis refais un scan en ligne et dis moi ce que ca donne.

 

@+

[maxr397]

voici le rapport kaspersky :

-------------------------------------------------------------------------------

KASPERSKY ON-LINE SCANNER REPORT

Wednesday, December 06, 2006 6:20:05 PM

Système d'exploitation : Microsoft Windows XP Professional, Service Pack 1 (Build 2600)

Kaspersky On-line Scanner version : 5.0.83.0

Dernière mise à jour de la base antivirus Kaspersky : 6/12/2006

Enregistrements dans la base antivirus Kaspersky : 234523

-------------------------------------------------------------------------------

 

Paramètres d'analyse:

Analyser avec la base antivirus suivante: standard

Analyser les archives: vrai

Analyser les bases de messagerie: vrai

 

Cible de l'analyse - Dossiers:

C:\

 

Statistiques de l'analyse:

Total d'objets analysés: 27613

Nombre de virus trouvés: 0

Nombre d'objets infectés: 0 / 0

Nombre d'objets suspects: 0

Durée de l'analyse: 00:30:15

 

Nom de l'objet infecté / Nom du virus / Dernière action

C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Maxime\Application Data\Mozilla\Firefox\Profiles\ymqw85xb.default\cert8.db L'objet est verrouillé ignoré

C:\Documents and Settings\Maxime\Application Data\Mozilla\Firefox\Profiles\ymqw85xb.default\formhistory.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Maxime\Application Data\Mozilla\Firefox\Profiles\ymqw85xb.default\history.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Maxime\Application Data\Mozilla\Firefox\Profiles\ymqw85xb.default\key3.db L'objet est verrouillé ignoré

C:\Documents and Settings\Maxime\Application Data\Mozilla\Firefox\Profiles\ymqw85xb.default\parent.lock L'objet est verrouillé ignoré

C:\Documents and Settings\Maxime\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Maxime\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Maxime\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Maxime\Local Settings\Application Data\Mozilla\Firefox\Profiles\ymqw85xb.default\Cache\_CACHE_001_ L'objet est verrouillé ignoré

C:\Documents and Settings\Maxime\Local Settings\Application Data\Mozilla\Firefox\Profiles\ymqw85xb.default\Cache\_CACHE_002_ L'objet est verrouillé ignoré

C:\Documents and Settings\Maxime\Local Settings\Application Data\Mozilla\Firefox\Profiles\ymqw85xb.default\Cache\_CACHE_003_ L'objet est verrouillé ignoré

C:\Documents and Settings\Maxime\Local Settings\Application Data\Mozilla\Firefox\Profiles\ymqw85xb.default\Cache\_CACHE_MAP_ L'objet est verrouillé ignoré

C:\Documents and Settings\Maxime\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Maxime\Local Settings\Historique\History.IE5\MSHist012006120620061207\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Maxime\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Maxime\ntuser.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Maxime\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Program Files\BitDefender8\asdict.dat L'objet est verrouillé ignoré

C:\WINDOWS\Debug\oakley.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\Temp\tmp00002b5e\tmp00000000 L'objet est verrouillé ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

 

Analyse terminée.

[bruce lee]

re,

 

c'est clean

 

As tu encore des problemes avec ton PC?

[maxr397]

non pour le moment ca a l'air de bien aller niveau bestioles. J'ai juste des écrans bleus qui sont revenus mais bon je pense pas que ca ai un lien ... enfin c'est quand meme curieux que ca revienne juste quand j'ai plus de pbs ...