VIRUS worm_rbot.fwn

[woody150]

Salut!

Un de mes clients possède un serveur sous windows serveur 2003. Depuis 2 semaines, un virus s'est introduit dans le systeme. Ce virus s'appel "worm_rbot.fwn".

Après analyse avec trend micro pc cillin 2007 il me trouve le fichier "c:\windows\system32\oqkiqmtcd.exe" il est infecté par ce virus mais ne peut ni le supprimer ni le mettre en quarantaine.

Mon antivirus me propose une solution en ligne "http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_RBOT.FWN".

J'ai testé cette solution, et le problème est que lorsque je supprime toutes les traces de ce fichier "c:\windows\system32\oqkiqmtcd.exe" dans la base de registre, msconfig, sur les disques, systématiquement au redémarrage du système il me crée un nouveau fichier du même type (ex: "c:\windows\system32\thcckwwtc.exe").

Du coup je refait la même procédure avec ce nouveau fichier et c'est à chaque fois le même soucis au redémarrage il créé toujours un nouveau fichier.

J'ai fait cette procédure au moins un quinzaine de fois mais le problème se reproduit à l'infinit.

Si quelqu'un voit le probleme que je rencontre et connait soit un patch soit une méthode pour virer se satané virus ce serait super

Merci d'avance.

[bruce lee]

Bonjour woody150,

 

Fais un clic droit sur ce lien :

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.zip

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.

Fais un clic droit sur navilog1.zip et choisis "tout extraire"

Ensuite double clique sur navilog1.exe pour lancer l'installation.

Une fois l'installation terminée, le fix s'exécutera automatiquement.

(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

 

Laisse-toi guider. Au menu principal, choisis 1 et valides.

(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

 

Patiente jusqu'au message :

*** Analyse Termine le ..... ***

Appuie sur une touche comme demandé, le blocnote va s'ouvrir.

Copie-colle l'intégralité dans une réponse. Referme le blocnote.

Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

 

1. Télécharge combofix.exe (par sUBs) ici :

 

http://www.techsupportforum.com/sectools/sUBs/ComboFix.exe

 

http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe

 

sur ton Bureau.

 

Télécharge HijackThisV2 sur ton Bureau.

• Double-clique sur HJTInstall.exe et suis les instructions d'installation.
  
• Tu trouveras un tutoriel pour l'installation et la génération d'un rapport ici: http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm
  
• Poste le rapport généré sur le forum.
  

Modifié le 7 novembre 2007 par bruce lee

[woody150]

Merci pour toutes ces infos, mais de mon coté j'ai fait une analyse antivirus au redemarrage du système avec avast et j'ai a priori reussi à le supprimer! en tout cas il n'est plus actif je ferait tous ces tests si besoins.

[bruce lee]

Re,

 

Fait quand même la procédure que j'ai mise car a mon avis avast n'a pas tout supprimé

[angelique]

Suis la procedure de bruce lee STP!! to get out safe de ton infection!!Avast étant à oublier pour le moment.