[RESOLU] Infectée par Antivirus 2009...

[jamie19]

Ok, je fais ça dès que je rentre.

 

Juste pour infos, j'ai lancé Malware (après une MAJ, of course) après le scan OTScanIt et il n'a rien trouvé!

 

On doit etre sur la bonne voie

[jamie19]

Ca a pris une éternité, il y avait constamment le sablier mais pas de fenetre demandant à rebooter le PC. J'ai dû éteindre le PC à la sauvage après 2h d'attente.

 

Au redémarrage, il m'a ouvert un bloc note avec un CR, est-ce que c'est ce que tu voulais?

 

 

Files moved on Reboot...

 

Registry entries deleted on Reboot...

Registry delete failed. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_Dlls:c:\windows\system32\fefiweta.dll scheduled to be deleted on reboot.

Registry delete failed. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_Dlls:c:\windows\system32\midogiru.dll scheduled to be deleted on reboot.

Registry delete failed. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_Dlls:c:\windows\system32\fujegifu.dll scheduled to be deleted on reboot.

Registry delete failed. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\\Authentication Packages:C:\WINDOWS\system32\ddcyy.dll scheduled to be deleted on reboot.

 

Dis moi, si c'est bon, pendant ce temps, je lance MBAM.

[Thanos]

salut

 

J'ai dû éteindre le PC à la sauvage après 2h d'attente.

2 heures ca fait long!! OTScanIt2 avait besoin du redémarrage de Windows pour pouvoir éliminer les fichiers incriminés. On va refaire un petit scan rapide après (le même que tu as fait précédemment) pour voir si les fichiers sont effectivement supprimés.

 

Ok pour le scan MBAM, en attente du rapport

[jamie19]

Ok, avant de faire MBAM, j'ai relancé le scan et Il a encore une plombe pr avancer alors j'ai dû éteindre à nouveau le PC et là j'ai eu le meme rapport.

 

Le voici:

 

Files moved on Reboot...

 

Registry entries deleted on Reboot...

Registry delete failed. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_Dlls:c:\windows\system32\fefiweta.dll scheduled to be deleted on reboot.

Registry delete failed. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_Dlls:c:\windows\system32\midogiru.dll scheduled to be deleted on reboot.

Registry delete failed. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_Dlls:c:\windows\system32\fujegifu.dll scheduled to be deleted on reboot.

Registry delete failed. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\\Authentication Packages:C:\WINDOWS\system32\ddcyy.dll scheduled to be deleted on reboot.

 

 

Qu'est ce que je dois faire?

Est-ce je devrais aller dans le registre et les supprimer moi meme?

[Thanos]

Qu'est ce que je dois faire?

Est-ce je devrais aller dans le registre et les supprimer moi meme?

Désolé je me suis mal exprimé Jamie: n'utilise plus OtScanIt pour le moment.

Quand je disait "On va refaire un petit scan rapide après (le même que tu as fait précédemment)", je voulais dire qu'on relancerait un scan OtScanIt mais sans script (comme le tout premier qu'on a fait).

Lance le scan MBAM et poste le rapport stp: on refais un scan avec OtScanIt après ca, mais comme indiqué dans mon message ici >> http://forum.zebulon.fr/infectee-par-antiv...86#entry1320386

[jamie19]

Ok, je le lance maintenant. Je posterais le rapport dès que je l'ai. Ca prend du temps généralement.

[jamie19]

Rapport MBAM:

 

Malwarebytes' Anti-Malware 1.31

Version de la base de données: 1495

Windows 5.1.2600 Service Pack 3

 

13/12/2008 10:03:07

mbam-log-2008-12-13 (10-03-07).txt

 

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)

Eléments examinés: 352559

Temps écoulé: 2 hour(s), 41 minute(s), 5 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\WINDOWS\system32\wurubawu.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

[Thanos]

Ok, MBAM en a éliminé un! refais un scan comme indiqué dans mon message ici stp >> http://forum.zebulon.fr/infectee-par-antiv...86#entry1320386

Courage!

[jamie19]

Voici le dernier rapport de OTScanIt:

http://www.cijoint.fr/cjlink.php?file=cj20.../cijAmX9ozJ.txt

[Thanos]

salut

 

Le dernier rapport est encourageant: il ne reste que quelques fichiers pas méchants (des restes!)

J'en profite au passage pour éliminer des fichiers instalés par SmitFraudfix.

On va réutiliser OtScanIt pour les virer: le scan doit être rapide! (quelques minutes tout au plus): si ce n'est pas le cas, laisse tomber, on les éliminera autrement.

 

1°) Ouvre le dossier OTScanIt2 et fais un double clic sur OTScanIt2.exe pour lancer le programme (si tu es sous Windows Vista, fais un clic droit sur le programme et choisis Exécuter en tant qu'Administrateur).

 

Fais un copier/coller des informations de la zone Code ci-dessous (ne copie pas le mot CODE!) dans la zone de saisie intitulée "Paste fix here" puis clique sur le bouton Run Fix =>

[Registry - Additional Scans - Safe List]
< Disabled MSConfig Registry Items [HKEY_LOCAL_MACHINE] > -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\
YN -> 40c83d4c hkey=HKLM key=SOFTWARE\Microsoft\Windows\CurrentVersion\Run -> %SystemRoot%\system32\buvujano.DLL
YN -> CPM43fb0ed0 hkey=HKLM key=SOFTWARE\Microsoft\Windows\CurrentVersion\Run -> %SystemRoot%\system32\wurubawu.DLL
YN -> KernelFaultCheck hkey=HKLM key=SOFTWARE\Microsoft\Windows\CurrentVersion\Run -> 
[Files/Folders - Created Within 90 Days]
NY -> CF21604.exe -> %SystemRoot%\System32\CF21604.exe
NY -> CF19550.exe -> %SystemRoot%\System32\CF19550.exe
NY -> orotazip.ini -> %SystemRoot%\System32\orotazip.ini
NY -> ejigopiv.ini -> %SystemRoot%\System32\ejigopiv.ini
NY -> ukojuhoy.ini -> %SystemRoot%\System32\ukojuhoy.ini
NY -> SDFix.exe -> %UserProfile%\Bureau\SDFix.exe
NY -> CF10882.exe -> %SystemRoot%\System32\CF10882.exe
NY -> ubakijut.ini -> %SystemRoot%\System32\ubakijut.ini
NY -> egelusaz.ini -> %SystemRoot%\System32\egelusaz.ini
NY -> VCCLSID.exe -> %SystemRoot%\System32\VCCLSID.exe
NY -> SrchSTS.exe -> %SystemRoot%\System32\SrchSTS.exe
NY -> swreg.exe -> %SystemRoot%\System32\swreg.exe
NY -> VACFix.exe -> %SystemRoot%\System32\VACFix.exe
NY -> o4Patch.exe -> %SystemRoot%\System32\o4Patch.exe
NY -> IEDFix.exe -> %SystemRoot%\System32\IEDFix.exe
NY -> IEDFix.C.exe -> %SystemRoot%\System32\IEDFix.C.exe
NY -> 404Fix.exe -> %SystemRoot%\System32\404Fix.exe
NY -> swxcacls.exe -> %SystemRoot%\System32\swxcacls.exe
NY -> Process.exe -> %SystemRoot%\System32\Process.exe
NY -> dumphive.exe -> %SystemRoot%\System32\dumphive.exe
NY -> swsc.exe -> %SystemRoot%\System32\swsc.exe
NY -> WS2Fix.exe -> %SystemRoot%\System32\WS2Fix.exe
[Files/Folders - Modified Within 90 Days]
NY -> FFXP36_Keygen.exe -> C:\Documents and Settings\HP_Administrateur\Local Settings\Temp\FFXP36_Keygen.exe
NY -> CF21604.exe -> %SystemRoot%\System32\CF21604.exe
NY -> CF19550.exe -> %SystemRoot%\System32\CF19550.exe
NY -> orotazip.ini -> %SystemRoot%\System32\orotazip.ini
NY -> ejigopiv.ini -> %SystemRoot%\System32\ejigopiv.ini
NY -> SDFix.exe -> %UserProfile%\Bureau\SDFix.exe
NY -> ukojuhoy.ini -> %SystemRoot%\System32\ukojuhoy.ini
NY -> bobebeji.dll -> %SystemRoot%\System32\bobebeji.dll
NY -> CF10882.exe -> %SystemRoot%\System32\CF10882.exe
NY -> ubakijut.ini -> %SystemRoot%\System32\ubakijut.ini
NY -> egelusaz.ini -> %SystemRoot%\System32\egelusaz.ini
NY -> o4Patch.exe -> %SystemRoot%\System32\o4Patch.exe
NY -> IEDFix.C.exe -> %SystemRoot%\System32\IEDFix.C.exe
NY -> VACFix.exe -> %SystemRoot%\System32\VACFix.exe
[Empty Temp Folders]

L'exécution devrait être très rapide.

Le Bloc-notes va s'ouvrir et afficher à ce moment-là les résultats finaux. Envoie-moi ces informations en réponse.

 

Un scan en ligne pour terminer quand tu pourras >>

 

2°) Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien=> Cybersécurité

 

• Fais un scan en ligne Kaspersky
  
• Clique sur Accept
  
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
  
• clique une nouvelle fois sur "Accept"
  
• Les bases de mises à jour vont s'installer, patiente un moment
  
• Clique sur Next.
  
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.
  

 

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

 

Copie/colle la totalité du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

 

Colle ce rapport dans ta réponse sur le forum.

 

Aide en cas de problème :Cybersécurité

 

NOTE: Le scan est à faire avec Internet Explorer.

 

Poste les deux rapports stp: comment fonctionne le pc ?

Modifié le 13 décembre 2008 par Thanos