trjan:WIN32/vundo/gen!BW [Résolu]

[Thanos]

Fais un clic droit sur le fichier OTH puis choisis Exécuter en tant qu'administrateur

puis clique sur Kill All Processes. Le Bureau va être vidé.

 

 

Clique ensuite sur Start OTL. OTL va s'exécuter.

 

• Copie-colle le code suivant dans la fenêtre Personnalisation
   

  
  :first
   
  :reg
  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  "iifghgsys"=-
  "opmnlkdrv"=-
  [HKEY_USERS\S-1-5-21-3419110973-2672001653-625276311-1000\Software\Microsoft\Windows\CurrentVersion\Run]
  "gedecydrv"=-
  [HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
  "vtustqdrv"=-
  "yaabxwsys"=-
  [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
  "vtustqdrv"=-
  "yaabxwsys"=-
   
  :OTL
  O30 - LSA: Authentication Packages - (yaaayw.dll) - C:\Windows\System32\yaaayw.dll ()
   
  :files
  C:\Windows\System32\yaaayw.dll
  C:\Windows\System32\wvtqqo.dll
   
  :commands
  [EmptyTemp]
  [Reboot]
  

• Clique ensuite sur Correction et patiente pendant que l'outil travaille.
  
• Le pc va redémarrer pour terminer le nettoyage.
  
• Copie-colle le contenu du rapport qui s'ouvre (C\_OTL\MovedFiles) dans ta prochaine réponse.

[Floky26]

All processes killed

Error: Unable to interpret <:first> in the current context!

========== REGISTRY ==========

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\iifghgsys deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\opmnlkdrv deleted successfully.

Registry value HKEY_USERS\S-1-5-21-3419110973-2672001653-625276311-1000\Software\Microsoft\Windows\CurrentVersion\Run\\gedecydrv deleted successfully.

Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\vtustqdrv deleted successfully.

Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\yaabxwsys deleted successfully.

Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\\vtustqdrv not found.

Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\\yaabxwsys not found.

========== OTL ==========

Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\\Authentication Packages:yaaayw.dll deleted successfully.

C:\Windows\System32\yaaayw.dll moved successfully.

========== FILES ==========

File\Folder C:\Windows\System32\yaaayw.dll not found.

C:\Windows\System32\wvtqqo.dll moved successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Administrateur

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Java cache emptied: 0 bytes

 

User: All Users

 

User: Chantal

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Florian

->Temp folder emptied: 299844 bytes

->Temporary Internet Files folder emptied: 33170 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 35462340 bytes

->Flash cache emptied: 1135 bytes

 

User: Public

->Temp folder emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 8405015 bytes

RecycleBin emptied: 33852447 bytes

 

Total Files Cleaned = 74,00 mb

 

 

OTL by OldTimer - Version 3.2.9.0 log created on 07112010_214336

 

Files\Folders moved on Reboot...

File move failed. C:\Windows\temp\hlktmp scheduled to be moved on reboot.

 

Registry entries deleted on Reboot...

[Thanos]

Très bien! tente de relancer MalwareBytes à présent et fais le scan indiqué plus haut

[Floky26]

marche toujours pas ...

[Thanos]

un message d'erreur lors du lancement ?

 

Il est possible que le programme ait été endommagé.

Je vais te demander de faire ceci =>

 

• Désinstalle Malwarebytes' Anti-Malware en utilisant le menu Ajouter/Supprimer des Programmes depuis le Panneau de Configuration.
  
• Redémarre le pc (très important)
  
• Télécharge ce programme sur le Bureau et lance le => MBAM Cleaner
  
• ll te sera demandé de redémarrer le pc lorsque l'outil aura terminé son travail (accepte).
  
• Après redémarrage, réinstalle la dernière version de MBAM >>ICI<<.
  
• Note: Si tu utilises la version payante de Malwareybtes, il te faudra réactiver le programme en utilisant la license qui t'a été expédiée par e-mail
  

 

Relance le scan ensuite.

[Floky26]

Toujours impossible de le lancé

Modifié le 11 juillet 2010 par Floky26

[Thanos]

ok: on va faire un scan supplémentaire assez rapide car nous avons peut être un rootkit là dessous =>

 

Télécharge GMER Rootkit Scanner du lien suivant :

 

GMER - Rootkit Detector and Remover

 

- Clique sur le bouton "Download EXE"

- Sauvegarde-le sur ton Bureau.

- Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur.

- Ferme les fenêtres de navigateur ouvertes.

- Fais un clic droit sur le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) puis choisis Exécuter en tant qu'administrateur

- Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO"

• 
   
   
  
• **Assure-toi que "Show All" est décoché**

- Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +)

- Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ;

- Nomme le fichier"Ark.txt" et sauvegarde-le sur le Bureau ;

- Copie/colle le contenu de ce rapport dans ta réponse.

[Floky26]

Voila le résultat :

http://www.cijoint.fr/cj201007/cijLrX2PGT.txt

[Thanos]

salut

 

Le rapport ne montre rien de mauvais!

Je vais te demander de faire un autre scan plus détaillé (c'est rapide ) car il faut trouver le responsable de la ré-infection du système =>

 

Télécharge OTS.exe sur le Bureau, et fais un double clic dessus pour lancer le programme.

 

Notes :

 

-Si pendant le téléchargement et/ou l’installation tu reçois une alerte de ton antivirus, ignore-là. Certains composants de OTS peuvent être détectés comme un virus par certains antivirus. Pense aussi à désactiver tes protections résidentes durant la procédure.

 

-Tu dois avoir ouvert une session avec un compte ayant les droits Administrateur pour exécuter ce programme.

• Fais un double clic sur OTS.exe pour lancer le programme
  
• Sous "File Age" en haut, clique sur le menu déroulant et sélectionne "60 days".
  
• Sous "Additional Scans" clique sur le bouton "Extras" puis coche la case située devant les éléments suivants afin de les sélectionner :
  Reg - Approved Shell Extensions,
  Reg - Desktop Components,
  Reg - Disabled MS Config Items,
  Reg - Drivers32,
  Reg - NetSvcs,
  Reg - SafeBoot Minimal,
  Reg - SafeBoot Network,
  Reg - Session Manager Settings,
  Reg - Shell Spawning,
  Reg - Tcpip Persistent Routes
  
• Ensuite, coche la case Scan All Users puis clique sur le bouton Run Scan dans la barre d'outils.
  
• Laisse le programme tourner sans intervenir.
  
• Lorsque l'analyse est terminée le Bloc-notes va s'ouvrir pour afficher le fichier rapport.
  
• Clique sur le menu Format et vérifie que Retour automatique à la ligne n'est pas coché. S'il l'est, clique dessus afin de le décocher.
  
• Poste le rapport obtenu dans ta prochaine réponse: si tu ne le vois pas, tu le trouveras dans le répertoire C:\_OTS\MovedFiles (son nom est la date-heure du jour)
  

[Floky26]

http://www.cijoint.fr/cj201007/cijr4w5UWz.txt

 

Seulement je n'est pas pus coché "Reg - Tcpip Persistent Routes" vu qu'il n'y été pas.

Modifié le 12 juillet 2010 par Floky26