trjan:WIN32/vundo/gen!BW [Résolu]

[Thanos]

salut

 

Pas de souci! on continue comme ceci =>

 

1°) Fais un clic droit sur le fichier OTS.exe puis choisis Exécuter en tant qu'administrateur

 

Fais un copier/coller des informations de la zone Code ci-dessous (ne copie pas le mot CODE!) dans la zone de saisie intitulée "Paste fix here" puis clique sur le bouton Run Fix =>

[Kill All Processes]
[unregister Dlls]
[Registry - Safe List]
< Internet Explorer Settings [HKEY_LOCAL_MACHINE\] > -> 
YN -> HKEY_LOCAL_MACHINE\: URLSearchHooks\\"{346de098-61f9-4b42-89da-6dfba7091bb6}" [HKLM] -> Reg Error: Key error. [Reg Error: Key error.]
YN -> HKEY_LOCAL_MACHINE\: URLSearchHooks\\"{855F3B16-6D32-4fe6-8A56-BBB695989046}" [HKLM] -> Reg Error: Key error. [Reg Error: Key error.]
< FireFox SearchPlugins [user Folders] > -> 
YY ->  conduit.xml -> C:\Users\Florian\AppData\Roaming\Mozilla\FireFox\Profiles\1eh6idzd.default\searchplugins\conduit.xml
< BHO's [HKEY_LOCAL_MACHINE] > -> HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
YN -> {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} [HKLM] -> Reg Error: Key error. [Reg Error: Key error.]
< Internet Explorer ToolBars [HKEY_USERS\S-1-5-21-3419110973-2672001653-625276311-1000\] > -> HKEY_USERS\S-1-5-21-3419110973-2672001653-625276311-1000\Software\Microsoft\Internet Explorer\Toolbar\
YN -> WebBrowser\\"{32099AAC-C132-4136-9E9A-4E364A424E17}" [HKLM] -> Reg Error: Key error. [Reg Error: Key error.]
< Run [HKEY_LOCAL_MACHINE\] > -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
YY -> "hgdeffsys" -> C:\Windows\System32\yaaayw.dll [rundll32.exe "yaaayw.dll",DllRegisterServer]
YY -> "pmkkkkdrv" -> C:\Windows\System32\wvtqqo.dll [rundll32.exe "wvtqqo.dll",s]
< Run [HKEY_USERS\.DEFAULT\] > -> HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
YY -> "qonolmdrv" -> C:\Windows\System32\wvtqqo.dll [rundll32.exe "wvtqqo.dll",s]
YY -> "yabcbasys" -> C:\Windows\System32\yaaayw.dll [rundll32.exe "yaaayw.dll",DllRegisterServer]
< Run [HKEY_USERS\S-1-5-18\] > -> HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
YY -> "qonolmdrv" -> C:\Windows\System32\wvtqqo.dll [rundll32.exe "wvtqqo.dll",s]
YY -> "yabcbasys" -> C:\Windows\System32\yaaayw.dll [rundll32.exe "yaaayw.dll",DllRegisterServer]
< Run [HKEY_USERS\S-1-5-21-3419110973-2672001653-625276311-1000\] > -> HKEY_USERS\S-1-5-21-3419110973-2672001653-625276311-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
YY -> "hggfdcdrv" -> C:\Windows\System32\wvtqqo.dll [rundll32.exe "wvtqqo.dll",s]
< ShellExecuteHooks [HKEY_LOCAL_MACHINE] > -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
YN -> "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" [HKLM] -> Reg Error: Key error. []
< LSA Authentication Packages [HKEY_LOCAL_MACHINE] > -> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\\Authentication Packages
*LSA Authentication Packages* -> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\\Authentication Packages
YY -> yaaayw.dll -> C:\Windows\System32\yaaayw.dll
< LSA Authentication Packages [HKEY_LOCAL_MACHINE] > -> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\\Authentication Packages
[Registry - Additional Scans - Safe List]
< Approved Shell Extensions [HKEY_LOCAL_MACHINE\] > -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
YN -> "{967B2D40-8B7D-4127-9049-61EA0C2C6DCE}" [HKLM] -> Reg Error: Key error. [PowerISO]
[Files/Folders - Modified Within 60 Days]
NY ->  wvtqqo.dll -> C:\Windows\System32\wvtqqo.dll
NY ->  yaaayw.dll -> C:\Windows\System32\yaaayw.dll
[Files - No Company Name]
NY ->  wvtqqo.dll -> C:\Windows\System32\wvtqqo.dll
NY ->  yaaayw.dll -> C:\Windows\System32\yaaayw.dll
[Empty Temp Folders]
[ClearAllRestorePoints]
[Reboot]

L'exécution devrait être très rapide.

Un redémarrage est nécessaire: clique sur le bouton "Yes" pour faire redémarrer la machine. Après ce redémarrage, OTS va finir de déplacer les fichiers qui ne pouvaient pas l'être précédemment, puis le Bloc-notes va s'ouvrir et afficher à ce moment-là les résultats finaux. Enregistre ce rapport sur le Bureau.

 

2°) Le pc va redémarrer: utilise le mode sans échec: pour cela, au démarrage du pc, tapote par alternance les touches [F8] et [F5] jusqu'à l'affichage du menu des options avancées de Windows.

 

3°) Lance un scan avec Antivir comme ceci =>

 

Double-clique sur son icône près de l'horloge: cela ouvre l'interface principale.

Clique ensuite sur "Contrôler syst." à droite de "Dernier contrôle syst. intégral".

/!\ Cela peut être long.

Sauvegarde le rapport en fin de parcours (bouton "Rapport").

 

Si Antivir détecte des fichiers infectés, mets les en quarantaine: choisis "Déplacer en quarantaine" dans la liste des actions.

Tu peux automatiser ce type d'action en cochant la case Appliquer la sélection à toutes les détections.

Cela permet de ne pas rester à la surveiller.

 

Redémarre le pc normalement et poste le rapport de OTS ainsi que celui d'Antivir.

[Floky26]

J'aie copier la citation dans "Paste fix here" seulement après quelque seconde de travail le logiciel pente et un message de Windows apparé me disant que le logiciel ne répond plus j'aie quand meme redémarré le pc en mode sans echec et fais la vitrification avec avira le seul virus qui a été détecte et effet "List_Kill'em"

Apres avoir redémarré mon pc normalement un ecran vert apparé puis un bloc note me disant que wvtqqo.dll et yaaayw.dll on bien été supprimé, je démarre ma session 2 message apparé comme quoi les programme wvtqqo.dll et yaaayw.dll n'on pas pu être lancé au démarrage.

 

Windows ne détecte plus de logiciel potentiellement dangereux !!

 

Mais Oui y a un mais toujours impossible de lancé "Malwarebytes" ...

 

Voila en gros si y a besoin de plus de détail demande moi.

[Thanos]

le message disant que "les programme wvtqqo.dll et yaaayw.dll n'ont pas pu être lancé au démarrage" est bon signe! ca signifie que les fichiers incriminés ne sont plus présents: seules les inscriptions dans le registre persistent.

On va les supprimer avec un autre script.

 

Relance OTS.exe puis refais un rapport et poste le stp.

 

Pour MalwareBytes, tente ceci: passe par le dossier d'installation >> C:\Program Files\Malwarebytes' Anti-Malware et repère le fichier nommé mbam.exe

Fais un clic droit dessus et choisis "renommer" dans la liste. Renomme le fichier en grey.exe

Ensuite tente de relancer le programme en double-cliquant sur le fichier renommé.

Dis moi si ca fonctionne

[Floky26]

Voila le résulta du scan :

http://www.cijoint.fr/cj201007/cijDU6GOnW.txt

 

Et MalwareBytes c'est bien lancé suite a la manipulation !

[Thanos]

salut

 

Ok, si MBAM se lance de cette manière, fais le scan comme indiqué plus haut =>

 

Branche tous les supports amovibles que tu possèdes avant de faire ce scan (clé usb/disque dur externe etc)

• Double clique sur le fichier Malwarebytes' Anti-Malware.exe pour lancer le programme.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complêt"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Ca permettra de nettoyer les restes

[Floky26]

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Version de la base de données: 4308

 

Windows 6.1.7600

Internet Explorer 8.0.7600.16385

 

13/07/2010 14:29:06

mbam-log-2010-07-13 (14-29-06).txt

 

Type d'examen: Examen complet (C:\|D:\|E:\|)

Elément(s) analysé(s): 527625

Temps écoulé: 2 heure(s), 5 minute(s), 11 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 4

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\xxvvutdrv (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vtuurodrv (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\qonnmmdrv (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\qonnmmdrv (Trojan.Vundo) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

 

J'aie fais un scan rapide seulement je sais pas ou est le rapport

[Thanos]

re!

 

L'infection est coriace! MBAM a supprimé les entrées du registre, mais je soupçonne la présence des fichiers sur le disque dur.

 

Cette infection, Vundo, a un moyen de propagation principal: il utilise les failles présentes dans les anciennes versions du programme Java.

Il se trouve que sur ton pc, de vieilles versions demeurent. Tu possèdes aussi la dernière version (Version 6 Update 20 ), mais les anciennes versions sont une porte d'entrée pour l'infection. On va donc tout d'abord supprimer ces versions.

 

 

Pour ce faire, on va utiliser un petit programme (le scan prends 2 secondes) =>

 

1°) Télécharge JavaRa.zip de Paul McLain et Fred de Vries.

• Décompresse le fichier sur ton bureau (clic droit > Extraire tout)
  
• Double-clique sur le répertoire JavaRa obtenu
  
• Fais un clic droit sur le fichier JavaRa.exe (le exe peut ne pas s'afficher puis choisis Exécuter en tant qu'administrateur
  
• Une boite va s'ouvrir te demandant de sélectionner le langage, fais ton choix puis clique sur Selectionner.
  
• A l'écran de JavaRa clique sur Effacer les anciennes versions
  
• Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.
  
• Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse.
  Note : le rapport se trouve aussi à la racine de la partition système, en général C:\ sous le nom JavaRa.log (c:\JavaRa.log)
  
• Ferme l'application
  

 

Note: si le programme refuse de fonctionner correctement, fais la suppression à la main:

Passe par le menu Démarrer >> Panneau de configuration >> sur Programmes >> puis sur Programmes et fonctionnalités.

 

Sélectionne, puis clique sur Java 6 Update 3 et désinstalle le. Fais de même avec J2SE Runtime Environment 5.0 Update 1

 

2°) Utilisation d'OTS =>

 

Fais un clic droit sur le fichier OTS.exe puis choisis Exécuter en tant qu'administrateur

 

Fais un copier/coller des informations de la zone Code ci-dessous (ne copie pas le mot CODE!) dans la zone de saisie intitulée "Paste fix here" puis clique sur le bouton Run Fix =>

[Kill All Processes]
[unregister Dlls]
[Registry - Safe List]
< Internet Explorer Settings [HKEY_LOCAL_MACHINE\] > -> 
YN -> HKEY_LOCAL_MACHINE\: URLSearchHooks\\"{346de098-61f9-4b42-89da-6dfba7091bb6}" [HKLM] -> Reg Error: Key error. [Reg Error: Key error.]
YN -> HKEY_LOCAL_MACHINE\: URLSearchHooks\\"{855F3B16-6D32-4fe6-8A56-BBB695989046}" [HKLM] -> Reg Error: Key error. [Reg Error: Key error.]
< Run [HKEY_LOCAL_MACHINE\] > -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
YY -> "vtuurodrv" -> C:\Windows\System32\cbbyay.dll [rundll32.exe "cbbyay.dll",s]
< Run [HKEY_USERS\.DEFAULT\] > -> HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
YY -> "qonnmmdrv" -> C:\Windows\System32\cbbyay.dll [rundll32.exe "cbbyay.dll",s]
< Run [HKEY_USERS\S-1-5-18\] > -> HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
YY -> "qonnmmdrv" -> C:\Windows\System32\cbbyay.dll [rundll32.exe "cbbyay.dll",s]
< Run [HKEY_USERS\S-1-5-21-3419110973-2672001653-625276311-1000\] > -> HKEY_USERS\S-1-5-21-3419110973-2672001653-625276311-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
YY -> "xxvvutdrv" -> C:\Windows\System32\cbbyay.dll [rundll32.exe "cbbyay.dll",s]
< LSA Authentication Packages [HKEY_LOCAL_MACHINE] > -> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\\Authentication Packages
*LSA Authentication Packages* -> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\\Authentication Packages
YN -> yaaayw.dll -> 
< LSA Authentication Packages [HKEY_LOCAL_MACHINE] > -> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\\Authentication Packages
[Registry - Additional Scans - Safe List]
< Disabled MSConfig Registry Items [HKEY_LOCAL_MACHINE] > -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\
YY -> regsdkrl32 hkey=HKCU key=SOFTWARE\Microsoft\Windows\CurrentVersion\Run -> C:\Users\Florian\AppData\Roaming\regsdkrl32\regsdkrl84.exe
< Uninstall List [HKEY_LOCAL_MACHINE\] > -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
YN -> {3248F0A8-6813-11D6-A77B-00B0D0150010} -> J2SE Runtime Environment 5.0 Update 1
YN -> {3248F0A8-6813-11D6-A77B-00B0D0160030} -> Java(TM) 6 Update 3
[Files/Folders - Created Within 60 Days]
NY ->  _OTL -> C:\_OTL
NY ->  OTL.scr -> C:\Users\Florian\Desktop\OTL.scr
NY ->  Ad-Remover -> C:\Program Files\Ad-Remover
NY ->  UsbFix -> C:\UsbFix
NY ->  UsbFix.exe -> C:\Users\Florian\Desktop\UsbFix.exe
[Files/Folders - Modified Within 60 Days]
NY ->  cbbyay.dll -> C:\Windows\System32\cbbyay.dll
NY ->  OTL.scr -> C:\Users\Florian\Desktop\OTL.scr
NY ->  UsbFix.exe -> C:\Users\Florian\Desktop\UsbFix.exe
NY ->  øöâ -> C:\Windows\øöâ
[Reboot]

L'exécution devrait être très rapide.

Un redémarrage est nécessaire: clique sur le bouton "Yes" pour faire redémarrer la machine. Après ce redémarrage, OTS va finir de déplacer les fichiers qui ne pouvaient pas l'être précédemment, puis le Bloc-notes va s'ouvrir et afficher à ce moment-là les résultats finaux. Enregistre ce rapport sur le Bureau.

 

Poste les 2 rapports stp: courage

[Floky26]

OTS:

http://www.cijoint.fr/cj201007/cijSoFPzFs.txt

 

JavaRa:

http://www.cijoint.fr/cj201007/cijZCYNNWj.txt

 

2 message mon dit que "cbbyay.dll" n'a pas peu être lancé au démarrage.

Modifié le 13 juillet 2010 par Floky26

[Thanos]

ok a présent j'aimerai que tu passes un outil spécialisé pour traiter cette infection afin de voir si les fichiers n'ont pas été recréés: supprime le si tu l'as déjà, et télécharge celui ci =>

 

• Fais un clic sur le bouton droit de ta souris ICI
  
• Choisis Enregistrer la cible (du lien) sous > une fenêtre s'ouvre >>
  
• Dans le champs à droite de "Nom du Fichier" en bas de page, modifie le nom présent (VundoFix.exe) et met ceci >> slaught
  
• Enregistre-le fichier sur le Bureau: pour cela clique sur le bouton Enregistrer.
  
• Fais un clic droit sur le fichier slaught.exe puis choisis Exécuter en tant qu'administrateur afin de le lancer.
  
• Clique sur le bouton Scan for Vundo.
  
• Lorsque le scan est complété, clique sur le bouton Fix Vundo.
  
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
  
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
  
• Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
  
• Démarre ton PC à nouveau.
  
• Copie/colle le contenu du rapport situé dans C:\vundofix.txt dans ta prochaine réponse.
  

[Floky26]

Slaught n'a rien trouvé.

 

 

VundoFix V7.0.6

 

Scan started at 11:06:34 14/07/2010

 

Listing files found while scanning....

 

No infected files were found.