1000ou
Messages postés3Date d'inscriptionmardi 10 mai 2005StatutMembreDernière intervention16 mai 2005
-
10 mai 2005 à 01:25
scot38
Messages postés7Date d'inscriptionlundi 9 mai 2005StatutMembreDernière intervention13 mai 2005
-
13 mai 2005 à 15:54
Salut à tous,
bon j'ai moi aussi été infecté par vundo.h
J'ai essayé de suivre les différentes instructions sur le site (afficher les fichiers masqués et sytèmes, désactiver la restauration), j'ai téléchargé et exécuter l2mfix avec option 2 j'ai fait un hijack en mode sans echec. J' ai été sur 01net pour avoir une analyse automatique de mon hijack et j'ai fait un fix sur certaines lignes qui présentaient une menace
dans les lignes que j'ai fixé seules 2 ont resisté (celles de mon virus je suppose) une des 02 et une 20 (cf rapport hijack ci-dessous)
D'après PC Cillin le fichier infecté est F:\windows\config\catanti.dll
j'ai essayé de le supprimer en direct mais il me dit qu'il est utilisé par un autre prog.
Je poste ci dessous les log l2mfix et hijack
L2Mfix 1.03
Running From:
F:\Documents and Settings\Admin\Bureau\l2mfix\l2mfix
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(ID-NI) ALLOW Read BUILTIN\Utilisateurs
(ID-IO) ALLOW Read BUILTIN\Utilisateurs
(ID-NI) ALLOW Full access BUILTIN\Administrateurs
(ID-IO) ALLOW Full access BUILTIN\Administrateurs
(ID-NI) ALLOW Full access AUTORITE NT\SYSTEM
(ID-IO) ALLOW Full access AUTORITE NT\SYSTEM
(ID-IO) ALLOW Full access CREATEUR PROPRIETAIRE
Setting registry permissions:
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
Denying C(CI) access for predefined group "Administrators"
- adding new ACCESS DENY entry
Registry Permissions set too:
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(CI) DENY --C------- BUILTIN\Administrateurs
(ID-NI) ALLOW Read BUILTIN\Utilisateurs
(ID-IO) ALLOW Read BUILTIN\Utilisateurs
(ID-NI) ALLOW Full access BUILTIN\Administrateurs
(ID-IO) ALLOW Full access BUILTIN\Administrateurs
(ID-NI) ALLOW Full access AUTORITE NT\SYSTEM
(ID-IO) ALLOW Full access AUTORITE NT\SYSTEM
(ID-IO) ALLOW Full access CREATEUR PROPRIETAIRE
Setting up for Reboot
Starting Reboot!
F:\Documents and Settings\Admin\Bureau\l2mfix\l2mfix
System Rebooted!
Running From:
F:\Documents and Settings\Admin\Bureau\l2mfix\l2mfix
killing explorer and rundll32.exe
Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1708 'explorer.exe'
Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Error, Cannot find a process with an image name of rundll32.exe
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
Revoking access for predefined group "Administrators"
Inherited ACE can not be revoked here!
Inherited ACE can not be revoked here!
Registry permissions set too:
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(ID-NI) ALLOW Read BUILTIN\Utilisateurs
(ID-IO) ALLOW Read BUILTIN\Utilisateurs
(ID-NI) ALLOW Full access BUILTIN\Administrateurs
(ID-IO) ALLOW Full access BUILTIN\Administrateurs
(ID-NI) ALLOW Full access AUTORITE NT\SYSTEM
(ID-IO) ALLOW Full access AUTORITE NT\SYSTEM
(ID-IO) ALLOW Full access CREATEUR PROPRIETAIRE
Restoring Sedebugprivilege:
Granting SeDebugPrivilege to Administrators ... failed (GetAccountSid(Administrators)=1332
The following Is the Current Export of the Winlogon notify key:
****************************************************************************
Windows Registry Editor Version 5.00
The following are the files found:
****************************************************************************
Registry Entries that were Deleted:
Please verify that the listing looks ok.
If there was something deleted wrongly there are backups in the backreg folder.
****************************************************************************
REGEDIT4
Logfile of HijackThis v1.99.1
Scan saved at 01:07:23, on 10/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
scot38
Messages postés7Date d'inscriptionlundi 9 mai 2005StatutMembreDernière intervention13 mai 2005 13 mai 2005 à 15:54
Je me suis fait depanne par moe.
Ayant lance un appel aupres du support trendmicro, ils ont fini par m'envoyer un outil de desinfection (vundofix.zip). Si vous m'envoyez votre adresse email, je peux vous le forwarder.
Je ne peux pas le tester personellement car mon PC est actuellement debarasse de ce fleau