Virus ?

Résolu
nat144 Messages postés 59 Statut Membre -  
nat144 Messages postés 59 Statut Membre -
Bonjour,

J'ai l'impression que mon ordinateur a été infecté par un ou des virus.

Symptômes :
- alertes Avast sur deux virus : Rootkit-gen et Vundo-DE
- alertes de Spybot Search & Destroy sur des modifications dans le Registre. Modifications demandées par des dll aux noms bizarres comme ddcDspMF.dll. On dirait des noms générés aléatoirement. Ces dll sont toutes créées du jour même et ne portent pas d'étiquette "Microsoft Enterprise".
- Les mises à jour automatiques sont désactivées au démarrage de Windows.

J'ai supprimé manuellement les dll créée depuis quatre jours mais je ne suis pas sûre que ce soit suffisant car un programme doit bien s'occuper de les créer. Pouvez-vous m'aider ?

Nat144
Configuration: Windows XP familial
Firefox 2.0.0.14

1 réponse

  1. Utilisateur anonyme
     
    1) Télécharge Malwarebytes' Anti-Malware.

    *Télécharge et installe Malwarebyte's Anti-Malware
    *http://www.commentcamarche.net/telecharger/telechargement 34055379 malwarebyte s anti malware
    *A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée. >>> clique sur OK
    *Lance Malwarebyte's Anti-Malware en double-cliquant sur l'icône sur ton Bureau.
    *Au premier lancement, une fenêtre t'annonce que la version est Free >>> clique sur OK
    *Laisse les Mises à jour se télécharger

    *** Referme le programme ***

    2) Redémarre en "Mode sans échec"

    Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuie sur la touche [F8] (ou [F5] sur certains pc) jusqu'à l'affichage du menu des options avancées de Windows.
    Sélectionner "Mode sans échec" et appuie sur [Entrée]
    Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.
    Regarde ici si besoin : http://pageperso.aol.fr/loraline60/mode_sans_echec.htm

    Ouvre le fichier texte sauvegardé sur le Bureau afin de suivre les instructions comme il faut.

    3) Scan avec Malwarebyte's Anti-Malware

    *Lance Malwarebyte's Anti-Malware
    *Puis vs dans l'onglet "Recherche" puis coche "Exécuter un examen complet" puis "Rechercher sélectionne tes disques durs" puis clique sur "Lancer l’examen"
    *A la fin du scan >>> clique sur Afficher les résultats puis sur Enregistrer le rapport
    *Suppression des éléments détectés >>>> clique sur Supprimer la sélection
    *S'il t'es demandé de redémarrer >>> clique sur "Yes"

    *--> Un rapport de scan s'ouvre, enregistre sur ton Bureau et poste ce rapport en réponse.
    0
    1. nat144 Messages postés 59 Statut Membre 15
       
      Bonjour,

      Merci pour le tuyau. J'ai fait ce que vous me proposiez et, enfin, voici le résultat du scan (il a trouvé 19 infections). Je les ai supprimées quand il me l'a demandé.

      Malwarebytes' Anti-Malware 1.17
      Version de la base de données: 869

      23:09:19 19/06/2008
      mbam-log-6-19-2008 (23-08-56).txt

      Type de recherche: Examen complet (C:\|D:\|)
      Eléments examinés: 173264
      Temps écoulé: 4 hour(s), 18 minute(s), 6 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 1
      Clé(s) du Registre infectée(s): 8
      Valeur(s) du Registre infectée(s): 1
      Elément(s) de données du Registre infecté(s): 2
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 16

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      C:\WINDOWS\system32\ddcyxWPh.dll (Trojan.Vundo) -> No action taken.

      Clé(s) du Registre infectée(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{106ad7c1-1667-4f20-8823-f53fcbb6b311} (Trojan.Vundo) -> No action taken.
      HKEY_CLASSES_ROOT\CLSID\{106ad7c1-1667-4f20-8823-f53fcbb6b311} (Trojan.Vundo) -> No action taken.
      HKEY_CLASSES_ROOT\CLSID\{f30b1b0b-c305-414e-a4ff-ac93a08de0ac} (Trojan.Vundo) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f30b1b0b-c305-414e-a4ff-ac93a08de0ac} (Trojan.Vundo) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> No action taken.
      HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

      Valeur(s) du Registre infectée(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{f30b1b0b-c305-414e-a4ff-ac93a08de0ac} (Trojan.Vundo) -> No action taken.

      Elément(s) de données du Registre infecté(s):
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\ddcyxwph -> No action taken.
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\ddcyxwph -> No action taken.

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      C:\WINDOWS\system32\ddcyxWPh.dll (Trojan.Vundo) -> No action taken.
      C:\WINDOWS\system32\hPWxycdd.ini (Trojan.Vundo) -> No action taken.
      C:\WINDOWS\system32\hPWxycdd.ini2 (Trojan.Vundo) -> No action taken.
      C:\System Volume Information\_restore{004AA4CB-CEFA-470B-84B6-7AE41AC1EA5D}\RP316\A0069572.dll (Trojan.Vundo) -> No action taken.
      C:\System Volume Information\_restore{004AA4CB-CEFA-470B-84B6-7AE41AC1EA5D}\RP316\A0069573.dll (Trojan.Vundo) -> No action taken.
      C:\System Volume Information\_restore{004AA4CB-CEFA-470B-84B6-7AE41AC1EA5D}\RP320\A0069940.dll (Trojan.Vundo) -> No action taken.
      C:\System Volume Information\_restore{004AA4CB-CEFA-470B-84B6-7AE41AC1EA5D}\RP322\A0070530.dll (Trojan.Vundo) -> No action taken.
      C:\System Volume Information\_restore{004AA4CB-CEFA-470B-84B6-7AE41AC1EA5D}\RP322\A0070552.dll (Trojan.Vundo) -> No action taken.
      C:\System Volume Information\_restore{004AA4CB-CEFA-470B-84B6-7AE41AC1EA5D}\RP322\A0070558.dll (Trojan.Vundo) -> No action taken.
      C:\System Volume Information\_restore{004AA4CB-CEFA-470B-84B6-7AE41AC1EA5D}\RP322\A0070561.dll (Trojan.Vundo) -> No action taken.
      C:\System Volume Information\_restore{004AA4CB-CEFA-470B-84B6-7AE41AC1EA5D}\RP322\A0070562.dll (Trojan.Vundo) -> No action taken.
      C:\Documents and Settings\Default User\results.txt (Malware.Trace) -> No action taken.
      C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> No action taken.
      C:\Documents and Settings\Administrateur.NATACHA\results.txt (Malware.Trace) -> No action taken.
      C:\Documents and Settings\Administrateur\results.txt (Malware.Trace) -> No action taken.
      C:\Documents and Settings\Natacha\results.txt (Malware.Trace) -> No action taken.
      0
    2. Utilisateur anonyme > nat144 Messages postés 59 Statut Membre
       
      Ok ouvre "Malwarebytes' Anti-Malware" va dans "Quarantaine" puis fait "Tout Supprimé".
      0
    3. nat144 Messages postés 59 Statut Membre 15 > Utilisateur anonyme
       
      Bonjour et merci pour votre aide.

      J'ai tout supprimé. J'ai aussi désactivé puis réactivé la restauration système car j'ai vu que les points de restauration étaient aussi infectés (logique ?). Aujourd'hui, au démarrage, les mises à jour n'étaient pas désactivées. Je croise les doigts. Est-ce que je suis débarrassée maintenant ?

      Nat144
      0
    4. Utilisateur anonyme > nat144 Messages postés 59 Statut Membre
       
      Ok merci maintenant fais un scan en ligne avec Internet Explorer stp:

      BitDefender en ligne: http://www.bitdefender.fr/scan_fr/scan8/ie.html
      Tutoriel BitDefender en ligne (si tu as XP): http://cybersecurite.xooit.com/t201-Scan-en-ligne-BitDefender.htm
      Tutoriel BitDefender en ligne (si tu as Vista): https://forum.pcastuces.com/sujet.asp?f=25&s=31584&page=1
      0
    5. nat144 Messages postés 59 Statut Membre 15 > Utilisateur anonyme
       
      Bonjour,


      Voici le rapport de BitDefender

      BitDefender Online Scanner
      Rapport d'analyse généré à: Fri, Jun 20, 2008 - 19:33:49
      Voie d'analyse: C:\;D:\;E:\;

      Statistiques

      Temps
      00:32:44

      Fichiers
      63337

      Directoires
      8555

      Secteurs de boot
      4

      Archives
      1156

      Paquets programmes
      6085


      Résultats

      Virus identifiés
      2

      Fichiers infectés
      2

      Fichiers suspects
      0

      Avertissements
      0

      Désinfectés
      0

      Fichiers effacés
      1



      Info sur les moteurs

      Définition virus
      1262269

      Version des moteurs
      AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

      Analyse des plugins
      16

      Archive des plugins
      42

      Unpack des plugins
      7

      E-mail plugins
      6

      Système plugins
      5


      Paramètres d'analyse

      Première action
      Désinfecté

      Seconde Action
      Supprimé

      Heuristique
      Oui

      Acceptez les avertissements
      Oui

      Extensions analysées
      exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

      Excludez les extensions


      Analyse d'emails
      Oui

      Analyse des Archives
      Oui

      Analyser paquets programmes
      Oui

      Analyse des fichiers
      Oui

      Analyse de boot
      Oui


      Fichier analysé

      Statut
      C:\WINDOWS\system32\ddcyxWPh.dll
      Infecté par: Trojan.Vundo.EVX
      C:\WINDOWS\system32\ddcyxWPh.dll
      Echec de la désinfection
      C:\WINDOWS\system32\ddcyxWPh.dll
      Echec de la suppression

      D:\Logiciels\XP\Style XP\eclsxp30.exe
      Détecté avec: Application.Keygen.Xpstyle.E
      D:\Logiciels\XP\Style XP\eclsxp30.exe
      Echec de la désinfection
      D:\Logiciels\XP\Style XP\eclsxp30.exe
      Supprimé


      Voilà, merci encore pour votre aide précieuse. Je vois que je ne suis pas encore sortie de l'auberge :-)

      Nat144
      0