Forum Clubic

[Résolu]Virus qui s'efface pas - Dans le dossier System32

:hello: Bonjour

Voilà, j’ai choppé plusieurs virus. J’ai réussit à tous les virer sauf un qui se trouve dans le dossier system32.

Mon antivirus le détecte mais ne peut pas le désinfecter ni le mettre en quarantaine.

Voilà le résumé :

C:\WINDOWS\system32\awttspn.dll Infecté: MemScan:Trojan.Vundo.DLM
C:\WINDOWS\system32\awttspn.dll Désinfection impossible
C:\WINDOWS\system32\awttspn.dll Déplacement impossible

Si quelqu’un sait comment m’en débarasser, merci de m’aider. :jap:

tu as toute la procédure pour celui çi et d’autres la

merci :jap:

Je viens redemander votre aide car je n’arrive toujours pas à me débarrasser de ce virus. :grrr:

J’ai fait des recherche sur celui ci mais je ne trouve rien dessus. Je tombe toujours sur des infos sur d’autres genres de Vundo.

J’ai essayer avec VundoFix et un autre de Symantec mais sans succès.

Par ailleurs j’ai eut rien que aujourd’hui 21 autres virus. La plupart du temps dans le dossier system32. C’était des Trojan Vundo.AP et Vundo.AO

Ces deux types sont détectés par mon antivirus et mis en quarantaines. Mais comme ce sont des fichier .dll, je ne sais pas trop si je dois les supprimer totalement. :neutre:

Je comprends pas comment ils se retrouvent sur mon DD alors que mon antivirus les reconnait. Il devrait pas les bloquer avant de se retrouver sur mon DD ?

Merci de me renseigner.

parceque tu les (le) y laisses :whistle:

C:\WINDOWS\system32\awttspn.dll Infecté: MemScan:Trojan.Vundo.DLM <-- détecté
C:\WINDOWS\system32\awttspn.dll Désinfection impossible <-- pas d’action de ta part
C:\WINDOWS\system32\awttspn.dll Déplacement impossible <-- toujours pas d’action de ta part

Reprend le topic de Juju et suis la méthode d’un scan antivirus (mode sans échec, supprimer les quarantaines, nettoyage complet (fichiers temp, disque, restauration système, etc… )

si tu fais pareil avec les 21 autres détections, dans 10 ans, tu y es encore :neutre:

"ou" ton a-v ne nettoie pas correctement ton bouzingue, tu peux tjrs faire un log HijackThis, généralement Vundo et assimilés Virtumonde se collent dans les lignes 02 et 020

  • note qu’un antispys en viendrait mieux à bout qu’un antivirus
    Spy Sweeper ou AVG antispys (scan en mode sans échec - idem)

Moi, je te conseille ceci : http://www.libellules.ch/dotclear/index.ph…nfixer-errosafe

En plus de ce que tu viens de faire :wink:

N’oublie pas d’arrêter la restauration système aussi ! :wink:

merci pour vos conseils. je vais m’occuper de ça et je vous tiens au courrant. si j’y suis arrivé ou pas. :paf:

avec bit defender il faut desactiver l’anti virus l’effacer tout simplement et reactiver l’antivirus et voila

mais si je supprime les fichiers du system32, risque pas de poser des problèmes ? :??:

non! ce sont des dll >> C:\WINDOWS\system32\awttspn.dll << du trojan Vundo

met le rapport du scan ici en entier si tu veux et si tu l’as

j’ai déjà essayer ça. ça touve rien. :frowning:

quel scan ?

je viens de faire un scan avec Spy Sweeper. Il trouve rien non plus. :grrr:

je vous met le scan HijachThis :

Logfile of HijackThis v1.98.2
Scan saved at 01:35:16, on 23/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\Softwin\BitDefender10\bdmcon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Softwin\BitDefender10\bdagent.exe
D:\Spy Sweeper\WRSSSDK.exe
C:\Program Files\Winamp\Winampa.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
F:\anti spy\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/
O2 - BHO: Aide pour le lien d’Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1557B435-8242-4686-9AA3-9265BF7525A4} - C:\WINDOWS\system32\jditmwai.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {9FE7CAAE-652B-48AE-833D-39B3D4AC9513} - C:\WINDOWS\system32\awttspn.dll
O2 - BHO: (no name) - {CFF6DADD-4534-42B2-987B-7E9CEDEA9EAC} - C:\WINDOWS\system32\vtstq.dll (file missing)
O2 - BHO: (no name) - {D56538CA-FB5B-4727-9D57-34F2D9656FEe} - C:\WINDOWS\system32\fdyjpjfk.dll (file missing)
O4 - HKLM\…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\…\Run: [nwiz] nwiz.exe /install
O4 - HKLM\…\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\…\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\…\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\…\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\…\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\…\Run: [BDMCon] “C:\Program Files\Softwin\BitDefender10\bdmcon.exe” /reg
O4 - HKLM\…\Run: [BDAgent] “C:\Program Files\Softwin\BitDefender10\bdagent.exe”
O4 - HKLM\…\Run: [WinampAgent] “C:\Program Files\Winamp\Winampa.exe”
O4 - HKLM\…\Run: [SunJavaUpdateSched] “C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe”
O4 - HKLM\…\Run: [PrintDrive] rundll32.exe “C:\WINDOWS\system32\eqoudvqv.dll”,setvm
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d’Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/…014/mcfscan.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

HijackThis v1.98.2 <-- oups! c’est une version périmée ça - elle ne liste pas assez de processus et notamment les lignes 020 et 023 qui peuvent révèler bcp de choses

version: 2.00 beta <— télécharge
http://www.merijn.org/programs.php#hijackthis

tout ça, tout ça … pas bon!

O2 - BHO: (no name) - {1557B435-8242-4686-9AA3-9265BF7525A4} - C:\WINDOWS\system32\jditmwai.dll (file missing)
O2 - BHO: (no name) - {9FE7CAAE-652B-48AE-833D-39B3D4AC9513} - C:\WINDOWS\system32\awttspn.dll
O2 - BHO: (no name) - {CFF6DADD-4534-42B2-987B-7E9CEDEA9EAC} - C:\WINDOWS\system32\vtstq.dll (file missing)
O2 - BHO: (no name) - {D56538CA-FB5B-4727-9D57-34F2D9656FEe} - C:\WINDOWS\system32\fdyjpjfk.dll (file missing)

O4 - HKLM\…\Run: [PrintDrive] rundll32.exe “C:\WINDOWS\system32\eqoudvqv.dll”,setvm <-- tu avais téléchargé Drive Cleaner ou c’était plutôt sous la forme de popups intrusifs pour télécharger ce log (listé comme crapuleux) ?

ne fait rien avec cette version - remet un nouveau log Hijack … pas en pleine nuit de préférence :whistle:

Voila le scan avec la dernière version : :whistle:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 17:33:00, on 23/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
D:\Spy Sweeper\WRSSSDK.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender10\bdmcon.exe
C:\Program Files\Softwin\BitDefender10\bdagent.exe
C:\Program Files\Winamp\Winampa.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\FAMILLE\Bureau\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/
O2 - BHO: Aide pour le lien d’Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1557B435-8242-4686-9AA3-9265BF7525A4} - C:\WINDOWS\system32\jditmwai.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {9FE7CAAE-652B-48AE-833D-39B3D4AC9513} - C:\WINDOWS\system32\awttspn.dll
O2 - BHO: (no name) - {CFF6DADD-4534-42B2-987B-7E9CEDEA9EAC} - C:\WINDOWS\system32\vtstq.dll (file missing)
O2 - BHO: (no name) - {D56538CA-FB5B-4727-9D57-34F2D9656FEe} - C:\WINDOWS\system32\fdyjpjfk.dll (file missing)
O4 - HKLM\…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\…\Run: [nwiz] nwiz.exe /install
O4 - HKLM\…\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\…\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\…\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\…\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\…\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\…\Run: [BDMCon] “C:\Program Files\Softwin\BitDefender10\bdmcon.exe” /reg
O4 - HKLM\…\Run: [BDAgent] “C:\Program Files\Softwin\BitDefender10\bdagent.exe”
O4 - HKLM\…\Run: [WinampAgent] “C:\Program Files\Winamp\Winampa.exe”
O4 - HKLM\…\Run: [SunJavaUpdateSched] “C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe”
O4 - HKLM\…\Run: [PrintDrive] rundll32.exe “C:\WINDOWS\system32\eqoudvqv.dll”,setvm
O4 - HKUS\S-1-5-19\…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-20\…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SERVICE RÉSEAU’)
O4 - HKUS\S-1-5-18\…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’)
O4 - HKUS\.DEFAULT\…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’)
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Lancement rapide d’Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/…014/mcfscan.cab
O20 - Winlogon Notify: awttspn - C:\WINDOWS\SYSTEM32\awttspn.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Service d’administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d’aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - D:\Spy Sweeper\WRSSSDK.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe


End of file - 6780 bytes

Sinon pour Drive Cleaner, je me rappelle plus. :confused:
Mais je crois pas l’avoir télécharger dernièrement en tout cas. :neutre:
Mais comme j’ai utilisé pas mal de trucs, je suis pas formel.

C:\Documents and Settings\FAMILLE\Bureau\HiJackThis_v2.exe <-- ça va pas ! :lol: j’aurais dû le repréciser - supprime-le de ce dossier ou essaye de le faire migrer dans un nouveau dossier dédié à la racine du disque - tu risques d’avoir des problèmes de dysfonctionnements (ouf!) en l’état

ex : C: \HijackThis\Hijackthis.exe

Télécharge KillBox
http://www.bleepingcomputer.com/files/killbox.php
ou
http://www.assistepc.com/eliminer_virus/killbox.htm

  • lancer le raccourci de la Killbox sur le Bureau
  • enregistrer ce fichier.txt dans le bloc-notes et l’envoyer aussi sur le Bureau
    C:\WINDOWS\system32\jditmwai.dll
    C:\WINDOWS\system32\awttspn.dll
    C:\WINDOWS\system32\vtstq.dll
    C:\WINDOWS\system32\fdyjpjfk.dll
    C:\WINDOWS\system32\eqoudvqv.dll

Passer en mode sans échec

http://img250.imageshack.us/img250/4494/killboxty4.th.jpg

  • Ouvir la Killbox

  • copier/txt

  • boutons Killbox : File >> Paste from Clipboard

  • coller/txt

  • vérifier par le biais de la petite flêche noire déroulante que tous les fichiers soient bien "collés"

  • Delete on Reboot

  • Clic sur la Croix Rouge

  • clic sur "oui" aux 2 demandes

  • exit

  • Relancer Hijack et fixed checked (cocher les cases devant les lignes ci-dessous)

O20 - Winlogon Notify: awttspn - C:\WINDOWS\SYSTEM32\awttspn.dll <-- qu’est ce qu’elle fout la 020 ici oups ! :ane:

O2 - BHO: (no name) - {1557B435-8242-4686-9AA3-9265BF7525A4} - C:\WINDOWS\system32\jditmwai.dll (file missing)
O2 - BHO: (no name) - {9FE7CAAE-652B-48AE-833D-39B3D4AC9513} - C:\WINDOWS\system32\awttspn.dll
O2 - BHO: (no name) - {CFF6DADD-4534-42B2-987B-7E9CEDEA9EAC} - C:\WINDOWS\system32\vtstq.dll (file missing)
O2 - BHO: (no name) - {D56538CA-FB5B-4727-9D57-34F2D9656FEe} - C:\WINDOWS\system32\fdyjpjfk.dll (file missing)

O4 - HKLM\…\Run: [PrintDrive] rundll32.exe "C:\WINDOWS\system32\eqoudvqv.dll",setvm

O20 - Winlogon Notify: awttspn - C:\WINDOWS\SYSTEM32\awttspn.dll

Fermer Hijack

1 petit scan avec Spy Sweeper ? … tant que faire mais normalement ça devrait être bon

- créer un nouveau point de restauration système si la machine est saine

Enregistrer cette manip et envoyer 1 raccourci sur le bureau pour pouvoir la consulter

si tu veux de plus amples explications, n’hésite pas avant de te lancer :sol:

Avant la manip avec Killbox, faut que je reface un scan avec Hijackthis dans un dossier à la racine du disque ?

ça j’ai pas compris :
Enregistrer cette manip et envoyer 1 raccourci sur le bureau pour pouvoir la consulter :paf:

edit : j’ai compris que tu parlais de ton post finalement :ane:

bon je vais manger et je m’en occupe après.
merci en tout cas :jap:

faut désactiver la restauration système avant la manip ?