W32.mumawow ?

[nulnul7]

Bonjour tou(te)s
j'ai un PC sous W2K infecté par un virus dont les symptomes ressemblent à W32.mumawow mais dont le remède ne semble pas correspondre.
Ce genre de virus renvoie en permanence vers un site de World of Warrior et désactive l'antivirus, en l'occurrence Symantec. Il lance un svchost, logé dans Program Files, au démarrage.
J'ai tout essayé, à commencer par la méthode indiqué par Symantec mais là ... je n'ai plus du tout accès à Symantec, même en mode sécurisée.
Je m'en remets à vos expériences.
Merci bcp d'avance !

[yoda1234]

Bonjour,

Consulte je te prie la procédure préliminaire du forum.

Note : Effectue ce qui est demandé, mais ne fais pas la partie optionnelle avec Rootkit Unhooker, c'est à dire le point 4 du dossier.

Reviens ensuite dans ce sujet pour poster les rapports générés par la procédure.

[nulnul7]

Salut, Ô maître Yoda

Je n'ai hélas pas pu te répondre car mes rapports sont considérés trop longs pour le forum.
Bien sur, je pourrais poster par petits morceaux mais je suppose qu'il doit y avoir une autre solution?

Merci par avance de tes avis avisés!

[yoda1234]

Bonjour,

postes les comme tu le peux je m'occupe du reste...

[nulnul7]

Entendu alors!
Voici part 1 du DiagHelp :

Voici tes rapports en pièces jointes , et suppression des messages inutiles.

yoda1234.

[synthexe]

Bonjour nulnul

Lance hijackthis et clique sur Do a System Scan Only.
Coche les lignes suivantes, si présentes :

Citation:

O4 - HKLM\..\Run: [wlinles] c:\winnt\system32\spool\svchos t.exe
O4 - HKLM\..\Run: [ckdown] c:\winnt\system32\wins\svchost .exe

Ferme tous les programmes, sauf hijackthis et clique sur Fix Checked.

• Analyse ce fichier svchos t.exe chez virustotal :
  http://www.virustotal.com/xhtml/virustotal_en.html
• Clique sur parcourir localise le fichier sur ton disque dur ( c:\winnt\system32\spool\svchos t.exe ) et clique sur send
• Attend le rapport et colle le dans ta prochaine réponse

Fais de meme pour le fichier suivant :
c:\winnt\system32\wins\svchost .exe

• Télécharge clean.zip de Malekal_Morte ( http://www.malekal.com/download/clean.zip ), décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
  
• Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître.
• Choisis l'option 1 et appuie sur Entrée pour valider.
• Copie/colle moi le rapport qui apparait dans ta prochaine réponse.

• Télécharge puis installe AVG Anti-Spyware (AVG AS) : http://www.ewido.net/en/download
• Une fois AVG AS lancé, clique sur "Mise à jour"
• Ferme le programme.

Redémarre en mode sans échec

• Relance AVG AS puis choisis l'onglet "Analyse"
• Puis l'onglet "Paramètres"
• Sous la question "Comment réagir ?", clique sur "Actions recommandées" et choisis "Quarantaine"
• Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"
  Si un fichier est infecté détécté en fin d'analyse
• Clique sur "Appliquer toutes les actions"
• Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous"
• Enregistre ce fichier texte sur ton bureau.

Redémarre normalement.

Poste moi les 2 rapports virutotal, le rapport clean option1, et le rapport AVG-AS

Bonne fin de journée

[Cyrrus]

Bonjour Synthexe, bonjour nunul,


Je passe rapido pour rajouter :

Une fois en mode sans échec, avant de lancer AVG-AS :

• Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
• Cocher la case : Afficher les fichiers et dossiers cachés
• Décocher la case : Masquer les extensions des fichiers dont le type est connu
• Décocher la case : Masquer les fichiers protégés du système d'exploitation
• cliquer sur "Appliquer"
• cliquer sur le bouton "Appliquer à tous les dossiers" / OK

et supprimer le fichier suivant :

C:\WINNT\System32\gewow.exe

Bonne soirée
Cyrrus

[nulnul7]

Bonjour Synthexe et Cyrrus,

il m'arrive un drôle de truc, à savoir, quand j'ai relancé ma bécane, en mode sécurisée bien entendu, mon antivirus s'est mis à faire des siennes car, je ne vous l'avais pas dit dans mon premier poste, j'avais téléchargé une mise à jour des définitions antivirales. C'est un fichier exécutable qui est mis à disposition sur le site de Symantec pour le cas ou vous n'arrivez plus à faire les mises à jour automatiques. Je l'avais lancé mais je continuais à avoir le problème.
Bizarrement, il s'est mis à faire un scan complet et a détecté 35 (!) fichiers exécutables infectés par W32.mumawow.A!inf. Je suppose une variante de mumawow.A ?
Tout ça pour dire que je me demande si je dois continuer les opérations car en lançant après, hijackthis, je ne trouve plus les lignes concernant svchost.
A votre avis?

[synthexe]

Bonjour nulnul

J'ai été super pris ce WE.

Peux-tu nous poster le rapport de ton antivirus stp.

Exécute la procédure précédente, en ne cochant pas les lignes sur hijackthis.
Fais bien aussi ce que Cyrrus t'a demandé.

Poste tes rapports en PJ et on verra ou on en est.

Bonne journée

[nulnul7]

Rebonjour tou(te)s,
désolé mais je n'ai pas réussi à faire grand chose sur le PC en question et je me suis résolu à le réinstaller complètement. Il y avait de l'urgence.
Je remercie tous ceux qui ont bien voulu m'aider en tous cas!
Merci!