Virtumonde

colepower3 -  
jorginho67 Messages postés 15447 Statut Contributeur sécurité -
Bonjour,
Alors voila, je crois que mon PC a été infecté par le virus virtumonde. Je l'ai découvert quand j'ai remarqué plusieurs pages de pub internet qui ouvraient. Quand j'ai fait une recherche de spyware avec SpyBot Search and Destroy, j'ai remarqué que malgré le nombre de fichiers analysés augmantant, un seul nom apparaissait a droite :Virtumonde. Je me suis informé et j'ai découvert que c'était un virus qui faisait ouvrir des pubs.
Malré une analyse avec un programme spécial de mon antivirus fait pour supprimer les fichier .dll de virtumonde, et un scan Vundo, aucun fichier n'a été détecté, mais il y a toujours des pubs qui ouvrent.
Quelqu'un pourrait m'aider??

Merci à l'avance

-colepower3
Configuration: Windows XP
Internet Explorer 7.0

18 réponses

  1. ramiré Messages postés 261 Date d'inscription   Statut Membre 8
     
    telecharge malwarbyte et instale et fait un scan a la fin du scan une page vas s'affiché copie et colle le rapport a ta prochaine reponse https://www.malwarebytes.com/
    0
  2. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Salut !
    malwarebytes Anti malware ne traite pas tout.

    Pages de pubs, peut etre du Navipromo

    Voyons ça...

    • Télécharge Hijackthis
    Hijackthis (HJT) est un outil de diagnostic pour voir si tout va bien avec ton pc....

    Ø Enregistre HJTInstall.exe sur ton bureau
    Ø Double-clique sur HJTInstall.exe pour lancer le programme
    *. Par défaut, il s'installera là C:\Program Files\Trend Micro\HijackThis
    *. Accepte la license en cliquant sur le bouton "I Accept"
    Ø Choisis l'option "Do a system scan and save a log file"
    *. Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
    *. Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport
    Ø Clic droit => coller ici dans la fenêtre de saisi le rapport que tu viens de copier sur ce forum

    Comment fixer les lignes et Générer un rapport (merci balltrap34)
    0
  3. ramiré Messages postés 261 Date d'inscription   Statut Membre 8
     
    ok je laisse la place
    0
  4. newt2
     
    si spybot ne l'a pas détecté c'est qu'iln'y est pas

    fait plutot un nettoyage des cookies et fichiers dans IE via "outils" option internet et dans l'onglet "g"néral" cliques sur supprimer les cookies et les fichiers, puis ferme IE et ouvres a nouveau, normalement ça devrait aller
    sinon tu vas la il y a un bon nettoyeur avec un bon tuto

    https://jesses.pagesperso-orange.fr/Docs/Logiciels/CCleaner.htm
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. colepower3
     
    salut !
    merci beaucoup de ta réponse rapide :) c super gentil !
    j'ai donc fait ce que tu m'a conseillé, je te copie/colle le rapport que j'ai trouvé(jai pas encore fermé la boite de scan, ya des fichier infecté en rouge. est-ce-que je dois seulement les supprimer ?):

    Malwarebytes' Anti-Malware 1.33
    Version de la base de données: 1675
    Windows 5.1.2600 Service Pack 3

    2009-01-21 18:49:00
    mbam-log-2009-01-21 (18-48-53).txt

    Type de recherche: Examen complet (C:\|D:\|)
    Eléments examinés: 85021
    Temps écoulé: 38 minute(s), 11 second(s)

    Processus mémoire infecté(s): 1
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 2
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 2

    Processus mémoire infecté(s):
    C:\WINDOWS\system32\5JL3MEPM.exe (Trojan.FakeAlert) -> No action taken.

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CLASSES_ROOT\Typelib\{5d2631e5-8696-7543-50b2-f674cd4308eb} (Trojan.Fakealert) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> No action taken.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\WINDOWS\system32\5JL3MEPM.exe (Trojan.FakeAlert) -> No action taken.
    C:\WINDOWS\system32\5JL3MEPM.exe.a_a (Trojan.Agent) -> No action taken.
    0
  7. colepower3
     
    wouaaa dsl javais pas vu toute les autres reponses!! je vais essayer de suivre toutes les instruction!! si j'y arrive, je suis pas la plus douée du monde en informatique!!
    0
  8. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Ok, tu es infecté par de fausses pubs pour de faux antivirus...

    Laisse tomber Hijackthis pour l'instant.

    Fais ceci stp

    Télécharge SmitfraudFix
    Utilitaire de S!Ri: Moe et balltrap34

    Installe le à la racine de C : tuto d'utilisation

    Double clique sur l'exe pour le décompresser et lancer le fix.

    Utilisation option 1 Recherche :

    Double clique sur smitfraudfix.cmd
    Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.

    Ne fais rien d'autre sans notre avis

    Copie/colle le RAPPORT sur ta prochaine réponse sur ce post stp.

    Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


    Tutoriel d'aide

    @+
    0
  9. colepower3
     
    alors voila le rapport hijackthis (en passant, merci énomément de votre aide à tous):

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 18:53:59, on 2009-01-21
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16762)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Symantec AntiVirus\DefWatch.exe
    C:\Program Files\Symantec AntiVirus\Rtvscan.exe
    C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\PROGRA~1\SYMANT~1\VPTray.exe
    C:\Program Files\Belkin\F5D9010\Belkinwcui.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
    C:\Program Files\Java\jre1.6.0_07\bin\jucheck.exe
    C:\Program Files\Windows Live\Messenger\usnsvc.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Windows Live Toolbar\msn_sl.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.ca/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
    O4 - HKLM\..\Run: [F5D9010] C:\Program Files\Belkin\F5D9010\Belkinwcui.exe
    O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
    O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [BitComet] C:\Program Files\BitComet\BitComet.exe /tray
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
    O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-01.sun.com/...
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{5EB5703B-8CA0-4423-931D-B2975697C4D5}: NameServer = 192.168.1.1
    O17 - HKLM\System\CCS\Services\Tcpip\..\{7F4A4BDB-E95A-474B-95BF-441B0F2784D0}: NameServer = 192.168.1.1
    O20 - AppInit_DLLs: WIKI.DLL
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
    O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
    O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
    0
  10. colepower3
     
    hem quand je double clique sur l'icone sur mon bureau, un message s'affiche en disant qu'il n'y a pas IEDFix.exe
    je fais quoi ??
    0
  11. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Tu as bien suivi le tutoriel ?
    0
  12. colepower3
     
    ben jai ete sur le lien dans la reponse, jai cliquer sur le 1er lien dans le site, en dessous de "telecharger" jai enregistrer sur mon bureau et jai double cliquer dessus pour faire comme dans le tuto, mais rien a faire

    en plus, mon anti-virus me dit qu'il détecte des resiques O_O

    je fais quoi ???
    0
  13. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    mon anti-virus me dit qu'il détecte des resiques O_O

    C'est normal, tu as un antivirus de me**e.

    Il détecte pas les saletés, mais détecte des composants des outils qu'on utilise pour pour désinfecter

    Bon, laisse tomber pour l'instant.

    Relance MBAM ( malwarebyte's antimalware )

    * Dans l'onglet analyse, vérifie que "Exécuter un examen RAPIDE" soit coché et clique sur le bouton Rechercher pour démarrer l'analyse.

    MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

    A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

    * Si des malwares ont été détectés, leur liste s'affiche.

    Coche tous les éléments détectés par Malwarebytes' Anti-Malware puis clique sur Supprimer la sélection afin d'éradiquer les malwares détectés.
    /!\ (a faire impérativement sous peine de recommencer le scan) /!\ , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

    Ferme MBAM en cliquant sur Quitter.

    Poste le rapport dans ta réponse

    Tutoriel

    Je vais au lit, on reprends demain...
    Je dois me lever a 05 h

    @+
    0
  14. colepower3
     
    Salut!
    Bon alors voila, j'ai laissé tomber le programme avec lequel j'avais de la difficulté, comme tu me l'as conseillé. Après avoir lu ton message, j'ai supprimer tous les fichiers infectés qui avaient été trouvés par le premier scan malware que j'avais efectué (premier rapport que j'ai envoyé). J'ai redémarré mon PC et j'ai relancer le scan, tout comme tu me l'avais conseillé.
    J'envoie le rapport que j'ai obtenu. Le scan n'a indiqué aucun fichier infecté, mais j'aimerais avoir ton avis. Sérieusement, merci de l'aide, c'est vraiment utile. Merci beaucoup. Alors voila le rapport de Malware après redémarrage de mon ordi :

    Malwarebytes' Anti-Malware 1.33
    Version de la base de données: 1675
    Windows 5.1.2600 Service Pack 3

    2009-01-21 19:51:03
    mbam-log-2009-01-21 (19-51-03).txt

    Type de recherche: Examen complet (C:\|D:\|)
    Eléments examinés: 86330
    Temps écoulé: 32 minute(s), 29 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  15. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Bien, MBAM a nettoyé.

    Par contre, je te suggère de changer ton Antivirus...
    Norton c'est de la daube.

    Donc télécharge AVIRA Antivir si tu veux l'esssayer sur le lien suivant.
    Il est gratuit
    http://dlce.antivir.com/down/windows/antivir_workstation_winu_fr_h.exe

    Ensuite hors connexion supprime Norton
    Pour désinstaller Norton correctement
    http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924

    Installe ANTIVIR...

    Paramètre le comme expliqué sur ce Tutoriel en images

    Reconnecte toi, fais les mises à jours Antivir... tu seras mieux protégé !

    Après l'installation, mets le à jour - si ton firewall fait une alerte.. accepte la connexion.
    Assure toi qu'Antivir est bien à jour, ( clic droit sur le parapluie => Start Update ) et laisse faire la MàJ.

    Pour vérifier que ton PC soit propre

    Redémarre en mode sans échec !
    Pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

    - Ouvre Antivir par le menu Démarrer / Programmes
    - Cliquez sur l'onglet Scanner.
    - Sélectionne Manual Selection
    - Sélectionne le disque C
    - Lance le scan - Mets en quarantaine tous les éléments détectés.
    - Une fois le scan terminé Enregistre le rapport.

    Redémarre en mode normal.

    Poste le rapport ici.

    0
  16. colepower3
     
    Salut !!
    Ok je suis très contente de savoir que mon PC est enfin propre ! J'espère qu'aucune pub n'affichera :)
    Ben en fait je ne sais pas si j'utilise Norton, mias quand j'ouvre mon antivirus, c'est Symantec Antivirus, je ne sais pas si c'est la même chose mais bon, je vais essayer de suivre les indications que tu m'a donné.
    En tout cas, je te remercie infiniement de m'avoir aidé à nettoyer mon PC de tous les risques.
    J'aurais une dernière petite question: Devrais-je laisser SpyBot Search and Destroy et Malwarebytes' Anti-Malware sur mon ordinateur ou dervais-je supprimer ces programmes? Je demande car j'avais entendu dire (ou j'avais lu peut-être) que SpyBot et ce genre de programmes attiraient les spywares...je ne sais pas si c'est vrai mais si ce l'est je les supprimerai immédiatement.
    Encore merci beaucoup, c'est super gentil :)

    -Colepower3
    0
  17. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Symantec = Norton.

    Vire le, et installe Avira Antivir

    Tu peux garder Spybot, même s'il deviens faiblard

    MBAM, tu gardes, et tu le fait tourner une fois par semaine, en prennant soin de faire une MàJ avant.
    0
  18. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Poste moi un rapport de scan Avira dès que possible.

    @+
    0