Infecté par plusieurs virus dont trojan.Vundo

elrika Messages postés 129 Statut Membre -  
benurrr Messages postés 9766 Statut Contributeur sécurité -
Bonjour,
Voici mon problème qui va être dur à ressoudre.
L'ordi de ma soeur est infecté par 1 ou plusieurs virus, qui entre autre ouvre le dossier mes documents

Elle à AVG, j'ai voulu faire un scan, mais lorsque je fessait le scan aucun fichier n etait scanné.
J'ai du essayer de faire le sanc en ligne de bitdefender (j'ai eu du mal car je n'arrivais pas à me conecté sur le net).
J'ai fait le scan, il y decouvert plusieurs virus telque:
Des trojan.heur (plusieur)
Trojan.clicker
Trojan.generic
Trojan.vundo.gnf

L'antivirus n' pas pu tous supprimer

J'eteinds et redémarrer, écran sans la barre d'état, j'appuie sur la touche windows, rien n'apparait.
Je vais dans gestionnaire des tache pour redémarrer.

Je redémarre, la barre des taches est revenu, un fichier disant que zorirako.dll est manquant.
Je vais sur le net pour chercher ce qu'etait ce fichier, puis pouf, IE (firefox ne fonctionne pas) s'eteinds et sur le fond d'ecran apparait un "joli" Warning qui clignote, avec ecrit
Dangerous spyware,
Following viruses were founded......

Je suis actuellement sur mon ordi personnel et ma clé usb ne fonctionne pas sur l'ordi de ma soeur et en ce qui concerne le net de l'ordi de ma soeur

Je peux acceder à google, lire les page web en cache, mais pas en normal il est inscrit qu'il est impossible d'acceder au page à causse d'un probleme de connexion.

Je ne sais pas comment vous pouvez m'aider car je ne peux pas utiliser le net sur l'ordi infecté.

bonne fin de soirée
Configuration: Windows Vista
Firefox 3.0.10

21 réponses

  • 1
  • 2
  1. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    oki plusieurs infection

    Télécharge LSPfix ici :
    http://www.cexx.org/LSPFix.exe

    Lance LSPfix et agrandis la fenêtre qui, par défaut, est trop petite et fait apparaître les ascenseurs horizontaux et verticaux, masquant un bouton.
    Déconnecte toi d'Internet et ferme toutes les instances (fenêtres) Internet Explorer.
    Coche la case "I know what I'm doing" ("Je sais ce que je fais" ).
    Sélectionne toutes les instances de la dll suivantes :

    c:\windows\temp\ntdll64.dll
    c:\windows\temp\ntdll64.dll

    et fais les glisser du panneau de gauche, appelé "keep" au panneau de droite, appelé "Remove".

    Clique sur le bouton [Finish].

    Redémarre l'ordinateur. Remet un log Hijack

    et essayer d'aller sur internet

    Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C..,
    Mais C.. de penser que ­tu es libre...Merci a australe13
    3
  2. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    coucou bennur .....elle ne peut utiliser le net et la clé Usb ne fonctionne pas sur l'ordi malade ....

    Pour suivre..
    1
  3. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    essaye le message 3
    1
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Elrika : As tu un CD/DVD réinscriptible en ta possession ?

    Si c'est le cas ,tu peux copier Hijackthis ou tout autre outil dessus afin de le lancer sur l'autre pc .

    Bon courage a vous deux .
    1
  6. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    car sur mon rapport hijackthis j'ai ces 2 ligne qui apparaisse et apres recherche elles sont infectieuse

    a tu fait la manip comme demander ?
    1
  7. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    y'a pas de raison quelle les récupère pas

    ces saleté font de la résistance

    içi un tuto tres bien fait pour créer et utiliser un cd bootable d'antivir

    http://www.bibou0007.com/antivirus-sans-protection-en-temps-reel-f73/tutorial-avira-antivir-rescue-system-t832.htm
    1
  8. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    Bonjourrr; on va essayer d'arranger sa

    poste un rapport hijackthis (outil de diagnostic)
    Télécharge http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

    --) Enregistre HJTInstall.exe sur ton bureau
    --) Double-clique sur HJTInstall.exe pour lancer le programme
    --) Par défaut, il s'installera içi C:\Programme Files\Trend Micro\HijackThis
    --) Accepte la license en cliquant sur le bouton "I Accept"
    --) Choisis l'option "Do a system scan and save a log file"
    --) Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
    --) Clique sur "Édition -> Sélectionner tout", puis sur "Édition -> Copier" pour copier tout le contenu du rapport
    --) Colle le rapport que tu viens de copier sur ce forum
    --) Ne fixe encore AUCUNE ligne,

    Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C..,
    Mais C.. de penser que ­tu es libre...Merci a australe13
    0
  9. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    salut jfk bien vue

    essaye de faire un scanne en mode sans echec avec ton antivirus si sa peut aider un peu a décanter la bete

    Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
    0
  10. elrika Messages postés 129 Statut Membre 1
     
    Merci de ton aide
    Mais malheuresement comme je l'ai indiqué, je n'ai pas assez au net pout telecharger, et la clé usb n'est pas detecté
    0
  11. elrika Messages postés 129 Statut Membre 1
     
    Bonjour
    merci pour votre aide.

    Je suis entrain de faire un scan en mode sans echec, (je n'y avait pas pensé), AVG est en train de mettre en quarantaine plusieurs virus

    En ce qui concerne le net, cela n'a pas fonctionné, il s'agit de toute les sites qui ne fonctionne pas

    je vais voir si il n'y a pas un CD reinscriptible qui traine.
    0
  12. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    ok

    laisse le travailler

    JFK tu regarde infogeek un peu
    0
  13. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    JFK tu regarde infogeek un peu 


    J'y étais a l'instant ,pourquoi ?
    0
  14. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    bin moi aussi

    2n au lieu de 3 r c'était moi

    Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C..,
    Mais C.. de penser que ­tu es libre...Merci a australe13
    0
  15. elrika Messages postés 129 Statut Membre 1
     
    voilà
    Scan finit

    J'ai fait hitjack après

    Logfile of HijackThis v1.99.1
    Scan saved at 22:45:09, on 15/05/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\userinit.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\WinRAR\WinRAR.exe
    C:\DOCUME~1\JESSIC~1\LOCALS~1\Temp\Rar$EX00.937\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/...
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-cache.ujf-grenoble.fr:3128
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
    O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
    O2 - BHO: (no name) - {59b9f308-39b1-4a08-b233-91c171ec97ab} - C:\WINDOWS\system32\wetidehu.dll (file missing)
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
    O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
    O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
    O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
    O4 - HKLM\..\Run: [MyWebSearch Plugin] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\M3PLUGIN.DLL,UPF
    O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S
    O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
    O4 - HKLM\..\Run: [niDevMon] C:\Program Files\National Instruments\NI-DAQ\HWConfig\nidevmon.exe
    O4 - HKLM\..\Run: [lijefusila] Rundll32.exe "C:\WINDOWS\system32\zorirako.dll",s
    O4 - HKLM\..\Run: [6097dd6d] rundll32.exe "C:\WINDOWS\system32\gomopiwe.dll",b
    O4 - HKLM\..\Run: [CPM63a4eef1] Rundll32.exe "c:\windows\system32\tidadegi.dll",a
    O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [ptidle] "C:\Documents and Settings\Jessica Vincent\Application Data\ptidle\ptidle.exe" 61A847B5BBF728173599284503996897C881250221C8670836AC4FA7C8833201749139
    O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\vpngui.exe
    O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZUxdm569YYFR
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\windows\temp\ntdll64.dll
    O10 - Unknown file in Winsock LSP: c:\windows\temp\ntdll64.dll
    O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/...
    O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei-4/MyFunCardsInitialSetup1.0.1.1.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{5F7156E1-470A-429B-8F06-EAE430BF9951}: NameServer = 212.27.40.240,212.27.40.241
    O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
    O20 - AppInit_DLLs: C:\WINDOWS\system32\sigubahi.dll c:\windows\system32\tidadegi.dll
    O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
    O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\tidadegi.dll
    O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
    O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
    O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
    O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    O23 - Service: Lookout Citadel Server (LkCitadelServer) - National Instruments, Inc. - C:\WINDOWS\system32\lkcitdl.exe
    O23 - Service: National Instruments PSP Server Locator (lkClassAds) - National Instruments Corporation - C:\WINDOWS\system32\lkads.exe
    O23 - Service: National Instruments Time Synchronization (lkTimeSync) - National Instruments Corporation - C:\WINDOWS\system32\lktsrv.exe
    O23 - Service: NI Configuration Manager (mxssvr) - National Instruments Corporation - C:\Program Files\National Instruments\MAX\nimxs.exe
    O23 - Service: My Web Search Service (MyWebSearchService) - MyWebSearch.com - C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe
    O23 - Service: NI-488.2 Enumeration Service (ni488enumsvc) - National Instruments Corporation - C:\WINDOWS\system32\nipalsm.exe
    O23 - Service: NI Device Loader (nidevldu) - National Instruments Corporation - C:\WINDOWS\system32\nipalsm.exe
    O23 - Service: National Instruments Domain Service (NIDomainService) - National Instruments Corporation - C:\Program Files\National Instruments\Shared\Security\nidmsrv.exe
    O23 - Service: NILM License Manager (NILM License manager) - Macrovision Corporation - C:\Program Files\National Instruments\Shared\License Manager\Bin\lmgrd.exe
    O23 - Service: NI PXI Resource Manager (nipxirmu) - National Instruments Corporation - C:\WINDOWS\system32\nipalsm.exe
    O23 - Service: NI Service Locator (niSvcLoc) - National Instruments Corp. - C:\WINDOWS\system32\nisvcloc.exe
    O23 - Service: National Instruments Variable Engine (NITaggerService) - National Instruments Corporation - C:\Program Files\National Instruments\Shared\Tagger\tagsrv.exe
    O23 - Service: OpcEnum - OPC Foundation - C:\WINDOWS\system32\OpcEnum.exe

    PS; je n'ai pas encore redemarrer mon ordi
    0
  16. elrika Messages postés 129 Statut Membre 1
     
    Merci de ton aide.

    pourquoi a tu ecris 2 fois ntdl64.dll ?

    J'ai aussi mswsock.dll (TCP/IP)
    winrnr.dll (NTDS)
    Et rsvpsp.dll (protocol handler)

    dans le coté keep
    0
  17. elrika Messages postés 129 Statut Membre 1
     
    J'ai fait ce que tu as demander
    Et c'est pire
    Il y a la page de bienvenue, avec le nom de la session de l'ordinateur.
    Quand je clique sur le nom, il se met directe en deconnection de la section

    je vais essayer en sans echecs
    0
  18. elrika Messages postés 129 Statut Membre 1
     
    idem, même en utilisant le mode administrateur

    Je suis dans la M... si ma soeur ne pas pas recupérer ces données, elle est en plein stage
    0
  19. elrika Messages postés 129 Statut Membre 1
     
    merci de ton aide.
    Etant actuellement dans ma chambre au "grenier" et n'ayant pas de CD sous la main (pour les autres logiciel, j'ai reussit à faire fonctionné le net sur certain site)
    Je le ferrais demain.
    Et demain, comme je ne serais pas chez moi, je te tiens au courant demain soir

    Bonne fin de soirée
    et merci de ton aide
    0
  20. elrika Messages postés 129 Statut Membre 1
     
    Bonjour
    J'ai utilisé le logiciel et suivit la procédure (à quelque détails près, car il s'agit d'une nouvelle version)
    Il a trouvé environs 15 virus ou spyware etc, dont trojan.vundo
    Mais il est indiqué qu'il n'est pas supprimable.

    Et le problème, n'est pas corrigé.

    J'ais fait le scan 3 fois, mais sans succès,

    Que faire ?

    bonne fin de soirée
    0
  • 1
  • 2