Sujet Précédent Sujet Suivant

Trojan virtumonde

Fermé
TiM-StRiKe Messages postés 14 Date d'inscription samedi 5 avril 2008 Statut Membre Dernière intervention 19 juillet 2010 - 19 juil. 2010 à 19:49
TiM-StRiKe Messages postés 14 Date d'inscription samedi 5 avril 2008 Statut Membre Dernière intervention 19 juillet 2010 - 19 juil. 2010 à 20:33
Bonjour,

Alors voila je suis infecté par cette cochonnerie. J'ai essayé tous les tuto que j'avais trouvé (vundoFix, ComboFix et autre) mais rien n'y fait.

Je pense que j'ai réussi à m'en débarrasser grâce à spybot. En effet à chaque scan il revenait mais il m'a signalé que ça provenait d'un de mes signets firefox. Une fois que j'ai supprimé ce dernier, il ne revenait plus MAIS il reste des fichiers infectés et ce trojan me bloque les mises à jours de windows (particulièrement embattent à la longue...)


Voila le rapport HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:47:09, on 19/07/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
I:\windows\System32\smss.exe
I:\windows\system32\winlogon.exe
I:\windows\system32\services.exe
I:\windows\system32\lsass.exe
I:\windows\system32\nvsvc32.exe
I:\windows\system32\svchost.exe
I:\windows\System32\svchost.exe
I:\windows\system32\svchost.exe
I:\windows\system32\spoolsv.exe
I:\Program Files\Avira\AntiVir Desktop\sched.exe
I:\Program Files\Avira\AntiVir Desktop\avguard.exe
I:\Program Files\Bonjour\mDNSResponder.exe
I:\Program Files\Java\jre6\bin\jqs.exe
I:\windows\system32\PnkBstrA.exe
I:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
I:\windows\system32\svchost.exe
I:\Program Files\TRENDnet\TEW-624UB\WinDomainlogon.exe
I:\windows\Explorer.EXE
I:\WINDOWS\system32\winsys2.exe
I:\windows\SOUNDMAN.EXE
I:\Program Files\Avira\AntiVir Desktop\avgnt.exe
I:\Program Files\Fichiers communs\Nokia\MPlatform\NokiaMServer.exe
I:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
I:\windows\system32\RUNDLL32.EXE
I:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
I:\windows\system32\ctfmon.exe
I:\Program Files\TRENDnet\TEW-624UB\WlanCU.exe
I:\windows\system32\wuauclt.exe
I:\Program Files\PC Connectivity Solution\ServiceLayer.exe
I:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
I:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
I:\Program Files\Mozilla Firefox\firefox.exe
I:\WINDOWS\system32\ZoneLabs\vsmon.exe
I:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
I:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - I:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - I:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: ZoneAlarm Toolbar Registrar - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - I:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll (file missing)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - I:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - I:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - I:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [WinSys2] I:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [SW24] I:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [SW20] I:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [Lexmark 5200 series] "I:\Program Files\Lexmark 5200 series\lxbtbmgr.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "I:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "I:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LXBTCATS] rundll32 I:\windows\System32\spool\DRIVERS\W32X86\3\LXBTtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [avgnt] "I:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "I:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [NokiaMServer] I:\Program Files\Fichiers communs\Nokia\MPlatform\NokiaMServer /watchfiles startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "I:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE I:\windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE I:\windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ISW] "I:\Program Files\CheckPoint\ZAForceField\ForceField.exe" /icon="hidden"
O4 - HKLM\..\Run: [ZoneAlarm Client] "I:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "I:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [Steam] "i:\program files\steam\steam.exe" -silent
O4 - HKCU\..\Run: [PC Suite Tray] "I:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [SpybotSD TeaTimer] I:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] I:\windows\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [Shockwave Updater] I:\windows\system32\Adobe\Shockwave 11\SwHelper_1150596.exe -Update -1150596 -"Mozilla/5.0_(Windows;_U;_Windows_NT_5.1;_fr;_rv:1.9.2)_Gecko/20100115_Firefox/3.6_(.NET_CLR_3.5.30729)" -"http://www.uel-pcsm.education.fr/consultation/presentation/plugin/shockwave/shockwave.htm"
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')
O4 - Global Startup: TEW-624UB Manager.lnk = I:\Program Files\TRENDnet\TEW-624UB\WlanCU.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://I:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://I:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://I:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?9a87dd8f75ab4bdfb94c1c1ad039ca42
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://I:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?9a87dd8f75ab4bdfb94c1c1ad039ca42
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - I:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - I:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} -
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6F0F16EF-35A8-4993-BAE4-55665E6CDCB6}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CCS\Services\Tcpip\..\{E948FBF3-2426-4809-AB0B-63764D1B2313}: NameServer = 212.27.40.240,212.27.40.241
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - I:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - I:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - I:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - I:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - I:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - I:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - I:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: lxbt_device - Lexmark International, Inc. - I:\WINDOWS\system32\lxbtcoms.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - I:\windows\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - I:\windows\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - I:\windows\system32\PnkBstrA.exe
O23 - Service: ServiceLayer - Nokia - I:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - I:\windows\system32\sfrem01.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - I:\WINDOWS\system32\ZoneLabs\vsmon.exe
A voir également:

4 réponses

Réponse 1 / 4
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
19 juil. 2010 à 19:55
Bonsoir,

Ta version de Windows est illégale/crackée.
Ton problème vient sûrement de là.

Je te suggère de consulter cette page.

@+
0
Réponse 2 / 4
TiM-StRiKe Messages postés 14 Date d'inscription samedi 5 avril 2008 Statut Membre Dernière intervention 19 juillet 2010
19 juil. 2010 à 20:12
Ah zut, c'est un ami qui s'est chargé de m'installer Windows sur mon ordinateur...


Y'a-t-il quelque chose à faire ou bien formatage obligatoire ?

Merci.
0
Réponse 3 / 4
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
19 juil. 2010 à 20:21
Personnellement tout d'abord je te conseillerais d'aller dire merci à ton amis pour t'avoir mis une version piratée de windows, qui en plus d'être illégale et de te faire encourir des risques légaux, est sûrement la cause de ton problème.

Il faut savoir que la majorité des version de windows crackées sont bourrées de malwares en tout genre. Alors tu auras beau reformater ton PC, ils reviendront toujours.

Maintenant, après avoir analysé ton rapport HJT je ne vois aucune trace de vundo.

CCM n'aide pas les possesseurs de version de windows crackée/illégale pour des raisons d'éthique, même si je suis conscient que ce n'est peut être pas de ta faute ( et encore, rien ne peut prouver que tu n'as pas installé volontairement et en toute conscience cette version ) , nous ne pouvons rien faire pour toi.

Bonne soirée.
0
Réponse 4 / 4
TiM-StRiKe Messages postés 14 Date d'inscription samedi 5 avril 2008 Statut Membre Dernière intervention 19 juillet 2010
19 juil. 2010 à 20:33
Ok merci quand meme.

Je vais le formater en m'achetant une version légal de windows :)
0

Discussions similaires

Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Aide pour un virus
cerise92700 -
MisteryBean -

41 réponses
Trojan impossible à supprimer!
Gridouu -
Malekal_morte- -

12 réponses
C'est quoi "Win32:Trojan-gen {Other}"
Uzumaki -
Utilisateur anonyme -

5 réponses