Infecté par vundo.gen

Fermé
TRiBaLiTy - Modifié par TRiBaLiTy le 11/10/2010 à 17:30
 Utilisateur anonyme - 18 oct. 2010 à 10:43
Bonjour,

Comme le titre le dit si bien, je fait partie de ceux qui sont infestés par ce fameux trojan.. En lisant vos conseils sur les autres qui ont posé la même question : je me croyais débarassé !! Effectivement, depuis Vendredi je n'entendais plus parler de lui.. Mais le voilà qui revient en force !! Et là, même avec HiJack (qui ne trouve plus de lignes bizarres), VundoFix (qui lui ne trouve rien d'anormal) et Malwarebytes (qui ne voit plus rien d'infecté) ben Avira me prévient qu'il est toujours là et, effectivement, mon proc. tourne plus haut que d'habitude ( 80% ) et les alertes Avira surviennent toutes les 30 secondes...

Si vous avez une solution, merci de me répondre, voici mon log de HiJack (que j'ai pourtant renommé CCM ;) ) :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:18:37, on 11/10/2010
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Nod32\nod32kui.exe
C:\Windows\System32\rundll32.exe
C:\Windows\SOUNDMAN.EXE
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Nod32\nod32.exe
C:\Users\TRiBaLiTy\Downloads\VundoFix.exe
C:\Users\TRiBaLiTy\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\TRiBaLiTy\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\TRiBaLiTy\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Program Files\Trend Micro\HijackThis\CCM.exe
C:\Program Files\Mozilla Firefox\uninstall\helper.exe
C:\Users\TRiBaLiTy\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\TRIBAL~1\AppData\Local\Temp\~nsu.tmp\Au_.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Vista Ultimate Edition
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 89.28.4.146:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Nod32\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe C:\Windows\system32\nvHotkey.dll,Start
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QT Lite\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Google Update] "C:\Users\TRiBaLiTy\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [PSwitch] C:\Program Files\Proxy Switcher Standard\ProxySwitcher.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\pnrpnsp.dll' missing
O13 - Gopher Prefix:
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\system32\aestsrv.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Nod32\nod32krn.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

Voilà. Et si vous voyez d'autres trucs à zipper, n'hésitez pas à me le dire ;)

Par avance, merci.

52 réponses

Utilisateur anonyme
11 oct. 2010 à 17:31
salut :

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!! (car l'outil est detecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

▶ Télécharge ici :List_Kill'em

et enregistre le sur ton bureau

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

♦ Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

Il commencera par telecharger et installer ses mises à jour , puis te donnera son menu

choisis l'option Search

▶ laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

▶▶▶ NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier C:\List'em.txt

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

▶ Fais de même avec more.txt qui se trouve sur ton bureau
1
Ok !! Je suis en train de le faire et j'ai bien l'impression que le List'em by g3n h@ckm@n reste bloqué à 10%...
0
C'est bon, list'em a redémarré et en est à 30%... Je le laisse bosser et je te post la suite alors !!
0
Utilisateur anonyme
11 oct. 2010 à 18:10
okay :)
0
En tout cas, il est bien long ( maintenant il reste à 30% mais pas bloqué cette fois ci : je vois le défilement ) et je me doute que le rapport va être énorme, raison pour laquelle, sûrement, tu ne me demandes pas de le poster ici mais via un hébergeur ?? ;)
0
Utilisateur anonyme
11 oct. 2010 à 18:20
exactement , il y trop de lignes et ca sera coupé , affiché ici
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Ok... Il en est toujours à 30% et est dans les coins de : HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce ( d'ailleurs, j'ai bien l'impression qu'il en avait déjà fait le tour de celui là ????? )
0
Utilisateur anonyme
11 oct. 2010 à 18:29
oui en HKCU :)
0
Ah oui bien vu !! M'en suis douté en plus que ce devait être ça ^^

Bon ben là, toujours à 30%, mais à : HKLM\Software\Microsoft\shared tools\msconfig\startupreg...

T'as une idée de combien de temps ça peut encore durer ? ( entre une petite heure ou plusieurs heures ??? )
0
Utilisateur anonyme
11 oct. 2010 à 18:40
ca depend des pc ,sur les plus recents ca dure 8/10 mn......
0
Celui là, c'est mon pc portable et il doit avoir un truc genre 4/5 ans... Mais j'ai réinstallé l'OS y'a pas un mois ^^

Et là... Ca fait une heure qu'il s'est exécuté...
0
Alors voici le lien pour list'em.txt : http://www.cijoint.fr/cjlink.php?file=cj201010/cijIjGXKJW.txt

Et celui pour more.txt : http://www.cijoint.fr/cjlink.php?file=cj201010/cij3jh6rZk.txt
0
Utilisateur anonyme
11 oct. 2010 à 19:35
tu es derriere un proxy c'est normal ?

tu as deux antivirus qui tournent en meme temps !!

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

==============================

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


▶ Relance List_Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

▶ choisis l'Option Clean

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

▶ colle le contenu dans ta reponse
0
Ok, oui pour les deux antivirus, je sais, mais je les trouve bien compatibles les deux là ;)

Par contre, je les ai fermé depuis un moment puisque tu me l'as demandé !!

Il est cool ton defogger merci ;)

Je fais ça alors et je reposte :D
0
Voici donc Kill'em.txt :

http://www.cijoint.fr/cjlink.php?file=cj201010/cijbk5NYj1.txt
0
Utilisateur anonyme
11 oct. 2010 à 22:34
Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.



▶ Télécharge ici :

Malwarebytes

ou :

Malwarebytes

▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

▶ Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

▶ Lance Malwarebyte's .

Fais un examen dit "Complet" .

▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

0
Je l'ai déjà malwarebytes, mais je n'ai pas essayé de le faire tourner tout seul sans rien d'autres... Je vais le mettre à jour et le faire tourner seul alors !! Le connaissant, ça va bien prendre 2/3 heures ^^
0
Utilisateur anonyme
11 oct. 2010 à 22:55
ok
0
Voilà le log de Malware après redémarrage :


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4796

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

12/10/2010 04:34:13
mbam-log-2010-10-12 (04-34-13).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 188398
Temps écoulé: 3 heure(s), 58 minute(s), 54 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe\debugger (Security.Hijack) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\System32\kbiwkmoxmddipk.dll (Rootkit.TDSS) -> Delete on reboot.
C:\Windows\System32\kbiwkmrogtmxsu.dll (Rootkit.TDSS) -> Delete on reboot.
C:\Windows\System32\drivers\kbiwkmixlnrstq.sys (Rootkit.TDSS) -> Delete on reboot.
C:\Windows\System32\kbiwkmjxpsiums.dat (Rootkit.TDSS) -> Delete on reboot.
0
Utilisateur anonyme
12 oct. 2010 à 10:12
▶ Télécharge : Gmer (by Przemyslaw Gmerek) et enregistre-le sur ton bureau

Desactive toutes tes protections le temps du scan de gMer

Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."

▶ clique sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

▶ Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)
0
Voici le rapport gmer ( il n'y avait qu'une seule ligne rouge : celle qui s'appelle Service system32\drivers\kbiwkmixlnrstq.sys (*** hidden *** ) [SYSTEM] kbiwkmngcqqbtp <-- ROOTKIT !!! ) :

http://www.cijoint.fr/cjlink.php?file=cj201010/cijhWnwDMN.txt
0
A noter : Lorsque j'étais en mode "normal", le logiciel gmer augmentait la vitesse de mon proc' ( qui était déjà élevé ) et le montait jusqu'à 100% ce qui avait pour effet de planter l'ordi. J'ai donc du scanner avec gmer en mode "sans échec". Je ne sais pas si ça a une incidence, mais je me suis dit qu'il valait mieux te le préciser ;)
0