Sujet Précédent Sujet Suivant

Trojan.Virtumonde.IF impossible à effacer

Fermé
stefbxl Messages postés 29 Date d'inscription vendredi 27 janvier 2006 Statut Membre Dernière intervention 3 octobre 2008 - 16 juin 2007 à 12:06
 stefbxl - 19 oct. 2007 à 13:53
bonjour a tous le monde.
j'ai un gros probleme de virus que je n'arrive pas a effacer,
est-ce que quelqu'un pourrais m'aider .
merci d'avance.
voici le rapport de mon anti virus .qui n'arrive pas à l'effacer .


//-----------------------------------------------------------------
//
// Produit BitDefender Internet Security v10
// Produit 10.2
//
// Créé le: 16/06/2007 11:33:19
//
//-----------------------------------------------------------------


Statistiques

Chemin cible: C:\
Dossiers : 4249
Fichiers : 115395
Processus Mémoire analysés : 34
Archives : 3
Fichiers enpaquetés : 10064
Virus trouvés : 1
Fichiers infectés : 1
Processus Mémoire infectés : 0
Fichiers suspects : 0
Alertes : 0
Fichiers désinfectés : 0
Fichiers effacés : 0
Fichiers déplacés : 0
Erreurs I/O : 7
Temps d'analyse :=00:15:42
Fichiers/seconde :122

Statistiques Spywares

Registres analysés : 2304
Registres infectés : 0
Cookies analysés : 426
Cookies infectés : 0
Fichiers spyware infectés : 0
Menaces Spyware détectées : 0


Définitions virus : 561980
Plugins d'analyse : 16
Plugins archives : 41
Plug-ins décompression : 6
Plug-ins messagerie : 6
Plug-ins système : 5

Options d'analyse

Détection
[X] Analyser le secteur de boot
[X] Processus mémoire
[ ] Analyser les archives
[X] Analyser les fichiers enpaquetés
[X] Analyser la messagerie

Masque fichiers
[X] Programmes
[ ] Tous les fichiers
[ ] Extensions définies par l'utilisateur:
[ ] Exclure les extensions: ;

Action

Objets infectés
[ ] Ignorer
[X] Désinfecter
[ ] Effacer
[ ] Mettre en quarantaine
[ ] Demander l'action

Seconde action
[ ] Ignorer
[ ] Effacer
[X] Mettre en quarantaine
[ ] Demander l'action

Options d'analyse
[X] Activer les alertes
[ ] Activer l'heuristique
[ ] Afficher tous les fichiers dans le journal
[X] Fichier journal: C:\Documents and Settings\All Users\Application Data\Bitdefender\Desktop\Profiles\Logs\full_scan\1181986399.log

Options d'analyse Spyware

[X] Analyse contre les risques non-viraux
[ ] Ecarter de l'analyse les dialers et les applications
[X] Clés de registres
[X] Cookies


Résumé:

C:\WINDOWS\system32\kbd220.dll Infecté: MemScan:Trojan.Virtumonde.IF
C:\WINDOWS\system32\kbd220.dll Désinfection impossible
C:\WINDOWS\system32\kbd220.dll Déplacement impossible



voici aussi le rapport de clean.


16/06/2007 a 11:54:16,01

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\bdod.bin FOUND

*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !


j'espere que quelqu'un pourra m'aider..
A voir également:

32 réponses

  • 1
  • 2
Réponse 1 / 32
blondin777 Messages postés 6155 Date d'inscription vendredi 15 septembre 2006 Statut Contributeur Dernière intervention 6 avril 2012 944
16 juin 2007 à 12:08
Salut.

Télécharge VirtumundoBegone sur le bureau:

http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse avec un nouveau rapport HijackThis.
Ne t'inquiète pas si tu vois un message Ecran bleu "Erreur fatale", c'est normal et attendu

télécharges « Hijackthis »:

http://telechargement.zebulon.fr/138-HijackThis.html

*Installes-le dans un dossier créé spécialement à la racine de ta partition principale (généralement c:\).
Donc tu l'installes dans C:\ et pas dans C: \.........\........\.
*Renommes le en hij.exe par exemple
*Double cliques sur hij.exe
*Cliques sur le fichier > « exécute » > « do a scan and save a logfile ».
*Une fois fini tu vas avoir un « rapport.txt » (dans le dossier où tu l’as installé)
*Postes ici ce rapport

Démo pour cocher et fixer les lignes:

http://pageperso.aol.fr/balltrap34/Hijenr.gif
http://pageperso.aol.fr/balltrap34/demohijack.htm
0
Réponse 2 / 32
stefbxl Messages postés 29 Date d'inscription vendredi 27 janvier 2006 Statut Membre Dernière intervention 3 octobre 2008
16 juin 2007 à 12:20
bonjour a toi blondin777 et merci de ta rapidité .
voici les deux rapport.


[06/16/2007, 12:13:47] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\stefbxl\Bureau\VirtumundoBeGone.exe" )
[06/16/2007, 12:13:53] - Detected System Information:
[06/16/2007, 12:13:53] - Windows Version: 5.1.2600, Service Pack 2
[06/16/2007, 12:13:53] - Current Username: stefbxl (Admin)
[06/16/2007, 12:13:53] - Windows is in NORMAL mode.
[06/16/2007, 12:13:53] - Searching for Browser Helper Objects:
[06/16/2007, 12:13:53] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[06/16/2007, 12:13:53] - BHO 2: {3a3f688d-20b9-4fa5-bcbb-732c0daf58f4} ()
[06/16/2007, 12:13:53] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/16/2007, 12:13:53] - Checking for HKLM\...\Winlogon\Notify\kbd220
[06/16/2007, 12:13:53] - Found: HKLM\...\Winlogon\Notify\kbd220 - This is probably Virtumundo.
[06/16/2007, 12:13:53] - Assigning {3a3f688d-20b9-4fa5-bcbb-732c0daf58f4} MSEvents Object
[06/16/2007, 12:13:53] - BHO list has been changed! Starting over...
[06/16/2007, 12:13:53] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[06/16/2007, 12:13:53] - BHO 2: {3a3f688d-20b9-4fa5-bcbb-732c0daf58f4} (MSEvents Object)
[06/16/2007, 12:13:53] - ALERT: Found MSEvents Object!
[06/16/2007, 12:13:53] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[06/16/2007, 12:13:53] - BHO 4: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[06/16/2007, 12:13:53] - Finished Searching Browser Helper Objects
[06/16/2007, 12:13:53] - *** Detected MSEvents Object
[06/16/2007, 12:13:53] - Trying to remove MSEvents Object...
[06/16/2007, 12:13:54] - Terminating Process: IEXPLORE.EXE
[06/16/2007, 12:13:54] - Terminating Process: RUNDLL32.EXE
[06/16/2007, 12:13:54] - Disabling Automatic Shell Restart
[06/16/2007, 12:13:54] - Terminating Process: EXPLORER.EXE
[06/16/2007, 12:13:54] - Suspending the NT Session Manager System Service
[06/16/2007, 12:13:54] - Terminating Windows NT Logon/Logoff Manager
[06/16/2007, 12:13:55] - Re-enabling Automatic Shell Restart
[06/16/2007, 12:13:55] - File to disable: C:\WINDOWS\SYSTEM32\kbd220.dll
[06/16/2007, 12:13:55] - Renaming C:\WINDOWS\SYSTEM32\kbd220.dll -> C:\WINDOWS\SYSTEM32\kbd220.dll.vir
[06/16/2007, 12:13:55] - File successfully renamed!
[06/16/2007, 12:13:55] - Removing HKLM\...\Browser Helper Objects\{3a3f688d-20b9-4fa5-bcbb-732c0daf58f4}
[06/16/2007, 12:13:55] - Removing HKCR\CLSID\{3a3f688d-20b9-4fa5-bcbb-732c0daf58f4}
[06/16/2007, 12:13:55] - Adding Kill Bit for ActiveX for GUID: {3a3f688d-20b9-4fa5-bcbb-732c0daf58f4}
[06/16/2007, 12:13:55] - Deleting ATLEvents/MSEvents Registry entries
[06/16/2007, 12:13:55] - Removing HKLM\...\Winlogon\Notify\kbd220
[06/16/2007, 12:13:55] - Searching for Browser Helper Objects:
[06/16/2007, 12:13:55] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[06/16/2007, 12:13:55] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[06/16/2007, 12:13:55] - BHO 3: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[06/16/2007, 12:13:55] - Finished Searching Browser Helper Objects
[06/16/2007, 12:13:55] - Finishing up...
[06/16/2007, 12:13:55] - A restart is needed.
[06/16/2007, 12:13:58] - Attempting to Restart via STOP error (Blue Screen!)



Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 12:15:50, on 16/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\Mixer.exe
C:\Program Files\Softwin\BitDefender10\bdmcon.exe
C:\Program Files\Softwin\BitDefender10\bdagent.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\stefbxl\Mes documents\programme\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Mobistar ADSL Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Mobistar - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.be/fr/e-services/login?TARGET=https%3A//e-services.orange.be/fr/redirect/kit_home.htm (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O17 - HKLM\System\CCS\Services\Tcpip\..\{11787059-7616-4FBC-AC8A-1C046A929391}: NameServer = 212.65.63.145,212.65.63.10
O17 - HKLM\System\CS2\Services\Tcpip\..\{11787059-7616-4FBC-AC8A-1C046A929391}: NameServer = 212.65.63.145,212.65.63.10
O17 - HKLM\System\CS3\Services\Tcpip\..\{11787059-7616-4FBC-AC8A-1C046A929391}: NameServer = 212.65.63.145,212.65.63.10
O20 - AppInit_DLLs: c:\windows\system32\awvvtst.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe
O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Unknown owner - C:\Program Files\Inventel\Gateway\wlancfg.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
0
Réponse 3 / 32
blondin777 Messages postés 6155 Date d'inscription vendredi 15 septembre 2006 Statut Contributeur Dernière intervention 6 avril 2012 944
16 juin 2007 à 12:22
J'analyse ton log et je te tiens au courant.
0
Réponse 4 / 32
stefbxl Messages postés 29 Date d'inscription vendredi 27 janvier 2006 Statut Membre Dernière intervention 3 octobre 2008
16 juin 2007 à 12:22
merci beaucoup a toutes
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 32
blondin777 Messages postés 6155 Date d'inscription vendredi 15 septembre 2006 Statut Contributeur Dernière intervention 6 avril 2012 944
16 juin 2007 à 13:12
Coches et fixes cette ligne:

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/

Refais un scan avec bitdefender mais ton infection a dû disparaitre.
0
Réponse 6 / 32
stefbxl Messages postés 29 Date d'inscription vendredi 27 janvier 2006 Statut Membre Dernière intervention 3 octobre 2008
16 juin 2007 à 13:17
ou je trouve cette ligne
0
Réponse 7 / 32
blondin777 Messages postés 6155 Date d'inscription vendredi 15 septembre 2006 Statut Contributeur Dernière intervention 6 avril 2012 944
16 juin 2007 à 13:18
dans hijackthis
0
Réponse 8 / 32
stefbxl Messages postés 29 Date d'inscription vendredi 27 janvier 2006 Statut Membre Dernière intervention 3 octobre 2008
16 juin 2007 à 13:21
ok c'est fais et j'ai lancer l'analyse .
0
Réponse 9 / 32
blondin777 Messages postés 6155 Date d'inscription vendredi 15 septembre 2006 Statut Contributeur Dernière intervention 6 avril 2012 944
16 juin 2007 à 13:22
Je regarderais ce soir because boulot cet aprem.

A ce soir, donc
0
Réponse 10 / 32
stefbxl Messages postés 29 Date d'inscription vendredi 27 janvier 2006 Statut Membre Dernière intervention 3 octobre 2008
16 juin 2007 à 13:24
ok pas de probleme et merci encore .bon taf.
0
Réponse 11 / 32
stefbxl Messages postés 29 Date d'inscription vendredi 27 janvier 2006 Statut Membre Dernière intervention 3 octobre 2008
16 juin 2007 à 13:41
voici deja le rapport de bitdefender et le virus est encore la...


//-----------------------------------------------------------------
//
// Produit BitDefender Internet Security v10
// Produit 10.2
//
// Créé le: 16/06/2007 13:22:55
//
//-----------------------------------------------------------------


Statistiques

Chemin cible: C:\
Dossiers : 4250
Fichiers : 115781
Processus Mémoire analysés : 37
Archives : 3
Fichiers enpaquetés : 10144
Virus trouvés : 1
Fichiers infectés : 1
Processus Mémoire infectés : 0
Fichiers suspects : 0
Alertes : 0
Fichiers désinfectés : 0
Fichiers effacés : 0
Fichiers déplacés : 0
Erreurs I/O : 7
Temps d'analyse :=00:16:04
Fichiers/seconde :120

Statistiques Spywares

Registres analysés : 2304
Registres infectés : 0
Cookies analysés : 432
Cookies infectés : 0
Fichiers spyware infectés : 0
Menaces Spyware détectées : 0


Définitions virus : 562037
Plugins d'analyse : 16
Plugins archives : 41
Plug-ins décompression : 6
Plug-ins messagerie : 6
Plug-ins système : 5

Options d'analyse

Détection
[X] Analyser le secteur de boot
[X] Processus mémoire
[ ] Analyser les archives
[X] Analyser les fichiers enpaquetés
[X] Analyser la messagerie

Masque fichiers
[X] Programmes
[ ] Tous les fichiers
[ ] Extensions définies par l'utilisateur:
[ ] Exclure les extensions: ;

Action

Objets infectés
[ ] Ignorer
[X] Désinfecter
[ ] Effacer
[ ] Mettre en quarantaine
[ ] Demander l'action

Seconde action
[ ] Ignorer
[ ] Effacer
[X] Mettre en quarantaine
[ ] Demander l'action

Options d'analyse
[X] Activer les alertes
[ ] Activer l'heuristique
[ ] Afficher tous les fichiers dans le journal
[X] Fichier journal: C:\Documents and Settings\All Users\Application Data\Bitdefender\Desktop\Profiles\Logs\full_scan\1181992975.log

Options d'analyse Spyware

[X] Analyse contre les risques non-viraux
[ ] Ecarter de l'analyse les dialers et les applications
[X] Clés de registres
[X] Cookies


Résumé:

C:\WINDOWS\system32\kbdccy.dll Infecté: MemScan:Trojan.Virtumonde.IF
C:\WINDOWS\system32\kbdccy.dll Désinfection impossible
C:\WINDOWS\system32\kbdccy.dll Déplacement impossible
0
Réponse 12 / 32
blondin777 Messages postés 6155 Date d'inscription vendredi 15 septembre 2006 Statut Contributeur Dernière intervention 6 avril 2012 944
16 juin 2007 à 22:20
Repasses virtumonde.

0
Réponse 13 / 32
stefbxl Messages postés 29 Date d'inscription vendredi 27 janvier 2006 Statut Membre Dernière intervention 3 octobre 2008
16 juin 2007 à 22:56
c'est fait . ..
0
Réponse 14 / 32
stefbxl Messages postés 29 Date d'inscription vendredi 27 janvier 2006 Statut Membre Dernière intervention 3 octobre 2008
16 juin 2007 à 22:59
[06/16/2007, 12:13:47] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\stefbxl\Bureau\VirtumundoBeGone.exe" )
[06/16/2007, 12:13:53] - Detected System Information:
[06/16/2007, 12:13:53] - Windows Version: 5.1.2600, Service Pack 2
[06/16/2007, 12:13:53] - Current Username: stefbxl (Admin)
[06/16/2007, 12:13:53] - Windows is in NORMAL mode.
[06/16/2007, 12:13:53] - Searching for Browser Helper Objects:
[06/16/2007, 12:13:53] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[06/16/2007, 12:13:53] - BHO 2: {3a3f688d-20b9-4fa5-bcbb-732c0daf58f4} ()
[06/16/2007, 12:13:53] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/16/2007, 12:13:53] - Checking for HKLM\...\Winlogon\Notify\kbd220
[06/16/2007, 12:13:53] - Found: HKLM\...\Winlogon\Notify\kbd220 - This is probably Virtumundo.
[06/16/2007, 12:13:53] - Assigning {3a3f688d-20b9-4fa5-bcbb-732c0daf58f4} MSEvents Object
[06/16/2007, 12:13:53] - BHO list has been changed! Starting over...
[06/16/2007, 12:13:53] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[06/16/2007, 12:13:53] - BHO 2: {3a3f688d-20b9-4fa5-bcbb-732c0daf58f4} (MSEvents Object)
[06/16/2007, 12:13:53] - ALERT: Found MSEvents Object!
[06/16/2007, 12:13:53] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[06/16/2007, 12:13:53] - BHO 4: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[06/16/2007, 12:13:53] - Finished Searching Browser Helper Objects
[06/16/2007, 12:13:53] - *** Detected MSEvents Object
[06/16/2007, 12:13:53] - Trying to remove MSEvents Object...
[06/16/2007, 12:13:54] - Terminating Process: IEXPLORE.EXE
[06/16/2007, 12:13:54] - Terminating Process: RUNDLL32.EXE
[06/16/2007, 12:13:54] - Disabling Automatic Shell Restart
[06/16/2007, 12:13:54] - Terminating Process: EXPLORER.EXE
[06/16/2007, 12:13:54] - Suspending the NT Session Manager System Service
[06/16/2007, 12:13:54] - Terminating Windows NT Logon/Logoff Manager
[06/16/2007, 12:13:55] - Re-enabling Automatic Shell Restart
[06/16/2007, 12:13:55] - File to disable: C:\WINDOWS\SYSTEM32\kbd220.dll
[06/16/2007, 12:13:55] - Renaming C:\WINDOWS\SYSTEM32\kbd220.dll -> C:\WINDOWS\SYSTEM32\kbd220.dll.vir
[06/16/2007, 12:13:55] - File successfully renamed!
[06/16/2007, 12:13:55] - Removing HKLM\...\Browser Helper Objects\{3a3f688d-20b9-4fa5-bcbb-732c0daf58f4}
[06/16/2007, 12:13:55] - Removing HKCR\CLSID\{3a3f688d-20b9-4fa5-bcbb-732c0daf58f4}
[06/16/2007, 12:13:55] - Adding Kill Bit for ActiveX for GUID: {3a3f688d-20b9-4fa5-bcbb-732c0daf58f4}
[06/16/2007, 12:13:55] - Deleting ATLEvents/MSEvents Registry entries
[06/16/2007, 12:13:55] - Removing HKLM\...\Winlogon\Notify\kbd220
[06/16/2007, 12:13:55] - Searching for Browser Helper Objects:
[06/16/2007, 12:13:55] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[06/16/2007, 12:13:55] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[06/16/2007, 12:13:55] - BHO 3: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[06/16/2007, 12:13:55] - Finished Searching Browser Helper Objects
[06/16/2007, 12:13:55] - Finishing up...
[06/16/2007, 12:13:55] - A restart is needed.
[06/16/2007, 12:13:58] - Attempting to Restart via STOP error (Blue Screen!)

[06/16/2007, 22:53:15] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\stefbxl\Bureau\Nouveau dossier\VirtumundoBeGone.exe" )
[06/16/2007, 22:53:21] - Detected System Information:
[06/16/2007, 22:53:21] - Windows Version: 5.1.2600, Service Pack 2
[06/16/2007, 22:53:21] - Current Username: stefbxl (Admin)
[06/16/2007, 22:53:21] - Windows is in NORMAL mode.
[06/16/2007, 22:53:21] - Searching for Browser Helper Objects:
[06/16/2007, 22:53:21] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[06/16/2007, 22:53:21] - BHO 2: {3a3f688d-20b9-4fa5-bcbb-732c0daf58f4} ()
[06/16/2007, 22:53:21] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/16/2007, 22:53:21] - Checking for HKLM\...\Winlogon\Notify\kbdccy
[06/16/2007, 22:53:21] - Found: HKLM\...\Winlogon\Notify\kbdccy - This is probably Virtumundo.
[06/16/2007, 22:53:21] - Assigning {3a3f688d-20b9-4fa5-bcbb-732c0daf58f4} MSEvents Object
[06/16/2007, 22:53:21] - BHO list has been changed! Starting over...
[06/16/2007, 22:53:21] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[06/16/2007, 22:53:21] - BHO 2: {3a3f688d-20b9-4fa5-bcbb-732c0daf58f4} (MSEvents Object)
[06/16/2007, 22:53:21] - ALERT: Found MSEvents Object!
[06/16/2007, 22:53:21] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[06/16/2007, 22:53:21] - BHO 4: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[06/16/2007, 22:53:21] - Finished Searching Browser Helper Objects
[06/16/2007, 22:53:21] - *** Detected MSEvents Object
[06/16/2007, 22:53:21] - Trying to remove MSEvents Object...
[06/16/2007, 22:53:22] - Terminating Process: IEXPLORE.EXE
[06/16/2007, 22:53:23] - Terminating Process: RUNDLL32.EXE
[06/16/2007, 22:53:23] - Disabling Automatic Shell Restart
[06/16/2007, 22:53:23] - Terminating Process: EXPLORER.EXE
[06/16/2007, 22:53:23] - Suspending the NT Session Manager System Service
[06/16/2007, 22:53:23] - Terminating Windows NT Logon/Logoff Manager
[06/16/2007, 22:53:23] - Re-enabling Automatic Shell Restart
[06/16/2007, 22:53:23] - File to disable: C:\WINDOWS\SYSTEM32\kbdccy.dll
[06/16/2007, 22:53:23] - Renaming C:\WINDOWS\SYSTEM32\kbdccy.dll -> C:\WINDOWS\SYSTEM32\kbdccy.dll.vir
[06/16/2007, 22:53:23] - File successfully renamed!
[06/16/2007, 22:53:23] - Removing HKLM\...\Browser Helper Objects\{3a3f688d-20b9-4fa5-bcbb-732c0daf58f4}
[06/16/2007, 22:53:23] - Removing HKCR\CLSID\{3a3f688d-20b9-4fa5-bcbb-732c0daf58f4}
[06/16/2007, 22:53:23] - Adding Kill Bit for ActiveX for GUID: {3a3f688d-20b9-4fa5-bcbb-732c0daf58f4}
[06/16/2007, 22:53:23] - Deleting ATLEvents/MSEvents Registry entries
[06/16/2007, 22:53:23] - Removing HKLM\...\Winlogon\Notify\kbdccy
[06/16/2007, 22:53:23] - Searching for Browser Helper Objects:
[06/16/2007, 22:53:23] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[06/16/2007, 22:53:23] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[06/16/2007, 22:53:23] - BHO 3: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[06/16/2007, 22:53:23] - Finished Searching Browser Helper Objects
[06/16/2007, 22:53:23] - Finishing up...
[06/16/2007, 22:53:23] - A restart is needed.
[06/16/2007, 22:53:30] - Attempting to Restart via STOP error (Blue Screen!)

[06/16/2007, 22:58:11] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\stefbxl\Bureau\Nouveau dossier\VirtumundoBeGone.exe" )
[06/16/2007, 22:58:15] - User choose NOT to continue. Exiting...
0
Réponse 15 / 32
stefbxl Messages postés 29 Date d'inscription vendredi 27 janvier 2006 Statut Membre Dernière intervention 3 octobre 2008
16 juin 2007 à 23:03
non excuse regarde celui la

[06/16/2007, 22:59:59] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\stefbxl\Bureau\Nouveau dossier\VirtumundoBeGone.exe" )
[06/16/2007, 23:00:01] - User choose NOT to continue. Exiting...

[06/16/2007, 23:00:19] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\stefbxl\Bureau\Nouveau dossier\VirtumundoBeGone.exe" )
[06/16/2007, 23:00:27] - Detected System Information:
[06/16/2007, 23:00:27] - Windows Version: 5.1.2600, Service Pack 2
[06/16/2007, 23:00:27] - Current Username: stefbxl (Admin)
[06/16/2007, 23:00:27] - Windows is in NORMAL mode.
[06/16/2007, 23:00:27] - Searching for Browser Helper Objects:
[06/16/2007, 23:00:27] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[06/16/2007, 23:00:27] - BHO 2: {3a3f688d-20b9-4fa5-bcbb-732c0daf58f4} ()
[06/16/2007, 23:00:27] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/16/2007, 23:00:27] - Checking for HKLM\...\Winlogon\Notify\ctydic
[06/16/2007, 23:00:27] - Found: HKLM\...\Winlogon\Notify\ctydic - This is probably Virtumundo.
[06/16/2007, 23:00:27] - Assigning {3a3f688d-20b9-4fa5-bcbb-732c0daf58f4} MSEvents Object
[06/16/2007, 23:00:27] - BHO list has been changed! Starting over...
[06/16/2007, 23:00:27] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[06/16/2007, 23:00:27] - BHO 2: {3a3f688d-20b9-4fa5-bcbb-732c0daf58f4} (MSEvents Object)
[06/16/2007, 23:00:27] - ALERT: Found MSEvents Object!
[06/16/2007, 23:00:27] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[06/16/2007, 23:00:27] - BHO 4: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[06/16/2007, 23:00:27] - Finished Searching Browser Helper Objects
[06/16/2007, 23:00:27] - *** Detected MSEvents Object
[06/16/2007, 23:00:27] - Trying to remove MSEvents Object...
[06/16/2007, 23:00:28] - Terminating Process: IEXPLORE.EXE
[06/16/2007, 23:00:28] - Terminating Process: RUNDLL32.EXE
[06/16/2007, 23:00:28] - Disabling Automatic Shell Restart
[06/16/2007, 23:00:28] - Terminating Process: EXPLORER.EXE
[06/16/2007, 23:00:28] - Suspending the NT Session Manager System Service
[06/16/2007, 23:00:28] - Terminating Windows NT Logon/Logoff Manager
[06/16/2007, 23:00:29] - Re-enabling Automatic Shell Restart
[06/16/2007, 23:00:29] - File to disable: C:\WINDOWS\system32\ctydic.dll
[06/16/2007, 23:00:29] - Renaming C:\WINDOWS\system32\ctydic.dll -> C:\WINDOWS\system32\ctydic.dll.vir
[06/16/2007, 23:00:29] - ! File rename was unsucessful.
[06/16/2007, 23:00:29] - Attempting to Deny Access to C:\WINDOWS\system32\ctydic.dll
[06/16/2007, 23:00:29] - *** IMPORTANT: Delete/Rename/Move on reboot (like Killbox) MAY NOT work.
[06/16/2007, 23:00:29] - ERROR: Le mappage entre les noms de compte et les ID de sécurité n'a pas été effectué.

[06/16/2007, 23:00:29] - *** IMPORTANT: The file is disabled and will need to be deleted by the user.
[06/16/2007, 23:00:29] - Removing HKLM\...\Browser Helper Objects\{3a3f688d-20b9-4fa5-bcbb-732c0daf58f4}
[06/16/2007, 23:00:29] - Removing HKCR\CLSID\{3a3f688d-20b9-4fa5-bcbb-732c0daf58f4}
[06/16/2007, 23:00:29] - Adding Kill Bit for ActiveX for GUID: {3a3f688d-20b9-4fa5-bcbb-732c0daf58f4}
[06/16/2007, 23:00:29] - Deleting ATLEvents/MSEvents Registry entries
[06/16/2007, 23:00:29] - Removing HKLM\...\Winlogon\Notify\ctydic
[06/16/2007, 23:00:29] - Searching for Browser Helper Objects:
[06/16/2007, 23:00:29] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[06/16/2007, 23:00:29] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[06/16/2007, 23:00:29] - BHO 3: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[06/16/2007, 23:00:29] - Finished Searching Browser Helper Objects
[06/16/2007, 23:00:29] - Finishing up...
[06/16/2007, 23:00:29] - A restart is needed.
[06/16/2007, 23:00:32] - Attempting to Restart via STOP error (Blue Screen!)
0
Réponse 16 / 32
stefbxl Messages postés 29 Date d'inscription vendredi 27 janvier 2006 Statut Membre Dernière intervention 3 octobre 2008
16 juin 2007 à 23:58
virus toujours la que dois-je faire.
hello tu es toujours la ...
0
Réponse 17 / 32
blondin777 Messages postés 6155 Date d'inscription vendredi 15 septembre 2006 Statut Contributeur Dernière intervention 6 avril 2012 944
17 juin 2007 à 09:38
Telecharges Killbox : https://www.generation-nt.com/killbox-telechargement-25430.html

Doubles clique sur killbox.exe (Pocket Killbox)

- coches: delete on reboot
dans la barre vide entre ceci: (exactement)

C:\WINDOWS\system32\ctydic.dll


- cliques sur la croix rouge
- une fenetre va apparaitre pour confirmation cliques sur YES
- une seconde fenetre te demande si tu veux redemarrer cliques sur YES

Après redémarrage, relance Killbox puis clic sur l'onglet "fichier" -> Log -> Actions History Log
Poste le rapport ici
0
Réponse 18 / 32
stefbxl Messages postés 29 Date d'inscription vendredi 27 janvier 2006 Statut Membre Dernière intervention 3 octobre 2008
17 juin 2007 à 13:29
j'ai suivi la marche a suivre mais un probleme suirvient au moment ou je clique sur la crois rouge.
il me donne en message d'erreur apres avoir appuyer decu ceci: (pendind file rename yperations registry data has been removed by external process.)

Alala.. c'est koi ça..
0
Réponse 19 / 32
stefbxl Messages postés 29 Date d'inscription vendredi 27 janvier 2006 Statut Membre Dernière intervention 3 octobre 2008
17 juin 2007 à 13:46
ça marche pas, que dois-je faire maintenant..
0
Réponse 20 / 32
blondin777 Messages postés 6155 Date d'inscription vendredi 15 septembre 2006 Statut Contributeur Dernière intervention 6 avril 2012 944
17 juin 2007 à 19:02
redémarre le manuellement ---> Menu Démarrer / arreter / redémarrer l'ordinateur
0

Discussions similaires

Pokémon X et Y : comment effacer une partie ?
PokéFan -
yoshiedu13 -

49 réponses
Comment on fait pour supprimer les conversations sur Snap ?
Eva6240 -
Charlito598 -

46 réponses
Comment enlever l'enregistrement d'une conversation snap
Big problem -
SweetHeart13 -

1 réponse