Problème suite à un trojan vundo
Florian
-
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour, j'ai un petit souci pas très important mais tout de même génant qui est apparu suite aux interventions que j'ai réalisé hier soir grâce à l'aide de Jorginho67. J'avais des fenêtres intempestives qui apparaissaient d'un instant à l'autre quand j'étais sur internet. Jorginho67 m'a donner plusieurs conseils et actions a faire, j'ai finalement réussi a me débarasser de ces fameuses publicités. Mais seul problème à chaque démarrage quand le pc charge le bureau il y a une fenêtre qui s'ouvre avec pour intitulé "rundll32.exe - Image incorrecte" et le message en lui même dit "L'application ou la DLL C:/WINDOWS/system32/uoowtocp.dll n'est pas une image windows valide. Vérifiez à l'aide de votre disquette d'installation."
Et suite à ca j'ai remarqué que sur le rapport de Malwarebytes' Anti-Malware que je copie plus bas dans le message, ce fameux fichier nommé "uoowtocp.dll" est recensé comme fichier infecté par Trojan.Vundo.
Alors je me demandais si il fallait que je le supprime moi même parce que j'ai été voir dans le dossier en question et il est encore présent. Est ce que c'est une erreur de Malwarebytes' Anti-Malware qui a oublié de le supprimer ou bien est ce que c'est un fichier important pour windows ?
En tout cas je tiens a remercier Jorginho67 car depuis hier soir quand je surfe sur le net je n'ai plus de fenêtres intempestives qui surgissent a l'écran. Encore merci et si quelqu'un peut m'aider pour mon dernier petit souci merci d'avance...
Malwarebytes' Anti-Malware 1.11
Version de la base de données: 675
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 104642
Temps écoulé: 46 minute(s), 36 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 3
Clé(s) du Registre infectée(s): 15
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 15
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
C:\WINDOWS\system32\uoowtocp.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ljJCvTkI.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\pvjrygdm.dll (Trojan.Vundo) -> No action taken.
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{94ba3b70-3cf4-417c-9673-d3b2c90777f8} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{94ba3b70-3cf4-417c-9673-d3b2c90777f8} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{b4045283-99ce-4f11-9a8c-eb0a569349f9} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b4045283-99ce-4f11-9a8c-eb0a569349f9} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\aldd (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> No action taken.
HKEY_CLASSES_ROOT\WR (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{a6c54318-5ac7-477d-b0a7-49af5189300c} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BM0a6725ef (Trojan.Agent) -> No action taken.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\ljjcvtki -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\ljjcvtki -> No action taken.
Dossier(s) infecté(s):
C:\Program Files\AntiSpywareMaster (Rogue.AntiSpywareMaster) -> No action taken.
Fichier(s) infecté(s):
C:\WINDOWS\system32\uoowtocp.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\pcotwoou.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ljJCvTkI.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\IkTvCJjl.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\IkTvCJjl.ini2 (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\pvjrygdm.dll (Trojan.Vundo) -> No action taken.
C:\Documents and Settings\admin\Local Settings\Temp\winvsnet.exe (Rogue.AntiSpyMaster) -> No action taken.
C:\System Volume Information\_restore{4A3D9363-D3E4-41F4-BAE5-1195400DC9DE}\RP78\A0015214.exe (Trojan.Downloader) -> No action taken.
C:\System Volume Information\_restore{4A3D9363-D3E4-41F4-BAE5-1195400DC9DE}\RP78\A0016295.EXE (Rogue.AntiSpyMaster) -> No action taken.
C:\WINDOWS\system32\hytxttwb.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\pac.txt (Malware.Trace) -> No action taken.
C:\WINDOWS\mrofinu572.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\mrofinu1000106.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\wvUoNGYp.dll (Trojan.Vundo) -> No action taken.
C:\Documents and Settings\admin\Local Settings\Temp\snapsnet.exe (Trojan.Agent) -> No action taken.
Et suite à ca j'ai remarqué que sur le rapport de Malwarebytes' Anti-Malware que je copie plus bas dans le message, ce fameux fichier nommé "uoowtocp.dll" est recensé comme fichier infecté par Trojan.Vundo.
Alors je me demandais si il fallait que je le supprime moi même parce que j'ai été voir dans le dossier en question et il est encore présent. Est ce que c'est une erreur de Malwarebytes' Anti-Malware qui a oublié de le supprimer ou bien est ce que c'est un fichier important pour windows ?
En tout cas je tiens a remercier Jorginho67 car depuis hier soir quand je surfe sur le net je n'ai plus de fenêtres intempestives qui surgissent a l'écran. Encore merci et si quelqu'un peut m'aider pour mon dernier petit souci merci d'avance...
Malwarebytes' Anti-Malware 1.11
Version de la base de données: 675
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 104642
Temps écoulé: 46 minute(s), 36 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 3
Clé(s) du Registre infectée(s): 15
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 15
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
C:\WINDOWS\system32\uoowtocp.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ljJCvTkI.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\pvjrygdm.dll (Trojan.Vundo) -> No action taken.
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{94ba3b70-3cf4-417c-9673-d3b2c90777f8} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{94ba3b70-3cf4-417c-9673-d3b2c90777f8} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{b4045283-99ce-4f11-9a8c-eb0a569349f9} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b4045283-99ce-4f11-9a8c-eb0a569349f9} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\aldd (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> No action taken.
HKEY_CLASSES_ROOT\WR (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{a6c54318-5ac7-477d-b0a7-49af5189300c} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BM0a6725ef (Trojan.Agent) -> No action taken.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\ljjcvtki -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\ljjcvtki -> No action taken.
Dossier(s) infecté(s):
C:\Program Files\AntiSpywareMaster (Rogue.AntiSpywareMaster) -> No action taken.
Fichier(s) infecté(s):
C:\WINDOWS\system32\uoowtocp.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\pcotwoou.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ljJCvTkI.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\IkTvCJjl.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\IkTvCJjl.ini2 (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\pvjrygdm.dll (Trojan.Vundo) -> No action taken.
C:\Documents and Settings\admin\Local Settings\Temp\winvsnet.exe (Rogue.AntiSpyMaster) -> No action taken.
C:\System Volume Information\_restore{4A3D9363-D3E4-41F4-BAE5-1195400DC9DE}\RP78\A0015214.exe (Trojan.Downloader) -> No action taken.
C:\System Volume Information\_restore{4A3D9363-D3E4-41F4-BAE5-1195400DC9DE}\RP78\A0016295.EXE (Rogue.AntiSpyMaster) -> No action taken.
C:\WINDOWS\system32\hytxttwb.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\pac.txt (Malware.Trace) -> No action taken.
C:\WINDOWS\mrofinu572.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\mrofinu1000106.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\wvUoNGYp.dll (Trojan.Vundo) -> No action taken.
C:\Documents and Settings\admin\Local Settings\Temp\snapsnet.exe (Trojan.Agent) -> No action taken.
A voir également:
- Problème suite à un trojan vundo
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Anti trojan - Télécharger - Antivirus & Antimalwares
- Virus trojan al11 ✓ - Forum Virus
- Trojan win32 - Forum Virus
- Trojan al11 ✓ - Forum Virus
1 réponse
slt, supprime tous ce qui est trouvé
puis
Téléchargez VundoFix -> http://www.atribune.org/ccount/click.php?id=4
Double cliquez VundoFix.exe pour l'exécuter.
Quand VundoFix s'ouvre, cliquez sur le bouton Scan for Vundo.
Une fois le scan fini, cliquez sur le bouton Remove Vundo.
Vous recevrez un avertissement vous demandant si vous voulez effacer ces
fichiers répondez en cliquant sur YES
Une fois que vous avez cliqué yes, votre bureau deviendra vide au moment où il
enlève Vundo.
Quand c'est fini, il vous sera demandé de redémarrer votre ordinateur, cliquez OK.
__________________
Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !
Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/
/tutos-f45/tutorial-combofix-t121.htm
Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
__________________
colle un rapport hijackthis
http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download
manuel :
http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html
Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.
ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste
Ensuite avec Explorer créer un dossier c:\hijackthis
Décompresser Hijackthis dans ce dossier.
C'est important pour les sauvegardes."
puis
Téléchargez VundoFix -> http://www.atribune.org/ccount/click.php?id=4
Double cliquez VundoFix.exe pour l'exécuter.
Quand VundoFix s'ouvre, cliquez sur le bouton Scan for Vundo.
Une fois le scan fini, cliquez sur le bouton Remove Vundo.
Vous recevrez un avertissement vous demandant si vous voulez effacer ces
fichiers répondez en cliquant sur YES
Une fois que vous avez cliqué yes, votre bureau deviendra vide au moment où il
enlève Vundo.
Quand c'est fini, il vous sera demandé de redémarrer votre ordinateur, cliquez OK.
__________________
Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !
Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/
/tutos-f45/tutorial-combofix-t121.htm
Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
__________________
colle un rapport hijackthis
http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download
manuel :
http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html
Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.
ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste
Ensuite avec Explorer créer un dossier c:\hijackthis
Décompresser Hijackthis dans ce dossier.
C'est important pour les sauvegardes."
