Virus Vundo.B

Résolu
Utilisateur anonyme -  
dou-l Messages postés 2871 Statut Membre -
Bonjour,
voila j' ai un gros souci depuis que j' ai refais mon ordinateur à fond spybot me trouve toujours un mouchard (peut-être un virus) apellé Virtumonde.dll alors après j' ai essayé tout pour l' enlever mais aucun resultat alors voila j' espère qu' avec vous je pourrais resoudre mon problème.
Merci pour vos réponses
Configuration: Windows XP SP2
Internet Explorer 7.0

12 réponses

  1. dou-l Messages postés 2871 Statut Membre 61
     
    Non car tu n'as rien supprimer

    recommence le scan mais cette fois supprime tout ce qu"il trouve et poste le rapport
    1
    1. Utilisateur anonyme
       
      Plus besoin Je l' ai enlever tout seul merci quand même
      0
  2. dou-l Messages postés 2871 Statut Membre 61
     
    slt

    Télécharge sur le bureau hijackthis

    Fait un clic droit sur l'icone hijackthis.

    /!\Renome hijackthis en skim.exe ( a le place de hijacktihs.exe) c'est important!!/!\

    *Après avoir fais ca double-clic dessus.

    *Clic sur Do a system scan and save the log

    *A la fin de l'analyse un rapport va etre générer colle le ici.

    Une démo d'hijackthis
    0
    1. Utilisateur anonyme
       
      Voila Hijachkthis


      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 15:48:49, on 07/05/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16640)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
      D:\Programmes\Utilitaires\Ad-Aware\aawservice.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
      C:\PROGRA~1\MICROS~2\rapimgr.exe
      C:\Program Files\Microsoft ActiveSync\wcescomm.exe
      C:\WINDOWS\system32\rundll32.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
      C:\WINDOWS\explorer.exe
      C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
      D:\Programmes\Utilitaires\HiJackThis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: (no name) - {1DFEF793-BFB7-40CB-BA5E-656E5915772B} - (no file)
      O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.0\NppBho.dll
      O2 - BHO: (no name) - {319A3B32-6A7A-4425-A036-3DEBD34E508D} - (no file)
      O2 - BHO: (no name) - {510C6ED9-56BD-47A3-A029-2C7F326C5F73} - (no file)
      O2 - BHO: (no name) - {5427F701-6685-4E31-8D69-5FEDF2025910} - (no file)
      O2 - BHO: (no name) - {5C060FE2-B3CA-47DD-B68E-BD1A6E297226} - C:\WINDOWS\system32\yayyYRJD.dll
      O2 - BHO: {f2013797-7940-ac5a-b9e4-f4aa87b2aec5} - {5cea2b78-aa4f-4e9b-a5ca-04977973102f} - C:\WINDOWS\system32\pjwiieqw.dll (file missing)
      O2 - BHO: (no name) - {7399C6F0-F72F-41B6-B477-6EC9BB009D9F} - (no file)
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
      O2 - BHO: (no name) - {7C0213FB-B35B-45FE-A6CF-2E675F2970C6} - (no file)
      O2 - BHO: (no name) - {98E169FD-EF84-4263-AEDD-2322FFB14A7B} - (no file)
      O2 - BHO: (no name) - {9ACC9C3A-A7B2-4193-91B7-39B2E7E01342} - (no file)
      O2 - BHO: (no name) - {D220DC08-3FFA-4203-AD87-A2EAD4E638C5} - C:\WINDOWS\system32\byXNhiFU.dll (file missing)
      O2 - BHO: (no name) - {D2A0AC18-C1B1-40BA-A304-1C53A2F38250} - (no file)
      O2 - BHO: (no name) - {DBF87699-20FF-444C-A428-77A6FE872CBC} - (no file)
      O2 - BHO: (no name) - {EC3C8CFC-2620-4509-9148-2E1BFC5AFFD3} - (no file)
      O3 - Toolbar: Afficher Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
      O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
      O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"
      O4 - HKLM\..\Run: [BMbb491419] Rundll32.exe "C:\WINDOWS\system32\jlsaxicw.dll",s
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
      O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
      O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
      O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
      O20 - Winlogon Notify: !SASWinLogon - D:\Programmes\Utilitaires\SAS\SASWINLO.dll
      O20 - Winlogon Notify: yayyYRJD - C:\WINDOWS\SYSTEM32\yayyYRJD.dll
      O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - D:\Programmes\Utilitaires\Ad-Aware\aawservice.exe
      O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
      O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
      O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
      O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
      O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\VAScanner\comHost.exe
      O23 - Service: Validation de mot de passe Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe
      O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
      O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
      O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
      O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
      O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
      O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
      0
  3. dou-l Messages postés 2871 Statut Membre 61
     
    ok tu es éffectivement infecter par vundo !

    Fais un scan avec cet antispmalware:

    Telecharge malwarebytes

    Tu l´instale; le programme va se mettre automatiquement a jour.

    Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".

    Click maintenant sur l´onglet recherche et coche la case : "executer un examun complet".

    Puis click sur "rechercher".

    Laisse le scanner le pc...

    Si des elements on ete trouvés > click sur supprimer la selection.

    si il t´es demandé de redemarrer > click sur "yes".

    A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.

    Copie et colle le rapport stp.
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Utilisateur anonyme
     
    vla le rapport de malwarebytes

    Malwarebytes' Anti-Malware 1.12
    Version de la base de données: 728

    Type de recherche: Examen complet (C:\|D:\|)
    Eléments examinés: 61104
    Temps écoulé: 12 minute(s), 46 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 1
    Clé(s) du Registre infectée(s): 11
    Valeur(s) du Registre infectée(s): 2
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 12

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    C:\WINDOWS\system32\yayyYRJD.dll (Trojan.Vundo) -> No action taken.

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> No action taken.
    HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> No action taken.
    HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> No action taken.
    HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{5c060fe2-b3ca-47dd-b68e-bd1a6e297226} (Trojan.Vundo) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5c060fe2-b3ca-47dd-b68e-bd1a6e297226} (Trojan.Vundo) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yayyyrjd (Trojan.Vundo) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BMbb491419 (Trojan.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{5c060fe2-b3ca-47dd-b68e-bd1a6e297226} (Trojan.Vundo) -> No action taken.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\WINDOWS\system32\byXNhiFU.dll_old (Trojan.Vundo) -> No action taken.
    C:\WINDOWS\system32\UFihNXyb.ini (Trojan.Vundo) -> No action taken.
    C:\WINDOWS\system32\UFihNXyb.ini2 (Trojan.Vundo) -> No action taken.
    C:\WINDOWS\system32\sfmedxqf.dll (Trojan.Vundo) -> No action taken.
    C:\WINDOWS\system32\fqxdemfs.ini (Trojan.Vundo) -> No action taken.
    C:\System Volume Information\_restore{08CBFA20-67EB-4758-B65D-B3CB0AFFD90B}\RP47\A0010962.dll (Trojan.Vundo) -> No action taken.
    C:\System Volume Information\_restore{08CBFA20-67EB-4758-B65D-B3CB0AFFD90B}\RP48\A0013021.dll (Trojan.Vundo) -> No action taken.
    C:\System Volume Information\_restore{08CBFA20-67EB-4758-B65D-B3CB0AFFD90B}\RP49\A0013108.dll (Trojan.Vundo) -> No action taken.
    C:\System Volume Information\_restore{08CBFA20-67EB-4758-B65D-B3CB0AFFD90B}\RP49\A0013110.dll (Trojan.Vundo) -> No action taken.
    C:\System Volume Information\_restore{08CBFA20-67EB-4758-B65D-B3CB0AFFD90B}\RP55\A0014518.dll (Trojan.Vundo) -> No action taken.
    C:\WINDOWS\system32\efcBtsTL.dll (Trojan.Vundo) -> No action taken.
    C:\WINDOWS\system32\yayyYRJD.dll (Trojan.Vundo) -> No action taken.
    0
  6. Utilisateur anonyme
     
    apres je peux l' enlever malwarebytes
    0
  7. dou-l Messages postés 2871 Statut Membre 61
     
    Ah oui cool alors et comment .?
    0
    1. Utilisateur anonyme
       
      ben j' ai été sur le site de menu65 et j' ai fait les truc on va dire a moitié et pour l'instant je n' entend meme plus parler de Virtumonde dans spybot qui me dit "Félicitation ! Aucun mouchards n' a été trouvé" j' ai telecharger ad-aware , avg anti-spyware , spyware-doctor , spyware-terminator et enfin scan-spyware et depuis tout re-fonctionne
      0
  8. dou-l Messages postés 2871 Statut Membre 61
     
    tu as trop d'antyspyware vire les et garde en 1 seul avg antyspyware par exemple.
    0
    1. Utilisateur anonyme
       
      Non vu le prix que je lé é payé
      0
  9. dou-l Messages postés 2871 Statut Membre 61
     
    Tu les a acheter ?!!!!!
    0
    1. Utilisateur anonyme
       
      ben oui tu croi ke je crake les programmes
      0
  10. dou-l Messages postés 2871 Statut Membre 61
     
    Sa sert a rien de les payer la pluspart sont des gratuits !! mais bon grave !
    0
    1. Utilisateur anonyme
       
      g pas dit ke je lé ai tous payé !!! Nuance mon cher !!!
      0
  11. dou-l Messages postés 2871 Statut Membre 61
     
    mafoi soit plus explicite alors

    vu le prix que je lé é payé

    sa prete a confusion non

    a+
    0
    1. Utilisateur anonyme
       
      bon c pa grave je marke ok pour le topic @+
      0
  12. dou-l Messages postés 2871 Statut Membre 61
     
    ok a+ et bon surf
    0