Aide pour virer Vundo@ll, j'ai tt essayé

Question

Bonjour,
Je viens poster aujourd'hui-hui car après plusieurs essais, je n'ai toujours pas a supprimer le trojan Vundo@dll

J'ai effectué un rapport Hijackthis, j'ai utilisé :
==>Vundofix qui ne me trouve aucun trojan -_-"
==>Virtumundobegone qui ne me trouve aucun trojan non plus
==> Combofix qui ne veut pas se lancer ca me dit : "data error +"date d'aujourd'hui""



Je poste ici tout le rapport d'hijackthis en espérant une aide ;)(j'ai mis en gras tout ce qui était suspect...)


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:51:56, on 05/05/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Windows\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\WINDOWS\System32undll32.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Users\Krysman\lsass.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Windows\system32\oodag.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Users\Krysman\Desktop\VundoFix(2).exe
C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\lpremove.exe
C:\Windows\system32\lpksetup.exe
C:\Windows\servicing\TrustedInstaller.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.whynotsearchhere.com/start.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=compaq-notebook.msn.com&ocid=HPDHP&pc=CPNTDF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=compaq-notebook.msn.com&ocid=HPDHP&pc=CPNTDF
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4D7B3283-19B5-4F46-86B1-ADCDDA8FE008} - C:\Windows\system32\qOigggeb.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\vtUmLcYq.dll,#1
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [LSA Shellu] C:\Users\Krysman\lsass.exe
O4 - HKCU\..\Run: [WinUpdater] "C:\Program Files\winvi\update.exe" /background
O4 - HKCU\..\Run: [WebSUpdater] "C:\Program Files\winvi\wupda.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Download with Rapget - C:\Users\Krysman\Desktop\RapGet [Wawa-Mania][By i_love_sexe]apget.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O13 - Gopher Prefix: 
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Roxio\Roxio MyDVD Basic v9\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

jlpjlp · Answer

slt


vire spyware doctor si tu paye pas cela ne vaut rien

tu es infecté par vundo mais aussi IRCBOT fais tout ceci:
__________



Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked". 


O2 - BHO: (no name) - {4D7B3283-19B5-4F46-86B1-ADCDDA8FE008} - C:\Windows\system32\qOigggeb.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\vtUmLcYq.dll,#1

O4 - HKCU\..\Run: [WinUpdater] "C:\Program Files\winvi\update.exe" /background
O4 - HKCU\..\Run: [WebSUpdater] "C:\Program Files\winvi\wupda.exe" /
O8 - Extra context menu item: Download with Rapget - C:\Users\Krysman\Desktop\RapGet [Wawa-Mania][By i_love_sexe]\rapget.htm

___________


télécharge OTMoveIt 
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau.  Ou sur  https://www.luanagames.com/index.fr.html
double-clique sur OTMoveIt.exe pour le lancer. 
copie la liste qui se trouve en citation ci-dessous, 
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved. 

Citation : 

C:\Users\Krysman\Desktop\RapGet [Wawa-Mania][By i_love_sexe]\rapget.htm
 C:\Windows\system32\qOigggeb.dll
C:\Windows\system32\vtUmLcYq.dll


clique sur MoveIt! pour lancer la suppression. 
le résultat apparaitra dans le cadre "Results". 
clique sur Exit pour fermer. 
poste le rapport situé dans C:\_OTMoveIt\MovedFiles. 

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes. 

____________________


Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. 
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : 
• Redémarre ton ordinateur 
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde). 
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. 
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". 
• Choisis ton compte. 
Déroule la liste des instructions ci-dessous : 
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script. 
• Appuie sur Y pour commencer le processus de nettoyage. 
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. 
• Appuie sur une touche pour redémarrer le PC. 
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. 
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. 
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. 
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. 
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

_____________________

scan avec 
MalwareByte's Anti-Malware et vire ce qui est trouvé et colle le rapport

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ 
____________________

Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection): 

- Va dans démarrer puis panneau de configuration 
- Double Clique sur l'icône "Comptes d'utilisateurs" 
- Clique ensuite sur désactiver et valide. 


télécharge combofix (par sUBs) ici : 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

et enregistre le sur le bureau. 


déconnecte toi d'internet et ferme toutes tes applications. 

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware) 


double-clique sur combofix.exe et suis les instructions 

à la fin, il va produire un rapport C:\ComboFix.txt 

réactive ton parefeu, ton antivirus, la garde de ton antispyware 

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse. 

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi. 

Tu as un tutoriel complet ici : 

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

__________________
recolle un hijakctris

jacques.gache · Answer

bonjour, commence par passer malewarebytes suivi de ccleaner dans ses deux modes nettoyeur et registre et un scan anti -virus en ligne avec kaspersky en utilisant internet explorer et poste le rapport 
1) malwarebytes : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
2) ccleaner : https://www.malekal.com/tutoriel-ccleaner/
3) scan en ligne : https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566
lis bien les tutoriels pour bien les appliquer tu les passes dans l'ordre merci
et essais de remettre un rapport hijackthis

krysman25 · Answer

Je vais commencer par faire ce que dit Jlpjlp , je veux pas melanger 2 methodes ;)
Je fais cela de suite...

krysman25 · Answer

Premier compte-rendu :
==>spybot viré
==> Compte rendu MoveIt : 
< C:\Users\Krysman\Desktop\RapGet [Wawa-Mania][By i_love_sexe]\rapget.htm >
C:\Users\Krysman\Desktop\RapGet [Wawa-Mania][By i_love_sexe]\rapget.htm moved successfully.
LoadLibrary failed for C:\Windows\system32\qOigggeb.dll
C:\Windows\system32\qOigggeb.dll NOT unregistered.
File move failed. C:\Windows\system32\qOigggeb.dll scheduled to be moved on reboot.
DllUnregisterServer procedure not found in C:\Windows\system32\iifgGXNf.dll
C:\Windows\system32\iifgGXNf.dll NOT unregistered.
File move failed. C:\Windows\system32\iifgGXNf.dll scheduled to be moved on reboot.
 
OTMoveIt2 by OldTimer - Version 1.0.4.2 log created on 05052008_132434

Files moved on Reboot...
DllUnregisterServer procedure not found in C:\Windows\system32\qOigggeb.dll
C:\Windows\system32\qOigggeb.dll NOT unregistered.
File move failed. C:\Windows\system32\qOigggeb.dll scheduled to be moved on reboot.
DllUnregisterServer procedure not found in C:\Windows\system32\iifgGXNf.dll
C:\Windows\system32\iifgGXNf.dll NOT unregistered.
C:\Windows\system32\iifgGXNf.dll moved successfully.

==>En mode sans echec, SDfix ne fonctionne pas....Je clique sur Runthis.bat , la fenetre n'apparait que pendant 1 seconde et disparait!

jacques.gache · Answer

normal car sdfix n'est pas compatible avec vista , tu as virer spybot mais il me semble que c'est pas ça qu'il te demandait c'était  spyware doctor

krysman25 · Answer

Spyware est viré aussi ;)

jacques.gache · Answer

ok attend le retour de jlpjlp, bonne nuit

krysman25 · Answer

Je suis quand même passer a l'étape suivante, celle du malwarebytes.Je ne pense pas que cela nuise à l'éradication du trojan; Donc voici le rapport et après je vais au dodo! je finirais demain! Encore merci de votre aide ;)


Malwarebytes' Anti-Malware 1.12
Version de la base de données: 782

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 142739
Temps écoulé: 27 minute(s), 0 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 7
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 29

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\System32\qOigggeb.dll (Trojan.Vundo) -> Unloaded module successfully.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7fc9ec69-1915-48aa-ad2d-2b8c2a7fad18} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{7fc9ec69-1915-48aa-ad2d-2b8c2a7fad18} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{8a290466-39bd-419b-93db-0e9599506654} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\winvi (Adware.SoftMate) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\winvi (Adware.SoftMate) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{8a290466-39bd-419b-93db-0e9599506654} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\LSA Shellu (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\qoigggeb -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\Program Files\winvi (Adware.SoftMate) -> Quarantined and deleted successfully.
C:\Program Files\winvi\dsktp (Adware.SoftMate) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\WINDOWS\System32\qOigggeb.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\System32\begggiOq.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\System32\begggiOq.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Program Files\winvi\update.exe (Trojan.StartPage) -> Quarantined and deleted successfully.
C:\Program Files\winvi\wupda.exe (Adware.SoftMate) -> Quarantined and deleted successfully.
C:\Users\Krysman\AppData\Local\Temp	mp00008fa1 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\Krysman\AppData\Local\Temp	mp0000908b (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\Krysman\AppData\Local\Temp	mp00009127 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\Krysman\AppData\Local\Temp	mp000092ad (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\Krysman\AppData\Local\Temp	mp000092dc (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\Krysman\AppData\Local\Temp	mp00009efc (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\Krysman\AppData\Local\Temp	mp0000a302 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\Krysman\AppData\Local\Temp	mp0001056c (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\Krysman\AppData\Local\Temp	mp00015031 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\Krysman\AppData\Local\Temp	mp000179ef (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\mrofinu1188.exe.tmp (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\WINDOWS\System32\3056v\Wvram13.exe (Adware.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\System32\emL1oEbdll2.exe (Trojan.StartPage) -> Quarantined and deleted successfully.
C:\_OTMoveIt\MovedFiles\05052008_132434\Windows\system32\iifgGXNf.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Program Files\winvi\Uninst.exe (Adware.SoftMate) -> Quarantined and deleted successfully.
C:\Program Files\winvi\version.ini (Adware.SoftMate) -> Quarantined and deleted successfully.
C:\Program Files\winvi\dsktp\AC_RunActiveContent.js (Adware.SoftMate) -> Quarantined and deleted successfully.
C:\Program Files\winvi\dsktp\desktop.html (Adware.SoftMate) -> Quarantined and deleted successfully.
C:\Program Files\winvi\dsktp\internetDetection.swf (Adware.SoftMate) -> Quarantined and deleted successfully.
C:\Program Files\winvi\dsktp\settings.sol (Adware.SoftMate) -> Quarantined and deleted successfully.
C:\WINDOWS\System32\pmnoNFvV.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\System32\awtqqpQg.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\Krysman\lsass.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Krysman\ctfmon.exe (Trojan.Agent) -> Quarantined and deleted successfully.

krysman25 · Answer

Hijackthis me redonne ce rapport juste après mais Avast ma encore detecté le trojan....


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:11:48, on 05/05/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\WINDOWS\System32undll32.exe
C:\Windows\system32	askeng.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\Ad-Aware2007.exe
C:\Users\Krysman\Desktop\FixVundo.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.whynotsearchhere.com/start.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=compaq-notebook.msn.com&ocid=HPDHP&pc=CPNTDF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=compaq-notebook.msn.com&ocid=HPDHP&pc=CPNTDF
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O13 - Gopher Prefix: 
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Roxio\Roxio MyDVD Basic v9\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

jlpjlp · Answer

Télécharge MSNFix de Laurent
http://sosvirus.changelog.fr/MSNFix.zip

Décompresse-le et double clic sur le fichier MSNFix.bat.
- Exécute l'option R.
--Si l'infection est détectée, exécute l'option N
- Sauvegarde ce rapport puis fais un copier/coller de ce rapport sur le forum.

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement.


________________


il me faut le rapport combofix pour finir de desinfecter ton ordi!!!





Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.


télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.


déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

__________________
recolle un hijakctris
je te conseille de renomer hijakchits en  EDEN.exe pour eviter que vundo se cache dans le rapport

krysman25 · Answer

Je recopie tout cela et je le fais ;)

krysman25 · Answer

voila le rapport de MSNfix :


MSNFix 1.717  
 
C:\Users\Krysman\Desktop\MSNFix 
Fix exécuté le 05/05/2008 - 20:37:52,06 By Krysman 
mode normal    
    
************************ Recherche les fichiers présents      
    
... C:\Users\Krysman\????????.exe 
 
************************ Recherche les dossiers présents       
 
Aucun dossier trouvé 
 
 
 
 
************************ Suppression des fichiers       
    
.. OK ... C:\Users\Krysman\????????.exe  
 
 
 
************************ Nettoyage du registre 
 
 
 
Les fichiers encore présents seront supprimés au prochain redémarrage 
 
 
Aucun Fichier trouvé 
 
 
 
************************ Fichiers suspects 
 
Aucun Fichier trouvé 
 
  
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 05052008_21123436.zip
 
************************ HKLM\...\Winlogon\Userinit 
 
Userinit = C:\Windows\system32\userinit.exe, 

------------------------------------------------------------------------  
Auteur : !aur3n7                     Contact: https://www.ionos.fr/     
------------------------------------------------------------------------   
 
---------------------------------------------   END   ---------------------------------------------

krysman25 · Answer

Et voici le rapport de Combofix : 


ComboFix 08-05-21.3 - Krysman 2008-05-24 21:22:14.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium   6.0.6000.0.1252.1.1036.18.1443 [GMT 2:00]
Endroit: C:\Users\Krysman\Desktop\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Temp\1cb
C:\Temp\1cb\syscheck.log
C:\Windows\system32\MSINET.oca

.
(((((((((((((((((((((((((((((   Fichiers cr‚‚s 2008-04-24 to 2008-05-24  ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier cr‚‚ dans cet espace de temps

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-15 23:18	50,768	----a-w	C:\Windows\system32\drivers\aswMonFlt.sys
2008-05-05 18:46	27,048	----a-w	C:\Windows\system32\drivers\mbamcatchme.sys
2008-05-05 18:46	15,864	----a-w	C:\Windows\system32\drivers\mbam.sys
2008-05-05 17:21	0	----a-w	C:
tuser.dat
2008-05-05 11:50	---------	d-----w	C:\Program Files\Malwarebytes' Anti-Malware
2008-05-05 11:50	---------	d-----w	C:\PROGRA~2\Malwarebytes
2008-05-05 11:46	---------	d-----w	C:\Program Files\Metin2_France
2008-05-05 11:16	---------	d---a-w	C:\PROGRA~2\TEMP
2008-05-05 09:53	---------	d-----w	C:\Program Files\Trend Micro
2008-05-05 09:19	---------	d-----w	C:\Program Files\CCleaner
2008-05-05 09:19	---------	d-----w	C:\PROGRA~2\Spybot - Search & Destroy
2008-05-04 06:39	---------	d-----w	C:\Program Files\Sun
2008-05-02 09:04	---------	d-----w	C:\Program Files\Trojan Remover
2008-05-02 09:04	---------	d-----w	C:\PROGRA~2\Simply Super Software
2008-05-01 08:58	537	----a-w	C:\Users\Krysman\268.bat
2008-04-30 05:42	---------	d-----w	C:\Program Files\Metin2.us
2008-04-30 02:39	---------	d--h--w	C:\Program Files\InstallShield Installation Information
2008-04-30 01:38	---------	d-----w	C:\Program Files\KONAMI
2008-04-27 11:03	---------	d-----w	C:\PROGRA~2\BVRP Software
2008-04-27 10:56	---------	d-----w	C:\Program Files\Sony
2008-04-27 10:52	---------	d-----w	C:\Program Files\Sony Setup
2008-04-27 10:49	---------	d-----w	C:\Program Files\Sony Ericsson
2008-04-27 10:49	---------	d-----w	C:\PROGRA~2\Sony Ericsson
2008-04-27 10:44	---------	d-----w	C:\Program Files\SendFile
2008-04-27 10:43	73,216	----a-w	C:\Windows\ST6UNST.EXE
2008-04-27 10:43	249,856	------w	C:\Windows\Setup1.exe
2008-04-27 06:36	---------	d-----w	C:\Program Files\LimeWire
2008-04-26 17:31	---------	d-----w	C:\Program Files\DivX
2008-04-26 15:45	---------	d-----w	C:\PROGRA~2\HP
2008-04-26 03:42	---------	d-----w	C:\Program Files\Windows Live
2008-04-26 03:41	---------	dcsh--w	C:\Program Files\Common Files\WindowsLiveInstaller
2008-04-26 03:40	---------	d-----w	C:\PROGRA~2\WLInstaller
2008-04-25 20:01	---------	d-----w	C:\Program Files\Common Files\Adobe
2008-04-25 11:55	---------	d-----w	C:\PROGRA~2\Roxio
2008-04-25 11:30	---------	d-----w	C:\PROGRA~2\Sonic
2008-04-25 07:30	---------	d-----w	C:\Program Files\San Andreas Mod Installer
2008-04-25 06:35	---------	d-----w	C:\Program Files\Rockstar Games
2008-04-25 04:00	---------	d-----w	C:\PROGRA~2\Microsoft Help
2008-04-25 03:46	---------	d-----w	C:\Program Files\MSBuild
2008-04-25 03:46	---------	d-----w	C:\Program Files\Microsoft Works
2008-04-25 03:42	---------	d-----w	C:\Program Files\Microsoft.NET
2008-04-25 03:25	---------	d-----w	C:\Program Files\Microsoft Visual Studio 8
2008-04-25 01:06	---------	d-----w	C:\Program Files\GrabIt
2008-04-24 21:38	---------	d-----w	C:\Program Files\Simulateur de conduite 3D
2008-04-24 19:18	---------	d-----w	C:\Program Files\DAEMON Tools
2008-04-24 19:00	685,816	----a-w	C:\Windows\system32\drivers\sptd.sys
2008-04-24 18:45	---------	d-----w	C:\Program Files\inKline Global
2008-04-24 18:26	---------	d-----w	C:\Program Files\OO Software
2008-04-24 18:23	---------	d-----w	C:\Program Files\Lavasoft
2008-04-24 18:23	---------	d-----w	C:\PROGRA~2\Lavasoft
2008-04-24 18:22	---------	d-----w	C:\Program Files\ABBYY PDF Transformer 2.0
2008-04-24 18:20	---------	d-----w	C:\Program Files\Common Files\Wise Installation Wizard
2008-04-24 18:20	---------	d-----w	C:\PROGRA~2\ABBYY
2008-04-24 18:18	---------	d-----w	C:\Program Files\Spybot - Search & Destroy
2008-04-24 18:07	---------	d-----w	C:\Program Files\TuneUp Utilities 2008
2008-04-24 18:06	---------	d-----w	C:\PROGRA~2\TuneUp Software
2008-04-24 17:35	---------	d-----w	C:\Program Files\Common Files\Symantec Shared
2008-04-24 17:02	---------	d-----w	C:\Program Files\VideoLAN
2008-04-24 16:53	174	--sha-w	C:\Program Files\desktop.ini
2008-04-24 16:49	---------	d-----w	C:\Program Files\Alwil Software
2008-04-24 16:18	---------	d-----w	C:\Program Files\CONEXANT
2008-04-24 15:51	---------	d-----w	C:\Program Files\Windows Sidebar
2008-04-24 15:51	---------	d-----w	C:\Program Files\Windows Mail
2008-04-24 15:51	---------	d-----w	C:\Program Files\Windows Defender
2008-04-24 15:51	---------	d-----w	C:\Program Files\Windows Calendar
2008-04-24 15:38	70,144	----a-w	C:\Windows\system32\drivers\pacer.sys
2008-04-24 15:38	619,008	----a-w	C:\Windows\system32\drivers\dxgkrnl.sys
2008-04-24 15:38	61,952	----a-w	C:\Windows\system32\drivers\wanarp.sys
2008-04-24 15:38	48,640	----a-w	C:\Windows\system32\drivers
dproxy.sys
2008-04-24 15:38	20,480	----a-w	C:\Windows\system32\drivers
distapi.sys
2008-04-24 15:36	28,344	----a-w	C:\Windows\system32\drivers\battc.sys
2008-04-24 15:36	258,232	----a-w	C:\Windows\system32\drivers\acpi.sys
2008-04-24 15:36	20,920	----a-w	C:\Windows\system32\drivers\compbatt.sys
2008-04-24 15:36	2,923,520	----a-w	C:\Windows\explorer.exe
2008-04-24 15:36	14,208	----a-w	C:\Windows\system32\drivers\CmBatt.sys
2008-04-24 15:36	11,264	----a-w	C:\Windows\system32\drivers\wmiacpi.sys
2008-04-24 15:35	110,080	----a-w	C:\Windows\system32\drivers\mrxdav.sys
2008-04-24 15:32	41,984	----a-w	C:\Windows\system32\drivers\monitor.sys
2008-04-24 15:32	1,060,920	----a-w	C:\Windows\system32\drivers
tfs.sys
2008-04-24 15:30	63,488	----a-w	C:\Windows\system32\drivers\mpsdrv.sys
2008-04-24 15:30	23,040	----a-w	C:\Windows\system32\drivers	unnel.sys
2008-04-24 15:30	15,360	----a-w	C:\Windows\system32\drivers\TUNMP.SYS
2008-04-24 15:29	45,112	----a-w	C:\Windows\system32\drivers\pciidex.sys
2008-04-24 15:29	211,000	----a-w	C:\Windows\system32\drivers\volsnap.sys
2008-04-24 15:29	21,560	----a-w	C:\Windows\system32\drivers\atapi.sys
2008-04-24 15:29	154,624	----a-w	C:\Windows\system32\drivers
wifi.sys
2008-04-24 15:29	15,928	----a-w	C:\Windows\system32\drivers\pciide.sys
2008-04-24 15:29	109,624	----a-w	C:\Windows\system32\drivers\ataport.sys
2008-04-24 15:27	803,328	----a-w	C:\Windows\system32\drivers	cpip.sys
2008-04-24 15:27	216,632	----a-w	C:\Windows\system32\drivers
etio.sys
2008-04-24 15:24	54,784	----a-w	C:\Windows\system32\drivers\i8042prt.sys
2008-04-24 15:24	495,160	----a-w	C:\Windows\system32\drivers\Wdf01000.sys
2008-04-24 15:24	35,384	----a-w	C:\Windows\system32\drivers\WdfLdr.sys
2008-04-24 15:24	35,384	----a-w	C:\Windows\system32\drivers\kbdclass.sys
2008-04-24 15:24	34,360	----a-w	C:\Windows\system32\drivers\mouclass.sys
2008-04-24 15:24	19,968	----a-w	C:\Windows\system32\drivers\sermouse.sys
2008-04-24 15:24	15,872	----a-w	C:\Windows\system32\drivers\mouhid.sys
2008-04-24 15:24	15,872	----a-w	C:\Windows\system32\drivers\kbdhid.sys
2008-04-24 15:23	82,432	----a-w	C:\Windows\system32\drivers\sdbus.sys
2008-04-24 15:21	2,560	----a-w	C:\Windows\AppPatch\AcRes.dll
.

------- Sigcheck -------

.
(((((((((((((((((((((((((((((((((   Point de chargement Reg   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvSvc"="C:\Windows\system32
vsvc.dll" [2007-02-27 11:26 90191]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm
"VIDC.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll
"vidc.i263"= i263_32.drv
"VIDC.YV12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{E5F43445-7908-4DF4-B4DC-A5FC3E6D0CDC}"= UDP:C:\Program Files\HP\QuickPlay\QP.exe:QP
"{205972F0-6F61-4F1F-B6B3-7BC462F19BA9}"= TCP:C:\Program Files\HP\QuickPlay\QP.exe:QP
"TCP Query User{7C1B524E-D5EF-456A-A777-2F7BA719D780}C:\program files\metin2_france\metin2.bin"= UDP:C:\program files\metin2_france\metin2.bin:metin2
"UDP Query User{25340435-796D-413E-B145-F09EE42409D7}C:\program files\metin2_france\metin2.bin"= TCP:C:\program files\metin2_france\metin2.bin:metin2
"{C304160D-2C3F-43FA-B59A-8BD5FEC0AF28}"= UDP:C:\Program Files\GrabIt\GrabIt.exe:GrabIt
"{A63797F4-3B15-4FA7-9244-E783532DCF0F}"= TCP:C:\Program Files\GrabIt\GrabIt.exe:GrabIt
"{36C9037E-2923-455A-9848-2E22779DA4A6}"= TCP:6004|C:\Program Files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{24482AD6-8FB6-462A-BAE2-126E6DE03824}"= UDP:C:\Program Files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.5
"{1CE5DEEE-C049-4885-A57C-DF6225BB01B3}"= TCP:C:\Program Files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.5
"{C0926459-E02B-4464-89FF-D52C2242659E}"= UDP:C:\Program Files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.5
"{6EF2ED88-3731-4FE7-BE44-2C464E4C3215}"= TCP:C:\Program Files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.5
"{D69A3694-94A4-4943-A196-1E6BF8BEDAF7}"= UDP:C:\Program Files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.5
"{308F1882-5BEA-40A4-907D-017598AC6FBA}"= TCP:C:\Program Files\MSN Messenger\msnmsgr.exe:MSN Messenger 7.5
"{315789D8-14B6-433E-85B3-E2FA2EB7C69F}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"TCP Query User{4569887C-0A1E-4187-804D-5D5C354C06CB}C:\program files\metin2.us\metin2.bin"= UDP:C:\program files\metin2.us\metin2.bin:metin2
"UDP Query User{C170B485-C26F-4FEF-8240-0F14CC639110}C:\program files\metin2.us\metin2.bin"= TCP:C:\program files\metin2.us\metin2.bin:metin2

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

R1 aswSP;avast! Self Protection;C:\Windows\system32\drivers\aswSP.sys [2008-05-16 01:20]
R2 aswFsBlk;aswFsBlk;C:\Windows\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
R2 aswMonFlt;aswMonFlt;C:\Windows\system32\DRIVERS\aswMonFlt.sys [2008-05-16 01:18]
R3 CnxtHdAudService;Conexant UAA Function Driver for High Definition Audio Service;C:\Windows\system32\drivers\CHDRT32.sys [2008-03-03 05:10]
R3 nvsmu;nvsmu;C:\Windows\system32\DRIVERS
vsmu.sys [2006-09-15 10:44]
S3 BCM43XV;Pilote de la carte réseau extensible Broadcom 802.11;C:\Windows\system32\DRIVERS\bcmwl6.sys [2006-11-17 18:20]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs	REG_MULTI_SZ   	BthServ

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{683be455-173f-11dd-89cb-001636f892a3}]
\shell\Auto\command - H:\Start.exe
\shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL H:\Start.exe

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-04-25 15:26:22 C:\Windows\Tasks\Maintenance en 1 clic.job"
- C:\Program Files\TuneUp Utilities 2008\OneClick.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-24 21:25:36
Windows 6.0.6000  NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\System32\audiodg.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32undll32.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\microsoft shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\drivers\XAudio.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\dllhost.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-24 21:27:37 - machine was rebooted
ComboFix-quarantined-files.txt  2008-05-24 19:27:26

      Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application.
      Le texte du message associ‚ au num‚ro 0x2379 est introuvable dans le fichier de messages pour Application.

211	--- E O F ---	2008-04-25 01:08:25

krysman25 · Answer

Voila le rapport d'Hijackthis : 


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:35:51, on 24/05/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\WINDOWS\System32undll32.exe
C:\Windows\Explorer.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.whynotsearchhere.com/start.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=compaq-notebook.msn.com&ocid=HPDHP&pc=CPNTDF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O13 - Gopher Prefix: 
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Roxio\Roxio MyDVD Basic v9\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

jlpjlp · Answer

Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked". 


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.whynotsearchhere.com/start.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/...

O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)


_________________

colle un rapport hijakchits: renomer Hijackthis, pour contrer une éventuelle infection de Vundo. 

ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste 

Ensuite avec Explorer créer un dossier c:\hijackthis 
Décompresser Hijackthis dans ce dossier. 
C'est important pour les sauvegardes."

_____________________

encore des problèmes???

krysman25 · Answer

J'ai refait un rapport en renommant le fichier en Hijackchits ;) mais apparemment ca va car Avast ne crie plus^^
Je relance quand même un scan....


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:28:26, on 25/05/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32undll32.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\GrabIt\GrabIt.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O13 - Gopher Prefix: 
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Roxio\Roxio MyDVD Basic v9\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

krysman25 · Answer

Erf le trojan Vundo@dll c'est calé dans le dossier de Hijackthis...., plus precisemment dans C:/Programfiles/trendmicro!

Que faire?

jlpjlp · Answer

oui j'aimerais aussi comprendre ce que tu dis








pour protéger gratos ton ordi

http://www.commentcamarche.net/telecharger/logiciel 4 securite

mettre un antivirus

AVAST en français   ou ANTIVIR (en anglais mais très efficace)
https://www.malekal.com/avira-free-security-antivirus-gratuit/ (merci Malekal)
-------------
des anti-espions :
MalwareByte's Anti-Malware + SPYBOT +/-    si tea timer non active de spybot et ordi assez puissant: 
 WINDOWS    DEFENDER ou  SPYWARE TERMINATOR

+
SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation  : il suffit de faire "update" pour mettre à jour tous les mois  et ensuite" enable all protection" pour immuniser)...

Rq : spybot et ad-aware ont sorti de nouvelles versions cette année vérifiez que vous avez la dernière version 
--------
un pare feu :
celui de (Windows) ou mieux Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) 

http://www.commentcamarche.net/telecharger/telecharger 34055356 online armor personal firewall

 https://forum.pcastuces.com/sujet.asp?f=25&s=35606 
https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
https://manuelsdaide.com/contact/
http://www.open-files.com/forum/index.php?showtopic=29277
http://www.commentcamarche.net/telecharger/telecharger 157 zonealarm

-----------
CCLEANER pour effacer les traces de surf
---------
naviguer avec firefox ou safari ou opera et non internet explorer plus  touché par les virus
http://www.mozilla-europe.org/fr/products/firefox/

krysman25 · Answer

Hé bien en fait j'ai fait une analyse du systeme32, la ou le trojan etait au debut et aucune trace de lui!


Alors j'ai pensé aux propos de Jlpjlp qui me disait de changer le nom du programme HIjackthis car le trojan pouvait se placer dedans! alors j'ai effectué une analyse de ce dossier dans C:/programfiles/trendmicro


A moins que tu parles de mon expression?je me susi mal exprimé? je voulais dire : 

Le trojan Vundo@dll est maintenant caché dans le repertoire de trendmicro et plus dans le dossier System32

jlpjlp · Answer

eh bien vire les fichiers inféctés qui sont dedans:

C:/programfiles/trendmicro 




quel logiciel te trouve ces infections?

krysman25 · Answer

Jlpjlp je me suis mal exprimé ;)

Le trojan n'est pas supprimé! il a juste changé de place! Il est toujorus present sur mon PC dans C:/programfiles/trendmicro

jlpjlp · Answer

colle nous le rapport qui trouve l'infection pour voir les fichiers inféctés

krysman25 · Answer

C'est avast qui me le trouve!

J'ai tout supprimé! Je relance un dernier scan! 

Pour les logiciels que tu me recommandes, je l'ai ai deja tous !


Pour la petite histoire, je susi quelqu'un qui prend beaucoup de precaution et j'analyse toujours mes fichiers avant de les ouvrir! Mais ce trojan vient en fait d'une clef usb qu'un ami m'a preté et je n'ai pas fait gaffe :s

jlpjlp · Answer

ok alors si cela vient d'une clé (dommage que tu ne l'as pas dis) mets la clé puis 1/ # Télécharge RavAntivirus d'Evosla : http://ww25.evosla.com/compteur.php?soft=rav_antivirus # Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX # Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau # Doucle-clique sur >> RAV.exe << afin de lancer l'outil. # Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles) # Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain . # Retire tes disques amovibles et redémarrez votre ordinateur. # Poste le rapport, si infection! 2/ Télécharge sur le bureau Flash Disinfector (de SUBS) à cette adresse : http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe Double-clique sur l’icône. Les icônes vont disparaître. C’est normal. Si un rapport est généré en cas d'infection, sauvegarde-le sur le bureau, et poste le ensuite Redémarre ensuite le PC.

krysman25 · Answer

Desole mais la clef a ete reformatée entre temps :s


Je vais manger la tout de suite et je laisse le scan tourné! je vous dirais si le trojan est encore detecté ;)

Encore merci

jlpjlp · Answer

fais tout de meme rav Télécharge RavAntivirus d'Evosla : http://ww25.evosla.com/compteur.php?soft=rav_antivirus # Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX # Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau # Doucle-clique sur >> RAV.exe << afin de lancer l'outil. # Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles) # Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain . # Retire tes disques amovibles et redémarrez votre ordinateur. # Poste le rapport, si infection!

krysman25 · Answer

je fais, je te tiens au courant ;)

krysman25 · Answer

Ca fait une heure que RAV tourne, il n'a toujours pas fini O.o

Voila ce qu'il a trouvé et fait :
                    Virus trouvé : d:/folder.htt
                    Virus supprimé avec succès


Et là il continue a tourner...

jlpjlp · Answer

ok tu peux arréter rav!

krysman25 · Answer

et je fais quoi?

Apparement il a disparu, avast ne le trouve plus....

Je vais donc faire avec et si il se manifeste a nouveau, je reposterais ;)

Merci de votre aide !

jlpjlp · Answer

branche la clé formatée et refais rav

et



2/ Télécharge sur le bureau Flash Disinfector (de SUBS) à cette adresse : http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

Double-clique sur l’icône.
Les icônes vont disparaître. C’est normal.
Si un rapport est généré en cas d'infection, sauvegarde-le sur le bureau, et poste le ensuite
Redémarre ensuite le PC.

krysman25 · Answer

Aucun rapport donc aucune infection!
bon signe?

jlpjlp · Answer

oui

bon tu peux virer rav et flash disinfector
cela devrait etre bon pour toi!
tu dira

krysman25 · Answer

Je te remercie d'avance et remercie tous les autres ;)


Je vais laisser mijoter encore 2-3 jours et je viendrais poster undernier message et créerais un point de restauration ^^


Encore merci de l'aide et du temps que vous m'avez accordé ;)

jacques.gache · Answer

bonjour, perso je suis plus pour l'utilisation de toolscleaner pour supprimer tous les outils utilisé pour la désinfection http://bibou0007.com/outils-specifiques-f78/tutorial-toolscleaner-2-t375.htm

krysman25 · Answer

ok je prends ;)

jlpjlp · Answer

oui on peux utiliser tools cleaner je pensais d'ailleurs te l'avoir filé!


Télécharge ToolsCleaner sur ton bureau. 
-->  http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
# Clique sur Recherche et laisse le scan agir ... 
# Clique sur Suppression pour finaliser. 
# Tu peux, si tu le souhaites, te servir des Options facultatives. 
# Clique sur Quitter pour obtenir le rapport. 
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). 

ps : pas besoin de m´envoyer le rapport si tout a ete supprimer ;-)

krysman25 · Answer

resultat de Tcleaner :


-->- Recherche: 

C:\SDFIX: trouvé !
C:\Vundofix backups: trouvé !
C:\Qoobox: trouvé !
C:\_OtMoveIt: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Users\Krysman\Desktop	rojan\VirtumundoBeGone.exe: trouvé !
C:\Users\Krysman\Desktop	rojan\OtMoveIt2.exe: trouvé !
C:\Users\Krysman\Desktop	rojan\ComboFix.exe: trouvé !
C:\Users\Krysman\Desktop	rojan\vundoFix.exe: trouvé !
C:\Users\Krysman\Desktop	rojan\HJTInstall.exe: trouvé !
C:\Users\Krysman\Desktop	rojan\SDFIX: trouvé !
C:\Users\Krysman\Desktop	rojan\MsnFix: trouvé !

---------------------------------
-->- Suppression: 

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: supprimé !
C:\Users\Krysman\Desktop	rojan\VirtumundoBeGone.exe: supprimé !
C:\Users\Krysman\Desktop	rojan\OtMoveIt2.exe: supprimé !
C:\Users\Krysman\Desktop	rojan\ComboFix.exe: supprimé !
C:\Users\Krysman\Desktop	rojan\vundoFix.exe: supprimé !
C:\Users\Krysman\Desktop	rojan\HJTInstall.exe: supprimé !
C:\SDFIX: supprimé !
C:\Vundofix backups: supprimé !
C:\Qoobox: supprimé !
C:\_OtMoveIt: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: ERREUR DE SUPPRESSION !!
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: supprimé !
C:\Users\Krysman\Desktop	rojan\SDFIX: supprimé !
C:\Users\Krysman\Desktop	rojan\MsnFix: supprimé !

jlpjlp · Answer

finit manuellement de virer hijakchits car il y a eu une erreur

C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis

Aide pour virer Vundo@ll, j'ai tt essayé

39 réponses

Discussions similaires

Newsletters