Vundo Gen - Trojan - le pc est infecté...

Résolu/Fermé

pives Messages postés 419 Date d'inscription jeudi 20 mars 2008 Statut Membre Dernière intervention 25 juillet 2015 - 26 août 2008 à 22:47
pives Messages postés 419 Date d'inscription jeudi 20 mars 2008 Statut Membre Dernière intervention 25 juillet 2015 - 26 août 2008 à 23:58

Salut,

j'ai attrapé ce virus (selon Avira) il y maintenant 2 jours. Mon probème est que tout kle pc tourne au ralentit et au démarrage Avira me lance X messages comme quoi il y a un virus détecté de type VUNDO Gen Trojan dans c:\windows\system32... et les messages s'enchainent avec des noms de virus différents à chaque fois .. le pc rame totalement il est quasi inutilisable hormis en mode sans echec.

J'ai cherché un peu et j'ai remarqué qu'il y avait des fichiers .log créés toutes les 3/4 minutes dans system32... et j'ai aussi remarqué que mon pc recevait des connexions de type TCP d'une IP intitulé 128.0.1.10 (avec la commande NETSTAT -ano) qui marquait connexion ... established ...

je ne sais pas si tout ca est normal mais en tout cas le pc est dans le sac et je suis obligé d'écrire via ma partition Ubuntu (qui elle tourne impec !!!),

quelqu'un peut-il m'aider ... merci d'avance ...

A voir également:

Vundo Gen - Trojan - le pc est infecté...
Test performance pc - Guide
Mon pc est lent - Guide
Reinitialiser pc - Guide
Whatsapp pc - Télécharger - Messagerie
Audacity enregistrer son pc - Guide

2 réponses

Réponse 1 / 2

Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
26 août 2008 à 22:50

Salut,

---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\

---> Double-clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
Accepte en cliquant sur "Oui"

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

pives Messages postés 419 Date d'inscription jeudi 20 mars 2008 Statut Membre Dernière intervention 25 juillet 2015 32
26 août 2008 à 23:30

merci de ta reponse Destrio ...

jai executé combofix en mode sans echec car en mode normal le pc ramait trop... j'ai l"impression que ca a fonctionner nikel, le pc tourne de nouveau normalement et antivir ne signale plus rien
voila le rapport

ComboFix 08-08-26.01 - Pierre-yves 2008-08-26 23:04:19.3 - NTFSx86 MINIMAL

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.700 [GMT 2:00]

Endroit: G:\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\WINDOWS\BMeb60fe7e.txt

C:\WINDOWS\BMeb60fe7e.xml

C:\WINDOWS\pskt.ini

C:\WINDOWS\system32\cfmxstkx.ini

C:\WINDOWS\system32\CKmponmp.ini

C:\WINDOWS\system32\CKmponmp.ini2

C:\WINDOWS\system32\dwasdwsv.dll

C:\WINDOWS\system32\fosgvwmr.dll

C:\WINDOWS\system32\iiffEvVl.dll

C:\WINDOWS\system32\iiluynau.exe

C:\WINDOWS\system32\pmnnKARH.dll

C:\WINDOWS\system32\pmnopmKC.dll

C:\WINDOWS\system32\ruvfpb.dll

C:\WINDOWS\system32\wwqyejlr.dll

C:\WINDOWS\system32\xktsxmfc.dll

.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-26 to 2008-08-26 ))))))))))))))))))))))))))))))))))))

.

2008-08-26 21:34 . 2008-08-26 21:35 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Notepad++

2008-08-26 21:33 . 2008-08-26 21:33 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Spyware Terminator

2008-08-26 21:03 . 2008-04-08 22:44 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe

2008-08-26 21:03 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe

2008-08-26 20:48 . 2008-08-26 20:48 <REP> d-------- C:\ComboFix(2)

2008-08-24 20:45 . 2008-08-24 20:45 <REP> d-------- C:\Documents and Settings\LocalService\Mes documents

2008-08-24 20:22 . 2008-08-24 20:22 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\OnlineArmor

2008-08-24 19:31 . 2008-08-24 19:31 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes

2008-08-24 17:13 . 2004-08-04 00:54 21,504 --a------ C:\WINDOWS\system32\hidserv.dll

2008-08-24 17:12 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys

2008-08-24 17:12 . 2004-08-04 00:45 14,848 --a------ C:\WINDOWS\system32\drivers\kbdhid.sys

2008-08-24 16:35 . 2008-08-24 16:35 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll

2008-08-06 18:53 . 2008-08-19 18:50 54,156 --ah----- C:\WINDOWS\QTFont.qfn

2008-08-06 18:53 . 2008-08-06 18:53 1,409 --a------ C:\WINDOWS\QTFont.for

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-08-26 21:11 --------- d-----w C:\Documents and Settings\Pierre-yves\Application Data\OpenOffice.org2

2008-08-26 20:05 2,676 ----a-w C:\WINDOWS\system32\tmp.reg

2008-08-26 19:34 --------- d-----w C:\Program Files\WinClamAVShield

2008-08-26 18:55 --------- d-----w C:\Documents and Settings\Pierre-yves\Application Data\Spyware Terminator

2008-08-25 16:51 --------- d-----w C:\Documents and Settings\Pierre-yves\Application Data\Azureus

2008-08-25 15:11 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater

2008-08-18 17:57 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spyware Terminator

2008-08-07 17:56 --------- d-----w C:\Program Files\Google

2008-07-10 19:28 --------- d-----w C:\Program Files\Paint.NET

2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll

2008-07-04 15:30 --------- d-----w C:\Program Files\LETMIN

2008-07-04 15:30 --------- d-----w C:\Program Files\Icone

2008-06-27 16:59 --------- d-----w C:\Documents and Settings\Pierre-yves\Application Data\Free Download Manager

2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll

2008-06-23 16:28 826,368 ----a-w C:\WINDOWS\system32\wininet.dll

2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll

2008-02-21 14:22 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe

2008-02-13 18:10 22,328 ----a-w C:\Documents and Settings\Pierre-yves\Application Data\PnkBstrK.sys

2006-05-03 10:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll

2007-02-21 11:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll

2007-12-17 13:43 27,648 --sh--w C:\WINDOWS\system32\Smab0.dll

2008-02-04 19:26 151,040 --sh--w C:\WINDOWS\system32\VistaUltm.dll

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]

"SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe" [2006-07-07 18:45 1052672]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe" [2005-09-16 10:47 94208]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-12-02 21:52 68856]

"DAEMON Tools Pro Agent"="C:\Program Files\DAEMON Tools Pro\DTProAgent.exe" [2007-09-06 15:08 136136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-07-13 07:19 7626752]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-07-13 07:19 86016]

"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2005-05-21 11:11 925696]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]

"Adobe Reader Speed Launcher"="E:\Logiciels\Adobe_Reader\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]

"SpywareTerminator"="E:\LOGICI~1\SPYWAR~1\SpywareTerminatorShield.exe" [2008-05-09 22:04 1817600]

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-12-16 16:35 185896]

"OnlineArmor GUI"="E:\Logiciels\Online Armor\oaui.exe" [2006-07-25 13:14 3063360]

"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 16:21 61952 C:\WINDOWS\system32\HdAShCut.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

"OnlineArmor GUI"="E:\Logiciels\Online Armor\oaui.exe" [2006-07-25 13:14 3063360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.I420"= i420vfw.dll

"vidc.yv12"= yv12vfw.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"E:\\Logiciels\\Azureus\\Azureus.exe"=

"E:\\Logiciels\\eChanblard\\emule.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"E:\\Logiciels\\veoh_tv\\VeohClient.exe"=

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"C:\\Program Files\\MSN Messenger\\livecall.exe"=

"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"E:\\Jeux\\warcraft\\War3.exe"=

"C:\\WINDOWS\\system32\\PnkBstrA.exe"=

"C:\\WINDOWS\\system32\\PnkBstrB.exe"=

"E:\\Jeux\\warcraft\\Warcraft III.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"9291:TCP"= 9291:TCP:BitComet 9291 TCP

"9291:UDP"= 9291:UDP:BitComet 9291 UDP

R1 cpuidlep;CpuIdle Pro System Driver;C:\WINDOWS\system32\drivers\cpuidlep.sys [2007-12-08 18:00]

R1 sp_rsdrv2;Spyware Terminator Driver 2;C:\WINDOWS\system32\drivers\sp_rsdrv2.sys [2008-05-09 22:04]

S3 SvcOnlineArmor;Online Armor;E:\Logiciels\Online Armor\oasrv.exe [2006-07-25 13:14]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{880a8c0c-ab0a-11dc-90a1-001bfce85ac9}]

\Shell\AutoRun\command - G:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{880a8c0e-ab0a-11dc-90a1-001bfce85ac9}]

\Shell\AutoRun\command - G:\setupSNK.exe

.

Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

2008-08-20 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job

- C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 15:57]

.

- - - - ORPHANS REMOVED - - - -

HKLM-Run-NWEReboot - (no file)

.

------- Supplementary Scan -------

.

FireFox -: Profile - C:\Documents and Settings\Pierre-yves\Application Data\Mozilla\Firefox\Profiles\c2zlxukq.default\

FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.com/

FF -: plugin - C:\Program Files\DivX\DivX Content Uploader\npUpload.dll

FF -: plugin - E:\Logiciels\Adobe_Reader\Reader\browser\nppdf32.dll

FF -: plugin - E:\Logiciels\Quick time\Plugins\npqtplugin.dll

FF -: plugin - E:\Logiciels\Quick time\Plugins\npqtplugin2.dll

FF -: plugin - E:\Logiciels\Quick time\Plugins\npqtplugin3.dll

FF -: plugin - E:\Logiciels\Quick time\Plugins\npqtplugin4.dll

FF -: plugin - E:\Logiciels\Quick time\Plugins\npqtplugin5.dll

FF -: plugin - E:\Logiciels\Quick time\Plugins\npqtplugin6.dll

FF -: plugin - E:\Logiciels\Quick time\Plugins\npqtplugin7.dll

FF -: plugin - E:\Logiciels\veoh_tv\Plugins\noreg\NPVeohVersion.dll

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-08-26 23:09:23

Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Par contre j'ai désormais un autre pb et la c'est complètement ma faute ... j'ai voulu faire le petit malin et j'ai par erreur supprimmé des lignes sur Hijackthis. Je me souviens avoir viré des lignes numérotés 17 et 18 (concernant les connexions internet je crois). Et depuis ce temps là, je n'ai plus internet sous windows (je rappelle que j'ecris d'Ubuntu). je me demande si il faut pas rajouter les lignes dans le registre ou quelquechose comme ca ...

Réponse 2 / 2

Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 297
26 août 2008 à 23:52

Il faut que tu ailles dans Panneau de configuration > Connexion réseau et tu répares la connection.

pives Messages postés 419 Date d'inscription jeudi 20 mars 2008 Statut Membre Dernière intervention 25 juillet 2015 32
26 août 2008 à 23:58

Yep je vais jeter un coupo d'oeil... merci bien de ton aide...