Version anglaise Version espagnoleVersion française

Dimanche 27 juillet 2008 - 07:00:14
inscrits : 891320
connectés : 6074
questions/jour : 3949
Taux de réponse : 84.36%

Inscrivez-vous, c'est gratuit ! (mot de passe oublié)

Par Pertinence Date Nom d'utilisateur dans

Posez votre question Forum Virus/Sécurité

Ils ont besoin de votre aide

06:58 PROBLEMES COMPATIBILITE AVEC VISTA (Windows)
06:50 Probleme avec un ASUS M50SA (Windows)
06:44 Comparer plusieurs cellules (Excel) (Bureautique)
06:30 target=_blank (Webmastering)
06:00 besoin d'aid (Windows)
05:56 Probleme psp (Jeux vidéos)

Tous les messages sans réponse

Statut : Résolu

Trojan.Vundo.dlm: bien difficile à supprimer

Posté par

K4rine, le lundi 16 avril 2007 à 10:41:45

bonjour,

je suis sous windows xp pro sp2 mis à jour.
en fait j'ai formaté mon pc ce week end, et une pure galère pour reussir à reinstaller xp sans chopper plein de trucs pourris.
du coup, là j'ai trojan.vundo.DLM dans system32\urqqnml.dll.
j'ai lu le message: "quel saleté de virus" du 10/04 et les réponses de Germinix.
j'ai plus ou moins suivi ses instructions:
j'ai bitdefender qui le signale regulièrement, mais impossible de faire quoi que ce soit, il n'accepte aucune action.
j'ai donc téléchargé ccleaner, qui ne voit rien, A2free et vundo fix
mais rien à faire, il est toujours là.
Si quelqu'un connait la solution et à le temps de m'expliquer, ce serait chic ;-)
merci d'avance,
karine

Configuration: Windows XP
Firefox 2.0.0.3

Répondre à K4rine Signaler ce message aux modérateurs Aller au dernier message

24 réponses 12

Ce message vous semble utile, votez !
Signaler ce message aux modérateurs

^^Marie^^, le lundi 16 avril 2007 à 10:49:32

Salut

Fais ce qui suit d'abord

F - Hijackthis - Outil de diagnostic et réparation

télécharge HijackThis ici:
http://telechargement.zebulon.fr/138-hijackthis-1991.html

Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : ! Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/Hijenr.gif

Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum

Démo : (Merci a Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm

Bon courage

A+

Ne prenez pas la mouche, restez muet comme une carpe, et
caressez le chien dans le sens du poil !

Répondre à ^^Marie^^

Ce message vous semble utile, votez !
Signaler ce message aux modérateurs

K4rine, le lundi 16 avril 2007 à 12:24:52

voili voilou:
et merci

Logfile of HijackThis v1.99.1
Scan saved at 12:23:00, on 16/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Softwin\BitDefender Professional Edition\bdswitch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cmd.exe
C:\Documents and Settings\Krine\Bureau\sdelete.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender Professional Edition\vsserv.exe
c:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Krine\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.huddi.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {67C55A8D-E808-4caa-9EA7-F77102DE0BB6} - (no file)
O2 - BHO: (no name) - {9DED2B32-743B-47EB-874C-28AECF2A268D} - C:\WINDOWS\System32\urqqnml.dll
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender Professional Edition\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Program Files\Softwin\BitDefender Professional Edition\bdswitch.exe
O4 - HKLM\..\Run: [Windows Update Firewall System] winmsfws.exe
O4 - HKLM\..\RunServices: [Windows Update Firewall System] winmsfws.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: urqqnml - C:\WINDOWS\SYSTEM32\urqqnml.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender Professional Edition\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

Répondre à K4rine

Ce message vous semble utile, votez !
Signaler ce message aux modérateurs

^^Marie^^, le lundi 16 avril 2007 à 16:10:17

Tu as fait celui-là de Vundo ?

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4

* Double-clique VundoFix.exe afin de le lancer.
* Lorsque l'outil se lance à nouveau, clique sur le bouton Scan for Vundo
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est complété, clique sur le bouton Remove Vundo
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
* Démarre ton PC à nouveau.
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

Ne prenez pas la mouche, restez muet comme une carpe, et
caressez le chien dans le sens du poil !

Répondre à ^^Marie^^

Ce message vous semble utile, votez !
Signaler ce message aux modérateurs

K4rine, le lundi 16 avril 2007 à 19:39:06

oui, je l'ai fait mais il ne trouve rien, alors que bitdefender me le signale bien.
je peux meme pas te donner de rapport, car vundofix me dit seulement qu'il n'a rien trouvé.
merci quand même

Répondre à K4rine

Ce message vous semble utile, votez !
Signaler ce message aux modérateurs

^^Marie^^, le mardi 17 avril 2007 à 10:42:44

Re,

Fais ce qui suit et envoie les rapports d'AVG et de Bitdefender
C - Ccleaner :
(nettoyeur de registre, cookies+temps+tempos+prefetch+historique+etc.)
Télécharge ici :
http://www.ccleaner.com/ccdownload.asp
Tutorial ici:
http://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php
ET
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

D – Ewido – AVG

AVG Anti-Spyware :
http://www.ewido.net/en/download/
Tu l'installes.
Lance AVG Anti-Spyware et clique sur le bouton Mise à jour.
Patiente!
Lance AVG Anti-Spyware
Clique sur le bouton Analyse (de la barre d'outils)
Puis sur l'onglets Comment réagir, clique sur Actions recommandées.
Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
/!\ Si un fichier est infecté en fin d'analyse /!\
choisis l'option " Appliquer toutes les actions " en bas.
Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous"
Enregistre ce fichier texte sur ton bureau.
Copie/colle le rapport

E - Scan online avec BitDefender

(fonctionne uniquement sous Internet Explorer en acceptant l’ activX) la barre anti-popup du SP (en haut) va se mettre à clignoter, clic dessus et choisis "accepter l'active X" pour faire fonctionner le scan anti-virus.
http://assiste.free.fr/p/antivirus_gratuits_en_ligne/antivirus_en_ligne.php
http://www.bitdefender.fr/scan8/ie.html
TUTO
http://perso.orange.fr/rginformatique/section%20virus/defender.htm
Copie/COLLE le rapport entier

Ne prenez pas la mouche, restez muet comme une carpe, et
caressez le chien dans le sens du poil !

Répondre à ^^Marie^^

Ce message vous semble utile, votez !
Signaler ce message aux modérateurs

lassadbg, le mardi 17 avril 2007 à 10:49:07

Salut,
je vous conseille d'essayer avec "avast", c'est mon préféré, mais il faut lui laisser le temps de télécharger ses mise à jour puis lancer le scan.
http://www.pcastuces.com/logitheque/telechargement.asp?num=559

Répondre à lassadbg

Ce message vous semble utile, votez !
Signaler ce message aux modérateurs

K4rine, le jeudi 19 avril 2007 à 10:06:17

merci bien à vous deux, mais là, je laisse tomber.
j'ai installé tous les trucs possibles pour le supprimer, et finalement, j'ai rechoppé plus de merdes qu'avant.
du coup, je voudrais juste savoir ce que je risque de laisser:
trojan.vundo.DLM dans system32\urqqnml.dll
avant le prochain format c: ...
mais pour le moment, pas le courage
voili,
merci
karine

Répondre à K4rine

Ce message vous semble utile, votez !
Signaler ce message aux modérateurs

^^Marie^^, le jeudi 19 avril 2007 à 10:09:18

j'ai rechoppé plus de merdes qu'avant

Peux tu me dire ce que tu as fait exactement
Le rapport AVG ?

Le rapport Bitdefender ?

Refais un log hitjakthis
stp

Ne prenez pas la mouche, restez muet comme une carpe, et
caressez le chien dans le sens du poil !

Répondre à ^^Marie^^

Ce message vous semble utile, votez !
Signaler ce message aux modérateurs

Lyonnais92, le jeudi 19 avril 2007 à 10:29:29

Bonjour K4rine, salut Marie,

Ne laisse pas tomber, un ordi infecté voit ses sécurités baisser et les infections progresser.

Les risques :
que l'ordi devienne incontrôlable

qu'il soit utilisé par un pirate

que les infos personnelles soient volées.

Donc il faut stopper ça. D'autant plus que tu n'as pas que vundo.

1) tu n'as pas réinstallé ton parefeu. A faire en urgence.

2) Relances Hijackthis, choisi do a scan only.

Coche la case devant :
O4 - HKLM\..\Run: [Windows Update Firewall System] winmsfws.exe
O4 - HKLM\..\RunServices: [Windows Update Firewall System] winmsfws.exe

fermes toutes les fenêtres, sauf Hijackthis) et clique sur fixe checked.

Ferme Hijackthis

Par la fonction recherche de Windows, cherche le nom complet de winmsfws.exe. Mets toi sur ce fichier par l'explorateur Windows et supprime le.

3) Télécharge VirtumundoBegone sur le bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse avec un nouveau rapport HijackThis.
Ne t'inquiète pas si tu vois un message Ecran bleu "Erreur fatale", c'est normal et attendu

4) remets un rapport Hijackthis.

@+
Ca s'écrit 10 + 10 = 100 et ça s'énonce deux plus deux égal quatre.

Répondre à Lyonnais92

Ce message vous semble utile, votez !
Signaler ce message aux modérateurs

^^Marie^^, le jeudi 19 avril 2007 à 10:31:34

C'est ça que j'aime,

Le travail d'équipe.

Bonjour Lyonnais
Ne prenez pas la mouche, restez muet comme une carpe, et
caressez le chien dans le sens du poil !

Répondre à ^^Marie^^

Ce message vous semble utile, votez !
Signaler ce message aux modérateurs

K4rine, le jeudi 19 avril 2007 à 11:43:43

alors voilà le rapport
Logfile of HijackThis v1.99.1
Scan saved at 11:32:22, on 19/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender Professional Edition\vsserv.exe
c:\program files\softwin\bitdefender professional edition\bdmcon.exe
C:\Documents and Settings\Krine\Bureau\HijackThis.exe

O2 - BHO: (no name) - {9DED2B32-743B-47EB-874C-28AECF2A268D} - C:\WINDOWS\system32\urqqnml.dll
O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\program files\softwin\bitdefender professional edition\bdnagent.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O20 - Winlogon Notify: urqqnml - C:\WINDOWS\SYSTEM32\urqqnml.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender Professional Edition\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

donc pas possible de decocher:

O4 - HKLM\..\Run: [Windows Update Firewall System] winmsfws.exe
O4 - HKLM\..\RunServices: [Windows Update Firewall System] winmsfws.exe

pour ce qui est de virtumundo:

[04/19/2007, 11:33:17] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Krine\Bureau\VirtumundoBeGone.exe" )
[04/19/2007, 11:33:59] - Detected System Information:
[04/19/2007, 11:33:59] - Windows Version: 5.1.2600, Service Pack 2
[04/19/2007, 11:33:59] - Current Username: Krine (Admin)
[04/19/2007, 11:33:59] - Windows is in NORMAL mode.
[04/19/2007, 11:33:59] - Searching for Browser Helper Objects:
[04/19/2007, 11:33:59] - BHO 1: {9DED2B32-743B-47EB-874C-28AECF2A268D} ()
[04/19/2007, 11:33:59] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/19/2007, 11:33:59] - Checking for HKLM\...\Winlogon\Notify\urqqnml
[04/19/2007, 11:33:59] - Found: HKLM\...\Winlogon\Notify\urqqnml - This is probably Virtumundo.
[04/19/2007, 11:33:59] - Assigning {9DED2B32-743B-47EB-874C-28AECF2A268D} MSEvents Object
[04/19/2007, 11:33:59] - BHO list has been changed! Starting over...
[04/19/2007, 11:33:59] - BHO 1: {9DED2B32-743B-47EB-874C-28AECF2A268D} (MSEvents Object)
[04/19/2007, 11:33:59] - ALERT: Found MSEvents Object!
[04/19/2007, 11:33:59] - Finished Searching Browser Helper Objects
[04/19/2007, 11:33:59] - *** Detected MSEvents Object
[04/19/2007, 11:33:59] - Trying to remove MSEvents Object...
[04/19/2007, 11:34:00] - Terminating Process: IEXPLORE.EXE
[04/19/2007, 11:34:01] - Terminating Process: RUNDLL32.EXE
[04/19/2007, 11:34:01] - Disabling Automatic Shell Restart
[04/19/2007, 11:34:01] - Terminating Process: EXPLORER.EXE
[04/19/2007, 11:34:01] - Suspending the NT Session Manager System Service
[04/19/2007, 11:34:01] - Terminating Windows NT Logon/Logoff Manager
[04/19/2007, 11:34:02] - Re-enabling Automatic Shell Restart
[04/19/2007, 11:34:02] - File to disable: C:\WINDOWS\system32\urqqnml.dll
[04/19/2007, 11:34:02] - Renaming C:\WINDOWS\system32\urqqnml.dll -> C:\WINDOWS\system32\urqqnml.dll.vir
[04/19/2007, 11:34:02] - ! File rename was unsucessful.
[04/19/2007, 11:34:02] - Attempting to Deny Access to C:\WINDOWS\system32\urqqnml.dll
[04/19/2007, 11:34:03] - *** IMPORTANT: Delete/Rename/Move on reboot (like Killbox) MAY NOT work.
[04/19/2007, 11:34:03] - ERROR: Le mappage entre les noms de compte et les ID de sécurité n'a pas été effectué.

[04/19/2007, 11:34:03] - *** IMPORTANT: The file is disabled and will need to be deleted by the user.
[04/19/2007, 11:34:03] - Removing HKLM\...\Browser Helper Objects\{9DED2B32-743B-47EB-874C-28AECF2A268D}
[04/19/2007, 11:34:03] - Removing HKCR\CLSID\{9DED2B32-743B-47EB-874C-28AECF2A268D}
[04/19/2007, 11:34:03] - Adding Kill Bit for ActiveX for GUID: {9DED2B32-743B-47EB-874C-28AECF2A268D}
[04/19/2007, 11:34:03] - Deleting ATLEvents/MSEvents Registry entries
[04/19/2007, 11:34:03] - Removing HKLM\...\Winlogon\Notify\urqqnml
[04/19/2007, 11:34:03] - Searching for Browser Helper Objects:
[04/19/2007, 11:34:03] - Finished Searching Browser Helper Objects
[04/19/2007, 11:34:03] - Finishing up...
[04/19/2007, 11:34:03] - A restart is needed.
[04/19/2007, 11:34:14] - Attempting to Restart via STOP error (Blue Screen!)

parcontre j'en ai marre de telecharger tous les trucs possibles, ils font plus ou moins tous la meme chose et ca m'avance à rien si ce n'est d'avoir un pc gavé de logiciels antispyware...
alors je c bien qu'un trojan vundo c'est pas terrible, mais je voudrais qd meme bien savoir ce que celui ci fait à mon pc, en sachant que je suis quand meme protegé par bitdefender, que j'ai le firewall, que j'utilise mozilla et que je vais plus ou moins toujours sur les memes sites

merci

Répondre à K4rine

Ce message vous semble utile, votez !
Signaler ce message aux modérateurs

Lyonnais92, le jeudi 19 avril 2007 à 12:12:29

Re,

remets un log Hijackthis, ainsi que les rapports de AVG AS et Bit defender comme demandé par Marie.

Pour les téléchargements, il faudra supprimer du pc vundofix, virtumundobegone et HijackThis.

Pour le reste, Ccleaner, Spybot, AVG AS et Ad aware, c'est le tarif minimal.

Et à propos de firewall, quel est le tien ?
@+ Ca s'écrit 10 + 10 = 100 et ça s'énonce deux plus deux égal quatre.

Répondre à Lyonnais92

Ce message vous semble utile, votez !
Signaler ce message aux modérateurs

K4rine, le jeudi 19 avril 2007 à 12:38:24

le log de hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 12:26:47, on 19/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender Professional Edition\vsserv.exe
c:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\Documents and Settings\Krine\Bureau\HijackThis.exe

O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\program files\softwin\bitdefender professional edition\bdnagent.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender Professional Edition\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

avg, impossible de faire une update, il reste completement planté, et par contre, si je lance l'analyse sans la mise à jour, ca me plante le pc au bout de 18mn d'analyse, enfin ca le reboote, donc pas cool

bitdefender scan online, pareil, j'accepte l'activeX, mais j'ai un message:
this web site is not authorized to host this activeX control
donc pas possible

pour le firewall, j'ai bitdefender pro avec le firewall,

voili voilou,
karine

Répondre à K4rine

Ce message vous semble utile, votez !
Signaler ce message aux modérateurs

Lyonnais92, le jeudi 19 avril 2007 à 12:56:34

Re,

les choses se compliquent.

Cherche si C:\WINDOWS\system32\urqqnml.dll
est encore présent sur l'ordi. Si oui, tu le supprimes.

Cherche le nom complet de ce fichier : winmsfws.exe et mets le dans ta réponse.

Ouvre ce lien (merci a S!RI pour ce programme). http://siri.urz.free.fr/Fix/SmitfraudFix.php
et télécharge SmitfraudFix.exe.

Regarde le tuto
Exécute le en choisissant l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.

Va sur ce lien et télécharge Blacklight(de F-Secure) :
< https://europe.f-secure.com/blacklight/try.shtml > et sauvegarde le sur ton Bureau
Consulte le tuto de Malekal_morte ici :
< http://www.malekal.com/tutorial_f-secure_BlackLight.html >
Tu suis le tuto pour la phase 1 (scan) et tu postes le rapport de blacklight dans ta réponse.

@+ Ca s'écrit 10 + 10 = 100 et ça s'énonce deux plus deux égal quatre.

Répondre à Lyonnais92

Ce message vous semble utile, votez !
Signaler ce message aux modérateurs

K4rine, le jeudi 19 avril 2007 à 13:12:14

bonne surprise
en fait vundo etait dans urqqnml, avant de le supprimer, j'ai voulu refaire un test avec bitdefender en l'analysant et pour la 1ere fois il a accepté quand je lui ai demandé de l'effacer après qu'il ait echoué pour la desinfection.
donc là, il ne me semble plus etre là, je suis en train de relancer une analyse totale, et je te tiens au courant,

mais merci, je crois qu'on l'a eu à l'usure

Répondre à K4rine

Ce message vous semble utile, votez !
Signaler ce message aux modérateurs

Lyonnais92, le jeudi 19 avril 2007 à 13:17:25

Re,

je savais que vundo était dans ce fichier.

J'avais lu rapidement le rapport de virtumundo qui me semblait avoir bien fonctionné (ce qui était en partie vrai).

Mais il y avait des problèmes résiduels : impossibilité de renommer le fichier et de le tuer par Killbox. Tu as confirmé ces problèmes ; pas de MAJ possible de AVG, plantage en cours de scan, impossibilité de faire tourner Bit Defender.

Bon, on verra après les rapports de Bit Defender et AVG (mis à jour) ce qu'il en est et si Smitfraudfix et Blacklight restent indispensables.
@+ Ca s'écrit 10 + 10 = 100 et ça s'énonce deux plus deux égal quatre.

Répondre à Lyonnais92

Ce message vous semble utile, votez !
Signaler ce message aux modérateurs

K4rine, le jeudi 19 avril 2007 à 13:26:42

c'etait une affirmation le fait de dire qu'il est dans le fichier dll, sauf que depuis 3 jours, à chaque fois que j'essayais de faire qqchse, ca ne fonctionnait pas, bitdefender me disait seulement qu'il etait dans ce fichier, mais il ne pouvait rien faire. par contre, à l'instant, j'ai pu le faire et apres analyse avec mon antivirus bitdefender, et non celui en ligne, j'ai plus de virus signalé sur c:
et etant donné que c'est la seule chose qui m'embetait et que maintenant il est plus là, tout va bien
merci,
karine

Répondre à K4rine

Ce message vous semble utile, votez !
Signaler ce message aux modérateurs

Lyonnais92, le jeudi 19 avril 2007 à 18:17:04

Bonsoir,

la mise à jour d'AVG se fait ?

AVG scanne tout l'ordi ? Sans rien trouver ?
@+ Ca s'écrit 10 + 10 = 100 et ça s'énonce deux plus deux égal quatre.

Répondre à Lyonnais92

Ce message vous semble utile, votez !
Signaler ce message aux modérateurs

Ketchup, le lundi 24 septembre 2007 à 00:24:35

Bonjour,

Même problème que Marie je suppose. Bif defender qui repere le truc mais avec le sentiment que le trojan est toujours en tache de fond.
Hijack me donne ceci:

Logfile of HijackThis v1.99.1
Scan saved at 0:14:33, on 24/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender Professional Edition\vsserv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe
C:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Softwin\BitDefender Professional Edition\bdswitch.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\ASUS\ASUS DH Remote\AsDhRemote.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lagrosseradio.com/webradio/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\System32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [Ai Quicker Help] "C:\Program Files\ASUS\ASUS DH Remote\AsRc.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\System32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\System32\sw24.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\progra~1\softwin\bitdef~1\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Program Files\Softwin\BitDefender Professional Edition\bdswitch.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.be/s/v/22.26/uploader2.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender Professional Edition\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe

ps: j'ai "déjà" fait tourner CCleaner

Est ce possible que l'orsque j'ai branché un disque externe d'un pot. j'ai infecté celui- également ? suis un peu mal par rapport à cela ..help

Encore merci à vous les spécialistes de la lecture de rapport incompréhensible pour moi :-(

Ketchup

Répondre à Ketchup

Ce message vous semble utile, votez !
Signaler ce message aux modérateurs

Ketchup, le lundi 24 septembre 2007 à 00:34:05

Pour être complet voici le rapport de Bit defender

//-----------------------------------------------------------------
//
// Product: BitDefender Professional Edition v7.2
// Version: (no ver)
//
// Created on: 23/09/2007 04:51:39
//
//-----------------------------------------------------------------

Statistics

Scan path : C:\
E:\
F:\
G:\
Folders : 13583
Files : 855352
Archives : 5815
Packed files : 74928
Identified viruses : 4
Infected files : 9
Warnings : 0
Suspect files : 8
Disinfected files : 0
Deleted files : 0
Copied files : 0
Moved files : 4
Renamed files : 0
I/O errors : 37
Scan time : 01:23:48
Scan speed (files/sec) : 170

Virus definitions : 823360
Scan plugins : 14
Archive plugins : 38
Unpack plugins : 7
Mail plugins : 6
System plugins : 1

Scan options

Detection
[X] Scan boot sectors
[X] Scan archives
[X] Scan packed files
[X] Scan email

File mask
[ ] Programs
[X] All files
[ ] User defined extensions:
[ ] Exclude extensions: ;

Action

Infected objects
[ ] Ignore
[X] Disinfect
[ ] Delete
[ ] Copy to quarantine
[ ] Move to quarantine
[ ] Rename
[ ] Prompt user

Second action
[ ] Ignore
[ ] Delete
[ ] Copy to quarantine
[X] Move to quarantine
[ ] Rename
[ ] Prompt user

Scan options
[X] Enable warnings
[X] Enable heuristics
[ ] Show all files in log
[X] Report file: vscan.log
[ ] Append to existing report

Summary:

C:\Program Files\Softwin\BitDefender Professional Edition\Infected\EPPmsg.dll Infected Trojan.Downloader.ConHook.AI
C:\Program Files\Softwin\BitDefender Professional Edition\Infected\EPPmsg.dll Disinfection failed
C:\Program Files\Softwin\BitDefender Professional Edition\Infected\EPPmsg.dll Move failed
C:\Program Files\Softwin\BitDefender Professional Edition\Infected\tmp7.tmp.dll Infected Trojan.BHO.AU
C:\Program Files\Softwin\BitDefender Professional Edition\Infected\tmp7.tmp.dll Disinfection failed
C:\Program Files\Softwin\BitDefender Professional Edition\Infected\tmp7.tmp.dll Move failed
C:\Program Files\Softwin\BitDefender Professional Edition\Infected\UpdReg.EXE Infected Trojan.Clicker.Agent.JH
C:\Program Files\Softwin\BitDefender Professional Edition\Infected\UpdReg.EXE Disinfection failed
C:\Program Files\Softwin\BitDefender Professional Edition\Infected\UpdReg.EXE Move failed
C:\Program Files\Softwin\BitDefender Professional Edition\Infected\tmp12.tmp.dll Infected Trojan.BHO.AU
C:\Program Files\Softwin\BitDefender Professional Edition\Infected\tmp12.tmp.dll Disinfection failed
C:\Program Files\Softwin\BitDefender Professional Edition\Infected\tmp12.tmp.dll Move failed
C:\System Volume Information\_restore{1E74BF0A-ADB1-4BEE-9292-539A4B245C7C}\RP140\A0013763.dll Infected Trojan.Downloader.ConHook.AI
C:\System Volume Information\_restore{1E74BF0A-ADB1-4BEE-9292-539A4B245C7C}\RP140\A0013763.dll Disinfection failed
C:\System Volume Information\_restore{1E74BF0A-ADB1-4BEE-9292-539A4B245C7C}\RP140\A0013763.dll Moved
C:\System Volume Information\_restore{1E74BF0A-ADB1-4BEE-9292-539A4B245C7C}\RP140\A0013764.dll Infected Trojan.BHO.AU
C:\System Volume Information\_restore{1E74BF0A-ADB1-4BEE-9292-539A4B245C7C}\RP140\A0013764.dll Disinfection failed
C:\System Volume Information\_restore{1E74BF0A-ADB1-4BEE-9292-539A4B245C7C}\RP140\A0013764.dll Moved
C:\System Volume Information\_restore{1E74BF0A-ADB1-4BEE-9292-539A4B245C7C}\RP140\A0013765.EXE Infected Trojan.Clicker.Agent.JH
C:\System Volume Information\_restore{1E74BF0A-ADB1-4BEE-9292-539A4B245C7C}\RP140\A0013765.EXE Disinfection failed
C:\System Volume Information\_restore{1E74BF0A-ADB1-4BEE-9292-539A4B245C7C}\RP140\A0013765.EXE Moved
C:\System Volume Information\_restore{1E74BF0A-ADB1-4BEE-9292-539A4B245C7C}\RP140\A0013766.dll Infected Trojan.BHO.AU
C:\System Volume Information\_restore{1E74BF0A-ADB1-4BEE-9292-539A4B245C7C}\RP140\A0013766.dll Disinfection failed
C:\System Volume Information\_restore{1E74BF0A-ADB1-4BEE-9292-539A4B245C7C}\RP140\A0013766.dll Moved
E:\Backup\1\ICQ\icq99b_nomfc.exe=>wise0021 Infected Backdoor.Ip.Protect.A
E:\Backup\1\ICQ\icq99b_nomfc.exe=>wise0021 Disinfection failed
E:\Backup\1\ICQ\icq99b_nomfc.exe=>wise0021 Move failed
E:\backupdecoutlook.pst=>[Subject: The Garden of Eden][From: warrior]=>(body)=>(Compressed Rtf) Suspect Exploit.Iframe.Vulnerability
E:\backupdecoutlook.pst=>[Subject: The Garden of Eden][From: warrior]=>(body)=>(Compressed Rtf) Disinfection failed
E:\backupdecoutlook.pst=>[Subject: The Garden of Eden][From: warrior]=>(body)=>(Compressed Rtf)=>(IFRAME) Suspect Exploit.Iframe.Vulnerability
E:\backupdecoutlook.pst=>[Subject: The Garden of Eden][From: warrior]=>(body)=>(Compressed Rtf)=>(Rtf2Html) Suspect Exploit.Iframe.Vulnerability
E:\backupdecoutlook.pst=>[Subject: The Garden of Eden][From: warrior]=>(body)=>(Compressed Rtf)=>(Rtf2Html) Disinfection failed
E:\backupdecoutlook.pst=>[Subject: The Garden of Eden][From: warrior]=>(body)=>(Compressed Rtf)=>(Rtf2Html)=>(IFRAME) Suspect Exploit.Iframe.Vulnerability
G:\ketchup\Documents and Settings\Ketboy\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[Subject: The Garden of Eden][From: warrior]=>(body)=>(Compressed Rtf) Suspect Exploit.Iframe.Vulnerability
G:\ketchup\Documents and Settings\Ketboy\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[Subject: The Garden of Eden][From: warrior]=>(body)=>(Compressed Rtf) Disinfection failed
G:\ketchup\Documents and Settings\Ketboy\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[Subject: The Garden of Eden][From: warrior]=>(body)=>(Compressed Rtf)=>(IFRAME) Suspect Exploit.Iframe.Vulnerability
G:\ketchup\Documents and Settings\Ketboy\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[Subject: The Garden of Eden][From: warrior]=>(body)=>(Compressed Rtf)=>(Rtf2Html) Suspect Exploit.Iframe.Vulnerability
G:\ketchup\Documents and Settings\Ketboy\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[Subject: The Garden of Eden][From: warrior]=>(body)=>(Compressed Rtf)=>(Rtf2Html) Disinfection failed
G:\ketchup\Documents and Settings\Ketboy\Local Settings\Application Data\Microsoft\Outlook\Outlook.pst=>[Subject: The Garden of Eden][From: warrior]=>(body)=>(Compressed Rtf)=>(Rtf2Html)=>(IFRAME) Suspect Exploit.Iframe.Vulnerability

Scanned files

c'est grave docteur?

Merci

Ketchup