Infectée par le trojan TR/Vundo.Gen [Résolu]

slt
1/oui il y a une infection vundo

2/ l'ordi est mal protégé il faudra mettre la derniere version d'internet explorer et installer des anti espion en plus d'antivir


_______________________


1/ pour vundo:

scan avec vundofix (colle le rapport)

Téléchargez VundoFix -> http://www.atribune.org/ccount/click.php?id=4

Double cliquez VundoFix.exe pour l'exécuter.
Quand VundoFix s'ouvre, cliquez sur le bouton Scan for Vundo.
Une fois le scan fini, cliquez sur le bouton Remove Vundo.
Vous recevrez un avertissement vous demandant si vous voulez effacer ces
fichiers répondez en cliquant sur YES
Une fois que vous avez cliqué yes, votre bureau deviendra vide au moment où il
enlève Vundo.

Quand c'est fini, il vous sera demandé de redémarrer votre ordinateur, cliquez
OK.
----------------
puis :

virtumondebegone (colle le rapport)

http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
----------------

combofix (colle le rapport)
http://download.bleepingcomputer.com/sUBs/ComboFix.exe


___________

2/scan et garder par la suite l'anti espion spybot)

spybot :
http://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26157.html

voir demo d utilisation (merci Balltrap)
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

-----------------
mettre a jour internet explorer:

http://www.01net.com/telecharger/windows/Internet/navigateur/fiches/33081.html






______________

recoller un rapport hijackhtis et un rapport antivir et dis tes problemes

Un grand merci pour l'aide, j'étais dépassée par la chose !!!

Voici le rapport 1

[01/15/2008, 13:29:21] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\lolo\Bureau\VirtumundoBeGone.exe" )
[01/15/2008, 13:29:32] - Detected System Information:
[01/15/2008, 13:29:32] - Windows Version: 5.1.2600, Service Pack 2
[01/15/2008, 13:29:32] - Current Username: lolo (Admin)
[01/15/2008, 13:29:32] - Windows is in NORMAL mode.
[01/15/2008, 13:29:32] - Searching for Browser Helper Objects:
[01/15/2008, 13:29:32] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[01/15/2008, 13:29:32] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[01/15/2008, 13:29:32] - BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[01/15/2008, 13:29:32] - WARNING: BHO has no default name. Checking for Winlogon reference.
[01/15/2008, 13:29:32] - No filename found. Continuing.
[01/15/2008, 13:29:32] - Finished Searching Browser Helper Objects
[01/15/2008, 13:29:32] - Finishing up...
[01/15/2008, 13:29:32] - Nothing found! Exiting...

Rapport 2

ComboFix 08-01-15.4 - lolo 2008-01-15 13:34:43.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.719 [GMT 1:00]
Running from: C:\Documents and Settings\lolo\Bureau\ComboFix.exe
* Created a new restore point

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Balthazar magnus\Application Data\Hotbar_Icons
C:\Documents and Settings\Balthazar magnus\Application Data\Hotbar_Icons\3bSoftware_icon_1.ico
C:\Documents and Settings\Balthazar magnus\Application Data\Hotbar_Icons\Registryrepair.ico
C:\Documents and Settings\Balthazar magnus\Application Data\Hotbar_Icons\wallpapere1.ico
C:\Documents and Settings\maYa\Application Data\Hotbar_Icons
C:\Documents and Settings\maYa\Application Data\Hotbar_Icons\3bSoftware_icon_1.ico
C:\Documents and Settings\maYa\Application Data\Hotbar_Icons\Registryrepair.ico
C:\Documents and Settings\maYa\Application Data\Hotbar_Icons\wallpapere1.ico
C:\WINDOWS\system32\edeeg.ini
C:\WINDOWS\system32\edeeg.ini2
C:\WINDOWS\system32\ijllm.ini
C:\WINDOWS\system32\ijllm.ini2

.
((((((((((((((((((((((((((((( Fichiers créés 2007-12-15 to 2008-01-15 ))))))))))))))))))))))))))))))))))))
.

2008-01-15 13:33 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-15 13:23 . 2008-01-15 13:23 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2008-01-15 12:32 . 2008-01-15 13:26 <REP> d-------- C:\VundoFix Backups
2008-01-15 10:13 . 2008-01-15 10:13 <REP> d-------- C:\Program Files\Trend Micro
2008-01-12 17:31 . 2008-01-12 17:31 <REP> d-------- C:\Program Files\Avira
2008-01-12 17:31 . 2008-01-12 17:31 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2007-12-31 16:24 . 2007-12-31 16:24 <REP> d-------- C:\Documents and Settings\Lou-Lou\Application Data\Disney Interactive
2007-12-29 15:50 . 2007-12-29 15:50 <REP> d-------- C:\Documents and Settings\lolo\Contacts
2007-12-29 15:35 . 2007-01-13 09:49 184,320 --a------ C:\WINDOWS\system32\igfxres.dll
2007-12-28 22:29 . 2004-08-20 00:09 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
2007-12-28 22:29 . 2004-08-04 06:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2007-12-28 22:29 . 2004-08-04 06:58 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2007-12-28 22:29 . 2001-08-23 17:47 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
2007-12-27 18:37 . 2007-12-27 18:37 <REP> d-------- C:\Program Files\Micro Application
2007-12-27 18:37 . 2007-12-27 18:37 40 --a------ C:\WINDOWS\NAVIGMA.INI
2007-12-27 14:56 . 2007-12-27 14:56 <REP> d-------- C:\Programme
2007-12-27 14:54 . 1998-01-23 12:20 305,664 --a------ C:\WINDOWS\IsUn040c.exe
2007-12-27 14:53 . 2007-12-27 14:53 <REP> d-------- C:\Documents and Settings\lolo\WINDOWS
2007-12-27 14:49 . 2007-12-27 14:49 <REP> d-------- C:\Documents and Settings\lolo\Application Data\Disney Interactive
2007-12-27 14:48 . 2007-12-27 14:48 <REP> d-------- C:\Program Files\Disney Interactive
2007-12-27 14:47 . 2007-12-27 14:58 2,197 --a------ C:\WINDOWS\disney.ini
2007-12-27 13:31 . 2007-12-27 13:31 1 --a------ C:\SI.bin
2007-12-27 12:09 . 2007-12-27 12:09 <REP> dr-h----- C:\Documents and Settings\Balthazar magnus\Application Data\SecuROM
2007-12-26 12:52 . 2007-12-26 12:52 <REP> d-------- C:\Program Files\AIDA32 - Enterprise System Information
2007-12-26 11:54 . 2007-12-26 11:54 <REP> d-------- C:\Program Files\MSECache
2007-12-26 00:16 . 2007-12-26 00:16 <REP> d-------- C:\WINDOWS\Sun
2007-12-26 00:12 . 2007-12-26 00:12 <REP> d-------- C:\Program Files\Java
2007-12-26 00:12 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2007-12-26 00:08 . 2007-12-26 00:08 <REP> d-------- C:\Program Files\Fichiers communs\Java
2007-12-26 00:07 . 2007-12-26 00:07 0 --a------ C:\WINDOWS\mozver.dat
2007-12-25 13:08 . 2007-12-25 13:08 <REP> d-------- C:\Documents and Settings\Lou-Lou\WINDOWS
2007-12-22 19:02 . 2007-12-22 19:02 1 --a------ C:\Documents and Settings\Balthazar magnus\SI.bin
2007-12-22 18:31 . 2007-12-22 18:31 <REP> d-------- C:\Documents and Settings\Balthazar magnus\Application Data\InstallShield Installation Information
2007-12-21 13:29 . 2007-12-21 13:29 <REP> d-------- C:\Documents and Settings\lolo\Application Data\vlc
2007-12-21 13:28 . 2008-01-07 07:14 <REP> d-------- C:\Documents and Settings\lolo\Application Data\dvdcss
2007-12-20 22:25 . 2007-12-20 22:25 <REP> d-------- C:\Program Files\Google
2007-12-20 21:56 . 2007-12-20 21:56 <REP> d-------- C:\Program Files\Skyline
2007-12-20 21:56 . 2007-12-20 21:56 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Skyline
2007-12-18 19:03 . 2007-12-22 19:02 <REP> d-------- C:\Documents and Settings\Balthazar magnus\Application Data\Ubisoft
2007-12-15 05:45 . 2007-07-09 14:11 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2007-12-15 03:07 . 2007-12-15 03:07 <REP> d-------- C:\Documents and Settings\LocalService\Menu Démarrer

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-29 14:49 --------- d-----w C:\Program Files\MSN Messenger
2007-12-27 13:59 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-27 13:56 4,608 ----a-w C:\WINDOWS\system32\w95inf32.dll
2007-12-27 12:32 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2007-12-12 15:55 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2007-12-10 09:05 --------- d-----w C:\Program Files\IKEA HomePlanner
2007-12-10 09:04 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-12-08 13:06 --------- d-----w C:\Documents and Settings\Balthazar magnus\Application Data\Winamp
2007-12-08 12:13 --------- d-----w C:\Documents and Settings\maYa\Application Data\vlc
2007-12-08 10:42 --------- d-----w C:\Documents and Settings\Lou-Lou\Application Data\vlc
2007-12-07 15:23 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2007-12-06 15:59 --------- d-----w C:\Program Files\Intel
2007-12-06 15:49 --------- d-----w C:\Program Files\ma-config.com
2007-12-06 15:49 --------- d-----w C:\Documents and Settings\lolo\Application Data\ma-config.com
2007-12-06 15:43 --------- d-----w C:\Program Files\SAGEM
2007-12-06 15:05 --------- d-----w C:\Program Files\Services en ligne
2007-12-06 15:04 --------- d-----w C:\Program Files\Yahoo!
2007-12-06 14:50 --------- d-----w C:\Program Files\Winamp
2007-12-06 14:50 --------- d-----w C:\Program Files\VideoLAN
2007-12-06 14:50 --------- d-----w C:\Documents and Settings\lolo\Application Data\Winamp
2007-12-06 14:49 --------- d-----w C:\Program Files\CCleaner
2007-12-06 14:49 --------- d-----w C:\Program Files\Alwil Software
2007-12-06 14:41 --------- d-----w C:\Program Files\microsoft frontpage
2007-12-06 14:39 --------- d-----w C:\Program Files\Fichiers communs\MSSoap
2007-12-06 13:34 --------- d-----w C:\Program Files\Fichiers communs\SpeechEngines
2007-12-06 13:34 --------- d-----w C:\Program Files\Fichiers communs\ODBC
2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-11-07 09:28 728,576 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-10-29 22:43 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-25 09:00 230,912 ----a-w C:\WINDOWS\system32\wmasf.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Program Files\Messenger\MSMSGS.exe" [2004-10-13 17:24 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-01-13 09:47 131072]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-01-13 09:47 163840]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-01-13 09:46 135168]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-12 17:34 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09 15360]


*Newly Created Service* - PROCEXP90
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-15 13:36:11
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-15 13:36:40
ComboFix-quarantined-files.txt 2008-01-15 12:36:31
.
2008-01-09 14:45:40 --- E O F ---


rapport hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:56:10, on 15/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Messenger\MSMSGS.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Registration .LNK = C:\Program Files\Ubisoft\Tom Clancy's Splinter Cell Double Agent\support\Register\Reg.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked".

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

____________________


analyse ces fichier sur virus total et dis moi si infécté(s): http://www.virustotal.com/fr/

C:\WINDOWS\system32\ptpusd.dll

C:\WINDOWS\mozver.dat


___________________

mets a jour internet explorer:
ici:

http://www.01net.com/telecharger/windows/Internet/navigateur/fiches/33081.html

_____________________

si les deux fichiers ne sont pas inféctés c'est bon pour toi!















pour protéger gratos ton ordi

http://www.commentcamarche.net/telecharger/logiciel 4 securite

mettre un antivirus

AVAST en français ou ANTIVIR (en anglais mais très efficace)
http://www.malekal.com/tutorial_antivir.php (merci Malekal)
-------------
des anti-espions :
AD AWARE + SPYBOT

+
SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation : il suffit de faire "update" pour mettre à jour tous les mois et ensuite" enable all protection" pour immuniser)...

Rq : spybot et ad-aware on sorti de nouvelles versions cette année vérifiez que vous avez la dernière version
--------
un pare feu :
celui de Windows ou mieux KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit)

http://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
http://manuelsdaide.com/Internet/Jetico/firewall.htm
http://www.open-files.com/forum/index.php?showtopic=29277
http://www.commentcamarche.net/telecharger/telecharger 157 zonealarm

-----------

CCLEANER pour effacer les traces de surf

Merci pour ton aide, il semblerait que je n'ai plus de virus ... chouette

Par contre j'ai deux fichiers ptpusd.dll ??? normal ou non ?

et pour le mozver la réponse est: 0 bytes size received / Se ha recibido un archivo vacio

C'est bon ?

tout à l'heure j'ai fais une mise a jour d'explorer mais il me demande un tas de question genre si je suis en pop3 ou je ne sais plus quoi, c'est un peu compliqué pour moi, je ne peux pas rester en firefox ?

En tout cas merci à TOI, BALLTRAP, MALEKAL et tous les génies de l'informatique.

Que serions nous sans vous !!!

je vais regarder si je trouve un autre fichier mozver et retourner sur virustotal

ok c'est bon!

Je télécharge les protections.

Merci pour ton aide.

Bonne soirée.

bonne soirée aussi

aidermoi je vou en suplie g ce virus depui une semaine i me fé d misere koment faire svp merci davance