Posez votre question Format imprimable Liste des forums Aidez-les Statistiques Rechercher Charte Forum Virus-Sécurité

Aide à la désinfection PC (Trojan/virtumonde)

Dernière réponse le 26 sep 2008 à 13:49:03 lml-mike, le 25 sep 2008 à 09:29:14

Signaler ce message aux modérateurs

Bonjour,

Je viens faire un petit appel à l'aide, suite a un ralentissement PC enorme, surtout lorsque je navigue sur internet.

Infos :
XP Pro SP3
Kaspersky AV 2009

Fait :
Scan spybot en sans echec
analyse complete Kav en sans echec

Problèmes :
- Kav.exe (50% du process en constant)
- Ralentissements enormes a la navigation
- Impossibilité d'activer les mises a jour automatiques windows update

Je me tiens a votre disposition pour tout scan eventuel, en vous remerciant d'avance pour votre aide et pour votre temps !

Bonne journée !

Configuration: Windows XP
Firefox 3.0.2

Meilleures réponses pour « Aide à la désinfection PC (Trojan/virtumonde) » dans :

TROJAN VIRTUMONDE (Résolu) Voir

Trojan Virtumonde insupprimable => help me! (Résolu) Voir

Virus trojan virtumonde Voir

Supprimer le trojan Vundo/Virtumonde Voir

[Spywares] Méthodes de désinfection Voir

Infecté par Trojan.virtumonde (Résolu) Voir

Infecté trojan virtumonde et autres... (Résolu) Voir

Aidé moi svp virus trojan virtumonde vtutd.dl (Résolu) Voir

Utilitaires de désinfection des principaux virus et vers VoirQu'est-ce qu'un kit de désinfection ? Un kit de désinfection est un petit exécutable dont le but est de nettoyer une machine infectée par un virus particulier. Chaque kit de désinfection est donc uniquement capable d'éradiquer un type de virus...

Relance hijackthis en cliquant sur scan only et coches ces lignes stp Lire la suite

Posez votre question Répondre

geoffrey5, le 25 sep 2008 à 09:45:29

Salut !!

Fais un rapport hijackthis pour que je puisse vérifier les infections de ton pc stp

▶ Télécharge hijackthis à cette adresse, tout est expliqué pour bien l installer et pour savoir s'en servir :

http://forum-aide-contre-virus.be/hijackthis.html

Comment copier/coller le rapport :

Quand tu as le rapport à l écran, tu fais ctrl A pour "sélectionner tout" puis ctrl C pour "copier".

ensuite tu viens sur le forum pour me répondre et tu fais ctrl V pour "coller" le rapport.

Une explication des raccourcis clavier sont illustrés sur mon site web à cette adresse :

http://forum-aide-contre-virus.be/divers.html

Répondre à geoffrey5

lml-mike, le 25 sep 2008 à 12:37:31

Bonjour,

Merci de l'intérêt que tu portes pour mon problème !

Voici le rapport HJT :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:35:53, on 25/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Logs\Kaspersky Anti-Virus 2009\avp.exe
C:\Logs\Diskeeper\DkService.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
V:\Logs\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
C:\Program Files\Microsoft LifeCam\MSCamSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Logs\Kaspersky Anti-Virus 2009\avp.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Logs\Winamp\winampa.exe
C:\Logs\DU Meter\DUMeter.exe
C:\WINDOWS\vVX6000.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Logs\Nokia\Nokia PC Suite 6\PCSuite.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Logs\DAEMON Tools Lite\daemon.exe
C:\Logs\Winamp Remote\bin\OrbTray.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Logs\Winamp Remote\bin\Orb.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Logs\Mozilla Firefox\firefox.exe
C:\Logs\HijackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.mini20.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {309311F1-8F50-452E-A98D-69AFD7A34AA8} - C:\WINDOWS\system32\mlJCssRI.dll
O2 - BHO: {341cf1f2-efe6-c838-85c4-7939fab97e56} - {65e79baf-9397-4c58-838c-6efe2f1fc143} - C:\WINDOWS\system32\antbve.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {82B543F9-2473-45AE-B7FB-59A4BCF6F584} - C:\WINDOWS\system32\nnnlkiIB.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {DCA34D3D-8E36-4BE7-B843-BF1EFB6890AE} - C:\WINDOWS\system32\efcYSjKD.dll (file missing)
O4 - HKLM\..\Run: [AVP] "C:\Logs\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Logs\Winamp\winampa.exe
O4 - HKLM\..\Run: [DU Meter] C:\Logs\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Logs\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX6000] C:\WINDOWS\vVX6000.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Logs\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Logs\QuickTime Alternative\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BM23a37106] Rundll32.exe "C:\WINDOWS\system32\vusnfuqp.dll",s
O4 - HKLM\..\Run: [2090429a] rundll32.exe "C:\WINDOWS\system32\mlljiarj.dll",b
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Logs\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\RunOnce: [SpybotDeletingA8728] command /c del "C:\WINDOWS\system32\mlJCssRI.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingC1767] cmd /c del "C:\WINDOWS\system32\mlJCssRI.dll"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Logs\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Logs\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Orb] "C:\Logs\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Logs\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{8F84AFEF-B3CB-49E5-9B29-54622F44CD90}: NameServer = 192.168.1.1
O20 - AppInit_DLLs: C:\Logs\KASPER~1\mzvkbd.dll antbve.dll
O20 - Winlogon Notify: mlJCssRI - C:\WINDOWS\SYSTEM32\mlJCssRI.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Logs\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Logs\Diskeeper\DkService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - V:\Logs\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 8726 bytes

Pourra-tu m'expliquer en détail ce que tu as trouvé dans ce rapport avant de me dire quoi faire s'il te plait ? Simple curiosité :-)

Répondre à lml-mike

geoffrey5, le 25 sep 2008 à 12:40:44

Mais de rien ;-)

commence par faire ceci stp :

▶ Télécharger malwarebytes

▶ Voici un tuto pour bien l installer et bien l utiliser :

http://forum-aide-contre-virus.be/tutoriel%20malwarebytes.html

aide toi bien du tuto pour supprimer correctement ce qu il aura trouvé

Après l analyse, redémarrer le pc et poste le rapport !!

ensuite :

▶ Télécharge sur le bureau Virtumundobegone

(c est le numéro 13 en bas de la page)

▶ déconnecte internet et désactive ton antivirus le temps de la manipulation

=> Double clic sur VirtumundoBeGone.exe
=> Clic Continue ==> clic Start
=> Clic Oui
=> A la fin si Vundo est présent , le PC s’éteint et redémarre
▶ Si Ecran bleu et message : Erreur fatale .. pas de problème
=> Poster le rapport VBG.TXT qui est sur le bureau

ensuite refais un nouveau rapport hijackthis stp

Répondre à geoffrey5

lml-mike, le 25 sep 2008 à 16:49:47

Re, jme suis endormi -_-'

Rapport préliminaire mawarebytes :

Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1203
Windows 5.1.2600 Service Pack 3

25/09/2008 16:48:15
mbam-log-2008-09-25 (16-48-15).txt

Type de recherche: Examen complet (C:\|P:\|V:\|)
Eléments examinés: 236054
Temps écoulé: 1 hour(s), 3 minute(s), 18 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 6
Clé(s) du Registre infectée(s): 16
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 20

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\antbve.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\lmuaubrv.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\mlJCssRI.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\mlljiarj.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\nnnlkiIB.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\zhcfda.dll (Trojan.Vundo) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{309311f1-8f50-452e-a98d-69afd7a34aa8} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{65e79baf-9397-4c58-838c-6efe2f1fc143} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{82b543f9-2473-45ae-b7fb-59a4bcf6f584} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mljcssri (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{309311f1-8f50-452e-a98d-69afd7a34aa8} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{65e79baf-9397-4c58-838c-6efe2f1fc143} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{82b543f9-2473-45ae-b7fb-59a4bcf6f584} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{309311f1-8f50-452e-a98d-69afd7a34aa8} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\spybotdeletinga8728 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\spybotdeletingc1767 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\2090429a (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bm23a37106 (Trojan.Agent) -> Delete on reboot.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\nnnlkiib  -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\nnnlkiib -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\lml-mike\Local Settings\Temporary Internet Files\Content.IE5\A32TK1D2\nd82m0[1] (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\lml-mike\Local Settings\Temporary Internet Files\Content.IE5\G1A2TX0T\upd105320[1] (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\lml-mike\Local Settings\Temporary Internet Files\Content.IE5\MKN86GKY\cntr[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BM23a37106.txt (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BM23a37106.xml (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\pskt.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\BIiklnnn.ini (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\BIiklnnn.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\antbve.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\jraijllm.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lmuaubrv.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\mlJCssRI.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\mlljiarj.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\nnnlkiIB.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\sbttdb.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sniwlnap.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vusnfuqp.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\wyawyfyf.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\zhcfda.dll (Trojan.Vundo) -> Delete on reboot.
V:\eMule\Incoming\warez\keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

Je finis le reste now je reboot ^^

Répondre à lml-mike

geoffrey5, le 25 sep 2008 à 16:56:32

Ok maintenant fais la suite

je dois m absenter donc je vérifierai tes rapports tout à l heure dès mon retour ;-)

@+

Répondre à geoffrey5

lml-mike, le 25 sep 2008 à 17:03:11

Rapport Vundobegone :

[09/25/2008, 16:59:43] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\lml-mike\Bureau\VirtumundoBeGone.exe" )
[09/25/2008, 17:00:34] - Detected System Information:
[09/25/2008, 17:00:34] - Windows Version: 5.1.2600, Service Pack 3
[09/25/2008, 17:00:34] - Current Username: lml-mike (Admin)
[09/25/2008, 17:00:34] - Windows is in NORMAL mode.
[09/25/2008, 17:00:34] - Searching for Browser Helper Objects:
[09/25/2008, 17:00:34] - BHO 1: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[09/25/2008, 17:00:34] - BHO 2: {79E27201-D507-407E-90E2-CEA2DFF98E0D} ()
[09/25/2008, 17:00:34] - WARNING: BHO has no default name. Checking for Winlogon reference.
[09/25/2008, 17:00:34] - Checking for HKLM\...\Winlogon\Notify\nnnlkiIB
[09/25/2008, 17:00:34] - Key not found: HKLM\...\Winlogon\Notify\nnnlkiIB, continuing.
[09/25/2008, 17:00:34] - BHO 3: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[09/25/2008, 17:00:34] - BHO 4: {DCA34D3D-8E36-4BE7-B843-BF1EFB6890AE} ()
[09/25/2008, 17:00:34] - WARNING: BHO has no default name. Checking for Winlogon reference.
[09/25/2008, 17:00:34] - Checking for HKLM\...\Winlogon\Notify\efcYSjKD
[09/25/2008, 17:00:34] - Key not found: HKLM\...\Winlogon\Notify\efcYSjKD, continuing.
[09/25/2008, 17:00:34] - Finished Searching Browser Helper Objects
[09/25/2008, 17:00:34] - Finishing up...
[09/25/2008, 17:00:34] - Nothing found! Exiting...

Répondre à lml-mike

lml-mike, le 25 sep 2008 à 17:06:06

Et enfin ...

Rapport HJT :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:03:55, on 25/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Logs\Kaspersky Anti-Virus 2009\avp.exe
C:\Logs\Diskeeper\DkService.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
V:\Logs\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
C:\Program Files\Microsoft LifeCam\MSCamSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Logs\Kaspersky Anti-Virus 2009\avp.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Logs\Winamp\winampa.exe
C:\Logs\DU Meter\DUMeter.exe
C:\WINDOWS\vVX6000.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Logs\Nokia\Nokia PC Suite 6\PCSuite.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Logs\DAEMON Tools Lite\daemon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Logs\Winamp Remote\bin\OrbTray.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Logs\Winamp Remote\bin\Orb.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Logs\Mozilla Firefox\firefox.exe
C:\Logs\HijackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.mini20.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {79E27201-D507-407E-90E2-CEA2DFF98E0D} - C:\WINDOWS\system32\nnnlkiIB.dll (file missing)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {DCA34D3D-8E36-4BE7-B843-BF1EFB6890AE} - C:\WINDOWS\system32\efcYSjKD.dll (file missing)
O4 - HKLM\..\Run: [AVP] "C:\Logs\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Logs\Winamp\winampa.exe
O4 - HKLM\..\Run: [DU Meter] C:\Logs\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Logs\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX6000] C:\WINDOWS\vVX6000.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Logs\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Logs\QuickTime Alternative\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Logs\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Logs\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Orb] "C:\Logs\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Logs\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{8F84AFEF-B3CB-49E5-9B29-54622F44CD90}: NameServer = 192.168.1.1
O20 - AppInit_DLLs: C:\Logs\KASPER~1\mzvkbd.dll antbve.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Logs\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Logs\Diskeeper\DkService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - V:\Logs\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 7891 bytes

Je surveille le sujet de prêt, merci encore pour ton coup de main ^_^

P.S.: T'as vu, j'avais pas grand chose...une quarantaine d'elements infectés, boah :D (méchant trojan downloader, ca m'apprendra a prendre des keygen pour heu........paintbrush :P)

P.S.2: Comment le trojan downloader est passé au travers de Kav 2009 ? O_o

EDIT : Grosse frayeur en perspective, le 2eme ecran de mon dualscreen au redemarrage qui est décalé de 15 cm par rapport au bord, impossible de le régler...
Manuellement ca veut pas,
Ca se remet pas en changeant de mode
Ca se remet pas en changeant la résolution
Ca se remet pas en débranchant la prise du pc
Ca se remet pas en débranchant la prise electrique...

Je fais une capture d'écran, ouvre paint pour voir si on voit le décalage sur le screen...je remarque que non, je ferme paint, tadaaaa...tout d'aplomb...j'ai rien compris :D

Répondre à lml-mike

geoffrey5, le 25 sep 2008 à 21:56:11

Relance hijackthis en cliquant sur scan only et coches ces lignes stp :

O2 - BHO: (no name) - {79E27201-D507-407E-90E2-CEA2DFF98E0D} - C:\WINDOWS\system32\nnnlkiIB.dll (file missing)
O2 - BHO: (no name) - {DCA34D3D-8E36-4BE7-B843-BF1EFB6890AE} - C:\WINDOWS\system32\efcYSjKD.dll (file missing)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Logs\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Logs\QuickTime Alternative\qttask.exe" -atboottime

puis tu cliques sur fix checked.

est ce que tu as encore des problemes ??

Répondre à geoffrey5

lml-mike, le 26 sep 2008 à 05:16:14

Tout a l'air de fonctionner comme sur des roulettes !!!

Merci infiniment pour ton aide, sans toi j'aurais formaté >_<
A très bientôt :D

EDIT : Une petite curiosité, Virtumonde est anti-virus proof ??? Parce que j'ai kaspersky 2009 quand même :S

Répondre à lml-mike

geoffrey5, le 26 sep 2008 à 13:49:03

Salut mike !!

Si tu n as plus de problemes tu peux faire ceci pour terminer stp :

Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques :

▶ Télécharge Toolscleaner sur ton Bureau :

(c est le numéro 15 en bas de la page)

▶ Double-clique sur ToolsCleaner2.exe et laisse le travailler
▶ Clique sur Recherche et laisse le scan se terminer.
▶ Clique sur Suppression pour finaliser.
▶ Tu peux, si tu le souhaites, te servir des Options facultatives.
▶ Clique sur Quitter, pour que le rapport puisse se créer.
▶ Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse

Désactive et réactive la Restauration du système :

1 Dans la barre des tâches de Windows, clique sur Démarrer.

2 Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.

3 Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"

4 Clique sur Appliquer.

5 Ensuite décoche "Désactiver la restauration du systeme"

6 clique sur appliquer puis ok

7 vas créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires =>

outils systeme => restauration du systeme => créer un point de restauration => tu mets un nom

(exemple : après désinfection sur CCM) puis tu valides.

Répondre à geoffrey5

Posez votre question Répondre