Aide à la désinfection PC (Trojan/virtumonde)Résolu/Fermé

Question

Bonjour,

Je viens faire un petit appel à l'aide, suite a un ralentissement PC enorme, surtout lorsque je navigue sur internet.

Infos : 
XP Pro SP3
Kaspersky AV 2009

Fait :
Scan spybot en sans echec
analyse complete Kav en sans echec

Problèmes :
- Kav.exe (50% du process en constant)
- Ralentissements enormes a la navigation
- Impossibilité d'activer les mises a jour automatiques windows update

Je me tiens a votre disposition pour tout scan eventuel, en vous remerciant d'avance pour votre aide et pour votre temps !

Bonne journée !

geoffrey5 · Accepted Answer

relance hijackthis en cliquant sur scan only et coches ces lignes stp :

O2 - BHO: (no name) - {79E27201-D507-407E-90E2-CEA2DFF98E0D} - C:\WINDOWS\system32
nnlkiIB.dll (file missing) 
O2 - BHO: (no name) - {DCA34D3D-8E36-4BE7-B843-BF1EFB6890AE} - C:\WINDOWS\system32\efcYSjKD.dll (file missing) 
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Logs\Adobe\Reader 9.0\Reader\Reader_sl.exe"     
O4 - HKLM\..\Run: [QuickTime Task] "C:\Logs\QuickTime Alternative\qttask.exe" -atboottime     

puis tu cliques sur fix checked.


est ce que tu as encore des problemes ??

geoffrey5 · Answer

Salut !!

Fais un rapport hijackthis pour que je puisse vérifier les infections de ton pc stp

&#x25B6; Télécharge  hijackthis à cette adresse, tout est expliqué pour bien l installer et pour savoir s'en servir :

https://www.androidworld.fr/


Comment copier/coller le rapport :


Quand tu as le rapport à l écran, tu fais ctrl A pour "sélectionner tout" puis ctrl C pour "copier".

ensuite tu viens sur le forum pour me répondre et tu fais ctrl V pour "coller" le rapport.

Une explication des raccourcis clavier sont illustrés sur mon site web à cette adresse :

https://www.androidworld.fr/

lml-mike · Answer

Bonjour,

Merci de l'intérêt que tu portes pour mon problème !

Voici le rapport HJT :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:35:53, on 25/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Logs\Kaspersky Anti-Virus 2009\avp.exe
C:\Logs\Diskeeper\DkService.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
V:\Logs\3dsMax8\mentalray\satelliteaysat_3dsmax8server.exe
C:\Program Files\Microsoft LifeCam\MSCamSvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32undll32.exe
C:\Logs\Kaspersky Anti-Virus 2009\avp.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Logs\Winamp\winampa.exe
C:\Logs\DU Meter\DUMeter.exe
C:\WINDOWS\vVX6000.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Logs\Nokia\Nokia PC Suite 6\PCSuite.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Logs\DAEMON Tools Lite\daemon.exe
C:\Logs\Winamp Remote\bin\OrbTray.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Logs\Winamp Remote\bin\Orb.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32undll32.exe
C:\Logs\Mozilla Firefox\firefox.exe
C:\Logs\HijackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.mini20.com/?tm=1&kw=Secure+Web+Search+Engine&KW1=Secure%20Web%20Search%20Engine&KW2=Best%20Malware%20Detection%20And%20Removal%20Software&searchbox=0&domainname=0&backfill=0
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {309311F1-8F50-452E-A98D-69AFD7A34AA8} - C:\WINDOWS\system32\mlJCssRI.dll
O2 - BHO: {341cf1f2-efe6-c838-85c4-7939fab97e56} - {65e79baf-9397-4c58-838c-6efe2f1fc143} - C:\WINDOWS\system32\antbve.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {82B543F9-2473-45AE-B7FB-59A4BCF6F584} - C:\WINDOWS\system32
nnlkiIB.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {DCA34D3D-8E36-4BE7-B843-BF1EFB6890AE} - C:\WINDOWS\system32\efcYSjKD.dll (file missing)
O4 - HKLM\..\Run: [AVP] "C:\Logs\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Logs\Winamp\winampa.exe
O4 - HKLM\..\Run: [DU Meter] C:\Logs\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Logs\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX6000] C:\WINDOWS\vVX6000.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Logs\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Logs\QuickTime Alternative\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BM23a37106] Rundll32.exe "C:\WINDOWS\system32\vusnfuqp.dll",s
O4 - HKLM\..\Run: [2090429a] rundll32.exe "C:\WINDOWS\system32\mlljiarj.dll",b
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Logs\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\RunOnce: [SpybotDeletingA8728] command /c del "C:\WINDOWS\system32\mlJCssRI.dll"
O4 - HKLM\..\RunOnce: [SpybotDeletingC1767] cmd /c del "C:\WINDOWS\system32\mlJCssRI.dll"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Logs\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Logs\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Orb] "C:\Logs\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Logs\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{8F84AFEF-B3CB-49E5-9B29-54622F44CD90}: NameServer = 192.168.1.1
O20 - AppInit_DLLs: C:\Logs\KASPER~1\mzvkbd.dll antbve.dll
O20 - Winlogon Notify: mlJCssRI - C:\WINDOWS\SYSTEM32\mlJCssRI.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Logs\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Logs\Diskeeper\DkService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - V:\Logs\3dsMax8\mentalray\satelliteaysat_3dsmax8server.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 8726 bytes


Pourra-tu m'expliquer en détail ce que tu as trouvé dans ce rapport avant de me dire quoi faire s'il te plait ? Simple curiosité :-)

geoffrey5 · Answer

mais de rien  ;-)

commence par faire ceci stp :

&#x25B6; Télécharger malwarebytes 
 
&#x25B6; Voici un tuto pour bien l installer et bien l utiliser : 

https://www.androidworld.fr/

aide toi bien du tuto pour supprimer correctement ce qu il aura trouvé
 

Après l analyse, redémarrer le pc et poste le rapport !!


ensuite :


&#x25B6; Télécharge sur le bureau Virtumundobegone 

(c est le numéro 13 en bas de la page)

&#x25B6; déconnecte internet et désactive ton antivirus le temps de la manipulation



=> Double clic sur VirtumundoBeGone.exe 
=> Clic Continue ==> clic Start 
=> Clic Oui 
=> A la fin si Vundo est présent , le PC s’éteint et redémarre 
&#x25B6; Si Ecran bleu et message : Erreur fatale .. pas de problème 
=> Poster le rapport VBG.TXT qui est sur le bureau 

ensuite refais un nouveau rapport hijackthis stp

lml-mike · Answer

Re, jme suis endormi -_-'

Rapport préliminaire mawarebytes :


Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1203
Windows 5.1.2600 Service Pack 3

25/09/2008 16:48:15
mbam-log-2008-09-25 (16-48-15).txt

Type de recherche: Examen complet (C:\|P:\|V:\|)
Eléments examinés: 236054
Temps écoulé: 1 hour(s), 3 minute(s), 18 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 6
Clé(s) du Registre infectée(s): 16
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 20

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\antbve.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\lmuaubrv.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\mlJCssRI.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\mlljiarj.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32
nnlkiIB.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\zhcfda.dll (Trojan.Vundo) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{309311f1-8f50-452e-a98d-69afd7a34aa8} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{65e79baf-9397-4c58-838c-6efe2f1fc143} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{82b543f9-2473-45ae-b7fb-59a4bcf6f584} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoftdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mljcssri (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{309311f1-8f50-452e-a98d-69afd7a34aa8} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{65e79baf-9397-4c58-838c-6efe2f1fc143} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{82b543f9-2473-45ae-b7fb-59a4bcf6f584} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{309311f1-8f50-452e-a98d-69afd7a34aa8} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\spybotdeletinga8728 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\spybotdeletingc1767 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\2090429a (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bm23a37106 (Trojan.Agent) -> Delete on reboot.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: c:\windows\system32
nnlkiib  -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32
nnlkiib -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\lml-mike\Local Settings\Temporary Internet Files\Content.IE5\A32TK1D2
d82m0[1] (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\lml-mike\Local Settings\Temporary Internet Files\Content.IE5\G1A2TX0T\upd105320[1] (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\lml-mike\Local Settings\Temporary Internet Files\Content.IE5\MKN86GKY\cntr[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BM23a37106.txt (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BM23a37106.xml (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\pskt.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\BIiklnnn.ini (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\BIiklnnn.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\antbve.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\jraijllm.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lmuaubrv.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\mlJCssRI.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\mlljiarj.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32
nnlkiIB.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\sbttdb.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sniwlnap.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vusnfuqp.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\wyawyfyf.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\zhcfda.dll (Trojan.Vundo) -> Delete on reboot.
V:\eMule\Incoming\warez\keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.



Je finis le reste now je reboot ^^

geoffrey5 · Answer

ok maintenant fais la suite

je dois m absenter donc je vérifierai tes rapports tout à l heure dès mon retour  ;-)

@+

lml-mike · Answer

Rapport Vundobegone :

[09/25/2008, 16:59:43] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\lml-mike\Bureau\VirtumundoBeGone.exe" )
[09/25/2008, 17:00:34] - Detected System Information:
[09/25/2008, 17:00:34] -  Windows Version: 5.1.2600, Service Pack 3
[09/25/2008, 17:00:34] -  Current Username: lml-mike (Admin)
[09/25/2008, 17:00:34] -  Windows is in NORMAL mode.
[09/25/2008, 17:00:34] - Searching for Browser Helper Objects:
[09/25/2008, 17:00:34] -  BHO 1: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[09/25/2008, 17:00:34] -  BHO 2: {79E27201-D507-407E-90E2-CEA2DFF98E0D} ()
[09/25/2008, 17:00:34] - WARNING: BHO has no default name. Checking for Winlogon reference.
[09/25/2008, 17:00:34] -  Checking for HKLM\...\Winlogon\Notify
nnlkiIB
[09/25/2008, 17:00:34] -  Key not found: HKLM\...\Winlogon\Notify
nnlkiIB, continuing.
[09/25/2008, 17:00:34] -  BHO 3: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[09/25/2008, 17:00:34] -  BHO 4: {DCA34D3D-8E36-4BE7-B843-BF1EFB6890AE} ()
[09/25/2008, 17:00:34] - WARNING: BHO has no default name. Checking for Winlogon reference.
[09/25/2008, 17:00:34] -  Checking for HKLM\...\Winlogon\Notify\efcYSjKD
[09/25/2008, 17:00:34] -  Key not found: HKLM\...\Winlogon\Notify\efcYSjKD, continuing.
[09/25/2008, 17:00:34] - Finished Searching Browser Helper Objects
[09/25/2008, 17:00:34] - Finishing up...
[09/25/2008, 17:00:34] - Nothing found! Exiting...

lml-mike · Answer

et enfin ...

Rapport HJT :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:03:55, on 25/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Logs\Kaspersky Anti-Virus 2009\avp.exe
C:\Logs\Diskeeper\DkService.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
V:\Logs\3dsMax8\mentalray\satelliteaysat_3dsmax8server.exe
C:\Program Files\Microsoft LifeCam\MSCamSvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Logs\Kaspersky Anti-Virus 2009\avp.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Logs\Winamp\winampa.exe
C:\Logs\DU Meter\DUMeter.exe
C:\WINDOWS\vVX6000.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Logs\Nokia\Nokia PC Suite 6\PCSuite.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Logs\DAEMON Tools Lite\daemon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Logs\Winamp Remote\bin\OrbTray.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Logs\Winamp Remote\bin\Orb.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Logs\Mozilla Firefox\firefox.exe
C:\Logs\HijackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.mini20.com/?tm=1&kw=Secure+Web+Search+Engine&KW1=Secure%20Web%20Search%20Engine&KW2=Best%20Malware%20Detection%20And%20Removal%20Software&searchbox=0&domainname=0&backfill=0
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {79E27201-D507-407E-90E2-CEA2DFF98E0D} - C:\WINDOWS\system32
nnlkiIB.dll (file missing)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {DCA34D3D-8E36-4BE7-B843-BF1EFB6890AE} - C:\WINDOWS\system32\efcYSjKD.dll (file missing)
O4 - HKLM\..\Run: [AVP] "C:\Logs\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Logs\Winamp\winampa.exe
O4 - HKLM\..\Run: [DU Meter] C:\Logs\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Logs\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX6000] C:\WINDOWS\vVX6000.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Logs\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Logs\QuickTime Alternative\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Logs\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Logs\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Orb] "C:\Logs\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Logs\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{8F84AFEF-B3CB-49E5-9B29-54622F44CD90}: NameServer = 192.168.1.1
O20 - AppInit_DLLs: C:\Logs\KASPER~1\mzvkbd.dll antbve.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Logs\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Logs\Diskeeper\DkService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - V:\Logs\3dsMax8\mentalray\satelliteaysat_3dsmax8server.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 7891 bytes


Je surveille le sujet de prêt, merci encore pour ton coup de main ^_^

P.S.: T'as vu, j'avais pas grand chose...une quarantaine d'elements infectés, boah :D (méchant trojan downloader, ca m'apprendra a prendre des keygen pour heu........paintbrush :P)

P.S.2: Comment le trojan downloader est passé au travers de Kav 2009 ? O_o





EDIT : Grosse frayeur en perspective, le 2eme ecran de mon dualscreen au redemarrage qui est décalé de 15 cm par rapport au bord, impossible de le régler...
Manuellement ca veut pas,
Ca se remet pas en changeant de mode
Ca se remet pas en changeant la résolution
Ca se remet pas en débranchant la prise du pc
Ca se remet pas en débranchant la prise electrique...

Je fais une capture d'écran, ouvre paint pour voir si on voit le décalage sur le screen...je remarque que non, je ferme paint, tadaaaa...tout d'aplomb...j'ai rien compris :D

lml-mike · Answer

Tout a l'air de fonctionner comme sur des roulettes !!!

Merci infiniment pour ton aide, sans toi j'aurais formaté >_<
 A très bientôt :D

EDIT : Une petite curiosité, Virtumonde est anti-virus proof ??? Parce que j'ai kaspersky 2009 quand même :S

geoffrey5 · Answer

Salut mike !!

Si tu n as plus de problemes tu peux faire ceci pour terminer stp :

Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques :  

&#x25B6; Télécharge Toolscleaner sur ton Bureau : 

(c est le numéro 15 en bas de la page) 

&#x25B6; Double-clique sur ToolsCleaner2.exe et laisse le travailler 
&#x25B6; Clique sur Recherche et laisse le scan se terminer. 
&#x25B6; Clique sur Suppression pour finaliser. 
&#x25B6; Tu peux, si tu le souhaites, te servir des Options facultatives. 
&#x25B6; Clique sur Quitter, pour que le rapport puisse se créer. 
&#x25B6; Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse




Désactive et réactive la Restauration du système :
 
1 Dans la barre des tâches de Windows, clique sur Démarrer.
 
2 Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.
 
3 Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"

4 Clique sur Appliquer.
  
5 Ensuite décoche "Désactiver la restauration du systeme"

6 clique sur appliquer puis ok

7 vas créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires =>

outils systeme => restauration du systeme => créer un point de restauration => tu mets un nom

(exemple : après désinfection sur CCM) puis tu valides.

Aide à la désinfection PC (Trojan/virtumonde)

10 réponses

Newsletters