Tom's Guide > Forum > Sécurité - Virus > [résolu] problème trojan.vundo sur windows XP

[résolu] problème trojan.vundo sur windows XP

Forum Sécurité - Virus : [résolu] problème trojan.vundo sur windows XP

TomsGuide.com : 800 000 inscrits répondent à toutes vos questions high-tech et informatique. Pour obtenir de l'aide, inscrivez-vous gratuitement !
Créer un nouveau sujet Répondre
Mot :    Pseudo :           
 
cutcut   03-12-2005 à 16:14:24

Bonjour,

Je viens de parcourir les nombreux sujets sur le trojan.vundo. J'ai fait un rapport avec HijackThis que je vous mets à la suite.
On me dit que le trojan n'a pas été detecté pourtant Norton rest bloqué dessus en me disant qu'il ne peut pas le supprimer...

Est-ce que vous pouvez m'aider pour me donner la marche à suivre ?

Merci


Logfile of HijackThis v1.99.1
Scan saved at 16:01:00, on 03/12/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Media Gateway\MediaGateway.exe
C:\Program Files\ISTsvc\istsvc.exe
C:\Program Files\SurfAccuracy\SAcc.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\WINDOWS\System32\ps3c4l1j.exe
C:\Program Files\Rjhhax\Rmjpwo.exe
C:\WINDOWS\System32\wininit.exe
C:\WINDOWS\ajuirf.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\utilisateur\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem303.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho.dll
O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINDOWS\System32\vtutq.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MS Unix Binary] msnq3insller.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [wBFTo] C:\WINDOWS\ajuirf.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [ps3c4l1j] C:\WINDOWS\System32\ps3c4l1j.exe
O4 - HKLM\..\Run: [Ibkcvdi] C:\Program Files\Rjhhax\Rmjpwo.exe
O4 - HKLM\..\Run: [Microsoft Update 32] wininit.exe
O4 - HKLM\..\Run: [bO²ùð#×y-¯Œ] C:\WINDOWS\ajuirf.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [bO²ùõö/ØF%)ßfÏNb½¾C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\ajuirf.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe
O4 - HKLM\..\RunServices: [Microsoft Update 32] wininit.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/ [...] ge-c11.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 2631336811
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/soft [...] _adult.cab
O20 - Winlogon Notify: jkklj - C:\WINDOWS\SYSTEM32\jkklj.dll
O20 - Winlogon Notify: vtutq - C:\WINDOWS\System32\vtutq.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

Répondre
Liens sponsorisés
Inscrivez-vous ou connectez-vous pour masquer ceci.
cutcut   03-12-2005 à 16:44:33
- 0 +

Je vois bien que mon essage est lu mais personne ne répond.

alors je précise que j'ai lancé fixvundo.exe en suivant le conseils donnés sur ce forum (j'ai arrêté la restauration du système avant, etil me dit que le trojan n'est pas detecté)

Je fais quoi ? je le crois ?

en fait pour tout dire, j'attends de résoudre ce problème sous windows pour en résoudre un autre sous linux, donc j'ai vraiment besoin de vous

Merci merci

Répondre à cutcut
esteban54   03-12-2005 à 23:24:51
- 0 +

Bonsoir,

1/ Télécharge VundoFix.exe et mets-le sur le bureau.

2/ Double-clic sur VundoFix.exe
Cela créera un dossier VundoFix sur le bureau

3/ Redémarre en mode sans échec (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)
Attention tu n'as pas accès à Internet dans ce mode donc note ou imprime les consignes qui suivent.

4/ Assure-toi que tu as accès aux fichiers cachés.
(Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
"Afficher les fichiers et dossiers cachés" ->coché
"Masquer les extensions des fichiers dont le type est connu" ->décoché
"Masquer les fichiers protégés du système d'exploitation" ->décoché)

5/ ensuite supprime les fichiers et/ou dossiers suivants si présents :

C:\WINDOWS\wsem303.dll
C:\Program Files\SideFind\ --> le dossier
C:\WINDOWS\system32\msnq3insller.exe
C:\UNMT.EXE
C:\Program Files\Media Gateway\ --> le dossier
C:\Program Files\ISTsvc\ --> le dossier
C:\WINDOWS\ajuirf.exe
C:\Program Files\SurfAccuracy\ --> le dossier
C:\Program Files\Internet Optimizer\ --> le dossier
C:\Program Files\BullsEye Network\ --> le dossier
C:\WINDOWS\System32\ps3c4l1j.exe
C:\Program Files\Rjhhax\ --> le dossier
C:\WINDOWS\system32\wininit.exe
C:\WINDOWS\ajuirf.exe
C:\WINDOWS\ajuirf.exe

6/ Ouvre le dossier VundoFix et double-clic sur KillVundo.bat
Tu auras cet avertissement :

Citation :

VundoFix V2.13 by Atri
By using VundoFix you agree that you are doing so at your own risk
Press enter to continue....



Appuie sur la touche Entrée
Ensuite tu auras ce texte :

Citation :


Type in the filepath as instructed by the forum staff
Then Press Enter, Then F6, Then Enter Again to continue with the fix.



Tape exactement ceci : C:\WINDOWS\System32\vtutq.dll

Ensuite appuie sur la touche Entrée, puis sur la touche F6, puis à nouveau sur la touche Entrée

Ensuite tu auras ce texte :

Citation :

Please type in the second filepath as instructed by the forum staff
Then Press Enter, Then F6, Then Enter Again to continue with the fix.



Tape exactement ceci : C:\WINDOWS\System32\qtutv.* ATTENTION le nom est inversé volontairement

Ensuite appuie sur la touche Entrée, puis sur la touche F6, puis à nouveau sur la touche Entrée

Ensuite HijackThis va s'ouvrir.
puis --> Do a system scan only
coche les lignes indiquées ci-dessous si présentes
puis --> Fix checked
puis oui à la question de confirmation

O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem303.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho.dll
O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINDOWS\System32\vtutq.dll

O4 - HKLM\..\Run: [MS Unix Binary] msnq3insller.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [wBFTo] C:\WINDOWS\ajuirf.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [ps3c4l1j] C:\WINDOWS\System32\ps3c4l1j.exe
O4 - HKLM\..\Run: [Ibkcvdi] C:\Program Files\Rjhhax\Rmjpwo.exe
O4 - HKLM\..\Run: [Microsoft Update 32] wininit.exe
O4 - HKLM\..\Run: [bO²ùð#×y-¯Œ] C:\WINDOWS\ajuirf.exe

O4 - HKLM\..\Run: [bO²ùõö/ØF%)ßfÏNb½¾C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\ajuirf.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe
O4 - HKLM\..\RunServices: [Microsoft Update 32] wininit.exe

O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/ [...] ge-c11.cab
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/soft [...] _adult.cab

O20 - Winlogon Notify: jkklj - C:\WINDOWS\SYSTEM32\jkklj.dll
O20 - Winlogon Notify: vtutq - C:\WINDOWS\System32\vtutq.dll

Ensuite ferme Hijackthis et appuie sur une touche pour redémarrer le PC.
Cela risque de provoquer un écran bleu d'erreur Windows, c'est normal !

Après redémarrage, poste un nouveau rapport HJT.

Répondre à esteban54
cutcut   04-12-2005 à 01:16:48
- 0 +

thx a lot ! pour ces infos, je fais tout ça et poste un nouveau rapport

Répondre à cutcut
cutcut   04-12-2005 à 02:01:49
- 0 +

Salut,

Après avoir suivi la manip voilà le rapport :

Précision : je n'ai pas pu rentrer la ligne c:\WINDOWS\System32\qtutv.* car hijackthis s'est ouvert direct

Merci encore de ton aide !!

Logfile of HijackThis v1.99.1
Scan saved at 01:57:20, on 04/12/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\jkklj.dll
O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINDOWS\System32\vtutq.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MS Unix Binary] msnq3insller.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [wBFTo] C:\WINDOWS\ajuirf.exe
O4 - HKLM\..\Run: [Microsoft Update 32] wininit.exe
O4 - HKLM\..\Run: [bO²ùð#×y-¯Œ] C:\WINDOWS\ajuirf.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [bO²ùõö/ØF%)ßfÏNb½¾C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\ajuirf.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe
O4 - HKLM\..\RunServices: [Microsoft Update 32] wininit.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 2631336811
O20 - Winlogon Notify: jkklj - C:\WINDOWS\SYSTEM32\jkklj.dll
O20 - Winlogon Notify: vtutq - C:\WINDOWS\System32\vtutq.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Répondre à cutcut
cutcut   04-12-2005 à 02:38:14
- 0 +

Pour info, le rapport de avast après un nouveau scan de ma machine...au cas où ça pourrait aider

Seul hic : avast supprime mais ils reviennent au démarrage

Bonne nuit...

C:\Documents and Settings\utilisateur\Bureau\Mandriva-Linux-Free-2006-DVD.i586.iso\autorun.inf [E] Tentative de déplacement du pointeur de fichier avant le début du fichier (131)
C:\Domi\Domi_cd\css\alsa creation\hts-cache\new.zip\PartNo_0#770045188\PartNo_0#2518949359\PartNo_0#645834906\PartNo_0#2536668268\ [E] archive ZIP corrompue. (42125)
C:\WINDOWS\system32\ddccd.dll [L] Win32:Trojano-2758 [Trj] (0)
Fichier supprimé avec succès...
C:\WINDOWS\system32\gebcy.dll [L] Win32:Trojano-2758 [Trj] (0)
Fichier supprimé avec succès...
C:\WINDOWS\system32\gebyy.dll [L] Win32:Trojano-2758 [Trj] (0)
Fichier supprimé avec succès...
C:\WINDOWS\system32\geebc.dll [L] Win32:Trojano-2758 [Trj] (0)
Fichier supprimé avec succès...
C:\WINDOWS\system32\geebx.dll [L] Win32:Trojano-2758 [Trj] (0)
Fichier supprimé avec succès...
C:\WINDOWS\system32\geeda.dll [L] Win32:Trojano-2758 [Trj] (0)
Fichier supprimé avec succès...
C:\WINDOWS\system32\jkklj.dll [L] Win32:Trojano-2758 [Trj] (0)
Le fichier sera supprimé au prochain démarrage de l'ordinateur...
C:\WINDOWS\system32\mljjg.dll [L] Win32:Trojano-2758 [Trj] (0)
Fichier supprimé avec succès...
C:\WINDOWS\system32\mllmj.dll [L] Win32:Trojano-2758 [Trj] (0)
Fichier supprimé avec succès...
C:\WINDOWS\system32\pmnno.dll [L] Win32:Trojano-2758 [Trj] (0)
Fichier supprimé avec succès...
C:\WINDOWS\system32\ssqpq.dll [L] Win32:Trojano-2758 [Trj] (0)
Fichier supprimé avec succès...
C:\Documents and Settings\utilisateur\Bureau\Mandriva-Linux-Free-2006-DVD.i586.iso\autorun.inf [E] Tentative de déplacement du pointeur de fichier avant le début du fichier (131)
C:\Domi\Domi_cd\css\alsa creation\hts-cache\new.zip\PartNo_0#770045188\PartNo_0#2518949359\PartNo_0#645834906\PartNo_0#2536668268\ [E] archive ZIP corrompue. (42125)
C:\WINDOWS\re11.REG [L] Win32:RegZonTr [Trj] (0)
Fichier déplacé avec succès vers la zone de quarantaine...
C:\WINDOWS\system32\jkklj.dll [L] Win32:Trojano-2758 [Trj] (0)
Le fichier sera supprimé au prochain démarrage de l'ordinateur...

Répondre à cutcut
esteban54   04-12-2005 à 11:05:15
- 0 +

il reste un Vundo dans le rapport HJT.

1/ Redémarre en mode sans échec (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)
Attention tu n'as pas accès à Internet dans ce mode donc note ou imprime les consignes qui suivent.

2/ Ouvre le dossier VundoFix et double-clic sur KillVundo.bat
Tu auras cet avertissement :

Citation :

VundoFix V2.13 by Atri
By using VundoFix you agree that you are doing so at your own risk
Press enter to continue....



Appuie sur la touche Entrée
Ensuite tu auras ce texte :

Citation :


Type in the filepath as instructed by the forum staff
Then Press Enter, Then F6, Then Enter Again to continue with the fix.



Tape exactement ceci : C:\WINDOWS\system32\jkklj.dll

Ensuite appuie sur la touche Entrée, puis sur la touche F6, puis à nouveau sur la touche Entrée

Ensuite tu auras ce texte :

Citation :

Please type in the second filepath as instructed by the forum staff
Then Press Enter, Then F6, Then Enter Again to continue with the fix.



Tape exactement ceci : C:\WINDOWS\system32\jlkkj.* ATTENTION le nom est inversé volontairement

Ensuite appuie sur la touche Entrée, puis sur la touche F6, puis à nouveau sur la touche Entrée

Ensuite HijackThis va s'ouvrir.
puis --> Do a system scan only
coche les lignes indiquées ci-dessous si présentes
puis --> Fix checked
puis oui à la question de confirmation

O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\jkklj.dll
O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINDOWS\System32\vtutq.dll (file missing)

O20 - Winlogon Notify: jkklj - C:\WINDOWS\SYSTEM32\jkklj.dll
O20 - Winlogon Notify: vtutq - C:\WINDOWS\System32\vtutq.dll (file missing)

Ensuite ferme Hijackthis et appuie sur une touche pour redémarrer le PC.
Cela risque de provoquer un écran bleu d'erreur Windows, c'est normal !

Après redémarrage, poste un nouveau rapport HJT.

Répondre à esteban54
cutcut   04-12-2005 à 15:06:21
- 0 +

Bonjour,

Après la seconde manip voilà le rapport que j'obtiens :

on retrouve des fichiers comme msnq3insller.exe ou wininit.exe que j'avais supprimé précédemment ça veut dire que ça a pas bien marché ??

Je me répète... mais merci encore pour ton aide

Logfile of HijackThis v1.99.1
Scan saved at 15:02:23, on 04/12/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\jkklj.dll (file missing)
O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINDOWS\System32\vtutq.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MS Unix Binary] msnq3insller.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [wBFTo] C:\WINDOWS\ajuirf.exe
O4 - HKLM\..\Run: [Microsoft Update 32] wininit.exe
O4 - HKLM\..\Run: [bO²ùð#×y-¯Œ] C:\WINDOWS\ajuirf.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [bO²ùõö/ØF%)ßfÏNb½¾C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\ajuirf.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe
O4 - HKLM\..\RunServices: [Microsoft Update 32] wininit.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 2631336811
O20 - Winlogon Notify: jkklj - jkklj.dll (file missing)
O20 - Winlogon Notify: vtutq - C:\WINDOWS\System32\vtutq.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Répondre à cutcut
esteban54   04-12-2005 à 19:17:16
- 0 +

Bonjour,

relance HJT et fixe les lignes suivantes :

R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\jkklj.dll (file missing)
O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINDOWS\System32\vtutq.dll (file missing)

O4 - HKLM\..\Run: [MS Unix Binary] msnq3insller.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [wBFTo] C:\WINDOWS\ajuirf.exe
O4 - HKLM\..\Run: [Microsoft Update 32] wininit.exe
O4 - HKLM\..\Run: [bO²ùð#×y-¯Œ] C:\WINDOWS\ajuirf.exe

O4 - HKLM\..\Run: [bO²ùõö/ØF%)ßfÏNb½¾C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\ajuirf.exe


O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe
O4 - HKLM\..\RunServices: [Microsoft Update 32] wininit.exe

O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe

O20 - Winlogon Notify: jkklj - jkklj.dll (file missing)
O20 - Winlogon Notify: vtutq - C:\WINDOWS\System32\vtutq.dll (file missing)

Répondre à esteban54
cutcut   04-12-2005 à 22:54:31
- 0 +

re-bonjour,

j'ai fixé les lignes demandées, voici le rapport.

on dirait que ça va mieux... tu me confirmes et après je mets résolu dans le sujet Promis ! ;)

Logfile of HijackThis v1.99.1
Scan saved at 20:34:11, on 04/12/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\HijackThis.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 2631336811
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Répondre à cutcut
cutcut   04-12-2005 à 23:05:39
- 0 +

Super ! vraiment c cool, maintenant j'attaque Linux (je crois que je vais donc changer de forum) et je vais de ce pas modifier l'en-tête de mon premier post

Merci encore pour ta réactivité !

A +

Répondre à cutcut
Créer un nouveau sujet Répondre
Tom's Guide > Forum > Sécurité - Virus > [résolu] problème trojan.vundo sur windows XP
Aller à :

Il y a 1419 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.

Plan du forum
Forum Bestofmedia ©
2000-2009 Bestofmedia Group
Page générée en 0,509 secondes
Attention

Vous allez répondre sur un sujet resté inactif pendant plus de 6 mois.
Assurez-vous d'apporter des éléments nouveaux à la discussion avant de poursuivre.

Répondre Annuler
Liens