Impossible de supprimer trojan.vundo ddccd.dll

je ne sais pas lire un log mais je pense ke tu devrais essayé de redemaré en mode sans échec et de fiare une analyse antivirus

tu a quoi comme antivirus?

j ai deja essayer mais merci...
norton et nod32

please help ça craint un max j ai beau essayer n importe quoi rien ne marche...

Tu trouveras ton bonheur :

---> ici <---

C'est le 6eme et 7eme lien.

Et n'oubliez pas Google est votre ami ;-)

merci j ai deja essayer aussi je comprend pas rien ne fonctionne... HELP

Salut,

Fais ceci :





Par contre, tu as plein d'autres infections que Vundo, donc il faudra que quelqu'un réanalyse ton log une fois que tu auras fait la désinfection de Vundo (je le ferais si personne le fait)

merci je test et je refait un post.

je ne comprend pas j ai fais ce que tu m as dit et le programe me dit qu il ne peut supprimer tant que windows explorer est ouvert pourtant je n ai pas l'explorateur ouvert dans les processus...?

aidez moi je ne m en sort toujours pas et le pc deconne de plus en plus...

Même problème, j'ai tout essayé aussi...mais le process et impossible a supprimer...même en mode sans echec...ce WE je formate. :-(

j'ai également le même problème, et je l'ai toujours même après formatage.... si quelqu'un comprend quelque chose

Salut,

Pour que windows explorer ne soit pas ouvert, lance Vundo, ensuite, fais un Ctrl+Maj+Echap, et termine le processus explorer.exe, j'espère que la fenetre de désinfection restera quand même (je crois oui).
Ensuite, tu fais tout ce que je t'ai écrit.
Puis pour relancer explorer, tu retourne dans le gestionnaire des taches (Ctrl+Maj+Echap), et tu fais :
Fichier / Nouvelle tâche (Exécuter) et tu tapes explorer.exe

Est-ce que ça marche ce coup-ci ?

Pour les autres, normalement la désinfection vundo marche avec la procédure écrite ci-dessus.
Faites un log HijackThis dans de nouveaux topics et on s'occupera de vous.

deso de ne pas vous avoir repondu plus tot mais je suis toujours autant dans la *****
enfin voila le message que hijackthis m indique:

hijackthis is about to remove BHO and coresponding file from your system. Close all Internet Explorer Windows AND all Windows Explorer Windows before continuing for the best chance of success.

et voici ce que le gestionnaire tache me donne comme processus:

taskmgr.exe
hijackthis.exe
svchost.exe (x3)
lsass.exe
services.exe
winlogon.exe
csrss.exe
smss.exe
Sustem
processus inactif

merci

Logfile of HijackThis v1.99.1
Scan saved at 16:02:29, on 05/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
D:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
D:\Program Files\Norton AntiVirus\navapsvc.exe
D:\Program Files\Eset\nod32krn.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\htpatch.exe
D:\WINDOWS\system32\RunDll32.exe
D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE
D:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
D:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe
D:\Program Files\D-Tools\daemon.exe
D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
D:\WINDOWS\system32\MMTray2k.exe
D:\WINDOWS\system32\MMTray.exe
D:\Program Files\Eset\nod32kui.exe
D:\WINDOWS\system32\ctfmon.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\Program Files\Internet Download Manager\IDMan.exe
D:\WINDOWS\system32\rundll32.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
D:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
D:\WINDOWS\REGEDIT.EXE
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Messenger\msmsgs.exe
D:\Documents and Settings\nico\Mes documents\Downloads\Programs\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - D:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - D:\WINDOWS\System32\ddccd.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - D:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Local Security Authority Service] D:\WINDOWS\System32\lssas.exe
O4 - HKLM\..\Run: [MICROSFT RAMA UPDATE SUPPORT] MSED32.EXE
O4 - HKLM\..\Run: [Windows Media Updater] crease.exe
O4 - HKLM\..\Run: [HTpatch] D:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] D:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [EPSON Stylus C46 Series] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE /P23 "EPSON Stylus C46 Series" /O6 "USB001" /M "Stylus C46"
O4 - HKLM\..\Run: [ccApp] "D:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "D:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [timessquare] C:\windows\timessquare.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MMTray2k] MMTray2k.exe
O4 - HKLM\..\Run: [MMTray] MMTray.exe
O4 - HKLM\..\Run: [nod32kui] "D:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\RunServices: [MICROSFT RAMA UPDATE SUPPORT] MSED32.EXE
O4 - HKLM\..\RunServices: [Windows Media Updater] crease.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Windows Media Updater] crease.exe
O4 - HKCU\..\Run: [IDMan] D:\Program Files\Internet Download Manager\IDMan.exe /onboot
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://D:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Download All Links with IDM - D:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - D:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Pages liées - res://D:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://D:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://D:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://D:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267....
O16 - DPF: {01010E00-5E80-11D8-9E86-0007E96C65AE} (SupportSoft SmartIssue) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsi.cab
O16 - DPF: {01012101-5E80-11D8-9E86-0007E96C65AE} (SupportSoft Script Runner Class) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsr.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/ctrl/LSSupCtl.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClie...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst....
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.ca...
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/ctrl/SymAData.cab
O20 - Winlogon Notify: ddccd - D:\WINDOWS\System32\ddccd.dll
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - D:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Automatic Update Service (Automatic Update) - Unknown owner - D:\WINDOWS\System32\wuapi.exe (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - D:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - D:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - D:\Program Files\Eset\nod32krn.exe
O23 - Service: Nvidia Graphic Displacement (nvideoGUI) - Unknown owner - D:\WINDOWS\nvideogui.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: MS Dns Service (WinNet) - Unknown owner - D:\WINDOWS\system32\wincntrl.exe (file missing)


[/quote]

Salut,

Désinfection avec SmitFraudFix
1) Redémarre l'ordinateur
2) Après les écritures du BIOS, appuie sur la touche F8 (si F8 ne marche pas, appuie sur F5) pour arriver à un menu avec des écritures blanches sur un fond noir.
3) Dans ce menu, utilises les flèches de ton clavier pour naviguer et choisir le mode sans échec. Valide avec la touche Entrée.
4) Le démarrage en mode sans échec est long généralement. Tu vas avoir des écritures blanches bizarres, ne t'inquiète pas c'est normal. Prend ton mal en patience pour que ça démarre.
5) Si au bout d'un trop long temps (genre 5 minutes), ça n'a toujours pas redémarré, dis le, je t'expliquerais comment faire sans redémarrer en mode sans échec.
[/quote]

4) Relance Smitfraudfix.cmd et choisis l'option 2. Répond oui à toutes les questions.
Sauvegarde le rapport pour pouvoir nous le donner.

5) Redémarre normalement et poste le 2ème rapport.


----------------------------------

Désinfection avec VundoFix
1) Redémarre l'ordinateur
2) Après les écritures du BIOS, appuie sur la touche F8 (si F8 ne marche pas, appuie sur F5) pour arriver à un menu avec des écritures blanches sur un fond noir.
3) Dans ce menu, utilises les flèches de ton clavier pour naviguer et choisir le mode sans échec. Valide avec la touche Entrée.
4) Le démarrage en mode sans échec est long généralement. Tu vas avoir des écritures blanches bizarres, ne t'inquiète pas c'est normal. Prend ton mal en patience pour que ça démarre.
5) Si au bout d'un trop long temps (genre 5 minutes), ça n'a toujours pas redémarré, dis le, je t'expliquerais comment faire sans redémarrer en mode sans échec.
[/quote]

4) Va dans le dossier VundoFix que tu viens de créer, et lance KillVundo.bat
Tu auras alors ce message :


Appuie sur Entrée. Tu auras alors ce message :




Tape exactement ceci : D:\WINDOWS\System32\ddccd.dll


Et valide avec Entrée. Maintenant, appuie sur la touche F6, puis sur la touche Entrée à nouveau, tu auras alors ce texte :




Tape exactement ceci : D:\WINDOWS\System32\dccdd.* (c'est le nom du fichier au-dessus à l'envers, c'est normal!!)


Revalide avec Entrée, appuie sur F6 et revalide par Entrée.

HijackThis se lance automatiquement, choisi alors Do a system scan and save a logfile
Coche ces lignes et appuie sur Fix Checked :


O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - D:\WINDOWS\System32\ddccd.dll

O20 - Winlogon Notify: ddccd - D:\WINDOWS\System32\ddccd.dll


Quitte HijackThis, et appuie sur une touche pour redémarrer le PC.
Cette désinfection peut provoquer un écran bleu de Windows, ne t'inquiète pas, c'est normal.

Une fois que tu as redémarré, poste un nouveau log HijackThis.

voila esperons que ca vous aidera...

Rapport fait à 13:27:53,82 le 22/12/2005
Executé à partir de D:\Documents and Settings\nico\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\


»»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\Documents and Settings\nico\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau


»»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pr‚-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="D‚mon de cache des cat‚gories de composant"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

Salut,

T'as tout fait ?

As tu encore des problèmes ou pas ??

salut,
j ai toujours les meme problemes et hijack ne supprime tjs pas les 2 lignes cochées...?

Salut,

As tu fais la partie "désinfection avec Vundo" ??

C'est cette partie qu'il faut faire pour pouvoir supprimer cette infection.
Tu ne pourras pas supprimer cette infection par HijackThis.

oui bien sur mais ca ne change rien...

Salut,

Essaie avec ces deux outils de Symantec (essaie le 2eme si le premier marche pas) :
http://securityresponse.symantec.com/avcenter/FixVundo....

http://securityresponse.symantec.com/avcenter/FxVundoB....

Et si ça marche toujours pas, on va voir ce qu'on peut faire d'autre.

eh bien aussi fou que ca ne puisse parraitre ca ne fonctionne toujours pas avec aucun des 2...

Je te remercie vraiment d essayer de m aider c vraiment cool de pas etre tout seul dans ce genre de situation.... Merci

j avais pensser je ne sais pas si c est possible mais si tu envoyais un cheval de troy et prendre partielement le controle de mon PC tu trouverais probablement la solution au probleme, enfin c une idee tu me dira ce que tu en pense et encore merci de ton aide...

salut je supose que tu est revenu de congé donc je me permet de te demander encore de l aide et de me tenir au courent de l evolution de la situation...
merci...

AAAAAAh ! Trop la rage, juste quand je vais poster un putain de message que j'ai mis trop de temps à taper, Firefox plante, et il veut pas réouvrir les onglets précédemment fermés à cause de ce plantage !  

Je te refais le message, patiente quelques minutes ! :-)

Bon, alors je disais que j'allais te faire tester une méthode faite en mélangeant deux méthodes.
Je ne sais pas du tout ce que cette méthode donnera, je ne pense pas qu'elle puisse faire grand mal, mais si tu as trop peur, je comprendrais que tu ne veuilles pas faire ma petite méthode inventée sur le tas.

Au cas où tu veux la faire, fais ceci :

1) Télécharge Process Explorer : http://www.sysinternals.com/ntw2k/freeware/procexp.shtm...

2) Redémarre en mode sans échec

3) Suspend les processus suivants avec Process Explorer :
Explorer.exe, Winlogon.exe, and rundll32.exe
Pour les suspendre, clique droit et "suspend"

4) Fais la désinfection Vundo :
Je te recopie la partie qui nous intéresse :



5) Je ne sais pas si tu arriveras à bien redémarrer à la fin de l'étape 4, vu qu'il n'y aura pas le processus winlogon.exe de lancé.
Donc, redémarre en appuyant sur le bouton On/Off de ta tour.


Je le répète, fais ça à tes propres "risques et périls", cette méthode n'a jamais été réellement testée ! :-?

Prions...