Se connecter avec
S'enregistrer | Connectez-vous

Trojan.Vundo (virtumonde) [Résolu]

Dernière réponse : dans Sécurité

Bonjour !
Voilà j'ai besoin d'aide pour me débarasser (enfin) de ce trojan qui me gache la vie sur le net !

J'ai déjà télécharger hijackthis / vundofix.exe et VirtumundoBeGone.exe et après avoir scanner voici ce que me donne le nouveau rapport de hijackthis :


Logfile of HijackThis v1.99.1
Scan saved at 19:33:15, on 31/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Autres pages sur : trojan vundo virtumonde resolu

Lassé par la pub ? Créez un compte


Bonjour :) 

il en reste

Télécharge ComboFix <- ici

Engegistre le sur ton Bureau

Double clique combofix.exe ( le .exe peut ne pas apparaitre )

Pour demarrer , tape 1 puis valide , attend la fin du scan

Un rapport est généré , Copie / Colle le dans ta réponse

Tu peux aussi trouver ce rapport ici : C:\Combofix.txt

Ok voici le rapport de combofix :

* Created a new restore point


(((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\aebmmgab.dll
C:\WINDOWS\system32\jkkjhec.dll
C:\WINDOWS\system32\tevgryvi.dll
C:\WINDOWS\system32\jkkjhec.dll
C:\WINDOWS\system32\ihhkj.bak1
C:\WINDOWS\system32\ihhkj.bak2
C:\WINDOWS\system32\ihhkj.ini
C:\WINDOWS\system32\ihhkj.ini2
C:\WINDOWS\system32\ihhkj.tmp
C:\WINDOWS\system32\rqstv.bak1
C:\WINDOWS\system32\rqstv.ini
C:\WINDOWS\system32\ihhkj.bak1
C:\WINDOWS\system32\ihhkj.bak2
C:\WINDOWS\system32\ihhkj.ini
C:\WINDOWS\system32\ihhkj.ini2
C:\WINDOWS\system32\ihhkj.tmp


* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))



Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-31 21:33:48 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-07-31 21:33

--- E O F ---




Télécharge OTMoveIt <- ici

Sauvegarde-le sur ton Bureau

Séléctionne l'encadré ci-dessous , puis clique droit , puis Copier :

C:\VundoFix Backups
C:\WINDOWS\system32\vtsqr.dll.vir
C:\WINDOWS\system32\brngdueg.dll
C:\WINDOWS\system32\ckkvpnjt.dll
C:\WINDOWS\system32\xxyvutq.dll.vir


Lance maintenant OTMoveIt en double cliquant sur OTMoveIt.exe

Deux cadres apparaissent , clique droit sur le cadre de gauche , puis Coller
Enfin , clique sur MoveIt![/#f]

[#ff0000]Il est possible qu'il te demande de redemarrer , accepte en cliquant sur YES

Poste le rapport généré ( C:\_OTMoveIt\MovedFiles\ <~~ ici , la date de création ! )

Et un nouveau rapport Hijackthis

Rapport :

File/Folder C:\VundoFix Backups not found.
File/Folder C:\WINDOWS\system32\vtsqr.dll.vir not found.
File/Folder C:\WINDOWS\system32\brngdueg.dll not found.
File/Folder C:\WINDOWS\system32\ckkvpnjt.dll not found.
File/Folder C:\WINDOWS\system32\xxyvutq.dll.vir not found.

Created on 07/31/2007 21:53:05






Relance Hijackthis clique cette fois sur do a system scan only
coche dans les cases à gauche les lignes suivantes ( et uniquement celles-ci ) :

O2 - BHO: (no name) - {38C73C2B-715F-4935-BA92-A25FE3910DBD} - C:\WINDOWS\system32\gebya.dll (file missing)
O2 - BHO: (no name) - {59382BE9-724A-43EB-BC8A-F25DF7F78BA3} - C:\WINDOWS\system32\ssqrs.dll (file missing)
O2 - BHO: (no name) - {7DA2F2EA-DC97-4864-B486-970E6B0AD320} - C:\WINDOWS\system32\jkkjk.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O20 - Winlogon Notify: winjrs32 - winjrs32.dll (file missing)

et clique sur Fix checked ( en bas à gauche )

A la demande de confirmation , répond Oui

---------------------------------------------------

Télécharge clean <- ici

décompresse-le sur ton bureau ( extraire tous les fichiers) , tu obtient un dossier clean

Ouvre le dossier clean, double-clique sur clean.cmd ( le .cmd peut ne pas apparaitre )

choisis l'option 1 puis patiente

un rapport est généré , poste ce rapport

Re, voici le rapport :

31/07/2007 a 22:18:05,03

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\mcrh.tmp FOUND

*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !


Que de la bricole :) 

Imprime cette page car tu n'auras pas accès à internet durant la procédure !

Télécharge puis installe AVG Anti-Spyware <~ Clique ici

Fais les mises à jour mais ne lance pas de scan tout de suite

Redémarre en mode sans échec ( démarrer / redémarrer / tapotte sur F8 jusqu'a l'apparition du menu / monte avec les fleches sur mode sans echec / choisis ta session )

Relance AVG

Choisis l'onglet Analyse , puis l'onglet Paramètres
Sous la question Comment réagir ? clique sur Actions recommandées et choisis Quarantaine
Reclique sur l'onglet Analyse puis fais Analyse complète du système

a la fin de l'analyse ,si un fichier est infecté clique sur Appliquer toutes les actions

Clique sur Enregistrer le rapport puis sur Enregistrer le rapport sous ( enregistre sur ton Bureau )

Ouvre le dossier clean, double-clique sur clean.cmd
Choisis l'option 2 et patiente

Redémarre normalement

Poste le rapport AVG
le rapport clean : C:\rapport clean.txt
et un rapport Hijackthis

Alors, voici le rapport AVG :


---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 00:22:20 01/08/2007

+ Résultat de l'analyse:






Ok , supprime les logiciels qu'on à installé

Supprime ce dossier : c:\Qoobox

Fais un scan en ligne Kaspersky avec Internet Explorer

Clique sur Demarrer Online-Scanner ( en bas à droite )
Clique sur J'accepte , si necessaire valide l'installation des ActiveX
laisse installer les Mises à jour , choisis l'analyse du Poste de travail

à la fin de l'analyse , Sauvegarde le rapport puis colle le dans ta réponse

Si tu vois ce message : La licence de Kaspersky On-line Scanner est périmée
vas dans Ajout / Suppression de programmes et désinstalle On-Line Scanner
retourne sur le site et retente le scan

Re, voici le rapport avec Kaspersky ( il m'a trouvé 4 virus) il faut que je te dise aussi que dans c:\ je n'ai pas supprimé le dossier _OTMoveIt parce que je ne savais pas si je devais le faire.



KASPERSKY ON-LINE SCANNER REPORT
Wednesday, August 01, 2007 1:55:34 AM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 1/08/2007
Enregistrements dans la base antivirus Kaspersky : 347448


Ok j'ai supprimer la quarantaine puis désactivé et réactivé la restauration système.
J'ai remarqué un truc c'est qu'avant j'avais des pages de pub intempestives lorsque j'allais sur le net et plus maintenant donc c'est cool!!!

Faut-il que je poste un nouveau rapport hijackthis ou pas besoin?
Comment est-ce que je peux poster ce message comme résolu?

Merci 1000 fois pour ton aide ! ;) 


Ok , c'est tout bon :) 
Citation :
Comment est-ce que je peux poster ce message comme résolu?

Clique, dans ton premier message, sur le bouton "Editer"
Ajoute [Résolu] au titre ( avec les crochets , c'est plus lisible )
Clique ensuite sur "Valider votre message"

Bonne continuation ;) 
Lassé par la pub ? Créez un compte

Créer un nouveau sujet

Tom's guide dans le monde