PC infecté par Virtumonde.dll [Résolu]
Forum Sécurité - Virus : PC infecté par Virtumonde.dll [Résolu]
Bonjour,
Spybot détecte sur ma machine Virtumonde.dll, et arrive à stopper son effet (disparition tout sur le desktop - icônes, barre de taches)...jusqu'au prochain démarrage de l'ordi.
En plus de tous les scans avec des antivirus différents, j'ai fait 3 scans avec Vundofix - rien trouvé.
J'ai exécuté aussi VirtumundoBeGone.exe en mode sans échec - cela n'a rien trouvé non plus (je garde le fichier log généré).
En cherchant des informations sur internet j'ai vu que le même problème d'un autre utilisateur a été résolu, donc j'ai décidé de créer un post pour appeler à l'aide.
Merci beaucoup d'avance pour vos conseils et pour votre aide 
P.S: Je télécharge HiJackThis et je mettrai ensuite le rapport ici
Message édité par malkata le 26-05-2008 à 21:42:07
Je crois que j'ai réussi à le désactiver, même si après le redémarrage il s'est ensore lancé.
Déjà il y a amélioration, je vois mes icônes, et je n'ai plus besoin d'utiliser le gestionnaire des tâches pour lancer mon navigateur ou autres. Merci 
Voici le rapport de Combofix:
ComboFix 08-05-24.1 - Elie 2008-05-25 19:55:40.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.136 [GMT 2:00]
Endroit: C:\Documents and Settings\Elie\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration
[color=red]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/color]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\cbXRKAtS.dll
C:\WINDOWS\system32\DMnXxyxx.ini
C:\WINDOWS\system32\DMnXxyxx.ini2
C:\WINDOWS\system32\efcAtsrs.dll
C:\WINDOWS\system32\jkkJcCSl.dll
C:\WINDOWS\system32\srstAcfe.ini
C:\WINDOWS\system32\srstAcfe.ini2
C:\WINDOWS\system32\WHkTEfhk.ini
C:\WINDOWS\system32\WHkTEfhk.ini2
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-25 to 2008-05-25 ))))))))))))))))))))))))))))))))))))
.
2008-05-25 15:31 . 2008-05-25 15:31 <REP> d-------- C:\VundoFix Backups
2008-05-24 19:11 . 2008-05-25 15:19 152 --a------ C:\WINDOWS\wininit.ini
2008-05-24 16:21 . 2007-07-30 19:19 38,232 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-05-24 16:21 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-05-24 16:21 . 2007-07-30 19:19 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-05-24 16:21 . 2007-07-30 19:18 21,336 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2008-05-24 14:07 . 2008-05-24 14:07 <REP> d-------- C:\Program Files\Panda Security
2008-05-24 00:21 . 2008-05-24 00:21 <REP> d-------- C:\WINDOWS\avxoscan
2008-05-24 00:16 . 1996-08-20 20:37 15,840 --a------ C:\WINDOWS\system32\Machnm1.exe
2008-05-24 00:16 . 2005-09-25 16:37 5,632 --a------ C:\WINDOWS\system32\Machnm64.sys
2008-05-24 00:16 . 2008-05-24 00:16 3,120 --a------ C:\WINDOWS\system32\118290.54
2008-05-24 00:16 . 2008-05-24 00:16 3,120 --a------ C:\WINDOWS\118294.78
2008-05-24 00:16 . 2003-08-13 00:27 2,304 --a------ C:\WINDOWS\system32\Machnm32.sys
2008-05-23 23:22 . 2008-05-23 23:22 58,880 --a------ C:\WINDOWS\system32\qoMghhhH.dll.vir
2008-05-18 17:50 . 2008-05-18 18:33 <REP> d-------- C:\Documents and Settings\All Users\Application Data\YAHOO
2008-05-10 00:32 . 2008-05-10 00:32 24 --a------ C:\url_history.xml
2008-05-06 23:25 . 2008-05-06 23:25 <REP> d-------- C:\Program Files\iPod
2008-05-06 23:25 . 2008-05-25 19:59 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-05-06 23:25 . 2008-05-06 23:25 1,409 --a------ C:\WINDOWS\QTFont.for
2008-05-06 23:24 . 2008-05-06 23:25 <REP> d-------- C:\Program Files\iTunes
2008-05-06 23:23 . 2008-05-06 23:23 <REP> d-------- C:\Program Files\QuickTime
2008-05-04 17:15 . 2008-05-04 17:15 <REP> d-------- C:\Program Files\Skype
2008-05-04 17:15 . 2008-05-25 19:50 <REP> d-------- C:\Documents and Settings\Elie\Application Data\Skype
2008-05-04 17:13 . 2008-05-04 17:13 56 --ah----- C:\WINDOWS\system32\ezsidmv.dat
2008-05-01 23:06 . 2008-05-25 01:44 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-05-01 20:39 . 2008-05-01 20:39 <REP> d-------- C:\Documents and Settings\Elie\Application Data\Nero
2008-05-01 20:32 . 2008-05-01 20:33 <REP> d-------- C:\Program Files\Fichiers communs\Nero
2008-05-01 20:32 . 2008-05-01 20:32 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Nero
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-23 22:15 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-05-21 09:43 --------- d-----w C:\Program Files\DC++
2008-05-18 16:33 --------- d-----w C:\Program Files\Yahoo!
2008-05-09 22:32 --------- d-----w C:\Program Files\SecondLife
2008-05-04 15:15 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skype
2008-05-04 12:03 --------- d-----w C:\Documents and Settings\Elie\Application Data\skypePM
2008-05-01 18:32 --------- d-----w C:\Program Files\Nero
2008-05-01 17:59 --------- d-----w C:\Program Files\The GodFather
2008-04-16 23:26 --------- d-----w C:\Documents and Settings\Elie\Application Data\dvdcss
2008-04-09 18:47 159,839 ----a-w C:\WINDOWS\Marsu-Fix Uninstaller.exe
2008-04-09 18:47 --------- d-----w C:\Program Files\Marsu-Fix
2008-04-06 15:42 --------- d-----w C:\Program Files\eChanblard
2007-11-24 18:02 32 -c--a-w C:\Documents and Settings\All Users\Application Data\ezsid.dat
2007-08-31 20:40 31,032 -c--a-w C:\Documents and Settings\Elie\Application Data\GDIPFONTCACHEV1.DAT
2007-04-21 13:44 457 -c--a-w C:\Program Files\INSTALL.LOG
2007-09-23 14:48 594,944 -c--a-w C:\Program Files\mozilla firefox\plugins\MannequinPlayer2.dll
.
------- Sigcheck -------
2006-03-09 10:25 578048 0df75fb73f705b011630159a43d7c354 C:\WINDOWS\system32\user32.dll
2006-04-12 20:13 667648 241dbc4c2714b2f39afded49459ed420 C:\WINDOWS\system32\wininet.dll
2006-02-14 21:56 359808 667192a11db19f36624119c0dd4de4f2 C:\WINDOWS\system32\drivers\tcpip.sys
2006-05-09 10:11 2017280 50b3a210b6fa8d3089a36a32e7d8b21f C:\WINDOWS\system32\ntkrnlpa.exe
2006-03-09 10:25 2137600 e75f7aa5a33479f29c636fd0890f5762 C:\WINDOWS\system32\ntoskrnl.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{04D3C119-50B5-4C4D-83C2-18ED4EBEE6F4}]
C:\WINDOWS\system32\khfETkHW.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9BE5A6D5-5A67-449E-9436-18D56B22C703}]
C:\WINDOWS\system32\xxyxXnMD.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-09-20 09:09 4583424]
"egui"="C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" [2007-12-21 09:21 1443072]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2008-02-28 09:59 570664]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Config"="C:\WINDOWS\system32\run.cmd" [2006-02-14 12:24 248]
"nlsf"="cmd.exe" [2004-08-19 17:09 400896 C:\WINDOWS\system32\cmd.exe]
"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-19 16:52 44544]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoDesktopCleanupWizard"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoStrCmpLogical"= 0 (0x0)
"NoInstrumentation"= 0 (0x0)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoDesktopCleanupWizard"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.enc"= ITIG726.acm
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"DisablePagingExecutive"=dword:00000001
"SecondLevelDataCache"=dword:00000200
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Program Files\\ICQ6\\ICQ.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"7972:TCP"= 7972:TCP:BitComet 7972 TCP
"7972:UDP"= 7972:UDP:BitComet 7972 UDP
"5608:TCP"= 5608:TCP:BitComet 5608 TCP
"5608:UDP"= 5608:UDP:BitComet 5608 UDP
"5623:TCP"= 5623:TCP:BitComet 5623 TCP
"5623:UDP"= 5623:UDP:BitComet 5623 UDP
"5625:TCP"= 5625:TCP:BitComet 5625 TCP
"5625:UDP"= 5625:UDP:BitComet 5625 UDP
R1 epfwtdir;epfwtdir;C:\WINDOWS\system32\DRIVERS\epfwtdir.sys [2007-12-21 09:21]
R3 FA312;Pilote de la carte Fast Ethernet FA330/FA312/FA311 NETGEAR;C:\WINDOWS\system32\DRIVERS\FA312nd5.sys [2001-08-17 21:12]
R3 genmcmnUSB;USB Scroll Mouse Driver;C:\WINDOWS\system32\DRIVERS\gflmouhid.sys [2004-04-19 08:01]
S3 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe" [2008-01-14 00:06]
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-05-20 21:13:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-25 19:59:33
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Eset\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-25 20:02:16 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-25 18:02:13
Pre-Run: 29,626,802,176 octets libres
Post-Run: 31,139,246,080 octets libres
171
Désolé pour le lock 
Répondre à Angeldark
Garde Nod32
Reposte un rapport Hijackthis.
Répondre à Angeldark
Plus de soucis!
Merci pour le temps consacré à mon problème, cela me paraîssait si compliqué de me débarasser de ce virus.
Et j'ai l'impression que pour vous ici c'est un jeu d'enfant, comme supprimer un fichier.
Je suis sans voix! Chapeau!
Merci 
Répondre à Angeldark
bonsoir angeldark
j'ai exactement le même problème, j'ai suivi ta procédure, mais je me demande s'il faut que j'exécute Malwarebytes' Anti-Malware ?
j'ai du renommer hijackthis.exe en toto.exe pour qu'il reconnaisse virtumonde.
voici le rapport combofix
| Citation : ComboFix 08-05-25.5 - julien 2008-05-27 14:49:31.1 - NTFSx86
|
isabled:mule tcp
et le rapport hijackthis apres l'execution de combofix et le redemarrage du PC
| Citation : Logfile of Trend Micro HijackThis v2.0.2
|
ca en est où à ton avis, il reste des trucs ?(à part virer les lignes 02 et 20 ?)
il faut virer aussi la ligne 02 : spywareguard?
je m'adresse à toi directement car je vois que tu est un spécialiste du sujet, j'ai posté quasi le meme post sur zebulon en un peu plus detaillé si tu veux: http://forum.zebulon.fr/infection- [...] 45302.html
en tout cas bravo et merci (beaucoup) pour tous tes conseils donnés pour le cas précedent parce que là sur ma bécane, meme si je pense qu'il reste encore des trucs ca va deja nettement mieux
Vu que le sujet n'est pas bloqué, j'en profite pour une question liée à la désinfection effectuée
En faisant du ménage sur mon PC, j'ai trouvé un dossier QooBox, lié à Combofix. Avant de le supprimer j'ai fait une recherche sur le net, car j'ai vu qu'il contient des fichiers en quarantaine.
De cette recherche j'ai appris qu'apparemment tu "sévis" sur d'autres forums pour aider les gens désespérés http://www.informatruc.com/forum/topic27285.html ,
et j'y ai trouvé des instructions pour enlever ce dossier dans les règles.
Est-ce que je peux suivre les instructions qui y figurent pour supprimer ce dossier?
Merci
Pour avoir de l'aide, il faut ouvrir un nouveau sujet 
