Virtumonde [resolu]

Bonjour,
J'aurai besoin d'aide pour éradiquer virtumonde de mon portable.
Je vous explique : j'ai scanné mon pc avec spybot qui m'a trouvé virtumonde.
J'ai tenté de le supprimer toute seule comme une grande avec spybot, hijackthis, f.virtumonde de symantech, mais rien a faire, spybot ne supprime rien et les deux autres m'affirment que tout va bien.
Du coup, j'ai sorti la grosse artillerie et j'ai passé un coup de combofix, sauf que maintenant je me retrouve comme une truffe avec un rapport dont je sais pas quoi faire et où je vois quantité de dll aberrantes.
Est-ce que quelqu'un voudrait bien m'aider ?

voilà le rapport de combofix :

ComboFix 09-08-10.06 - Dieu 14/08/2009 18:14.1.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1015.576 [GMT 2:00]
Running from: d:\telechargements\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\fad.sys

.
((((((((((((((((((((((((( Files Created from 2009-07-14 to 2009-08-14 )))))))))))))))))))))))))))))))
.

2009-08-13 13:45 . 2009-08-13 13:50 -------- d-----w- c:\windows\BDOSCAN8
2009-08-13 12:32 . 2009-08-13 12:32 -------- d-----w- c:\program files\Enigma Software Group
2009-08-12 16:58 . 2009-08-12 16:58 -------- d-----w- c:\windows\Packs
2009-08-12 16:47 . 2002-04-29 18:34 4096 ----a-w- c:\windows\system32\Run32.dll
2009-08-12 15:39 . 2009-08-12 15:39 -------- d-----w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\Microsoft
2009-08-12 15:35 . 2009-08-12 15:36 -------- d-----w- c:\windows\system32\wbem\AutoRecover
2009-08-12 15:28 . 2004-08-19 14:09 221184 ----a-w- c:\windows\system32\wmpns.dll
2009-08-12 15:17 . 2004-08-03 20:43 15872 ----a-w- c:\windows\system32\spupdsvc.exe
2009-08-12 14:21 . 2004-08-19 14:08 97280 ----a-w- c:\windows\system32\dpcdll.dll
2009-08-12 14:14 . 2009-08-12 15:27 -------- d-----w- c:\windows\ehome
2009-08-12 14:14 . 2009-08-12 14:14 -------- d-----w- c:\windows\ServicePackFiles
2009-08-12 14:14 . 2004-08-19 14:09 32768 ------w- c:\windows\system32\asr_pfu.exe
2009-08-12 14:14 . 2004-08-03 21:08 40832 ------w- c:\windows\system32\drivers\irbus.sys
2009-08-12 14:14 . 2004-08-03 20:59 12800 ------w- c:\windows\system32\spiisupd.exe
2009-08-12 14:12 . 2004-08-19 14:09 1352704 ----a-w- c:\windows\system32\wbem\cimwin32.dll
2009-08-12 14:11 . 2004-08-19 14:09 25088 ----a-w- c:\windows\system32\at.exe
2009-08-12 14:10 . 2004-08-19 14:09 1198080 ----a-w- c:\windows\system32\mmcndmgr.dll
2009-08-12 14:09 . 2004-08-19 14:09 1723904 ----a-w- c:\windows\system32\netshell.dll
2009-08-12 14:07 . 2004-08-19 14:09 136192 ----a-w- c:\windows\system32\webvw.dll
2009-08-12 13:42 . 2009-08-12 13:56 -------- d-----w- c:\windows\system32\NtmsData
2009-07-30 14:09 . 2009-07-30 15:17 -------- d-----w- c:\documents and settings\Dieu\.jenny

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-12 16:00 . 2008-05-03 10:13 -------- d-----w- c:\documents and settings\Dieu\Application Data\uTorrent
2009-08-12 15:40 . 2008-05-03 11:32 50288 -c--a-w- c:\documents and settings\Dieu\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-08-12 15:37 . 2001-09-28 12:00 71686 ----a-w- c:\windows\system32\perfc00C.dat
2009-08-12 15:37 . 2001-09-28 12:00 458886 ----a-w- c:\windows\system32\perfh00C.dat
2009-08-12 15:30 . 2008-05-02 15:31 86327 ----a-w- c:\windows\PCHEALTH\HELPCTR\OfflineCache\index.dat
2009-06-23 12:58 . 2009-06-23 12:58 1 -c----w- c:\documents and settings\Dieu\Application Data\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2009-06-23 12:57 . 2008-05-19 19:16 -------- d-----w- c:\documents and settings\Dieu\Application Data\OpenOffice.org2
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="d:\rocketdock\RocketDock.exe" [2007-09-02 495616]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ANIWZCS2Service"="c:\program files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 49152]
"D-Link D-Link Wireless G DWA-110"="c:\program files\D-Link\D-Link Wireless G DWA-110\AirGCFG.exe" [2007-05-04 1662976]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\Dieu\Menu D‚marrer\Programmes\D‚marrage\
Raccourci vers YzToolBar.lnk - d:\yztoolbar\YzToolBar.exe [2002-9-29 90112]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKLM\~\startupfolder\C:^Documents and Settings^Dieu^Menu Démarrer^Programmes^Démarrage^Club Internet.lnk]
path=c:\documents and settings\Dieu\Menu Démarrer\Programmes\Démarrage\Club Internet.lnk
backup=c:\windows\pss\Club Internet.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^Dieu^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.1.lnk]
path=c:\documents and settings\Dieu\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.1.lnk
backup=c:\windows\pss\OpenOffice.org 2.1.lnkStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-StandardInstall - (no file)


.
------- Supplementary Scan -------
.
uStart Page =
uDefault_Search_URL = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - d:\office\OFFICE11\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Dieu\Application Data\Mozilla\Firefox\Profiles\rwmo1op4.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - plugin: d:\adobe\Reader\browser\nppdf32.dll
FF - plugin: d:\firefox2\plugins\npyaxmpb.dll
FF - plugin: d:\real\Netscape6\nppl3260.dll
FF - plugin: d:\real\Netscape6\nprjplug.dll
FF - plugin: d:\real\Netscape6\nprpjplug.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-14 18:17
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID]
@Denied: (Full) (LocalSystem)
"{20D04FE0-3AEA-1069-A2D8-08002B30309D}"="c:\\WINDOWS\\System32\\shell32.dll,15"
"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="c:\\WINDOWS\\system32\\SHELL32.dll,17"
"{208D2C60-3AEA-1069-A2D7-08002B30309D}"="c:\\WINDOWS\\system32\\SHELL32.dll,17"
"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="c:\\WINDOWS\\system32\\shell32.dll,22"
"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="c:\\WINDOWS\\system32\\shell32.dll,23"
"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="c:\\WINDOWS\\system32\\shell32.dll,24"
"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="c:\\WINDOWS\\system32\\shell32.dll,-175"
"{21EC2020-3AEA-1069-A2DD-08002B30309D}"="c:\\WINDOWS\\System32\\shell32.dll,-137"
"{2227A280-3AEA-1069-A2DE-08002B30309D}"="c:\\WINDOWS\\System32\\shell32.dll,-138"
"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="c:\\WINDOWS\\system32\\shell32.dll,38"
"AudioCD"="c:\\WINDOWS\\System32\\shell32.dll,40"
"{FBF23B42-E3F0-101B-8488-00AA003E56F8}"="c:\\WINDOWS\\system32\\shell32.dll,220"
"{450D8FBA-AD25-11D0-98A8-0800361B1103}"="c:\\WINDOWS\\system32\\mydocs.dll,0"
"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="c:\\WINDOWS\\system32\\main.cpl,10"
"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="c:\\WINDOWS\\system32\\wiashext.dll,0"
"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="c:\\WINDOWS\\system32\\mstask.dll,-100"
"{88C6C381-2E85-11D0-94DE-444553540000}"="c:\\WINDOWS\\System32\\occache.dll,0"
"{BDEADF00-C265-11d0-BCED-00A0C90AB50F}"="c:\\Program Files\\COMMON~1\\MICROS~1\\WEBFOL~1\\MSONSEXT.DLL,0"
"{FF393560-C2A7-11CF-BFF4-444553540000}"="c:\\WINDOWS\\System32\\shdocvw.dll,-20785"
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="c:\\WINDOWS\\System32\\webcheck.dll,0"
"{85BBD920-42A0-1069-A2E4-08002B30309D}"="c:\\WINDOWS\\system32\\syncui.dll,0"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(736)
c:\windows\System32\BCMLogon.dll
.
Completion time: 2009-08-14 18:18
ComboFix-quarantined-files.txt 2009-08-14 16:18

Pre-Run: 1 140 006 912 octets libres
Post-Run: 1 127 362 560 octets libres

Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4
131



Sinon, je pensais aussi à formater mon pc, mais je ne sais pas si c'est vraiment efficace. De plus je ne sais pas si je dois tout formater où juste la partition qui contient mon système.

Enfin voilà, si l'un ou l'une d'entre vous se sent de m'expliquer avec des mots simples, je lui vouerais un culte éternel et parsemerai son chemin de pétales de roses.

Merci

Il détecte Virtumonde

(désolée - pause [biberon-diner-couche-unbisouetaulit])

Je viens de refaire un scan, plus rien détecté mais je vois quand même s'afficher "virtumonde" dans les scans de spybot. Par contre, je vois pas où il peut être.

Ok, fait.

voilà le rapport :

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2626
Windows 5.1.2600 Service Pack 2

14/08/2009 21:57:16
mbam-log-2009-08-14 (21-57-16).txt

Type de recherche: Examen rapide
Eléments examinés: 84284
Temps écoulé: 2 minute(s), 47 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


Ca veut dire que tout est ok ? Mais alors pourquoi il apparait toujours cette virtumonde.dll dans le scan de spybot?
Merci en tout cas de ton aide.

Je pense pas, je viens de vider la quarantaine et après un redémarrage j'ai relancé spybot qui affiche toujours virtumonde dans les fichiers qu'il scanne...
Je comprend pas.

Fin de la connection pour ce soir.
Merci encore à toi

Bonjour !



C'est pas très précis mais c'est tout ce que je peux faire, Virtumonde n'apparaissant nulle part ailleurs.
Par contre j'ai vu qu'il me passait au scan une tripotée de casinos et un tas de dossiers pas clairs que je n'arrive pas à retrouver.

Je vais faire un formatage, je crois que ce sera plus simple pour tout virer. Par contre est-ce que tu peux me dire si je dois formater toutes les partitions ou pas ?

Merci

Ah bon ? tout va bien alors.
Je peux considérer le pc comme débarrassé de virtumonde?

Si si, tout à l'air ok.
C'est très gentil à toi de m'avoir aidé. Merci beaucoup.

A bientôt pour de nouveaux plantages!!