virtumonde....

[Djaq]

Bonjour.

oui, j'ai un probleme !

j'ai recolté un "merdeware"

 

j'ai applique la methode decrite plus haut pour un pré-netoyage d'un pc( en mode sans echec).

tout s'est bien passé antivir m'a trouvé (et suprimé) quelques objet derrangeant sur mon pc. j'ai fait un hijackthis (rapport plus loin). j'ai poussé plus loin en faisant un scan avec spybot puis un avec adaware. encore quelques merdes de trouvées et surtout une de non suprimable:virtumonde

spybot m'a proposé de refaire un scan apres un redemarrage, je l'ai laissé faire. re-virtumonde, re-impossible de le supprimer, car deja en memoire.

 

alors voila.

apres avoir trainé sur la toile a ce sujet je lis que c'est un specimen serieux que ce virtumonde.

 

je vous post ici mon log hijackthis fais en mode sans echec (avant le scan de spybot)

 

Logfile of HijackThis v1.99.1

Scan saved at 10:07:38, on 10/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

D:\Program Files\OpenOffice.org 2.0\program\soffice.exe

D:\Program Files\OpenOffice.org 2.0\program\soffice.BIN

C:\Program Files\AntiVir PersonalEdition Classic\avcenter.exe

C:\WINDOWS\system32\LVComsX.exe

C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe

C:\Documents and Settings\Jacky\Bureau\Securité et Entretien\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar4.dll

O4 - HKLM\..\Run: [intelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [smartSync - ScheduleSync] D:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [EPSON Stylus DX6000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBIE.EXE /FU "C:\WINDOWS\TEMP\E_S1B7.tmp" /EF "HKLM"

O4 - HKLM\..\Run: [AGEIA PhysX SysTray] C:\Program Files\AGEIA Technologies\TrayIcon.exe

O4 - HKLM\..\Run: [j0221337] rundll32 C:\WINDOWS\system32\j0221337.dll sook

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [ApachInc] rundll32.exe "C:\WINDOWS\system32\oyisajmd.dll",realset

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [FreeRAM XP] "d:\Program Files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" -win

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] d:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [updateMgr] D:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet

O4 - Startup: Rainmeter.lnk = D:\LiteStep\modules\Rainmeter\Rainmeter.exe

O4 - Startup: Rainlendar.lnk = D:\Program files\Rainlendar\Rainlendar.exe

O4 - Startup: OpenOffice.org 2.0.lnk = D:\Program files\OpenOffice.org 2.0\program\quickstart.exe

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: RAID Tool.lnk = C:\Program Files\VIA\RAID\raid_tool.exe

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:\Program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: Analyser avec LeechGet - file://C:\Program Files\LeechGet 2004\\Parser.html

O8 - Extra context menu item: Envoyer à &Bluetooth - D:\Program Files\Sitecom\Logiciel Bluetooth\btsendto_ie_ctx.htm

O8 - Extra context menu item: Télécharger avec &BitSpirit - D:\BitSpirit\bsurl.htm

O8 - Extra context menu item: Télécharger en utilisant l'assistant LeechGet - file://C:\Program Files\LeechGet 2004\\Wizard.html

O8 - Extra context menu item: Télécharger en utilisant LeechGet - file://C:\Program Files\LeechGet 2004\\AddUrl.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Program Files\Sitecom\Logiciel Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Program Files\Sitecom\Logiciel Bluetooth\btsendto_ie.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} -

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppD...sharingctrl.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} -

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} -

O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} -

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\System32\btxppanel.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - d:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Unknown owner - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe (file missing)

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Unknown owner - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe (file missing)

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - D:\Program Files\Sitecom\Logiciel Bluetooth\bin\btwdins.exe

O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - d:\Program Files\FileZilla Server\FileZilla Server.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Network DDE DSDMS (NetDDEds) - Unknown owner - C:\WINDOWS\system32\msndell (file missing)

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe

 

 

 

 

 

j'espere que parmi les lecteurs de ce post se trouvera un chasseur de "merdeware" confirmé pour m'aider a me retirer cette épine de mon pc.

Modifié le 10 juin 2007 par Djaq

[Lien Rag]

Bonjour

 

Télécharge Vundoxfix

http://www.atribune.org/public-beta/VundoFix.exe

 

Coche Run VundoFix as a task.

- Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok

- Clique sur le bouton Scan for Vundo.

- Lorsque le scan est complété, clique sur le bouton Remove Vundo.

- Une invite te demandera si tu veux supprimer les fichiers, clique YES

- Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.

- Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK

- Démarre ton PC à nouveau.

- Copie/colle le contenu du rapport situé dans C:\vundofix.txt

[Djaq]

merci pour cette réponse.

je suis surpris qu'il existe une outils dédier personnellement a ce "merdeware", c'est dire qu'il doit être effectivement dur a éradiquer ou alors il a deja embêté tellement de pc qu'il a été rentable de créer cet outil.

en tout cas chapeau !

 

scan en cours!

 

 

 

opération terminée

 

 

 

voila le log:

 

 

VundoFix V6.5.0

 

Checking Java version...

 

 

 

 

Java version is 1.4.2.5

Old versions of java are exploitable and should be removed.

 

Java version is 1.5.0.2

Old versions of java are exploitable and should be removed.

 

Java version is 1.5.0.4

Old versions of java are exploitable and should be removed.

 

Java version is 1.5.0.6

Old versions of java are exploitable and should be removed.

 

Java version is 1.5.0.9

Old versions of java are exploitable and should be removed.

 

Java version is 1.5.0.11

 

Scan started at 14:51:45 10/06/2007

 

Listing files found while scanning....

 

C:\windows\system32\akerhifi.ini

C:\WINDOWS\system32\cpkncnqp.dll

C:\windows\system32\ctygtilw.ini

C:\windows\system32\dmjasiyo.ini

C:\WINDOWS\system32\efcywuv.dll

C:\windows\system32\gbsrtrhk.ini

C:\WINDOWS\system32\gebcy.dll

C:\windows\system32\ifihreka.dll

C:\windows\system32\khrtrsbg.dll

C:\windows\system32\lgvfujmo.ini

C:\windows\system32\mntwiygx.ini

C:\windows\system32\omjufvgl.dll

C:\WINDOWS\system32\oyisajmd.dll

C:\windows\system32\ujomajul.dll

C:\windows\system32\wlitgytc.dll

C:\windows\system32\xgyiwtnm.dll

C:\WINDOWS\system32\ycbeg.bak1

C:\windows\system32\ycbeg.bak2

C:\WINDOWS\system32\ycbeg.ini

C:\WINDOWS\system32\ysxsxwfm.dll

 

Beginning removal...

 

Attempting to delete C:\windows\system32\akerhifi.ini

C:\windows\system32\akerhifi.ini Has been deleted!

 

Attempting to delete C:\windows\system32\ctygtilw.ini

C:\windows\system32\ctygtilw.ini Has been deleted!

 

Attempting to delete C:\windows\system32\dmjasiyo.ini

C:\windows\system32\dmjasiyo.ini Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\efcywuv.dll

C:\WINDOWS\system32\efcywuv.dll Could not be deleted.

 

Attempting to delete C:\windows\system32\gbsrtrhk.ini

C:\windows\system32\gbsrtrhk.ini Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\gebcy.dll

C:\WINDOWS\system32\gebcy.dll Has been deleted!

 

Attempting to delete C:\windows\system32\ifihreka.dll

C:\windows\system32\ifihreka.dll Has been deleted!

 

Attempting to delete C:\windows\system32\khrtrsbg.dll

C:\windows\system32\khrtrsbg.dll Has been deleted!

 

Attempting to delete C:\windows\system32\lgvfujmo.ini

C:\windows\system32\lgvfujmo.ini Has been deleted!

 

Attempting to delete C:\windows\system32\mntwiygx.ini

C:\windows\system32\mntwiygx.ini Has been deleted!

 

Attempting to delete C:\windows\system32\omjufvgl.dll

C:\windows\system32\omjufvgl.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\oyisajmd.dll

C:\WINDOWS\system32\oyisajmd.dll Has been deleted!

 

Attempting to delete C:\windows\system32\ujomajul.dll

C:\windows\system32\ujomajul.dll Has been deleted!

 

Attempting to delete C:\windows\system32\wlitgytc.dll

C:\windows\system32\wlitgytc.dll Has been deleted!

 

Attempting to delete C:\windows\system32\xgyiwtnm.dll

C:\windows\system32\xgyiwtnm.dll Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\ycbeg.bak1

C:\WINDOWS\system32\ycbeg.bak1 Has been deleted!

 

Attempting to delete C:\windows\system32\ycbeg.bak2

C:\windows\system32\ycbeg.bak2 Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\ycbeg.ini

C:\WINDOWS\system32\ycbeg.ini Has been deleted!

 

Performing Repairs to the registry.

Done!

 

VundoFix V6.5.0

 

Checking Java version...

 

Java version is 1.4.2.5

Old versions of java are exploitable and should be removed.

 

Java version is 1.5.0.2

Old versions of java are exploitable and should be removed.

 

Java version is 1.5.0.4

Old versions of java are exploitable and should be removed.

 

Java version is 1.5.0.6

Old versions of java are exploitable and should be removed.

 

Java version is 1.5.0.9

Old versions of java are exploitable and should be removed.

 

Java version is 1.5.0.11

 

Scan started at 17:52:10 10/06/2007

 

Listing files found while scanning....

 

No infected files were found.

 

 

 

après redémarrage j'ai refais passer vundofix qui m'annonce la fin de mes soucis, enfin j'espère !

 

qu'elle est la suite des opérations??? y-a-t-il des choses a supprimer?

 

 

et le log hijackthis ????????

Modifié le 10 juin 2007 par Djaq