[ Résolu ] Infection par Trojan Vundo / SOS

[bamboo]

Bonsoir à tous, et merci d'avance à ceux qui voudront bien m'aider.

 

Mon pc est infecté par un Trojan Vundo, j'ai bien sûr consulté plusieurs tutoriels afin de l'éradiquer par moi-même, mais malheureusement il subsiste sur un fichier, et je ne parviens pas à en venir à bout. J'ai téléchargé et exécuté Vundofix, Fixvundo ( également en mode sans échec ), mais impossible de supprimer le fichier infecté ( iiffeec.dll dans system32 ).

 

Voici le rapport HiJackThis :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:13:10, on 26/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe

C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe

c:\APPS\HIDSERVICE\HIDSERVICE.exe

C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Program Files\Analog Devices\SoundMAX\Smax4.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\WINDOWS\system32\svchost.exe

C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

c:\APPS\Powercinema\Kernel\TV\CLSched.exe

C:\Program Files\Wanadoo\EspaceWanadoo.exe

C:\Program Files\Wanadoo\ComComp.exe

C:\Program Files\Wanadoo\Watch.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Outlook Express\msimn.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\ANNESO~1\LOCALS~1\Temp\Rar$EX00.078\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

F3 - REG:win.ini: run="C:\WINDOWS\system32\winupdate.exe"

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe"

O4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm

O16 - DPF: {317153FE-B7FB-419B-AC87-0B2EC97D7A04} (VB2S ActiveX Control) - http://www.subdo.com/activex/vb2s.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.extrafilm.fr/net/Import/ImageUploader3.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game06.zylom.com/activex/zylomgamesplayer.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/5m/vir...5/installer.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{0591C481-0FFB-4407-949B-2C76941A1A3F}: NameServer = 81.253.149.9 80.10.246.132

O17 - HKLM\System\CS1\Services\Tcpip\..\{0591C481-0FFB-4407-949B-2C76941A1A3F}: NameServer = 81.253.149.9 80.10.246.132

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe

O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe

O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

 

--

End of file - 7840 bytes

 

Apparemment je peux supprimer manuellement ce fichier iiffeec.dll en mode sans échec, mais je préfère ne pas faire n'importe quoi, n'étant pas une pro...

 

Merci d'avance pour votre aide

Modifié le 1 mars 2008 par bamboo

[Lien Rag]

Bonsoir

 

Post le rapport Vundo Stp

[bamboo]

Bonjour,

 

voici le dernier rapport Vundo effectué :

 

VundoFix V6.7.8

 

Checking Java version...

 

Java version is 1.4.2.5

Old versions of java are exploitable and should be removed.

 

Scan started at 21:05:02 26/02/2008

 

Listing files found while scanning....

 

C:\WINDOWS\system32\iiffeec.dll

C:\WINDOWS\system32\utstv.ini

C:\WINDOWS\system32\utstv.ini2

C:\WINDOWS\system32\vtstu.dll

 

Beginning removal...

 

Attempting to delete C:\WINDOWS\system32\iiffeec.dll

C:\WINDOWS\system32\iiffeec.dll Could not be deleted.

 

Attempting to delete C:\WINDOWS\system32\utstv.ini

C:\WINDOWS\system32\utstv.ini Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\utstv.ini2

C:\WINDOWS\system32\utstv.ini2 Has been deleted!

 

Attempting to delete C:\WINDOWS\system32\vtstu.dll

C:\WINDOWS\system32\vtstu.dll Has been deleted!

 

Performing Repairs to the registry.

Done!

 

Beginning removal...

 

Attempting to delete C:\WINDOWS\system32\iiffeec.dll

C:\WINDOWS\system32\iiffeec.dll Could not be deleted.

 

Performing Repairs to the registry.

Done!

 

 

Merci d'avance.

[Lien Rag]

Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.

 

[*]Double-clique sur OTMoveIt.exe pour le lancer.

[*]Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée !!!

[*]Copie le texte qui se trouve dans l'encadré ci-dessous, et colle le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved.

 

C:\WINDOWS\system32\iiffeec.dll

 

[*]Clique sur MoveIt! pour lancer la suppression.

[*]Si OTMoveIt propose de redémarrer ton PC, accepte.

[*]Lorsque un résultat apparaît dans le cadre Results, clique sur Exit.

 

[*]Dans ta future réponse, envoie le rapport de OTMoveIt situé sur C:\_OTMoveIt\MovedFiles.

[bamboo]

Bonsoir,

 

voici le rapport :

 

DllUnregisterServer procedure not found in C:\WINDOWS\system32\iiffeec.dll

C:\WINDOWS\system32\iiffeec.dll NOT unregistered.

C:\WINDOWS\system32\iiffeec.dll moved successfully.

 

Created on 02/27/2008 21:33:11

 

 

Il ne m'a pas été demandé de redémarrer le pc.

[Lien Rag]

Telecharge AVGanti-spy

 

Avant tout: Mise à jour ( via l'onglet & connexion internet): si la maj ne fonctionne pas fais le scan qd meme

 

puis lance un scan complet

 

supprime ce que AVGas aura trouvé puis génère un rapport

 

Post le rapport

[bamboo]

J'avais déjà une autre version d'AVG ( AVG Free edition ), je l'ai donc désinstallée pour la remplacer par celle-ci, je vais procéder de suite au scan et posterai le rapport dès que c'est terminé.

 

Merci pour ton aide.

[Lien Rag]

Toi tu avais l'antivirus , AVGas c'est l'antispyware

 

ceci dit en gratuit efficace je te conseil plutot Avira

 

http://www.malekal.com//tutorial_antivir_security_suite.php

[bamboo]

Ah ok, pas douée moi...

Le scan est en train de s'effectuer.

 

Par contre je n'avais plus ces fenêtres intempestives me disant que mon pc est infecté etc etc..., et là ça vient de recommencer. Dès que je change de page ou que je rafraîchis, j'ai un message de ce genre, ou une pub qui s'affiche en haut de la page, toujours en rapport avec les virus, logiciels espions, logiciels de désinfection gratuits etc...

[bamboo]

Voici le rapport d'AVGas :

 

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 23:41:14 27/02/2008

 

+ Résultat de l'analyse:

 

 

 

HKU\S-1-5-21-3477145094-1213179201-220802184-1006\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} -> Adware.2020Search : Nettoyé.

C:\WINDOWS\Temp\removalfile.bat -> Not-A-Virus.Adware.Virtumonde : Nettoyé.

C:\Documents and Settings\Anne Sophie\Cookies\anne sophie@adtech[1].txt -> TrackingCookie.Adtech : Nettoyé.

C:\Documents and Settings\Anne Sophie\Local Settings\Temp\Cookies\anne sophie@adtech[1].txt -> TrackingCookie.Adtech : Nettoyé.

C:\Documents and Settings\Anne Sophie\Cookies\anne sophie@advertising[1].txt -> TrackingCookie.Advertising : Nettoyé.

C:\Documents and Settings\Anne Sophie\Cookies\anne sophie@adviva[2].txt -> TrackingCookie.Adviva : Nettoyé.

C:\Documents and Settings\Anne Sophie\Cookies\anne sophie@atdmt[2].txt -> TrackingCookie.Atdmt : Nettoyé.

C:\Documents and Settings\Anne Sophie\Cookies\anne sophie@bluestreak[1].txt -> TrackingCookie.Bluestreak : Nettoyé.

C:\Documents and Settings\Anne Sophie\Cookies\anne sophie@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.

C:\Documents and Settings\Anne Sophie\Local Settings\Temp\Cookies\anne sophie@doubleclick[1].txt -> TrackingCookie.Doubleclick : Nettoyé.

C:\Documents and Settings\Anne Sophie\Cookies\anne sophie@mediaplex[1].txt -> TrackingCookie.Mediaplex : Nettoyé.

C:\Documents and Settings\Anne Sophie\Cookies\anne sophie@france.real[1].txt -> TrackingCookie.Real : Nettoyé.

C:\Documents and Settings\Anne Sophie\Cookies\anne sophie@real[1].txt -> TrackingCookie.Real : Nettoyé.

C:\Documents and Settings\Anne Sophie\Cookies\anne sophie@bs.serving-sys[2].txt -> TrackingCookie.Serving-sys : Nettoyé.

C:\Documents and Settings\Anne Sophie\Cookies\anne sophie@serving-sys[1].txt -> TrackingCookie.Serving-sys : Nettoyé.

C:\Documents and Settings\Anne Sophie\Cookies\anne sophie@smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.

C:\Documents and Settings\Anne Sophie\Cookies\anne sophie@statcounter[1].txt -> TrackingCookie.Statcounter : Nettoyé.

C:\Documents and Settings\Anne Sophie\Cookies\anne sophie@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Nettoyé.

C:\Documents and Settings\Anne Sophie\Cookies\anne sophie@weborama[2].txt -> TrackingCookie.Weborama : Nettoyé.

C:\Documents and Settings\Anne Sophie\Cookies\anne sophie@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Nettoyé.

C:\Documents and Settings\Anne Sophie\Local Settings\Temp\Cookies\anne sophie@ad.yieldmanager[2].txt -> TrackingCookie.Yieldmanager : Nettoyé.

 

 

Fin du rapport