Infection spyware Vundo

[moutmout]

Manip effectuée!

 

 

Voici le rapport de Malwarebytes Anti Malware:

 

Malwarebytes' Anti-Malware 1.30

Version de la base de données: 1354

Windows 5.1.2600 Service Pack 2

 

1/11/2008 22:05:16

mbam-log-2008-11-01 (22-05-12).txt

 

Type de recherche: Examen rapide

Eléments examinés: 47447

Temps écoulé: 5 minute(s), 31 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 3

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Delsim (Dialer) -> No action taken.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\WINDOWS\system32\xviykfoo.dll (Trojan.Vundo) -> No action taken.

[Apollo]

Re,

 

No action taken.

 

Tu n'as pas appliqué ceci?

 

Si des malwares ont été détectés, clique sur Afficher les résultats.

Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

 

Si tu ne l'as fait, tu dois recommencer l'analyse en fixant les objets trouvés par MBAM.

 

Poste ce rapport puis un nouveau log Hijackthis fait après reboot si nécessaire.

 

@ + tard.

[moutmout]

J'ai l'impression qu'on voit le bout du tunnel ... Je n'ose y croire !

 

Voici le rapport Hijackthis, je pense qu'il est clean

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:22:52, on 1/11/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Bonjour\mDNSResponder.exe

d:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe

C:\WINDOWS\System32\nvsvc32.exe

d:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe

C:\WINDOWS\System32\wltrysvc.exe

C:\WINDOWS\System32\bcmwltry.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\WLTRAY.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\Program Files\QuickTime\qttask.exe

D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\WinOSX\sebastien\ObjectDock\ObjectDock.exe

C:\Program Files\WinOSX\sebastien\YzShadow\YzShadow.exe

C:\Program Files\WinOSX\sebastien\WinRoll\WinRoll.exe

C:\Program Files\WinOSX\sebastien\3r-1c\3r-1c.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\sebastien\Bureau\mortavundo.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - D:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll

O4 - HKLM\..\Run: [Dell Wireless Manager UI] C:\WINDOWS\System32\WLTRAY

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [ZoneAlarm Client] "d:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [CursorXP] "C:\Program Files\CursorXP\CursorXP.exe" -s

O4 - HKCU\..\Run: [ObjectDock] C:\Program Files\WinOSX\sebastien\ObjectDock\ObjectDock.exe

O4 - HKCU\..\Run: [YzShadow] C:\Program Files\WinOSX\sebastien\YzShadow\YzShadow.exe

O4 - HKCU\..\Run: [WinRoll] C:\Program Files\WinOSX\sebastien\WinRoll\WinRoll.exe

O4 - HKCU\..\Run: [3r-1c (Volume Control)] C:\Program Files\WinOSX\sebastien\3r-1c\3r-1c.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)

O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - d:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - d:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

 

--

End of file - 5402 bytes

[Apollo]

Re,,

 

Puis-je voir le rapport de MBAM stp?

 

C'est mieux; on fera une dernière vérif avec un scan en ligne plus tard.

 

En attendant:

 

Désinstalle ComboFix de cette manière en copiant/collant la ligne ci-dessous dans exécuter et valide:

 

ComboFix /u

 

Vire ce dossier: C:\Qoobox puis vide la corbeille.

 

**

Pour désinstaller les outils utilisés:

 

Télécharger ToolsCleaner! de A.Rothstein pour enlever les programmes utilisés pendant la procédure.

http://pc-system.fr/TC/ToolsCleaner2.exe

* Enregistrer ToolsCleaner2.exe sur le Bureau.

Sous Vista,Clic-droit > Exécuter en tant qu' Administrateur

* Double-cliquer dessus, puis cliquer sur Recherche --> Le programme va chercher les utilitaires installés

------> Il se peut que la fenêtre devienne blanche pendant le scan, c'est normal !

* Copier-coller le contenu du rapport qui apparait dans la fenêtre blanche.

 

Lorsque la recherche est terminée ToolsCleaner affiche une liste des différents outils trouvés, cliquez sur "Suppression" afin de les supprimer.

Fermez le programme en cliquant sur "Quitter ".

 

Postez le rapport qui se trouve ici >>> C:\TCleaner.txt

 

Options facultatives

 

A utiliser si vous le souhaitez :

 

Création d'un nouveau point de restauration (conseillé)

Vidage de la corbeille

Nettoyage de vos fichiers temporaires

 

Mets ta console Java à jour:

http://www.java.com/fr/download/manual.jsp

 

Ta console Java étant à jour; t'es-tu déjà servi(e) de Javara?

Si c'est non: n'utilise que le bouton que je montre:

Télécharge JavaRa.zip de Paul 'Prm753' McLain et Fred de Vries.

• * Décompresse le fichier sur le bureau (clic droit > Extraire tout)
  * Double-cliquer sur le répertoire JavaRa.
  * Puis double-cliquer sur le fichier JavaRa.exe (le exe peut ne pas s'afficher)
  * Clique sur Search For Updates.
  * Sélectionner Update Using jucheck.exe puis cliquer sur Search.
  * Autorise le processus à se connecter s'il le demande, cliquer sur Install et suivre les instructions d'installation qui prennent quelques minutes.
  * L'installation est terminée, revenez à l'écran de JavaRa et clique sur Remove Older Versions.
  * Clique sur Oui pour confirmer. Laisse travailler et cliquez ensuite sur Ok, puis une deuxième fois sur Ok.
  * Un rapport va s'ouvrir à copier-coller dans la prochaine réponse.
  * Fermer l'application
  

Note : le rapport se trouve aussi à la racine de la partition système, en général C:\ sous le nom JavaRa.log .

***********************

Fais le scan en ligne:

 

TUTO: http://www.vista-xp.fr/forum/topic109.html

 

• Fais un scan en ligne Kaspersky
  
• Clique sur Accept
  
• Patiente le temps d'installation du Webscanner.
  
• Les bases de mises à jour vont s'installer, patiente un moment
  
• Clique sur Next.
  
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.
  

 

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

 

Copie/colle l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

 

Colle ce rapport dans ta réponse sur le forum.

 

@++

[moutmout]

rapport tcleaner :

 

[ Rapport ToolsCleaner version 2.2.5 (par A.Rothstein & dj QUIOU) ]

 

-->- Recherche:

 

C:\VundoFix.txt: trouvé !

C:\Combofix.txt: trouvé !

C:\Documents and Settings\All Users\Bureau\VBG.txt: trouvé !

C:\Documents and Settings\sebastien\Bureau\SdFix.exe: trouvé !

C:\Documents and Settings\sebastien\Bureau\VirtumundoBeGone.exe: trouvé !

C:\Documents and Settings\sebastien\Bureau\vundoFix.exe: trouvé !

C:\Documents and Settings\sebastien\Bureau\hijackthis.log: trouvé !

C:\Documents and Settings\sebastien\Menu Démarrer\Programmes\HijackThis: trouvé !

 

---------------------------------

-->- Suppression:

 

C:\Documents and Settings\sebastien\Bureau\SdFix.exe: supprimé !

C:\Documents and Settings\sebastien\Bureau\VirtumundoBeGone.exe: supprimé !

C:\Documents and Settings\sebastien\Bureau\vundoFix.exe: supprimé !

C:\VundoFix.txt: supprimé !

C:\Combofix.txt: supprimé !

C:\Documents and Settings\All Users\Bureau\VBG.txt: supprimé !

C:\Documents and Settings\sebastien\Bureau\hijackthis.log: supprimé !

C:\Documents and Settings\sebastien\Menu Démarrer\Programmes\HijackThis: supprimé !*

 

 

 

Point de restauration crée !

Corbeille vidée!

Fichiers temporaires nettoyés !

 

Pour le rapport de Kaspery, je n'ai jamais pu aller jusqu'au bout (après 12h le scan n'était pas à 50% /...) mais je pense que c'est bon, en tout cas plus de nouvelle de vundo depuis quelques temps ....

 

Je tenais vraiment à te remercier pour l'aide apportée, sans toi j'étais foutu (en plus avec mon problème d'écran impossible de formater .....). Heureusement qu'il existe des gens comme toi ....

[Apollo]

Bonjour,

 

Je fais ce que je peux pour aider les gens

 

A mon tour, je vais te demander un peu de ton temps pour témoigner de ton infection, cela prend 5 minutes et ça peut servir un jour. Tu entreras ainsi dans la grande communauté de la lutte antimalware.

 

Pour sécuriser au maximum ton PC, il faut:

 

Que tu connaisses les pièges d'Internet et la façon de les éviter.

Pour cela, consulte ce document au format PDF. Tout y est expliqué.

Jusqu'à présent Vista avait été épargné par les virus et troyens essentiellement développés pour XP. Mais il est vite devenu la cible des menaces en tout genre. Donc, autant savoir à l'avance comment se protéger.

 

:arrow: Enfin, ce serait cool que tu déclares ton infection sur Malware Complaints. Qu'est ce que Malware Complaints

Pour faire entendre notre voix, nous devons être le plus nombreux possible à témoigner.

 

• Voir les règles de Malware-Complaints : http://www.malwarecomplaints.info/phpBB3/viewtopic.php?t=5
   
  
• Enregistre toi sur le forum à partir du bouton register en haut :
   
  
• Après t'être enregistré, tu as sous forme de liste les types d'infection (Look2Me, Smitfraud, etc..) :
  Exemple pour la France: http://www.malwarecomplaints.info/phpBB3/viewforum.php?f=10
   
  Belgique:
  http://www.malwarecomplaints.info/phpBB3/viewforum.php?f=35
   
  Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas quelle infection tu as eu, crée un message dans le sujet "Autres infections" conforme aux règles du forum (age, ville, département etc..) (Dans ton cas, il s'agit d'une infection VUNDO + infections diverses.
   
  
• Pour poster un message, clique sur le bouton "post reply" et saisis les informations.
  NE PAS CREER UN NOUVEAU SUJET avec le bouton New Topic.
   
  NB: Si tu as de la difficulté pour l'inscription sur Malware Complaints, tout est expliqué ICI
  

 

Si tout est ok pour toi:

 

• Pense à éditer ton premier post pour rajouter "Résolu" dans le titre. Pour cela clique sur "Editer dans ton premier post. Tu pourras alors changer le titre.
  

 

A bientot