Problème trojan virtumonde ? Blocage de mise à jour des logiciels

benjifast · le 10 juin 2010

Bonjour,

Suite blocage de mise à jour sur un logiciel de travail.

Je pense etre infecté par un trojan virtumonde.sdn suite analyse spybot.

Pouvez-vous m'aider?

Merci d'avance

Benji

Modifié le 10 juin 2010 par benjifast

benjifast · le 10 juin 2010

ci-joint rapport hijack:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:05:45, on 10/06/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.17023)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Panasonic\HPLSMAN\hplsman.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\Program Files\Panasonic\Disprot\IDRot.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40RP7.EXE

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Common Files\Teradyne\TDSNetSetup.exe

C:\Program Files\Ford Motor Company\IDS\Runtime\XMLRegistryD.exe

C:\Program Files\Ford Motor Company\IDS\Runtime\CodeServeD.exe

C:\Program Files\Ford Motor Company\IDS\Runtime\TDSNetConfig.exe

C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe

C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Program Files\Panasonic\HPLSMAN\hplskey.exe

C:\Program Files\Panasonic\HotKey Appendix\HKEYAPP.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\Tprbtn.exe

C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe

C:\Program Files\IDS Main Menu\IDS Main Menu2.exe

C:\Program Files\Ford Motor Company\IDS\Runtime\Starburst.exe

C:\Program Files\Ford Motor Company\IDS\Runtime\EngineeringFeedback.exe

C:\Program Files\Ford Motor Company\IDS\Runtime\ProbeTickHandler.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFBE.EXE

C:\Documents and Settings\All Users\Application Data\FLEXnet\Connect\11\ISUSPM.exe

C:\Program Files\Panasonic\DispRot\IDRot.exe

C:\Program Files\Panasonic\WRITING\Writing.exe

C:\Program Files\Panasonic\MEISKB\meiskb.exe

C:\Program Files\Panasonic\WLANSW\WLANSW.EXE

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\IDS Administrator\Local Settings\Temporary Internet Files\Content.IE5\PEVBO4NK\HiJackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.ford.com/

O1 - Hosts: 172.30.78.2 GNA600_3906K38364

O1 - Hosts: 172.30.78.10 GNA600_3906K38364

O1 - Hosts: 172.30.78.3 GNA600_3906K38364

O1 - Hosts: 172.30.78.4 GNA600_3906K38364

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Tabman Control BHO - {1E1B2879-88FF-11D2-8D96-D7ACAC95951F} - (no file)

O2 - BHO: TM_BHO Class - {60EC89B7-367D-402B-8C55-30FAEB32A705} - C:\Program Files\Ford Motor Company\IDS\Runtime\TMCtrlBHO.dll

O4 - HKLM\..\Run: [Hotkey] C:\WINDOWS\system32\hkeyman.exe

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [HPlsKey] C:\Program Files\Panasonic\HPLSMAN\hplskey.exe

O4 - HKLM\..\Run: [PRunOnce] C:\util\prunonce\PRunOnce.exe

O4 - HKLM\..\Run: [PCinfo] C:\Program Files\Panasonic\PCINFO\SetDiag.exe /FirstLogin

O4 - HKLM\..\Run: [Panasonic HotKey Manager] "C:\Program Files\Panasonic\HotKey Appendix\HKEYAPP.EXE"

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [intelZeroConfig] C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [intelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [iDSMainMenu] "C:\Program Files\IDS Main Menu\IDS Main Menu2.exe"

O4 - HKLM\..\Run: [iDSTechnician] "C:\Program Files\IDS\TechLocale.exe"

O4 - HKLM\..\Run: [iMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE

O4 - HKLM\..\Run: [starburst] "C:\Program Files\Ford Motor Company\IDS\Runtime\Starburst.exe"

O4 - HKLM\..\Run: [Feedback] "C:\Program Files\Ford Motor Company\IDS\Runtime\EngineeringFeedback.exe"

O4 - HKLM\..\Run: [TDSReanimator] "C:\Program Files\Common Files\Teradyne\TDSReanimator.exe"

O4 - HKLM\..\Run: [\\ANTON-GN8G3KS7K\EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P44 "\\ANTON-GN8G3KS7K\EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"

O4 - HKLM\..\Run: [ProbeTickHandler] "C:\Program Files\Ford Motor Company\IDS\Runtime\ProbeTickHandler.exe"

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [EPSON SX110 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFBE.EXE /FU "C:\WINDOWS\TEMP\E_S4E.tmp" /EF "HKCU"

O4 - HKCU\..\Run: [iSUSPM] "C:\Documents and Settings\All Users\Application Data\FLEXnet\Connect\11\ISUSPM.exe" -scheduler

O4 - HKUS\S-1-5-21-355525905-6549912-484541341-1007\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'Technician')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Display Rotation Tool.lnk = ?

O4 - Global Startup: Panasonic Hand Writing.lnk = ?

O4 - Global Startup: Software Keyboard.lnk = ?

O4 - Global Startup: Wireless LAN Switch.lnk = ?

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1172140183305

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O20 - Winlogon Notify: HPLSNTF - C:\WINDOWS\SYSTEM32\HPLSNtf.dll

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Documents and Settings\All Users\Application Data\EPSON\EPW!3 SSRP\E_S40RP7.EXE

O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: TDSNetSetup - Unknown owner - C:\Program Files\Common Files\Teradyne\TDSNetSetup.exe

--

End of file - 8528 bytes

Smart91 · le 10 juin 2010

Bonjour,

On va analyser ton PC plus profondément:

Utilise ce logiciel de diagnostic :

• Télécharge ZHPDiag (de Nicolas Coolman)

• Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)

• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette

• Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

Smart

Modifié le 11 juin 2010 par ipl_001
Smart91 n'a pas de droit pour intervenir en désinfection !

benjifast · le 10 juin 2010

Merci de ton aide, voici le lien du rapport ZHP:

Benji

Modifié le 11 juin 2010 par benjifast

Smart91 · le 11 juin 2010

En effet tu as une infection Vundo (virtumonde) et quelques toolbars inutiles

Tout d'abord désinstalle Spyboy Search & Destroy, il n'est plus utile aujourd'hui et ne fait que ralentir ton PC.

Pour cela tu cliques sur Démarrer > Programmes > Sypbot Searc& Destroy > Uninstall Spybot S&D > OUI

Ensuite tu fais ceci:

• Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)

• Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

• Copie/colle les lignes suivantes et place les dans ZHPFix :

----------------------------------------------------------

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified

[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified

[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified

O2 - BHO: Tabman Control BHO - {1E1B2879-88FF-11D2-8D96-D7ACAC95951F} . (.Pas de propriétaire - Pas de description.) -- (.not file.)

----------------------------------------------------------

• Clique sur « Tous », puis sur « Nettoyer »

• Copie/colle la totalité du rapport dans ta prochaine réponse

Ensuite:

Télécharge Malwarebytes
Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
Fais la mise à jour du logiciel - Très important (elle se fait normalement à l'installation)
Lance une analyse complète en cliquant sur "Exécuter un examen complet"
Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
L'analyse peut durer un bon moment.....
Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

Voilà cela te fait deux rapports à poster

Smart

Modifié le 11 juin 2010 par ipl_001
Smart91 n'a pas de droit pour intervenir en désinfection !

benjifast · le 11 juin 2010

Ok, voici le rapport ZHPfix:

ZHPFix v1.12.3105 by Nicolas Coolman - Rapport de suppression du 11/06/2010 12:56:43

Fichier d'export Registre : C:\ZHPExportRegistry-11-06-2010-12-56-43.txt

Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

Contact : nicolascoolman@yahoo.fr

Processus mémoire :

(Néant)

Module mémoire :

(Néant)

Clé du Registre :

O2 - BHO: Tabman Control BHO - {1E1B2879-88FF-11D2-8D96-D7ACAC95951F} . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Clé supprimée avec succès

Valeur du Registre :

(Néant)

Elément de données du Registre :

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified => Donnée supprimée avec succès

[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified => Donnée supprimée avec succès

[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified => Donnée supprimée avec succès

Préférences navigateur :

(Néant)

Dossier :

(Néant)

Fichier :

(Néant)

Logiciel :

(Néant)

Script Registre :

(Néant)

Master Boot Record :

(Néant)

Autre :

(Néant)

Récapitulatif :

Processus mémoire : 0

Module mémoire : 0

Clé du Registre : 1

Valeur du Registre : 0

Elément de données du Registre : 3

Dossier : 0

Fichier : 0

Logiciel : 0

Master Boot Record : 0

Préférences navigateur : 0

Autre : 0

End of the scan

Smart91 · le 11 juin 2010

Très bien. Et maintenant le rapport MBAM

Smart

Modifié le 11 juin 2010 par ipl_001
Smart91 n'a pas de droit pour intervenir en désinfection !

ipl_001 · le 11 juin 2010

Benjifast - excuse-moi d'intervenir dans ton sujet mais il me faut "faire la police" !

Smart91 :

Tous tes posts ci-dessus sont biffés avec la mention : "Smart 91 n'a pas de droit pour intervenir en désinfection !"

> Messages : 6

> Inscrit : 31/05/2010

Je te souhaite la bienvenue sur Zebulon.fr Quelques conseils pour bien commencer et t'intégrer sur notre forum :

Lorsqu'on débarque sur un forum, on commence par examiner les habitudes et les conditions d'intervention... tu n'as pas pu rater les sujets épinglés

-> Faq - Fonctionnement de la section

-> Procédure de fourniture d'aide sur ce sous-forum

Il semblerait que tu foules aux pieds les messages privés qui t'ont été adressés à ce sujet.

Si tu juges être un cador en désinfection et que les règles ne doivent pas s'appliquer à un internaute de ta classe tu te trompes !

Si tu penses avoir les qualités nécessaires à intervenir valablement (je veux dire, si tu as suivi les formations requises), commence, s'il te plaît, par prendre contact avec les responsables des forums sécurité !

Merci de lire les règles qui prévalent ici et de t'abstenir d'intervenir dans les sujets de cette section !

Ceci est un premier avertissement, sans frais - je n'ai pas mis de pénalité.

Smart91 · le 11 juin 2010

@ ipl 001

je t'ai envoyé un MP beaucoup plus poli que ta réponse.

En aucun cas j'ai dit qu je suis un cador en désinfection et loin de moi d'avoir cet ego, j'ai tellement encore à apprendre comme beaucoup

Bon peu importe à partir du moment ou une relation à mal débuter le mieux est de s'abstenir.

Donc comme je le disais dans mon MP, je souhaiterai être désinscrit du Forum., et vous demande de ne pas garder mes informations personnelles comme mon adresses email.

Cordialement

Smart

Modifié le 11 juin 2010 par Smart91

benjifast · le 11 juin 2010

Bonsoir

Ok, j'attend toujours de l'aide concernant mon infection virtumonde.

Ce que j'ai déja fait plus haut est-ce ok?

Merci

Benji

Connexion

Pas encore inscrit ?

Problème trojan virtumonde ? Blocage de mise à jour des logiciels

Messages recommandés

benjifast

benjifast

Smart91

benjifast

Smart91

benjifast

Smart91

ipl_001

Smart91

benjifast

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer