Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

trjan:WIN32/vundo/gen!BW [Résolu]

Floky26

Par Floky26
dans Analyses et éradication malwares

 Partager

Messages recommandés

Floky26 Junior Member

Floky26

Posté(e)
Posté(e)

Bonjour

 

Windows 7 a détecte un logiciel potentiellement dangereux je clic sur le petit drapeau pour voir seulement sa ouvre une fenêtre "Windows defender" que ce referme aussitôt j'aie juste eu le temps de lire qu'un trjan:WIN32/vundo/gen!BW est détecté.

 

 

"viryy.jpg"

 

 

Suite a ce message j'aie fais un scan avec mon anti virus "avira antivir personal" rien trouvé ensuite j'aie fais des recherche et j'aie trouvé un autre logiciel "Vundofix" j'aie refais un scan avec celui-ci toujours rien trouvé, J'aie lu un tuto pour utilisé Malwarebytes seulement il est bloqué même avec un RKILL et en passant par le mode sans échec.

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:50:50, on 10/07/2010

Platform: Unknown Windows (WinNT 6.01.3504)

MSIE: Internet Explorer v8.00 (8.00.7600.16385)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\system32\taskhost.exe

C:\Windows\system32\taskhost.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Windows\System32\rundll32.exe

C:\Windows\Explorer.exe

C:\Windows\system32\rundll32.exe

D:\Jeux\Steam\Steam.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Program Files\Mumble\mumble.exe

C:\Users\Florian\Desktop\HiJackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN : Hotmail, Messenger, Actualité, Sport et Vidéo

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN : Hotmail, Messenger, Actualité, Sport et Vidéo

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost; 127.0.0.1; <local>

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [ssttrqdrv] rundll32.exe "gedaxy.dll",s

O4 - HKLM\..\Run: [vtrssqsys] rundll32.exe "yaaayw.dll",DllRegisterServer

O4 - HKCU\..\Run: [steam] "d:\jeux\steam\steam.exe" -silent

O4 - HKCU\..\Run: [yaaywudrv] rundll32.exe "gedaxy.dll",s

O4 - HKUS\S-1-5-18\..\Run: [mlkiggsys] rundll32.exe "yaaayw.dll",DllRegisterServer (User 'Système')

O4 - HKUS\.DEFAULT\..\Run: [mlkiggsys] rundll32.exe "yaaayw.dll",DllRegisterServer (User 'Default user')

O4 - Global Startup: NETGEAR WG111v3 Smart Wizard.lnk = C:\Program Files\NETGEAR\WG111v3\WG111v3.exe

O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm

O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm

O8 - Extra context menu item: Télécharger le contenu de video FLV avec IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm

O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm

O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: DriveCrypt Service (DriveCryptService) - Unknown owner - C:\Program Files\DriveCrypt\DcrServ.exe

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe

O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe

O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe

 

--

End of file - 5546 bytes

 

 

Merci d'avance de vos réponses !

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

Salut et bienvenue sur le forum ;)

 

Quelques liens pour t'aider à commencer :

 

On va voir ensemble ce qui se passe sur ton PC ; comme tous les intervenants ici, nous aidons bénévolement en fonction de nos activités personnelles. On va essayer d'aller au plus vite, mais il faudra peut-être parfois être patient pour attendre une réponse, pas d'affolement ;)

 

Pour répondre ou ajouter un post, un rapport, etc, utilise le bouton Ajouter une réponse

 

*********

 

Note: Pour les téléchargements ci-dessous, si tu utilises Firefox, fais un clic droit sur le lien et choisis "Enregistrer sous"

 

Télécharge OTH sur ton Bureau

Télécharge OTL sur ton Bureau

 

Fais un clic droit sur le fichier OTH puis choisis Exécuter en tant qu'administrateur

puis clique sur Kill All Processes. Le Bureau va être vidé.

 

OTH_Main.gif

 

Clique ensuite sur Start OTL. OTL va s'exécuter.

 

  • Coche la case Tous les utilisateurs comme indiqué sur l'image.
    otl1.JPG
  • Clique sur le bouton Analyse rapide.
     
  • Lorsque l'analyse est terminée, deux fenêtres du Bloc-notes vont s'ouvrir. OTL.Txt et Extras.Txt. Ces fichiers sont sauvegardés dans le même dossier que OTL.
  • Clique sur le bouton Internet Explorer, connecte-toi sur le forum et envoie ces deux rapports dans ton sujet.

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

080821120923886402.png Relance OTL.exe.

 

  • Copie-colle le code suivant dans la fenêtre Personnalisation
     

    :first
     
    :OTL
    O4 - HKLM..\Run: [khgfeddrv] C:\Windows\System32\gedaxy.dll ($t@t1c_V()1D)
    O4 - HKLM..\Run: [urrrrssys] C:\Windows\System32\yaaayw.dll ()
    O4 - HKU\.DEFAULT..\Run: [efccdasys] C:\Windows\System32\yaaayw.dll ()
    O4 - HKU\.DEFAULT..\Run: [efffgedrv] C:\Windows\System32\gedaxy.dll ($t@t1c_V()1D)
    O4 - HKU\S-1-5-18..\Run: [efccdasys] C:\Windows\System32\yaaayw.dll ()
    O4 - HKU\S-1-5-18..\Run: [efffgedrv] C:\Windows\System32\gedaxy.dll ($t@t1c_V()1D)
    O4 - HKU\S-1-5-21-3419110973-2672001653-625276311-1000..\Run: [iifefcdrv] C:\Windows\System32\gedaxy.dll ($t@t1c_V()1D)
    O30 - LSA: Authentication Packages - (yaaayw.dll) - C:\Windows\System32\yaaayw.dll ()
     
    :files
    C:\Windows\System32\yaaayw.dll
    C:\Windows\System32\gedaxy.dll
     
    :commands
    [EmptyTemp]
    [EmptyFlash]
    [Reboot]
  • Clique ensuite sur Correction et patiente pendant que l'outil travaille.
  • Le pc va redémarrer pour terminer le nettoyage.
  • Copie-colle le contenu du rapport qui s'ouvre (C\_OTL\MovedFiles) dans ta prochaine réponse.

Floky26 Junior Member

Floky26

Posté(e)
  • Auteur
Posté(e)

En attendant votre réponse j'aie tenté de redémarré en mode sans échec et de supprimé les fichier seulement sa a pas marché !

J'aie refais un scan

--> http://www.cijoint.fr/cj201007/cijrFeY8KT.txt

 

Je pense faire sa mais j'attend votre confirmation avant de tenté autre chose!

 

 

:first

 

:OTL

O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found.

O3 - HKU\S-1-5-21-3419110973-2672001653-625276311-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.

O4 - HKLM..\Run: [iifghgsys] C:\Windows\System32\yaaayw.dll ()

O4 - HKLM..\Run: [opmnlkdrv] C:\Windows\System32\wvtqqo.dll ($t@t1c_V()1D)

O4 - HKU\.DEFAULT..\Run: [vtustqdrv] C:\Windows\System32\wvtqqo.dll ($t@t1c_V()1D)

O4 - HKU\.DEFAULT..\Run: [yaabxwsys] C:\Windows\System32\yaaayw.dll ()

O4 - HKU\S-1-5-18..\Run: [vtustqdrv] C:\Windows\System32\wvtqqo.dll ($t@t1c_V()1D)

O4 - HKU\S-1-5-18..\Run: [yaabxwsys] C:\Windows\System32\yaaayw.dll ()

O30 - LSA: Authentication Packages - (yaaayw.dll) - C:\Windows\System32\yaaayw.dll ()

 

:files

C:\Windows\System32\yaaayw.dll

C:\Windows\System32\pku2u.dll

C:\Windows\System32\wvtqqo.dll

 

:commands

[EmptyTemp]

[EmptyFlash]

[Reboot]

 

 

PS:Désolé :(

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut,

 

Je comprends ton empressement Floky ;) Certaines infections sont particulièrement élaborées et se protègent même en mode sans échec: du coup pas moyen de supprimer les fichiers/ clés de registre qu'elle aura créé. On va tenter de finir la désinfection ce soir, mais je te demanderais juste de ne rien tenter par toi même car ca peux gêner le cours de la procédure ;)

 

Copie le script que je t'ai indiqué (sélectionne le puis clic droit => copier).

Ferme ton navigateur puis fais un clic droit sur le fichier OTH et choisis Exécuter en tant qu'administrateur.

Clique sur Kill All Processes

Clique ensuite sur Start OTL. OTL va s'exécuter.

Dans la fenêtre Personnalisation fais un clic droit => coller.

Tu dois voir apparaitre le script que tu as copié s'afficher.

Continue comme indiqué. Lorsque le travail de l'outil est terminé et que le pc a redémarré, poste le rapport généré, puis relance OTL, refais un scan de la même manière que le premier et poste le nouveau rapport.

 

Courage ;)

Floky26 Junior Member

Floky26

Posté(e)
  • Auteur
Posté(e) (modifié)

Rapport:

 

All processes killed

Error: Unable to interpret <:first> in the current context!

========== OTL ==========

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\khgfeddrv not found.

File C:\Windows\System32\gedaxy.dll not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\urrrrssys not found.

C:\Windows\System32\yaaayw.dll moved successfully.

Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\\efccdasys not found.

File C:\Windows\System32\yaaayw.dll not found.

Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\\efffgedrv not found.

File C:\Windows\System32\gedaxy.dll not found.

Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\efccdasys not found.

File C:\Windows\System32\yaaayw.dll not found.

Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\efffgedrv not found.

File C:\Windows\System32\gedaxy.dll not found.

Registry value HKEY_USERS\S-1-5-21-3419110973-2672001653-625276311-1000\Software\Microsoft\Windows\CurrentVersion\Run\\iifefcdrv not found.

File C:\Windows\System32\gedaxy.dll not found.

Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\\Authentication Packages:yaaayw.dll deleted successfully.

File C:\Windows\System32\yaaayw.dll not found.

========== FILES ==========

File\Folder C:\Windows\System32\yaaayw.dll not found.

File\Folder C:\Windows\System32\gedaxy.dll not found.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Administrateur

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Java cache emptied: 0 bytes

 

User: All Users

 

User: Chantal

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Florian

->Temp folder emptied: 135055 bytes

->Temporary Internet Files folder emptied: 33170 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 35612834 bytes

->Flash cache emptied: 1087 bytes

 

User: Public

->Temp folder emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 8930159 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 43,00 mb

 

 

[EMPTYFLASH]

 

User: Administrateur

 

User: All Users

 

User: Chantal

->Flash cache emptied: 0 bytes

 

User: Default

 

User: Default User

 

User: Florian

->Flash cache emptied: 0 bytes

 

User: Public

 

Total Flash Files Cleaned = 0,00 mb

 

 

OTL by OldTimer - Version 3.2.9.0 log created on 07112010_192234

 

Files\Folders moved on Reboot...

File move failed. C:\Windows\temp\hlktmp scheduled to be moved on reboot.

 

Registry entries deleted on Reboot...

 

 

SCAN:

 

http://www.cijoint.fr/cj201007/cijkUC8lTN.txt

Modifié par Floky26
Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

re!

 

Ok: j'aimerai que tu retentes un scan avec MalwareBytes comme ceci =>

 

Branche tous les supports amovibles que tu possèdes avant de faire ce scan (clé usb/disque dur externe etc)

  • Ferme ton navigateur puis fais un clic droit sur le fichier OTH et choisis Exécuter en tant qu'administrateur.
  • Clique sur Kill All Processes
  • Clique ensuite sur Start Misc Program
  • Une fenêtre va s'ouvrir te permettant de naviguer sur le disque dur.
  • Rends toi sur le Bureau et repère le fichier Malwarebytes' Anti-Malware
  • Sélectionne le puis clique sur le bouton Ouvrir.
  • Le programme vient de se lancer: dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
    20091211135631.png
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen complêt"
  • Clique sur "Rechercher"
  • L'analyse démarre, le scan est relativement long, c'est normal.
  • A la fin de l'analyse, un message s'affiche :
    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...