Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

trojan vundoH

manuthi

Par manuthi
dans Analyses et éradication malwares

 Partager

Messages recommandés

manuthi Member

manuthi

Posté(e)
Posté(e)

bonjour

 

suite à un precedent message ,j'ai installé malwarebytes'Anti-Malware

qui lors de la premiere analyse n'avait rien decelé

et maintenant retrouve un trojan vundoH

qui malgré la manip d'elimination ,reapparati lors de la recherche suivante

 

comment eradiquer?

quels degats?

 

merci

 

ci joint le rapport

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Version de la base de données: 4996

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

31/10/2010 21:30:30

mbam-log-2010-10-31 (21-30-30).txt

 

Type d'examen: Examen rapide

Elément(s) analysé(s): 167946

Temps écoulé: 22 minute(s), 52 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\WINDOWS\system32\Datasave.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Bonsoir,

 

MBAM n'est pas à jour.

 

Fais la mise à jour puis lance une analyse complète.

Poste le rapport obtenu.

 

Puis,

 

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

 

Pour les systèmes 64 Bits: Télécharger RSIT 64 Bits

 

  • Double-clique sur RSIT.exe afin de lancer RSIT. Pour XP
     
    Important :
    * Sous Vista : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
     
    * Sous Windows 7 : Il faut mettre le fichier RSIT.exe sur le bureau, faire un clic droit dessus et dans Propriétés, onglet Compatibilité, cocher la case "Exécuter ce programme en mode compatibilité pour" et dans le menu choisir Vista SP2 et la case dans Niveau de privilège.
    Valide par Appliquer.
     
  • Clique Continue à l'écran Disclaimer.
  • Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
  • Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
    ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

 

>>>Héberge les rapports RSIT ici: Cijoint.fr - Service gratuit de dépôt de fichiers et me donner les liens pour que je puisse les consulter.

 

Pour l'instant, il vaut mieux procéder de la sorte pour ne pas planter le sujet du forum.

N'héberge les fichiers que lorsqu'on le demande stp, sinon poste-les en clair. Merci.

+++

manuthi Member

manuthi

Posté(e)
  • Auteur
Posté(e)

bonjour

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Version de la base de données: 5016

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

02/11/2010 06:11:50

mbam-log-2010-11-02 (06-11-50).txt

 

Type d'examen: Examen complet (C:\|T:\|)

Elément(s) analysé(s): 300213

Temps écoulé: 2 heure(s), 12 minute(s), 41 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\WINDOWS\system32\Datasave.dll (Trojan.Vundo.H) -> No action taken.

 

ci joint le dernier rapport mbam;mon trojan est toujours là

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Bonjour,

 

Fichier(s) infecté(s):

C:\WINDOWS\system32\Datasave.dll (Trojan.Vundo.H) -> No action taken.

 

ci joint le dernier rapport mbam;mon trojan est toujours là

 

Logique si tu ne le supprimes pas avec MBAM; No action taken = aucune action entreprise.

 

@++

manuthi Member

manuthi

Posté(e)
  • Auteur
Posté(e)

[bonsoir

oui certe

mais j'ai deja fait l'action suppression de mbam ;puis qd je relance mbam il me remet le meme resultat de recherche...

 

 

par ailleurs j'ai un nouveau "probleme" :je ne peux plus lire certaines cles usb avec le gestionnaire de tachequi affiche "les types de fichiers pris en charge n'ont pu être detectés"

est ce que cela a un rapport avec le trojan ,ou un rapport avec mon action de suppression ?

 

 

 

Bonjour,

 

 

 

Logique si tu ne le supprimes pas avec MBAM; No action taken = aucune action entreprise.

 

@++

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Bonjour,

 

ComboFix ne doit pas être utilisé comme un outil de diagnostic, il ne doit être employé que sur demande expresse d'un conseiller formé à cet outil et sous son contrôle. Cet outil peut être dangereux!

 

Désactiver les protections (antivirus, firewall, antispyware).

Si vous ne savez pas comment faire, reportez-vous à cet article.

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

TUTO Officiel

 

Fais un clic droit ICI

  • Dans le menu qui se déroule, choisis "Enregistrer la cible du lien sous" (si tu utilises Firefox) et "Enregistrer la cible sous" (si tu utilises Internet Explorer)
  • Une fenêtre va s'ouvrir: dans le champs Nom du fichier (en bas ), tape ceci plop
     
    exemple: comborenomm2.jpg
     
  • On va enregistrer ce fichier sur le Bureau: pour cela, sur le panneau de gauche, clique sur le Bureau.
     
  • Clique enfin sur le bouton Enregistrer en bas de page à droite.
  • Assure toi que tous les programmes sont fermés avant de lancer le fix!
  • Fait un double clique sur plop.
  • attention.gifSi la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepte!
     
    consolerestaucf.jpg
     
  • Clique sur Oui au message de Limitation de Garantie qui s'affiche.
  • Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!
  • Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  • Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

NB: Si malgré tout, tu ne parviens pas à réparer la connexion, lis ce sujet stp.

 

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".

apparaissait, redémarrer le pc.

 

sshot-1-9.jpg

 

@++

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...