Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[résolu]Trojan.Vundo


Sive

Messages recommandés

Merci Stonangel pour ton aide car je crois que tu as vaincu le Trojan.Vundo car Norton ne le détecte plus.

 

Par contre si j'en crois ce que dit Jack Burton, il y a encore du boulot.

 

J'attend vos instructions mais ne veillez pas trop tard car perso je vais me coucher car demain il faut se lever tôt et être en forme pour une bonne vieille journée de boulot !

 

Merci à tous.

Lien vers le commentaire
Partager sur d’autres sites

bonsoir ipl, stonagel, sive

 

le seul fait de cliquer sur l'adresse suivante m'a fait planter Firefox :-P =>

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.asse.fr/

587769[/snapback]

A bon?? pas chez moi, c est un site pour acheter des billet de foot :P Allez L OM !!! :P Oups , désolé, c est un site pour Saint Etienne :P:-(

Modifié par Jack_Burton
Lien vers le commentaire
Partager sur d’autres sites

Sive,

... J'attend vos instructions mais ne veillez pas trop tard car perso je vais me coucher car demain il faut se lever tôt et être en forme pour une bonne vieille journée de boulot !...
Regarde plus haut, Jack_Burton a posté ! Cà va décrasser ton système ! :P
Lien vers le commentaire
Partager sur d’autres sites

Bonjour tout le monde,

 

Je suis désolé mais je n'ai pas pu faire les manip + tôt.

 

Ci-joint rapport :

 

Logfile of HijackThis v1.99.1

Scan saved at 09:00:16, on 15/10/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe

C:\Program Files\The Cleaner\tcm.exe

C:\Program Files\The Cleaner\tca.exe

C:\Program Files\PopUp Destroy\Popup-Destroy.exe

C:\Program Files\ScanSoft\OmniPageSE\opware32.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\Program Files\Creative\Desktop Wireless\mouse_2k.exe

C:\Program Files\Creative\Desktop Wireless\kb_2k.exe

C:\WINDOWS\System32\RunDll32.exe

C:\WINDOWS\System32\rundll32.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.asse.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe

O4 - HKLM\..\Run: [tcmonitor] C:\Program Files\The Cleaner\tcm.exe

O4 - HKLM\..\Run: [tcactive] C:\Program Files\The Cleaner\tca.exe

O4 - HKLM\..\Run: [PopUp Destroy] C:\Program Files\PopUp Destroy\Popup-Destroy.exe

O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [CreativeMouse ] C:\Program Files\Creative\Desktop Wireless\mouse_2k.exe

O4 - HKLM\..\Run: [CreativeKeyboard ] C:\Program Files\Creative\Desktop Wireless\kb_2k.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O17 - HKLM\System\CCS\Services\Tcpip\..\{65BB4207-1979-4FF3-B0FD-60F544AAEEC4}: NameServer = 217.19.192.132 217.19.192.131

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe

 

 

 

Les lignes suivantes n'apparaissaient pas :

 

O23 - Service: Defragmentation Management Handler (FAT Defragmentation) - Unknown owner - C:\WINDOWS\system32\PopUpBlocker8.exe (file missing)

O23 - Service: TCP/IP NetBIOS Connections (nbconn) - Unknown owner - C:\WINDOWS\winstub.exe (file missing)

O23 - Service: SMSS - Unknown owner - C:\WINDOWS\smss.exe (file missing

 

Tous les fichiers que je devais supprimer par l'explorateur sont inexistants sauf smss.exe mais impossible à supprimer.

 

Je n'ai pas eu a utiliser de fonction pour Easycleaner car il ne trouve rien.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour Sive,

 

Je ne vois plus rien d infectueux sur ton dernier rapport.

Tu peux néanmoins fixer encore cette ligne :

 

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

 

 

Les lignes suivantes n'apparaissaient pas :

 

O23 - Service: Defragmentation Management Handler (FAT Defragmentation) - Unknown owner - C:\WINDOWS\system32\PopUpBlocker8.exe (file missing)

O23 - Service: TCP/IP NetBIOS Connections (nbconn) - Unknown owner - C:\WINDOWS\winstub.exe (file missing)

O23 - Service: SMSS - Unknown owner - C:\WINDOWS\smss.exe (file missing

 

Tout a fait normal comme je te l ai indiqué sur la procédure! Ces services ont été stoppés donc ils n apparaissent plus sur le rapport!

 

Tous les fichiers que je devais supprimer par l'explorateur sont inexistants sauf smss.exe mais impossible à supprimer.

 

Il faut savoir qu il existe un fichier légitime smss.exe dans C:\windows\system32. Si ton fichier se trouve dans ce dossier alors c est tout a fait normal!

Si tu as un fichier portant le meme nom dans un autre dossier, c est qu il s agit d un virus!

Ou se trouve le fichier smss que tu n arrives pas a supprimer? Utilise la fonction recherchée de windows "démarrer/rechercher/des fichiers ou des dossiers" et indique moi l emplacement de ce fichier je te prie.

Mais avant il faut faire apparaitre tous les fichiers :

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

Modifié par Jack_Burton
Lien vers le commentaire
Partager sur d’autres sites

Le fichier smss.exe que j'essayais de supprimer se trouve dans system 32.

 

Par contre il m'en reste 2 du même nom dans :

 

C:\ddf1bbf5d2545b1a16d0b7925543e0ea\system32

 

C:\WINDOWS\ServicePackfiles\i386

 

Je profite également de nos échanges pour demander si mon antivirus est suffisament performant (Symantec antivirus corporate edition).

J'utilise Kerio comme pare feu

 

Merci pour vos bons conseils !

Lien vers le commentaire
Partager sur d’autres sites

Re bonjour,

 

  Le fichier smss.exe que j'essayais de supprimer se trouve dans system 32.

 

N essaye pas de le suppimer, celui-ci est tout a fait légitime et tres important au systeme!!

 

Celui de la procédure de désinfection se trouvé dans ce dossier C:\WINDOWS<--- a cet endroit c est pas bon, il s agissait d un virus!!

 

C:\ddf1bbf5d2545b1a16d0b7925543e0ea

Qu est ce que c est ca comme dossier??? Y a quoi dedans?

 

Par contre il m'en reste 2 du même nom dans :

 

C:\ddf1bbf5d2545b1a16d0b7925543e0ea\system32

 

C:\WINDOWS\ServicePackfiles\i386

 

Fais les analyser avec le virusscan de jotti et colle les rapports!

 

Je profite également de nos échanges pour demander si mon antivirus est suffisament performant (Symantec antivirus corporate edition).

 

Je le connais juste de nom, je ne l ai jamais utilisé donc je ne peux t en donner un avis!

Moi j utilise avast 4.6!

 

J'utilise Kerio comme pare feu

Celui-ci par contre je le connais, il est bien et efficace! J utilise également Kerio mais pas la version 4.x. Je conserve la version 2.1.5!!

Modifié par Jack_Burton
Lien vers le commentaire
Partager sur d’autres sites

C:\ddf1bbf5d2545b1a16d0b7925543e0ea dans ce dossier je retrouve les dossiers suivants : asms, compdata, drw, ic, ip, lang, new, root, setuptxt, system32, update, win9xmig, win9xupg, winntupg,

 

+ un grand nombre d'application en .dl_, .exe, .sy_, .sys, .ht_

 

Je vais faire le san que tu me conseille.

Lien vers le commentaire
Partager sur d’autres sites

Re,

 

C:\ddf1bbf5d2545b1a16d0b7925543e0ea dans ce dossier je retrouve les dossiers suivants : asms, compdata, drw, ic, ip, lang, new, root, setuptxt, system32, update, win9xmig, win9xupg, winntupg,

 

Ce dossier m intrigue!!! Il y a des dossiers qui semblent concerner win9x (98) :

-win9xmig

-win9xupg

Bizarre!!

 

Dis moi, ton windows XP tu l as installé par dessus un windows 98???

Modifié par Jack_Burton
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...