trojan.vundo

[mazoupili]

bonjour à tous ça fait 5 jours que je galère avec un trojan.vundo dans c:\windows\system32\pmkjg.dll

j'ai appliqué la procédure préliminaire de rapport hijackthis.

voici mon rapport:

Logfile of HijackThis v1.99.1

Scan saved at 21:36:35, on 05/12/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AVPersonal\AVSched32.EXE

C:\Program Files\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aliceadsl.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINDOWS\System32\pmkjg.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Barre &Magique - {01A7812B-59E8-4A4F-BFD6-EEE6D4CB6BA2} - C:\Program Files\Telecom Italia France\Barre Magique 1.05.08.22\Tiscali BBar.dll

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [iamapp] C:\Program Files\Norton Internet Security\IAMAPP.EXE

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [instantTray] C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe

O4 - HKCU\..\Run: [iW_Drop_Icon] C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc

O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = C:\Program Files\FotoStation Easy\FotoStation Easy AutoLaunch.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: NkVwMon.exe.lnk = C:\Program Files\Nikon\NkView4\NkVwMon.exe

O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?

O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab

O16 - DPF: {041816FE-7869-4B5F-9BE4-FFF3B7368727} (IsHere Class) - http://barremagique.aliceadsl.fr/download/BarreMagique.cab

O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://register.tiscali.fr/configurateur/AccountHelper.cab

O20 - Winlogon Notify: pmkjg - C:\WINDOWS\System32\pmkjg.dll

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Internet Security Service (NISSERV) - Symantec Corporation - C:\Program Files\Norton Internet Security\NISSERV.EXE

O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: Plug-n-Play SP2 Fix (sp2pnpfix) - Conexant - (no file)

O23 - Service: Norton Internet Security Proxy Service (SymProxySvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\SymProxySvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

[BipBip07]

Ok je prends

NB: il me manquait celui la

Je reveins avec la solution d'ici quelques minutes !

[BipBip07]

mazoupili

 

1-Merci d'envoyer les fichiers ci-dessous

 

C:\WINDOWS\System32\pmkjg.dll

 

->ici Upload malicious software (*).

->et la ST-Adware-Upload (*).

 

(*) Si tu as besoin d'un compresseur format zip utilise un gratuit QuickZip

 

2-Imprime ces instructions ou sauvegarde les dans fichier texte, une partie de la procédure étant faite en mode sans échec ( autre aide visuelle ).

 

Télécharge VundoFix.exe sur ton bureau:

http://www.atribune.org/downloads/VundoFix.exe

 

Double-clique sur VundoFix.exe pour extraire les fichiers et créer un fichier VundoFix sur le bureau. Après l'extraction des fichiers redémarre en mode sans échec (F8)

 

En mode sans échec ouvre le fichier VundoFix et clique KillVundo.bat

 

Une commande va s'ouvrir et tu verras ceci:

 

VundoFix V2.1 by Atri

By pressing enter you agree that you are using this at your own risk

 

Appuie sur Entrée

 

Ensuite tu verras:

Type in the filepath as instructed by the forum staff

Then Press Enter, to continue with the fix.

 

A ce moment entre le chemin exact du fichier suivant:

 

C:\WINDOWS\system32\pmkjg.dll

 

Appuie sur Entrée

 

Ensuite tu verras:

 

Please type in the second filepath as instructed by the forum staff

 

A ce moment entre le chemin exact du fichier suivant:

 

C:\WINDOWS\system32\gjkmp.*

 

Appuie sur entrée pour continuer

 

HijackThis va s'ouvrir

 

Dans Hijackthis coche les lignes suivantes puis clique sur FIX CHECKED:

 

R3 - Default URLSearchHook is missing

O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINDOWS\System32\pmkjg.dll

O20 - Winlogon Notify: pmkjg - C:\WINDOWS\System32\pmkjg.dll

O23 - Service: Plug-n-Play SP2 Fix (sp2pnpfix) - Conexant - (no file)

 

Ferme ensuite HijackThis

 

Le fix va te demander d'éteindre en appuyant sur Arrêt. Maintiens le bouton enfoncé jusqu'à ce que l'ordinateur s'arrête et attends au moins 15 s avant de redémarrer en mode normal.

 

Chkdsk va démarrer. C'est normal. Cela va prendre quelques minutes pour vérifier les fichiers à cause de l'arrêt brutal provoqué.

 

Fais ces deux scans en ligne:

 

http://housecall.trendmicro.com/hous...start_corp.asp

http://www.pandasoftware.com/activescan/

 

Autorise les à désinfecter

 

Panda a l'option de créer un rapport à l'issue du scan. Clique pour voir le rapport et sauvegarde (activescan.txt). Poste le dans ta prochaine réponse.

 

Poste un nouveau rapport HijackThis avec le fichier vundofix.txt que tu trouveras dans le dossier Vundofix.