Se connecter / S'enregistrer
Votre question

Virtumonde [resolu]

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
14 Août 2009 19:04:01

Bonjour,
J'aurai besoin d'aide pour éradiquer virtumonde de mon portable.
Je vous explique : j'ai scanné mon pc avec spybot qui m'a trouvé virtumonde.
J'ai tenté de le supprimer toute seule comme une grande avec spybot, hijackthis, f.virtumonde de symantech, mais rien a faire, spybot ne supprime rien et les deux autres m'affirment que tout va bien.
Du coup, j'ai sorti la grosse artillerie et j'ai passé un coup de combofix, sauf que maintenant je me retrouve comme une truffe avec un rapport dont je sais pas quoi faire et où je vois quantité de dll aberrantes.
Est-ce que quelqu'un voudrait bien m'aider ?

voilà le rapport de combofix :

ComboFix 09-08-10.06 - Dieu 14/08/2009 18:14.1.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1015.576 [GMT 2:00]
Running from: d:\telechargements\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\fad.sys

.
((((((((((((((((((((((((( Files Created from 2009-07-14 to 2009-08-14 )))))))))))))))))))))))))))))))
.

2009-08-13 13:45 . 2009-08-13 13:50 -------- d-----w- c:\windows\BDOSCAN8
2009-08-13 12:32 . 2009-08-13 12:32 -------- d-----w- c:\program files\Enigma Software Group
2009-08-12 16:58 . 2009-08-12 16:58 -------- d-----w- c:\windows\Packs
2009-08-12 16:47 . 2002-04-29 18:34 4096 ----a-w- c:\windows\system32\Run32.dll
2009-08-12 15:39 . 2009-08-12 15:39 -------- d-----w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\Microsoft
2009-08-12 15:35 . 2009-08-12 15:36 -------- d-----w- c:\windows\system32\wbem\AutoRecover
2009-08-12 15:28 . 2004-08-19 14:09 221184 ----a-w- c:\windows\system32\wmpns.dll
2009-08-12 15:17 . 2004-08-03 20:43 15872 ----a-w- c:\windows\system32\spupdsvc.exe
2009-08-12 14:21 . 2004-08-19 14:08 97280 ----a-w- c:\windows\system32\dpcdll.dll
2009-08-12 14:14 . 2009-08-12 15:27 -------- d-----w- c:\windows\ehome
2009-08-12 14:14 . 2009-08-12 14:14 -------- d-----w- c:\windows\ServicePackFiles
2009-08-12 14:14 . 2004-08-19 14:09 32768 ------w- c:\windows\system32\asr_pfu.exe
2009-08-12 14:14 . 2004-08-03 21:08 40832 ------w- c:\windows\system32\drivers\irbus.sys
2009-08-12 14:14 . 2004-08-03 20:59 12800 ------w- c:\windows\system32\spiisupd.exe
2009-08-12 14:12 . 2004-08-19 14:09 1352704 ----a-w- c:\windows\system32\wbem\cimwin32.dll
2009-08-12 14:11 . 2004-08-19 14:09 25088 ----a-w- c:\windows\system32\at.exe
2009-08-12 14:10 . 2004-08-19 14:09 1198080 ----a-w- c:\windows\system32\mmcndmgr.dll
2009-08-12 14:09 . 2004-08-19 14:09 1723904 ----a-w- c:\windows\system32\netshell.dll
2009-08-12 14:07 . 2004-08-19 14:09 136192 ----a-w- c:\windows\system32\webvw.dll
2009-08-12 13:42 . 2009-08-12 13:56 -------- d-----w- c:\windows\system32\NtmsData
2009-07-30 14:09 . 2009-07-30 15:17 -------- d-----w- c:\documents and settings\Dieu\.jenny

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-12 16:00 . 2008-05-03 10:13 -------- d-----w- c:\documents and settings\Dieu\Application Data\uTorrent
2009-08-12 15:40 . 2008-05-03 11:32 50288 -c--a-w- c:\documents and settings\Dieu\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-08-12 15:37 . 2001-09-28 12:00 71686 ----a-w- c:\windows\system32\perfc00C.dat
2009-08-12 15:37 . 2001-09-28 12:00 458886 ----a-w- c:\windows\system32\perfh00C.dat
2009-08-12 15:30 . 2008-05-02 15:31 86327 ----a-w- c:\windows\PCHEALTH\HELPCTR\OfflineCache\index.dat
2009-06-23 12:58 . 2009-06-23 12:58 1 -c----w- c:\documents and settings\Dieu\Application Data\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2009-06-23 12:57 . 2008-05-19 19:16 -------- d-----w- c:\documents and settings\Dieu\Application Data\OpenOffice.org2
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="d:\rocketdock\RocketDock.exe" [2007-09-02 495616]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ANIWZCS2Service"="c:\program files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 49152]
"D-Link D-Link Wireless G DWA-110"="c:\program files\D-Link\D-Link Wireless G DWA-110\AirGCFG.exe" [2007-05-04 1662976]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\Dieu\Menu D‚marrer\Programmes\D‚marrage\
Raccourci vers YzToolBar.lnk - d:\yztoolbar\YzToolBar.exe [2002-9-29 90112]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKLM\~\startupfolder\C:^Documents and Settings^Dieu^Menu Démarrer^Programmes^Démarrage^Club Internet.lnk]
path=c:\documents and settings\Dieu\Menu Démarrer\Programmes\Démarrage\Club Internet.lnk
backup=c:\windows\pss\Club Internet.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^Dieu^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.1.lnk]
path=c:\documents and settings\Dieu\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.1.lnk
backup=c:\windows\pss\OpenOffice.org 2.1.lnkStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-StandardInstall - (no file)


.
------- Supplementary Scan -------
.
uStart Page =
uDefault_Search_URL = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - d:\office\OFFICE11\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Dieu\Application Data\Mozilla\Firefox\Profiles\rwmo1op4.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - plugin: d:\adobe\Reader\browser\nppdf32.dll
FF - plugin: d:\firefox2\plugins\npyaxmpb.dll
FF - plugin: d:\real\Netscape6\nppl3260.dll
FF - plugin: d:\real\Netscape6\nprjplug.dll
FF - plugin: d:\real\Netscape6\nprpjplug.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-14 18:17
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-2000478354-1078081533-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID]
@Denied: (Full) (LocalSystem)
"{20D04FE0-3AEA-1069-A2D8-08002B30309D}"="c:\\WINDOWS\\System32\\shell32.dll,15"
"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="c:\\WINDOWS\\system32\\SHELL32.dll,17"
"{208D2C60-3AEA-1069-A2D7-08002B30309D}"="c:\\WINDOWS\\system32\\SHELL32.dll,17"
"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="c:\\WINDOWS\\system32\\shell32.dll,22"
"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="c:\\WINDOWS\\system32\\shell32.dll,23"
"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="c:\\WINDOWS\\system32\\shell32.dll,24"
"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="c:\\WINDOWS\\system32\\shell32.dll,-175"
"{21EC2020-3AEA-1069-A2DD-08002B30309D}"="c:\\WINDOWS\\System32\\shell32.dll,-137"
"{2227A280-3AEA-1069-A2DE-08002B30309D}"="c:\\WINDOWS\\System32\\shell32.dll,-138"
"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="c:\\WINDOWS\\system32\\shell32.dll,38"
"AudioCD"="c:\\WINDOWS\\System32\\shell32.dll,40"
"{FBF23B42-E3F0-101B-8488-00AA003E56F8}"="c:\\WINDOWS\\system32\\shell32.dll,220"
"{450D8FBA-AD25-11D0-98A8-0800361B1103}"="c:\\WINDOWS\\system32\\mydocs.dll,0"
"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="c:\\WINDOWS\\system32\\main.cpl,10"
"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="c:\\WINDOWS\\system32\\wiashext.dll,0"
"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="c:\\WINDOWS\\system32\\mstask.dll,-100"
"{88C6C381-2E85-11D0-94DE-444553540000}"="c:\\WINDOWS\\System32\\occache.dll,0"
"{BDEADF00-C265-11d0-BCED-00A0C90AB50F}"="c:\\Program Files\\COMMON~1\\MICROS~1\\WEBFOL~1\\MSONSEXT.DLL,0"
"{FF393560-C2A7-11CF-BFF4-444553540000}"="c:\\WINDOWS\\System32\\shdocvw.dll,-20785"
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="c:\\WINDOWS\\System32\\webcheck.dll,0"
"{85BBD920-42A0-1069-A2E4-08002B30309D}"="c:\\WINDOWS\\system32\\syncui.dll,0"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(736)
c:\windows\System32\BCMLogon.dll
.
Completion time: 2009-08-14 18:18
ComboFix-quarantined-files.txt 2009-08-14 16:18

Pre-Run: 1 140 006 912 octets libres
Post-Run: 1 127 362 560 octets libres

Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4
131



Sinon, je pensais aussi à formater mon pc, mais je ne sais pas si c'est vraiment efficace. De plus je ne sais pas si je dois tout formater où juste la partition qui contient mon système.

Enfin voilà, si l'un ou l'une d'entre vous se sent de m'expliquer avec des mots simples, je lui vouerais un culte éternel et parsemerai son chemin de pétales de roses.

Merci

Autres pages sur : virtumonde resolu

a c 267 8 Sécurité
14 Août 2009 19:42:09

Bonjour,

Spybot te détecte quel fichier infectieux ?
14 Août 2009 19:45:28

Il détecte Virtumonde
Contenus similaires
a c 267 8 Sécurité
14 Août 2009 19:53:28

Oui mais quel fichier ?
14 Août 2009 21:21:19

(désolée - pause [biberon-diner-couche-unbisouetaulit])

Je viens de refaire un scan, plus rien détecté mais je vois quand même s'afficher "virtumonde" dans les scans de spybot. Par contre, je vois pas où il peut être.
a c 267 8 Sécurité
14 Août 2009 21:45:40

  • Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
  • Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
  • Sélectionne Exécuter un examen rapide.
  • Clique sur Rechercher. L'analyse démarre.
  • A la fin de l'analyse, un message s'affiche :
    Citation :
    L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  • Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
  • Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.
    14 Août 2009 22:02:19

    Ok, fait.

    voilà le rapport :

    Malwarebytes' Anti-Malware 1.40
    Version de la base de données: 2626
    Windows 5.1.2600 Service Pack 2

    14/08/2009 21:57:16
    mbam-log-2009-08-14 (21-57-16).txt

    Type de recherche: Examen rapide
    Eléments examinés: 84284
    Temps écoulé: 2 minute(s), 47 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)


    Ca veut dire que tout est ok ? Mais alors pourquoi il apparait toujours cette virtumonde.dll dans le scan de spybot?
    Merci en tout cas de ton aide.
    a c 267 8 Sécurité
    14 Août 2009 22:06:11

    Ce n'est pas dans la quarantaine de Spybot que tu vois ça ?
    14 Août 2009 22:36:56

    Je pense pas, je viens de vider la quarantaine et après un redémarrage j'ai relancé spybot qui affiche toujours virtumonde dans les fichiers qu'il scanne...
    Je comprend pas.

    Fin de la connection pour ce soir.
    Merci encore à toi
    a c 267 8 Sécurité
    14 Août 2009 22:39:02

    En tout cas, ton infection n'a pas l'air grave.

    As-tu la possibilité de me montrer ce que Spybot détecte précisément ?
    15 Août 2009 20:04:53

    Bonjour !



    C'est pas très précis mais c'est tout ce que je peux faire, Virtumonde n'apparaissant nulle part ailleurs.
    Par contre j'ai vu qu'il me passait au scan une tripotée de casinos et un tas de dossiers pas clairs que je n'arrive pas à retrouver.

    Je vais faire un formatage, je crois que ce sera plus simple pour tout virer. Par contre est-ce que tu peux me dire si je dois formater toutes les partitions ou pas ?

    Merci
    a c 267 8 Sécurité
    15 Août 2009 21:23:25

    Ce n'est pas parce que Virtumonde apparaît à cette endroit que tu es infecté.
    15 Août 2009 21:40:34

    Ah bon ? tout va bien alors.
    Je peux considérer le pc comme débarrassé de virtumonde?
    a c 267 8 Sécurité
    15 Août 2009 21:42:33

    A la fin de l'analyse, Spybot ne te dit pas : "Félicitations, aucun mouchard n'a été détecté" ?
    16 Août 2009 16:34:33

    Si si, tout à l'air ok.
    C'est très gentil à toi de m'avoir aidé. Merci beaucoup.

    A bientôt pour de nouveaux plantages!!
    a c 267 8 Sécurité
    16 Août 2009 16:50:25

  • Menu Démarrer > Exécuter > Tape combofix /u et valide.

    --> Si tu estimes que ton problème est résolu, ajoute [Résolu] au titre. Pour cela :
  • Clique, dans ton premier message, sur le bouton Editer .
  • Ajoute la mention [Résolu] devant le titre.
  • Clique ensuite sur Valider votre message.

    ;) 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS