Votre question

Trojan.Vundo (virtumonde) [Résolu]

Tags :
  • Hijackthis
  • Sécurité
Dernière réponse : dans Sécurité et virus
31 Juillet 2007 21:20:00

Bonjour !
Voilà j'ai besoin d'aide pour me débarasser (enfin) de ce trojan qui me gache la vie sur le net !

J'ai déjà télécharger hijackthis / vundofix.exe et VirtumundoBeGone.exe et après avoir scanner voici ce que me donne le nouveau rapport de hijackthis :



Logfile of HijackThis v1.99.1
Scan saved at 19:33:15, on 31/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Autres pages sur : trojan vundo virtumonde resolu

31 Juillet 2007 21:24:16


Bonjour :) 

il en reste

Télécharge ComboFix <- ici

Engegistre le sur ton Bureau

Double clique combofix.exe ( le .exe peut ne pas apparaitre )

Pour demarrer , tape 1 puis valide , attend la fin du scan

Un rapport est généré , Copie / Colle le dans ta réponse

Tu peux aussi trouver ce rapport ici : C:\Combofix.txt
31 Juillet 2007 21:37:48

Ok voici le rapport de combofix :

* Created a new restore point


(((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\aebmmgab.dll
C:\WINDOWS\system32\jkkjhec.dll
C:\WINDOWS\system32\tevgryvi.dll
C:\WINDOWS\system32\jkkjhec.dll
C:\WINDOWS\system32\ihhkj.bak1
C:\WINDOWS\system32\ihhkj.bak2
C:\WINDOWS\system32\ihhkj.ini
C:\WINDOWS\system32\ihhkj.ini2
C:\WINDOWS\system32\ihhkj.tmp
C:\WINDOWS\system32\rqstv.bak1
C:\WINDOWS\system32\rqstv.ini
C:\WINDOWS\system32\ihhkj.bak1
C:\WINDOWS\system32\ihhkj.bak2
C:\WINDOWS\system32\ihhkj.ini
C:\WINDOWS\system32\ihhkj.ini2
C:\WINDOWS\system32\ihhkj.tmp


* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))



Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-31 21:33:48 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-07-31 21:33

--- E O F ---



Contenus similaires
31 Juillet 2007 21:49:41


Télécharge OTMoveIt <- ici

Sauvegarde-le sur ton Bureau

Séléctionne l'encadré ci-dessous , puis clique droit , puis Copier :

C:\VundoFix Backups
C:\WINDOWS\system32\vtsqr.dll.vir
C:\WINDOWS\system32\brngdueg.dll
C:\WINDOWS\system32\ckkvpnjt.dll
C:\WINDOWS\system32\xxyvutq.dll.vir


Lance maintenant OTMoveIt en double cliquant sur OTMoveIt.exe

Deux cadres apparaissent , clique droit sur le cadre de gauche , puis Coller
Enfin , clique sur MoveIt![/#f]

[#ff0000]Il est possible qu'il te demande de redemarrer , accepte en cliquant sur YES


Poste le rapport généré ( C:\_OTMoveIt\MovedFiles\ <~~ ici , la date de création ! )

Et un nouveau rapport Hijackthis
31 Juillet 2007 21:54:49

Rapport :

File/Folder C:\VundoFix Backups not found.
File/Folder C:\WINDOWS\system32\vtsqr.dll.vir not found.
File/Folder C:\WINDOWS\system32\brngdueg.dll not found.
File/Folder C:\WINDOWS\system32\ckkvpnjt.dll not found.
File/Folder C:\WINDOWS\system32\xxyvutq.dll.vir not found.

Created on 07/31/2007 21:53:05





31 Juillet 2007 22:11:03


Relance Hijackthis clique cette fois sur do a system scan only
coche dans les cases à gauche les lignes suivantes ( et uniquement celles-ci ) :

O2 - BHO: (no name) - {38C73C2B-715F-4935-BA92-A25FE3910DBD} - C:\WINDOWS\system32\gebya.dll (file missing)
O2 - BHO: (no name) - {59382BE9-724A-43EB-BC8A-F25DF7F78BA3} - C:\WINDOWS\system32\ssqrs.dll (file missing)
O2 - BHO: (no name) - {7DA2F2EA-DC97-4864-B486-970E6B0AD320} - C:\WINDOWS\system32\jkkjk.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O20 - Winlogon Notify: winjrs32 - winjrs32.dll (file missing)


et clique sur Fix checked ( en bas à gauche )

A la demande de confirmation , répond Oui

---------------------------------------------------

Télécharge clean <- ici

décompresse-le sur ton bureau ( extraire tous les fichiers) , tu obtient un dossier clean

Ouvre le dossier clean, double-clique sur clean.cmd ( le .cmd peut ne pas apparaitre )

choisis l'option 1 puis patiente

un rapport est généré , poste ce rapport
31 Juillet 2007 22:19:32

Re, voici le rapport :

31/07/2007 a 22:18:05,03

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\mcrh.tmp FOUND

*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !
31 Juillet 2007 22:21:04


Que de la bricole :) 

Imprime cette page car tu n'auras pas accès à internet durant la procédure !

Télécharge puis installe AVG Anti-Spyware <~ Clique ici

Fais les mises à jour mais ne lance pas de scan tout de suite

Redémarre en mode sans échec ( démarrer / redémarrer / tapotte sur F8 jusqu'a l'apparition du menu / monte avec les fleches sur mode sans echec / choisis ta session )

Relance AVG

Choisis l'onglet Analyse , puis l'onglet Paramètres
Sous la question Comment réagir ? clique sur Actions recommandées et choisis Quarantaine
Reclique sur l'onglet Analyse puis fais Analyse complète du système

a la fin de l'analyse ,si un fichier est infecté clique sur Appliquer toutes les actions

Clique sur Enregistrer le rapport puis sur Enregistrer le rapport sous ( enregistre sur ton Bureau )

Ouvre le dossier clean, double-clique sur clean.cmd
Choisis l'option 2 et patiente

Redémarre normalement

Poste le rapport AVG
le rapport clean : C:\rapport clean.txt
et un rapport Hijackthis
1 Août 2007 00:32:34

Alors, voici le rapport AVG :


---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 00:22:20 01/08/2007

+ Résultat de l'analyse:





1 Août 2007 00:36:02


Ok , supprime les logiciels qu'on à installé

Supprime ce dossier : c:\Qoobox

Fais un scan en ligne Kaspersky avec Internet Explorer

Clique sur Demarrer Online-Scanner ( en bas à droite )
Clique sur J'accepte , si necessaire valide l'installation des ActiveX
laisse installer les Mises à jour , choisis l'analyse du Poste de travail

à la fin de l'analyse , Sauvegarde le rapport puis colle le dans ta réponse

Si tu vois ce message : La licence de Kaspersky On-line Scanner est périmée
vas dans Ajout / Suppression de programmes et désinstalle On-Line Scanner
retourne sur le site et retente le scan
1 Août 2007 02:00:28

Re, voici le rapport avec Kaspersky ( il m'a trouvé 4 virus) il faut que je te dise aussi que dans c:\ je n'ai pas supprimé le dossier _OTMoveIt parce que je ne savais pas si je devais le faire.



KASPERSKY ON-LINE SCANNER REPORT
Wednesday, August 01, 2007 1:55:34 AM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 1/08/2007
Enregistrements dans la base antivirus Kaspersky : 347448


1 Août 2007 18:49:03

Maintenant lorsque je lance Spybot S&D le trojan virtumonde n'apparaît plus bonne nouvelle non?
1 Août 2007 21:42:03

Citation :
le trojan virtumonde n'apparaît plus bonne nouvelle non?

Oui , il est supprimé :) 
Citation :
je n'ai pas supprimé le dossier _OTMoveIt parce que je ne savais pas si je devais le faire

Tu peux le supprimer

Vide la quarantaine de Norton

Désactive puis Réactive la restauration système comme ceci :

>> Réstauration du Système <<

Et c'est tout bon :) 
2 Août 2007 01:27:59

Ok j'ai supprimer la quarantaine puis désactivé et réactivé la restauration système.
J'ai remarqué un truc c'est qu'avant j'avais des pages de pub intempestives lorsque j'allais sur le net et plus maintenant donc c'est cool!!!

Faut-il que je poste un nouveau rapport hijackthis ou pas besoin?
Comment est-ce que je peux poster ce message comme résolu?

Merci 1000 fois pour ton aide ! ;) 
2 Août 2007 20:07:03


Ok , c'est tout bon :) 
Citation :
Comment est-ce que je peux poster ce message comme résolu?

Clique, dans ton premier message, sur le bouton "Editer"
Ajoute [Résolu] au titre ( avec les crochets , c'est plus lisible )
Clique ensuite sur "Valider votre message"

Bonne continuation ;) 
2 Août 2007 21:59:47

OK merci pour tout !!!!
2 Août 2007 22:06:10


De rien :) 

@ +
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS