Votre question

trojan Vundo A...winfixer...et PC ultra lent

Tags :
  • Hijackthis
  • Sécurité
Dernière réponse : dans Sécurité et virus
13 Janvier 2006 21:53:52

bonsoir,

mon rapport hijackthis me semble ultra court par rapport à ce que j'ai vu dans les autres messages... je suis étonnée, car mon PC est quasi "au ralenti", en plus des messages de mon anti-virus concernant le trojan vundoA, qui revient tout le temps...
quelqu'un peut m'aider? merci d'avance

Logfile of HijackThis v1.99.1
Scan saved at 20:53:52, on 13/01/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Softwin\BitDefender9\vsserv.exe
C:\WINNT\Explorer.EXE
C:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\Program Files\Softwin\BitDefender9\bdoesrv.exe
C:\progra~1\softwin\bitdef~1\bdnagent.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fr.msn.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINNT\system32\nnlij.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [BDMCon] C:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [Startup Manager Scanner] D:\Mes documents\Mes téléchargements\Startup Mechanic\StartupScanner.exe
O4 - HKLM\..\Run: [BDNewsAgent] "C:\progra~1\softwin\bitdef~1\bdnagent.exe"
O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
O20 - Winlogon Notify: nnlij - C:\WINNT\system32\nnlij.dll (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINNT\MSmedia.exe (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINNT\csrss.exe (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Autres pages sur : trojan vundo winfixer ultra lent

14 Janvier 2006 23:59:26

Salut,

Ton log est court en effet, mas ça dépend de ce que la personne a sur son PC.
Je me rappele de Pollux63 (ou qlq chose comme ça) qui nous a aidé pendant un moment, il avait un log de 5-6 lignes, ça veut rien dire ;-)
(Et j'ai vu un log de.... quelques centaines de lignes ! un mec vraiment infecté avec je sais plus combien de BHO !)

Alors, sur ton log, il y a des traces de trojans.

Fais ceci:

1) Relance Hijackthis et coche ces lignes:
Citation :

O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINNT\system32\nnlij.dll (file missing)

O20 - Winlogon Notify: nnlij - C:\WINNT\system32\nnlij.dll (file missing)

O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINNT\MSmedia.exe (file missing)

O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINNT\csrss.exe (file missing)


2) Redémarre en mode sans échec

3) Supprime ces fichiers :
C:\WINNT\csrss.exe
C:\WINNT\MSmedia.exe
C:\WINNT\system32\nnlij.dll

4) Redémarre normalement


As tu encore des soucis ?
16 Janvier 2006 20:49:21

bonsoir,

tout d'abord, merci pour votre aide...

cependant, j'ai "mrdé"
j'ai suivi les instructions avec hijackthis, mais en redémarrant l'ordinateur j'ai appuyé trop tard sur F8 pour le mode sans echec, afin de poursuivre l'éradication

résultat: je redémarre en mode normal, les machins sont toujours là (je refais un scan avec HijackThis) à part 1....mais en recochant les éléments et puis "fixed"....hijackthis ne me propose plus de redémarrer (je pense qu'il est desactivé???)

bref, j'essaie quand même de redémarrer en mode sans échec: c'est tout noir (pourtant j'attends longtemps). y'a marqué mode sans echec aux 4 coins d'un carré au milieu de l'écran noir. tout ce qui est en dehors de ce carré est aussi noir, mais je ne peux pas m'y balader avec la souris.
seule opération possible : ctrl ALT SUP...menu gestionnaire...et dans les processus je vois "csrss.exe" qu'il faut supprimer...mais impossible de terminer le processus
message "programme critique, impossible de terminer le processus".

voila, hijackthis ne marche plus je crois...et y sont toujours là!
merci pour votre patience.


************************

Logfile of HijackThis v1.99.1
Scan saved at 20:32:55, on 16/01/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Softwin\BitDefender9\vsserv.exe
C:\WINNT\Explorer.EXE
C:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\Program Files\Softwin\BitDefender9\bdoesrv.exe
C:\progra~1\softwin\bitdef~1\bdnagent.exe
C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.fr.msn.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINNT\system32\nnlij.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [BDMCon] C:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [Startup Manager Scanner] D:\Mes documents\Mes téléchargements\Startup Mechanic\StartupScanner.exe
O4 - HKLM\..\Run: [BDNewsAgent] "C:\progra~1\softwin\bitdef~1\bdnagent.exe"
O14 - IERESET.INF: START_PAGE_URL=http://www.fr.msn.com
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.fr.msn.com
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
O20 - Winlogon Notify: nnlij - C:\WINNT\system32\nnlij.dll (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINNT\csrss.exe (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)


16 Janvier 2006 23:08:30

j'oubliais...

j'ai mes données sur un disque D, peut-être qu'il est infecté aussi???

celui qui m'a partitionné le disque m'a maudite parce que mon lecteur CD-rom (ordinateur portable) ne fonctionne plus...j'utilise d'habitude un lecteur/graveur externe...mais pour tout réinstaller après formatage en mode sans échec, ça le fait pas.
d'ailleurs le pote m'a dit qu'il ne voulait "plus me revoir"

j'ai installé windows 2000, en pensant que XP était trop attaqué et prenait trop de place.
mais mon ordi est toujours aussi lent (il ne l'a pas toujours été!)

Avec cette nouvelle config, je ne trouve pas comment "desactiver la restauration systeme"...le choix n'est pas proposé comme d'habitude!!
c'est il parait plus efficace lorsqu'on supprime les dossiers verolés...

Merci encore tous ceux qui pourront m'aider.
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS