Trojan introuvable !

Trojan introuvable ! - Sécurité - Windows & Software

Marsh Posté le 17-11-2005 à 17:09:34    

Bonjour à tous,
 
Voilà ce matin j'allume mon PC et à ma grande surprise Norton me détecte un Virus, en fait un Trojan nommé "Trojan.Wundo". Je fais direct une analyse, il le détecte mais impossible de le supprimer ou de le mettre en quarantaine...je passe Adware et Spybot qui ne le trouvent pas...
 
Je vais voir sur le site de symantec, je trouve quelques informations en Anglais, je télécharge un éxécutable qui permet de le localiser mais à la fin de l'analyse de mon système, il ne le trouve pas ! ! ! (alors que c'est son but...).
 
Donc voilà je sais vraiment pas comment faire, si quelqu'un a déjà réussi à s'en débarasser ou autres, je suis à votre écoute !
 
merci

Reply

Marsh Posté le 17-11-2005 à 17:09:34   

Reply

Marsh Posté le 17-11-2005 à 18:07:03    

Salut.
 
Télécharge HijackThis v1.99.1
http://www.merijn.org/files/hijackthis.zip
Tutorial
http://sitethemacs.free.fr/aide_en [...] ackthi.htm
Démo en image ici:  
http://pageperso.aol.fr/balltrap34/demohijack.htm  
 
Fais un scan et poste l'analyse ici.

Message cité 1 fois
Reply

Marsh Posté le 17-11-2005 à 18:33:01    

pollux_63 a écrit :

Salut.
 
Télécharge HijackThis v1.99.1
http://www.merijn.org/files/hijackthis.zip
Tutorial
http://sitethemacs.free.fr/aide_en [...] ackthi.htm
Démo en image ici:  
http://pageperso.aol.fr/balltrap34/demohijack.htm  
 
Fais un scan et poste l'analyse ici.


 
Merci de l'information, voici mon scan, sous XP Pro :  
 

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 18:30:45, on 17/11/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\sstray.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
E:\i tunes\iTunesHelper.exe
E:\Messenger Plus\MsgPlus.exe
E:\Rocket Dock\RocketDock.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Logitech\SetPoint\KEM.exe
E:\Vista Inspirat Thème\Vista Inspirat\YzToolbar\YzToolBar.exe
C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\system32\spoolsv.exe
E:\Maya unlimited\docs\Wrapper.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
E:\NAV 2005\navapsvc.exe
E:\Maya unlimited\docs\jre\bin\java.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
E:\Maxthon\Maxthon.exe
C:\Documents and Settings\Johann\Mes documents\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local.,
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {AEFB9D23-204A-352F-3A7C-BDE94BF6B04A} - backorif.dll (file missing)
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Program Files\Fichiers communs\ReGet Shared\Catcher.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\NAV 2005\NavShExt.dll
O2 - BHO: MSEvents Object - {FC148228-87E1-4D00-AC06-58DCAA52A4D1} - C:\WINDOWS\System32\vtutu.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\NAV 2005\NavShExt.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] E:\Norton Firewall\UrlLstCk.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [dialer423] xwiz.exe
O4 - HKLM\..\Run: [ERTYDF] BoundRec.exe
O4 - HKLM\..\Run: [iTunesHelper] "E:\i tunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "E:\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus3] "E:\Messenger Plus\MsgPlus.exe"
O4 - HKLM\..\RunOnce: [SpybotSnD] "E:\Spybot\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [Skype] "E:\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [syspanel] sound64.exe
O4 - HKCU\..\Run: [ExchangeMaster] iesetupdll.exe
O4 - HKCU\..\Run: [MsNetHelper] sbin.exe
O4 - HKCU\..\Run: [RocketDock] E:\Rocket Dock\RocketDock.exe
O4 - Startup: Y'z ToolBar.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Tous Télécharger par ReGet Deluxe - C:\Program Files\Fichiers communs\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Télécharger avec Re&Get Deluxe - C:\Program Files\Fichiers communs\ReGet Shared\CC_Link.htm
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A60AE85-AD59-4060-82A7-45CD1FA600EC}: NameServer = 69.50.177.203,85.255.112.24
O17 - HKLM\System\CCS\Services\Tcpip\..\{480275A0-A07C-4D7D-8C4E-463B4E1C905C}: NameServer = 69.50.177.203,85.255.112.24
O17 - HKLM\System\CCS\Services\Tcpip\..\{827498A1-E150-456C-8697-9333B62B94E0}: NameServer = 69.50.177.203,85.255.112.24
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FAD851A-0489-4E28-93E4-98692FB05A6D}: NameServer = 69.50.177.203,85.255.112.24
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1213B0A-C194-4C99-A7F3-F752C87FDC36}: NameServer = 69.50.177.203,85.255.112.24
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1BBB3EC-C793-4011-81D5-854D6A78B506}: NameServer = 69.50.177.203,85.255.112.24
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE4F0009-D259-4888-A103-5DA8E1F56AD5}: NameServer = 69.50.177.203,85.255.112.24
O17 - HKLM\System\CS1\Services\Tcpip\..\{1A60AE85-AD59-4060-82A7-45CD1FA600EC}: NameServer = 69.50.177.203,85.255.112.24
O20 - Winlogon Notify: explorer - C:\WINDOWS\SYSTEM32\explorer.dll
O20 - Winlogon Notify: vtutu - C:\WINDOWS\System32\vtutu.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Alias Documentation Server (aliasdocserver) - Unknown owner - E:\Maya unlimited\docs\Wrapper.exe" -s "E:\Maya unlimited\docs/Wrapper.conf (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evx (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - E:\NAV 2005\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - E:\NAV 2005\IWP\NPFMntor.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - E:\NAV 2005\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe (file missing)
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
 

Reply

Marsh Posté le 17-11-2005 à 18:43:28    

Imprime ces instructions ou sauvegarde les dans fichier texte, une partie de la procédure étant faite en mode sans échec.
 
Télécharge VundoFix.exe sur ton bureau:
http://www.atribune.org/downloads/VundoFix.exe
 
Double-clique sur VundoFix.exe pour extraire les fichiers et créer un fichier VundoFix sur le bureau. Après l'extraction des fichiers redémarre en mode sans échec (F8)
 
En mode sans échec ouvre le fichier VundoFix et clique KillVundo.bat
 
Une commande va s'ouvrir et tu verras ceci:
 

Citation :

VundoFix V2.1 by Atri
By pressing enter you agree that you are using this at your own risk


 
Appuie sur Entrée
 
Ensuite tu verras:

Citation :


Type in the filepath as instructed by the forum staff
Then Press Enter, to continue with the fix.


 
A ce moment entre le chemin exact du fichier suivant:
 
C:\WINDOWS\system32\vtutu.dll  
 
Appuie sur Entrée
 
Ensuite tu verras:
 

Citation :

Please type in the second filepath as instructed by the forum staff


 
A ce moment entre le chemin exact du fichier suivant:
 
C:\WINDOWS\system32\ututv.*
 
Appuie sur entrée pour continuer
 
HijackThis va s'ouvrir
 
Dans Hijackthis coche les lignes suivantes puis clique sur FIX CHECKED:
 
O2 - BHO: MSEvents Object - {FC148228-87E1-4D00-AC06-58DCAA52A4D1} - C:\WINDOWS\System32\vtutu.dll  
O20 - Winlogon Notify: vtutu - C:\WINDOWS\System32\vtutu.dll  
 
Ferme ensuite HijackThis
 
Le fix va te demander d'éteindre en appuyant sur Arrêt. Maintiens le bouton enfoncé jusqu'à ce que l'ordinateur s'arrête et attends au moins 15 s avant de redémarrer en mode normal.
 
Chkdsk va démarrer. C'est normal. Cela va prendre quelques minutes pour vérifier les fichiers à cause de l'arrêt brutal provoqué.
 
Fais ces deux scans en ligne:
 
http://housecall.trendmicro.com/hous...start_corp.asp
http://www.pandasoftware.com/activescan/
 
Autorise les à désinfecter
 
Panda a l'option de créer un rapport à l'issue du scan. Clique pour voir le rapport et sauvegarde (activescan.txt). Poste le dans ta prochaine réponse.
 
Poste un nouveau rapport HijackThis avec le fichier vundofix.txt que tu trouveras dans le dossier Vundofix.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed