Trojan.vundo.dsq
Bonjour,
BitDefender me signale que le fichier c:\window\system32\ddcyxus.dll est touché par le virus Trojan.vundo.DSQ.
De plus, je reçois maintenant le message:
During a scan of files at system startup, potentital errors in the system registry were found p-07-0100 irql: 1f SYSVER 0xff00024
NT_Kernel error 1256
KMODE_EXCEPTION_NOT HANDLED
De plus, 2 icônes se sont ajoutées sur le bureau :
- Help and Support Center
- Windows Update
Si je tente de supprimer ces icônes, BD me signale qu'explorer.exe tente de se connecter à internet.
Ce que je refuse et l'icône revient systematiquement sur le bureau
J'ai aussi l'erreur :
A potential problem has been detected and windows has been shutdown buggy application to prevent damage to your computer.
****WXYZ.SYS - Address F73120AE base at C000000, datestamp 36b072A3 Kernel debugger using: COM2(port 0x28f, Baud rate 192000)
Que faire ?
Je n'ai pas touvé de post parlant du vundo.DSQ !!
Merci
Jean-Pierre
Réponses
-
C'est apparu dans la nuit du 19 au 20 Decembre 2007,
C'est nouveau mais il y a deja une solution assez manuelle pour le supprimer.
Telechargez la derniere version de VundoFix (6.7.7) et lancez l'application. Normalement, il devrait trouver le ou les fichiers (.exe et .dll) qui sont infestes.
A savoir, si certains fichiers ne se suppriment pas avec VundoFix, supprimez les manuellement (souvent a la racine system32 de windows). Ce dernier remede est recommande aux inities.
Par ailleurs, profitez en pour faire un RegCleaner et de ne pas hesitez a supprimer toutes les nouvelles entrees dans le registre, ce qui evitera de le revoir dans les prochains jours sur votre PC.
A noter, Avast, Norton et BitDefender ne le remarquent pas encore ... et si c'est le cas ne le suppriment pas! (teste le 24 Decembre avec Update du 24 Dec 2007).
Pour precision, ce trojan lance une application qui fait tourner le CPU a fond et la memoire vive est tres vite en saturatio. Dans le gestionnaire de taches, on voit apparaitre l'application "windows"... pour mettre fin, fermez cette application a plusieurs reprises et desinfectez le plus rapidement possible.
L'autre signe particulier, qui decoule de ce trojan et de ce qui a ete signale precedemment, est le ralentissement du disque dur qui marche en hachage.
Bon Noel a tous !!!0 -
Salut Maurice
Je désespérais d'avoir une réponse.
Vundofix V6.7.7 tourne sur ma machine depuis plus de 30heures (c'est dire combien elle est ralentie)
J'espère que cela m'apportera effectivement la solution.
Joyeux Noël à tous,
Jena-Pierre0 -
"Pour precision, ce trojan lance une application qui fait tourner le CPU a fond et la memoire vive est tres vite en saturation. Dans le gestionnaire de taches, on voit apparaitre l'application "windows"... pour mettre fin, fermez cette application a plusieurs reprises et desinfectez le plus rapidement possible".
--->
Pour bien faire au demarrage, arrete le maximum d'application (laisse - lsass svchost et explorer). Si tu arrives a installer StartupStar, cela permettrait a limiter ta memoire vive initialement prechargee.
Autre astuce a essayer: Lance ComboFix si VundoFix est trop lent.
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Bonne chance.
Tiens moi au courant.0 -
Apres reflexion, je pense que pour ton cas, le meilleur serait d'installer RegCleaner. De supprimer du registre toutes les nouvelles entrees (Age : New) dans RegCleaner. Ceci permettra de faire tourner ton PC plus rapidement. Redemarrage.
Ensuite, dans un souci toujours d'executer des taches lights en CPU et memoire vive, fais tourner ComboxFix (Redemarrage automatique) et ensuite VundoFix par precaution (A nouveau Redemarrage automatique).
Allez...C'est noel !!! Bonne Chance.
***Pour garder le moral, j'ai eu ce probleme des son apparition. Je pense que son origine est un fichier telecharge sur lphant, voire un site...(peu probable). Sysfader m'a mis sur la piste en pensant que c'etait un probleme de deroulement de menu. Puis l'apparition des deux icones sur le bureau (Windows Update, Help Center), ne m'a plus fait hesite. Les Important Potential Errors n'ont fait que confirmer.
Petite pensee au personne qui font tourner (pour l'instant) leur anti virus sans rien trouver... NAV, BitDefender et Avast sont away sur le coup...
Merci a VundoFix et Combofix !
J'ai vu dans un forum qu'une personne a conseille de formater ... SURTOUT PAS!!! Il y a une solution.
Mots clefs:
Important : Potential errors found in the system.
During a scan of files at system startup, potential errors in the system registry were found.
p-07-0100 irql: 1f SYSVER 0xff0024
NT_Kernel error 1256
KMODE_EXCEPTION_NOT_HANDLED
A potential problem has been detected and Windows has been shutdown buggy application to prevent damage to your computer.
****WXYZ.SYS - Address F73120AE base at C00000, DateStamp 36b072A3
Kernel Debugger Using: COM2 (Port0x28f, Baud rat 192000)
Icone 1 : "Windows Update" with target location of -> "http://storageprotector.com"
Icone 2 : "Help and Support Center" with target of -> "http://storageprotector.com"0 -
Bonjour Maurice,
J'ai exatement le même problème que JPE1965. J'ai éxécuté VundoFix mais il n'a rien trouvé pourtant j'ai toujours les messages d'erreurs et les icônes sur le bureau donc j'en conclu que le trojan est toujours là.
J'ai fait un scan Hijackthis donc voici le résultat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:59:47, on 12/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Fichiers communs\Creative Labs Shared\Service\CreativeLicensing.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Program Files\Dell Network Assistant\hnm_svc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\McAfee\MBK\MBackMonitor.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\McAfee\MPF\MPFSrv.exe
C:\Program Files\McAfee\MSK\MskSrver.exe
C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\SiteAdvisor\6253\SAService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Program Files\Dell Network Assistant\ezi_hnm2.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\FinePixViewer\QuickDCF2.exe
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\AVerTV 6.0\AVerQT.exe
C:\Program Files\Softwin\BitDefender10\vsserv.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.msn.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr/hws/sb/dell-row/fr/side.html?channel=fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/hws/sb/dell-row/fr/side.html?channel=fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.fr/ig/dell?hl=fr&client=dell-row&channel=fr&ibd=1060922
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/ig/dell?hl=fr&cli...amp;ibd=1060922
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\6253\SiteAdv.dll
O2 - BHO: McAntiPhishingBHO - {377C180E-6F0E-4D4C-980F-F45BD3D40CF4} - C:\Program Files\McAfee\MSK\mcapbho.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan\scriptsn.dll
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\wlldshgr.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\BAE\BAE.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\6253\SiteAdv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MBkLogOnHook] C:\Program Files\McAfee\MBK\LogOnHook.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [ModemOnHold] C:\Program Files\NetWaiting\netWaiting.exe
O4 - HKCU\..\Run: [DellSupport] "C:\Program Files\Dell Support\DSAgnt.exe" /startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools\daemon.exe"
O4 - HKCU\..\Run: [DelayShred] "C:\Program Files\McAfee\MSHR\ShrCL.EXE" /P7 /q C:\DOCUME~1\CHARLO~1\LOCALS~1\TEMPOR~1\Content.IE5\QNTCFGJZ\VIEWTO~2.SH! C:\DOCUME~1\CHARLO~1\LOCALS~1\TEMPOR~1\Content.IE5\QNTCFGJZ\ADS_5_~1.SH! C:\DOCUME~1\CHARLO~1\LOCALS~1\TEMPOR~1\Content.IE5\43ADZP2K\ADS_4_~1.SH! C:\DOCUME~1\CHARLO~1\LOCALS~1\TEMPOR~1\Content.IE5\4YMUQB24\VIEWTO~2.SH! C:\DOCUME~1\CHARLO~1\LOCALS~1\TEMPOR~1\Content.IE50KXB0YW\ADS_5_~1.SH! C:\DOCUME~1\CHARLO~1\LOCALS~1\TEMPOR~1\Content.IE5\43ADZP2K\SEARCH~4.SH! C:\DOCUME~1\CHARLO~1\LOCALS~1\TEMPOR~1\Content.IE5\KYB33RSF\ADS_3_~1.SH! C:\DOCUME~1\CHARLO~1\LOCALS~1\TEMPOR~1\Content.IE5\WF57WNWW\ADS_6_~1.SH! C:\DOCUME~1\CHARLO~1\LOCALS~1\TEMPOR~1\Content.IE5\WF57WNWW\ADS_7_~1.SH!
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Dell Network Assistant.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: ExifLauncher2.lnk = C:\Program Files\FinePixViewer\QuickDCF2.exe
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: QuickTV.lnk = C:\Program Files\AVerTV 6.0\AVerQT.exe
O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - btsendto_ie_ctx.htm
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - btsendto_ie.htm (file missing)
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - btsendto_ie.htm (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {1FF43AD5-2262-4C2F-81D4-26D710C3F305} (VB2S Mannequin Virtuel Control) - http://mannequin.redoute.fr/activex/Mannequin.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1182010432000
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.photoways.com/clients/uploader_v2.2.0.6.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab
O20 - Winlogon Notify: wlldshgr - C:\WINDOWS\SYSTEM32\wlldshgr.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Creative Labs Licensing Service - Creative Labs - C:\Program Files\Fichiers communs\Creative Labs Shared\Service\CreativeLicensing.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Advanced Networking Service (hnmsvc) - SingleClick Systems - C:\Program Files\Dell Network Assistant\hnm_svc.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: MBackMonitor - McAfee - C:\Program Files\McAfee\MBK\MBackMonitor.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Program Files\McAfee\MSK\MskSrver.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Service SiteAdvisor (SiteAdvisor Service) - Unknown owner - C:\Program Files\SiteAdvisor\6253\SAService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe
O23 - Service: Intel® PROSet/Wireless SSO Service (WLANKEEPER) - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
--
End of file - 15649 bytes
Je n'y comprend rien !
Pouvez vous m'aider svp ?
Merci0 -
C'est apparu dans la nuit du 19 au 20 Decembre 2007,
C'est nouveau mais il y a deja une solution assez manuelle pour le supprimer.
Telechargez la derniere version de VundoFix (6.7.7) et lancez l'application. Normalement, il devrait trouver le ou les fichiers (.exe et .dll) qui sont infestes.
Bonjour,
Je suis directrice d'une petite école de campagne et je pense que l'ordinateur de mon école est infesté par ce trojan (mêmes symptômes : apparition d'icônes, ralentissement, messages d'erreur...). J'ai donc parcouru avec attention votre réponse ! J'ai cherché en vain la version 6.7.7 de VundoFix. J'ai téléchargé une version (6.7.0.8) ici :
http://www.atribune.org/content/view/24/2/
et je n'arrive pas à trouver l'endroit où je peux télécharger l'update dont on parle ici :
http://www.atribune.org/content/view/38/2/
Est-ce que quelqu'un aurait un lien pour télécharger cette update ?
Je suis vraiment vraiment une bille en informatique donc je galère bien avec ce truc et on ne peut plus laisser les élèves se servir de cet ordi. La mairie ne veut pas nous payer de maintenance donc je dois me débrouiller seule alors si quelqu'un pouvait me donner cette info, cela serait vraiment très sympa !
Fred0 -
Salut Fred,
Es tu sure que c'est une infection de type Vundo?
Je te conseilles de commencer comme ceci:
Télécharge HijackThis ici:
http://telechargement.zebulon.fr/138-hijackthis-1991.html
Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre-le bien dans c : !
Lance le puis:
Clique sur "do a system scan and save logfile" (cf démo)
Faire un copier coller du log entier sur le forum
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pagesperso-orange.fr/rginformatique.../demohijack.htm
Bon courage
A+
Note: Si vous avez un quelconque commentaire/suggestion, n’hésitez pas.0 -
@ titchatcha :
Refaire un scan Hijackthis.
Cocher les lignes suivantes :
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\wlldshgr.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\BAE\BAE.dll
C:\DOCUME~1\CHARLO~1\LOCALS~1\TEMPOR~1\Content.IE5\QNTCFGJZ\VIEWTO~2.SH! C:\DOCUME~1\CHARLO~1\LOCALS~1\TEMPOR~1\Content.IE5\QNTCFGJZ\ADS_5_~1.SH! C:\DOCUME~1\CHARLO~1\LOCALS~1\TEMPOR~1\Content.IE5\43ADZP2K\ADS_4_~1.SH! C:\DOCUME~1\CHARLO~1\LOCALS~1\TEMPOR~1\Content.IE5\4YMUQB24\VIEWTO~2.SH! C:\DOCUME~1\CHARLO~1\LOCALS~1\TEMPOR~1\Content.IE50KXB0YW\ADS_5_~1.SH! C:\DOCUME~1\CHARLO~1\LOCALS~1\TEMPOR~1\Content.IE5\43ADZP2K\SEARCH~4.SH! C:\DOCUME~1\CHARLO~1\LOCALS~1\TEMPOR~1\Content.IE5\KYB33RSF\ADS_3_~1.SH! C:\DOCUME~1\CHARLO~1\LOCALS~1\TEMPOR~1\Content.IE5\WF57WNWW\ADS_6_~1.SH! C:\DOCUME~1\CHARLO~1\LOCALS~1\TEMPOR~1\Content.IE5\WF57WNWW\ADS_7_~1.SH!
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - btsendto_ie.htm (file missing)
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - btsendto_ie.htm (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O20 - Winlogon Notify: wlldshgr - C:\WINDOWS\SYSTEM32\wlldshgr.dll
Cliquer sur "Fix checked", puis confirmer.
Eventuellement : refaire un scan Hijackthis et poster à nouveau le résultat.
Tu as 3 antivirus installés, McAfee, BitDefender et Norton, ce qui est généralement à proscrire. Avoir plusieurs antivirus installés en mémoire (résidents) ne protège pas plus, au contraire c'est une source de conflits et de problèmes. En revanche, scanner les disques avec des antivirus différents permet de détecter un virus qui n'aurait pas été identifié par l'antivirus installé en mémoire.
Cdlt0
Leaders
Catégories
- Toutes les catégories
- 633 Windows
- 33 Mac
- 99 Mobile Security
- 241 VPN
- 247 Central et abonnements
- 141 Autres produits et services
- 79 Équipe de recherche sur la sécurité
- 30 Fonctionnalités du produit et idéation
- 89 Thèmes généraux
- 7.2K Particuliers & bureau à domicile
- 575 Malwares et envoi dexemples
- 2.7K Vieux sujets
- Archiver