Trojan Vundo (encore lui!!!)

Salut,

J'ai 2 fichiers dll dans mon system 32 suspects qui sont: pmnmmnn.dll et gebac.dll,
en faisant une petite recherche sur le net ces dll appartiennt au trojan (ou dut moins sont des traces) du trojan Vundo.

J'ai donc regardé sur ce forum et j'ai trouvé un Fix qui ne m'a pas supprimer
ces 2 fichiers! Evidemment j'ai essayé de les enlever moi même, même en mode sans echec et m^me avec "Processexplorer" pour les repérer et les enlever mais impossible...

J'ai égalemnt testé avec un petit logiciel nommé "copy locked files.." qui est censé supprimé ses fichiers même s'ils sont en cours d'utilisation (il redélmarre au préalable le pc pour pouvoir les supprimer)

D'avance merci de m'aider à trouver un moyen de supprimer ce sacrès trojan.






[ Ce message a été modifié par : : Alexdu17 le 15-12-2007 00:53 ]

1°) Télécharger sur le Bureau : VundoFix

= Double-clic VundoFix.exe.
= Clic OK
=Attendre le redemarrage de Vundofix
=Clic Scan for Vundo
= le scan est assez long , à la fin
=Clic Remove Vundo
= Puis yes
= Le Bureau disparaît un moment lors de la suppression des fichiers.
=Message shutdown
=clic OK
=Redémarrage auto
Note : il peut y avoir plusieurs redémarrages
= le rapport se trouve dans C:\vundofix.txt
tu postes le rapport vundofix

Télécharger sur le bureau
VirtumondoBegone

=Double clic sur VirtumundoBeGone.exe
=clic Continue
=clic Start
=clic Oui
=A la fin si Vundo est présent , le PC s’éteint et redémarre

Si Ecran bleu et message : Erreur fatale .. pas de problème

=Poster le rapport VBG.TXT qui est sur le bureau

J'ai déjà fait justement la première ETAPE mais VundoFix ne m'a rien trouvé du tout Donc je n'ai pas eu besoin de cliquer sur REMOVE comme je l'explique dans mon premier post puisqu'il n'y a rien!

Donc rien à supprimer. mais je vais recommencer en utilisant les 2 utilitaires.

Merci de m'avoir répondu si vite!



[ Ce message a été modifié par : : Alexdu17 le 15-12-2007 09:14 ]

salut fais Virtumobegone ensuite tu feras ceci

Télécharger et enregistrer sur le bureau
Combofix

=Double-clic sur Combofix
= Presser 1 quand demandé
= Attendre la fermeture de l’outil ( 5 à 10 mn)
=Copier/coller le rapport dans la réponse
Un rapport dans C:\Combofix.txt à mettre dans la réponse
ComboFix-quarantined-files + Qoobox sont eux à supprimer


et


Télécharger Hijackthis sur le bureau
= clic droit dessus ==> renommer ==> écrire : "test"( à la place de "hijackthis")
=Double-clic dessus
= Clic Do a system scan and save the log
-- Le Bloc-Notes s'ouvre :
copier coller le contenu du rapport
=======================================================
merci de mettre tous les rapports sous Spoiler

pour cela sélectionner la totalité de chaque rapport mis dans la case réponse
et clic sur le point d'interrogation en bas à droite de cette case
(à coté de TeX)

OK merci bcp je vous tiens au courant!


Ajout du 15-12-2007 à 09:32:


Le rapport de VBG:

[12/15/2007, 9:27:41] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Alex\Bureau\VirtumundoBeGone.exe" )
[12/15/2007, 9:27:46] - Detected System Information:
[12/15/2007, 9:27:46] - Windows Version: 5.1.2600, Service Pack 2
[12/15/2007, 9:27:46] - Current Username: Alex (Admin)
[12/15/2007, 9:27:46] - Windows is in NORMAL mode.
[12/15/2007, 9:27:46] - Searching for Browser Helper Objects:
[12/15/2007, 9:27:46] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[12/15/2007, 9:27:46] - BHO 2: {5BE79A2A-D038-4775-82D7-589DB9999714} ()
[12/15/2007, 9:27:46] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/15/2007, 9:27:46] - Checking for HKLM\...\Winlogon\Notify\gebca
[12/15/2007, 9:27:46] - Key not found: HKLM\...\Winlogon\Notify\gebca, continuing.
[12/15/2007, 9:27:46] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[12/15/2007, 9:27:46] - BHO 4: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[12/15/2007, 9:27:46] - BHO 5: {AEBF6926-DBA6-4100-A838-1CED0169AB78} ()
[12/15/2007, 9:27:46] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/15/2007, 9:27:46] - Checking for HKLM\...\Winlogon\Notify\pmnmmnn
[12/15/2007, 9:27:46] - Found: HKLM\...\Winlogon\Notify\pmnmmnn - This is probably Virtumundo.
[12/15/2007, 9:27:46] - Assigning {AEBF6926-DBA6-4100-A838-1CED0169AB78} MSEvents Object
[12/15/2007, 9:27:46] - BHO list has been changed! Starting over...
[12/15/2007, 9:27:46] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[12/15/2007, 9:27:46] - BHO 2: {5BE79A2A-D038-4775-82D7-589DB9999714} ()
[12/15/2007, 9:27:46] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/15/2007, 9:27:46] - Checking for HKLM\...\Winlogon\Notify\gebca
[12/15/2007, 9:27:46] - Key not found: HKLM\...\Winlogon\Notify\gebca, continuing.
[12/15/2007, 9:27:46] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[12/15/2007, 9:27:46] - BHO 4: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[12/15/2007, 9:27:46] - BHO 5: {AEBF6926-DBA6-4100-A838-1CED0169AB78} (MSEvents Object)
[12/15/2007, 9:27:46] - ALERT: Found MSEvents Object!
[12/15/2007, 9:27:46] - Finished Searching Browser Helper Objects
[12/15/2007, 9:27:46] - *** Detected MSEvents Object
[12/15/2007, 9:27:46] - Trying to remove MSEvents Object...
[12/15/2007, 9:27:47] - Terminating Process: IEXPLORE.EXE
[12/15/2007, 9:27:47] - Terminating Process: RUNDLL32.EXE
[12/15/2007, 9:27:48] - Disabling Automatic Shell Restart
[12/15/2007, 9:27:48] - Terminating Process: EXPLORER.EXE
[12/15/2007, 9:27:48] - Suspending the NT Session Manager System Service
[12/15/2007, 9:27:48] - Terminating Windows NT Logon/Logoff Manager
[12/15/2007, 9:27:49] - Re-enabling Automatic Shell Restart
[12/15/2007, 9:27:49] - File to disable: C:\WINDOWS\system32\pmnmmnn.dll
[12/15/2007, 9:27:49] - Renaming C:\WINDOWS\system32\pmnmmnn.dll -> C:\WINDOWS\system32\pmnmmnn.dll.vir
[12/15/2007, 9:27:49] - File successfully renamed!
[12/15/2007, 9:27:49] - Removing HKLM\...\Browser Helper Objects\{AEBF6926-DBA6-4100-A838-1CED0169AB78}
[12/15/2007, 9:27:49] - Removing HKCR\CLSID\{AEBF6926-DBA6-4100-A838-1CED0169AB78}
[12/15/2007, 9:27:49] - Adding Kill Bit for ActiveX for GUID: {AEBF6926-DBA6-4100-A838-1CED0169AB78}
[12/15/2007, 9:27:49] - Deleting ATLEvents/MSEvents Registry entries
[12/15/2007, 9:27:49] - Removing HKLM\...\Winlogon\Notify\pmnmmnn
[12/15/2007, 9:27:49] - Searching for Browser Helper Objects:
[12/15/2007, 9:27:49] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[12/15/2007, 9:27:49] - BHO 2: {5BE79A2A-D038-4775-82D7-589DB9999714} ()
[12/15/2007, 9:27:49] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/15/2007, 9:27:49] - Checking for HKLM\...\Winlogon\Notify\gebca
[12/15/2007, 9:27:49] - Key not found: HKLM\...\Winlogon\Notify\gebca, continuing.
[12/15/2007, 9:27:49] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[12/15/2007, 9:27:49] - BHO 4: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[12/15/2007, 9:27:49] - Finished Searching Browser Helper Objects
[12/15/2007, 9:27:49] - Finishing up...
[12/15/2007, 9:27:49] - A restart is needed.
[12/15/2007, 9:28:01] - Attempting to Restart via STOP error (Blue Screen!)

Il semble avoir trouveé mes 2 fichiers suspects gebca.dll et et pmnmmnn.dll qu'il a renommé et que jais pouvoir supprimé manuellement à ce que je vois


Ajout du 15-12-2007 à 09:44:

MERCI beaucoup unefois que ces 2 logiciels ont réussis à les isoler en les renommant et les déplacant j'ai put les supprimer manuellement! J'utilise Processexplorer et je ne les vois plus!

MERCI pour votre détermination et votre patience Monsieur et bonne journée

fais combofix suivi d'un rapport hijackthis

il faut verifier si il n'y a plus rien

ok combofix c'était fait il m'a empaqueté un virus en plus sur mon bureau dans un .rar nommé "catchme" c'était le gebca.dll.

Je tvous fait un rapport un Hijacktjis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:30, on 2007-12-15
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
D:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\uTorrent\uTorrent.exe
D:\Mes GROS docs\Téléchargements\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {FC66F7AA-2832-4F95-B891-9ED59CE948E9} - C:\WINDOWS\system32\gebca.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [combofix] C:\WINDOWS\system32\cmd.exe /c C:\ComboFix\Combobatch.bat
O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [NVIDIA nTune] "D:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - D:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SysEnforce - Unknown owner - D:\PROGRA~1\TRISNA~1\SSI\SYSENF~1.EXE (file missing)

--

End of file - 4842 bytes


Dans ce que je vois il ya le gebca.dll manquant ^^ c'est parfait

PS: Il n'yavait rien d'intéressant dans Combofix.txt:

ComboFix 07-12-15.5 - Alex 2007-12-15 9:34:14.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1656 [GMT 1:00]
Running from: C:\Documents and Settings\Alex\Bureau\ComboFix.exe
* Created a new restore point
.





[ Ce message a été modifié par : : Alexdu17 le 15-12-2007 11:36 ]

relancer hijack
"Do A System Scan Only"

cocher ces lignes et clic ensuite sur FIX CHECKED

O2 - BHO: (no name) - {FC66F7AA-2832-4F95-B891-9ED59CE948E9} - C:\WINDOWS\system32\gebca.dll (file missing)
O23 - Service: SysEnforce - Unknown owner - D:\PROGRA~1\TRISNA~1\SSI\SYSENF~1.EXE (file missing)

==> Désinstalle et supprime la totalité des programmes que je t'ai fais installé
==> Supprime tous les rapports qui sont apparus lors des divers scans

si tu n'as pas d'autres problèmes , merci de mettre le marqueur résolu, en haut de page (clic sur "mettre le marqueur résolu")

bonne journée

OK j'attendais que vous me dopnniez le départ avant de le faire on ne sais jamais!

Bonne journée à vous aussi.

PS: vous êtes tout seul à répondre à autant de personnes ?

pas toujours parfois il y a d'autre personnes on est plusieurs