| Voir le sujet précédent :: Voir le sujet suivant |
| Auteur |
Message |
alexdc83
Nouveau
Inscrit le: 03 Mar 2005
Messages: 40
|
 Posté le: 17 Déc 2007 13:52 Sujet du message: Troyen VUNDO.DSZ, une sale bête ! [Résolu] |
|
|
Bonjour à tous,
Depuis qques jours j'essaie de me débarrasser d'un cheval de troie TRES récalcitrant 
Mon AV, BitDefender, qui est mis à jour presque tous les jours et qui me donne entière satisfaction depuis des années  l'a tout de suite repéré mais ne l'a pas empêché de se foutre dans mon dossier WINDOWS/system32 d'où le bougre ne veut plus partir 
J'ai fait plusieurs analyses Bitdefender, mais impossible de supprimer le fichier infecté ni de le déplacer (même en rubrique Quarantaine).
Ensuite j'ai passé 2-3 coups de Spybot Search and Destroy (après mise à jour de ce logiciel), là encore il a repéré le troyen mais pas moyen de le virer.
J'ai aussi passé un coup de Panda Online (enfin ça ne s'appelle plus Panda mais j'ai oublié le nom), toujours rien.
Enfin, je viens de faire passer mon PC dans la moulinette HijackThis dont voici le résultat de l'analyse :
http://cjoint.com/?mroNFGuq2i
Je ne trouve pas mon fichier virusé là-dedans (cf ma capture ci-dessous).
Image beaucoup trop grosse!
Parmi les symptômes que j'ai remarqué depuis que ce troyen est sur mon PC, mon bureau Windows Xp se vide parfois de toutes ses icônes et la barre des tâches, en bas, disparait tout comme le menu Démarrer. Je suis alors obligé de rédémarrer mon PC 
Voilà, merci de votre aide par avance ! |
|
| Revenir en haut |
|
 |
Dan
Administrateur
Inscrit le: 25 Nov 2003
Messages: 3743
Localisation: Québec, Canada
|
| Posté le: 17 Déc 2007 17:02 Sujet du message: |
|
|
Bonjour,
en attendant une réponse, fait attention quand tu mets une image sur le forum, la tienne dénaturait le forum!
Merci.
_________________
 Merci de lire la charte avant de poster! |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 7880
Localisation: Rouen (France)
|
| Posté le: 17 Déc 2007 17:33 Sujet du message: |
|
|
Hello,
- Télécharge combofix.exe, de sUBs, sur ton Bureau,
 Désactive ton antivirus et toutes tes autres protections pour que l'outil puisse s'exécuter normalement.
- Double clique combofix.exe,
- Tape sur la touche 1 (Yes) pour démarrer le scan,
- Lorsque le scan sera complété, un rapport apparaîtra. poste le contenu de ce rapport dans ta prochaine réponse.
NB : Le rapport se trouve également là : C:\Combofix.txt.
- Renomme HijackThis.exe en alexdc83.exe
- Poste un nouveau log HijackThis renommé, avec le rapport de Combofix
@+
Salut Dan :)
_________________
Dernière édition par Sév le 17 Déc 2007 21:28; édité 1 fois |
|
| Revenir en haut |
|
|
alexdc83
Nouveau
Inscrit le: 03 Mar 2005
Messages: 40
|
| Posté le: 17 Déc 2007 21:17 Sujet du message: |
|
|
| Ok je vais faire ça, merci |
|
| Revenir en haut |
|
|
alexdc83
Nouveau
Inscrit le: 03 Mar 2005
Messages: 40
|
| Posté le: 19 Déc 2007 15:10 Sujet du message: |
|
|
Bonjoour,
Voici mon log Combofix
Voici le log Hijackthis après le passage de Combofix : Hijack
Je peux vous dire que mon .dll virusé est toujours là car mon AV vient d'en alerter une nouvelle fois.
Merci |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 7880
Localisation: Rouen (France)
|
| Posté le: 19 Déc 2007 19:42 Sujet du message: |
|
|
Bonsoir,
| alexdc83 a écrit: | | Je peux vous dire que mon .dll virusé est toujours là car mon AV vient d'en alerter une nouvelle fois. |
C'est normal, on n'a rien fait encore. 
- Désinstalle eChanblard, c'est un nid à virus,
- Désactive ton antivirus et tes autres protections pour que Combofix puisse s'éxécuter normalement,
- Ouvre le bloc notes et enregistre la totalité du texte ci-dessous :
| Citation: | File::
C:\WINDOWS\System32\mllmk.dll
C:\WINDOWS\system32\pmnkjjk.dll
C:\WINDOWS\System32\urdvxc.exe
Folder::
C:\Program Files\eChanblard
Service::
MSWindows |
Enregistre le fichier en le nommant CFScript.txt et fais un glisser/déposer du fichier vers Combofix comme sur l'image ci-dessous :
Double-clique Combofix.exe et laisse le s'exécuter (ne touche à rien pendant toute la durée du scan)
Une fois le scan terminé un rapport Combofix.log va apparaître, poste son contenu sur ta prochaine réponse avec un nouveau log HijackThis renommé.
Réactive ton antivirus
@+
_________________
|
|
| Revenir en haut |
|
|
alexdc83
Nouveau
Inscrit le: 03 Mar 2005
Messages: 40
|
| Posté le: 22 Déc 2007 0:48 Sujet du message: |
|
|
Merci Sév 
J'ai fait tout ce que tu as dit. Voici donc mon log Combofix
Et le log de HijackThis
J'ai l'impression que le .dll qui contenait le troyen a disparu, mais bizarrement mon AV me signale tjrs la présence dudit troyen  |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 7880
Localisation: Rouen (France)
|
| Posté le: 22 Déc 2007 11:03 Sujet du message: |
|
|
Bonjour,
| alexdc83 a écrit: | | J'ai fait tout ce que tu as dit. |
Non tu n'as pas fait exactement ce que je t'ai demandé :
- Sur ton dernier log, HijackThis a été renommé en HijackThis.exe alors que je t'avais demandé de le renommer en alexdc83.exe. Je ne t'ai dit à aucun moment de le renommer de nouveau.
- Tu as lancé Combofix 4 fois, alors que tu n'aurais dû le lancer que 2 fois selon mes demandes.
Avant de continuer je voudrais voir un log HijackThis renommé comme je te l'ai demandé, et tous les rapports de Combofix dans cet ordre :
- C:\ComboFix.txt
- C:\ComboFix2.txt
- C:\ComboFix3.txt
- C:\ComboFix4.txt
Il reste effectivement des traces d'infection, qu'on supprimera ensuite. :)
@+
_________________
|
|
| Revenir en haut |
|
|
alexdc83
Nouveau
Inscrit le: 03 Mar 2005
Messages: 40
|
| Posté le: 22 Déc 2007 13:31 Sujet du message: |
|
|
 Ca commence à devenir compliqué cette histoire. Bon je vais réessayer ce soir, merci. |
|
| Revenir en haut |
|
|
alexdc83
Nouveau
Inscrit le: 03 Mar 2005
Messages: 40
|
| Posté le: 24 Déc 2007 16:51 Sujet du message: |
|
|
Bonsoir,
Voici mon log Hijackthis : alexdc83
Et mes 4 logs ComboFix :
1
2
3
4
Merci et bon réveillon  |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 7880
Localisation: Rouen (France)
|
| Posté le: 24 Déc 2007 17:39 Sujet du message: |
|
|
Hello,
Là d'accord, je vois mieux ce que Combofix a traité.
On y retourne avec Combofix, et tu ne le lances qu'une fois s'il te plaît :
Enregistre le texte qui suit, et nomme-le CFScript :
| Citation: | File::
C:\WINDOWS\system32\bdod.bin
C:\WINDOWS\system32\pmnkjjk.dll
C:\WINDOWS\System32\mllmk.dll
C:\WINDOWS\system32\pmnkjjk.dll
C:\WINDOWS\System32\urdvxc.exe
|
Fais un glisser/déposer du script vers Combofix, et poste le rapport obtenu.
Poste un nouveau log HijackThis renommé.
Bon Noël.
++
_________________
|
|
| Revenir en haut |
|
|
alexdc83
Nouveau
Inscrit le: 03 Mar 2005
Messages: 40
|
|
| Revenir en haut |
|
|
alexdc83
Nouveau
Inscrit le: 03 Mar 2005
Messages: 40
|
| Posté le: 29 Déc 2007 11:01 Sujet du message: |
|
|
| Personne ? |
|
| Revenir en haut |
|
|
Dan
Administrateur
Inscrit le: 25 Nov 2003
Messages: 3743
Localisation: Québec, Canada
|
| Posté le: 29 Déc 2007 14:16 Sujet du message: |
|
|
Bonjour,
| alexdc83 a écrit: | | Personne ? |
| La charte a écrit: |
 Pas d'impatience * : Sur Informatruc, l'impatience négative envers le forum ou un membre n'est pas tolérée. Les gens sont bénévoles et prennent sur leur temps libre pour répondre. Si vous voulez un service rapide, payez-vous un professionnel. |
C'est le temps des fêtes pour tout le monde alors patience.
Merci.
Angel, Sév ... 
_________________
Merci de lire la charte avant de poster! |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 7880
Localisation: Rouen (France)
|
| Posté le: 30 Déc 2007 6:08 Sujet du message: |
|
|
Bonjour,
Désolée pour le retard de réponse.
- Télécharge Deckard's System Scanner (DSS) (de Deckard), sur ton Bureau à partir de ce lien :
http://deckard.geekstogo.com/dss.exe
- Ferme tous les programmes en cours, y compris ton navigateur (pas d'activité internet pendant la manipulation)
- Désactive tes protections avant de lancer l'outil pour ne pas le gêner (Antivirus, antispyware etc...)
- Double clique sur DSS.exe pour lancer l'installation, puis l'outil,
- Tu devras cliquer [Ok] à chaque fois que cela sera demandé,
- A l'issue de l'analyse, deux fichiers texte vont apparaître :
main.txt <- ouvert dans une fenêtre normale
extra.txt <- ouvert dans une fenêtre réduite
- Ferme ces deux fenêtres.
- Poste le résultat les deux rapports de DSS (main.txt et extra.txt) qui se trouvent sous C:\Deckard\System Scanner
@+
Salut Dan :)
_________________
|
|
| Revenir en haut |
|
|
|
FAQ
Membres
S'enregistrer
Profil
Vérifier ses messages privés
Connexion
