Libellules.ch - forum d'informatique • Malware trojan vundo : Désinfections et demandes d'analyse

par **Falkra** » 04 Jan 2008 17:47

CFScript.txt

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebywxx]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"Nh7Ye22XOi"=-

File::
C:\WINDOWS\system32\ndaTqsVqrX.dll
C:\windows\system32\gebywxx.dll

Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

par **Schobrink** » 04 Jan 2008 18:18

Je n'avais pas vu le 2ème fichier malicieux
J'ai fait la procédure
Voici le rapport:

ComboFix 08-01-02.1 - Administrateur 2008-01-04 18:10:15.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.48 [GMT 1:00]
Running from: C:\Documents and Settings\Administrateur.72FE02D314F24D6\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Administrateur.72FE02D314F24D6\Bureau\CFScript.txt
* Created a new restore point

FILE
C:\windows\system32\gebywxx.dll
C:\WINDOWS\system32\ndaTqsVqrX.dll
.

((((((((((((((((((((((((((((( Fichiers créés 2007-12-04 to 2008-01-04 ))))))))))))))))))))))))))))))))))))
.

2008-01-03 17:21 . 2008-01-03 17:21 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Yahoo! Companion
2008-01-03 17:18 . 2008-01-03 17:18 17,544,334 --a------ C:\upload_moi_72FE02D314F24D6.tar.gz
2008-01-03 16:14 . 2008-01-03 16:23 <REP> d-------- C:\Program Files\Navilog1
2008-01-02 18:20 . 2008-01-02 18:21 72,488 --a------ C:\cc_20080102_1820.reg
2008-01-02 17:37 . 2008-01-02 17:37 <REP> d-------- C:\VundoFix Backups
2008-01-02 17:03 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-02 10:29 . 2008-01-02 10:29 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Lavasoft
2008-01-02 10:28 . 2008-01-02 10:28 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-01-01 11:39 . 2008-01-01 11:51 <REP> d-------- C:\Program Files\RegCleaner
2007-12-30 09:44 . 2007-12-30 09:44 23,040 --a------ C:\Rapport 29.doc
2007-12-21 12:43 . 2007-12-21 12:43 <REP> d-------- C:\Documents and Settings\Administrateur.72FE02D314F24D6\Application Data\Lavasoft
2007-12-20 17:26 . 2007-12-20 17:26 <REP> d-------- C:\Documents and Settings\Administrateur.72FE02D314F24D6\Application Data\Quark
2007-12-20 17:00 . 2007-12-20 17:00 <REP> d-------- C:\Program Files\Quark
2007-12-20 11:59 . 2007-12-20 11:59 <REP> d-------- C:\Program Files\Lavasoft
2007-12-12 15:20 . 2007-07-06 13:50 660,992 -----c--- C:\WINDOWS\system32\dllcache\mqqm.dll
2007-12-12 15:20 . 2007-07-06 13:50 527,360 -----c--- C:\WINDOWS\system32\dllcache\mqutil.dll
2007-12-12 15:20 . 2007-07-06 13:50 177,152 -----c--- C:\WINDOWS\system32\dllcache\mqrt.dll
2007-12-12 15:20 . 2007-07-06 13:50 138,240 -----c--- C:\WINDOWS\system32\dllcache\mqad.dll
2007-12-12 15:20 . 2007-07-06 13:50 95,744 -----c--- C:\WINDOWS\system32\dllcache\mqsec.dll
2007-12-12 15:20 . 2007-07-06 11:05 72,960 -----c--- C:\WINDOWS\system32\dllcache\mqac.sys
2007-12-12 15:20 . 2007-07-06 13:50 48,640 -----c--- C:\WINDOWS\system32\dllcache\mqupgrd.dll
2007-12-12 15:20 . 2007-07-06 13:50 47,104 -----c--- C:\WINDOWS\system32\dllcache\mqdscli.dll
2007-12-12 15:20 . 2007-07-06 13:50 16,896 -----c--- C:\WINDOWS\system32\dllcache\mqise.dll
2007-12-12 15:19 . 2007-10-29 23:43 1,293,824 -----c--- C:\WINDOWS\system32\dllcache\quartz.dll
2007-12-12 15:19 . 2007-11-14 08:28 450,560 -----c--- C:\WINDOWS\system32\dllcache\jscript.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-02 14:33 --------- d-----w C:\Documents and Settings\Administrateur.72FE02D314F24D6\Application Data\AdobeUM
2008-01-02 14:21 --------- d-----w C:\Documents and Settings\Administrateur.72FE02D314F24D6\Application Data\Canon
2008-01-02 10:07 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\Google Updater
2008-01-01 13:08 --------- d-----w C:\Program Files\CartoNavPlus
2007-12-21 11:42 --------- d-----w C:\Program Files\Ad-Aware
2007-12-11 10:13 --------- d-----w C:\Program Files\Shareaza
2007-11-29 07:45 --------- d-----w C:\Program Files\Rar Repair Tool
2007-11-26 13:15 --------- d-----w C:\Program Files\FDRLab
2007-11-25 08:41 --------- d-----w C:\Program Files\Whisper Technology
2007-11-23 12:40 --------- d-----w C:\Program Files\ElcomSoft
2007-11-23 09:11 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-11-23 09:11 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\BVRP Software
2007-11-23 08:58 --------- d-----w C:\Program Files\Ontrack
2007-11-22 14:41 --------- d-----w C:\Program Files\TSL
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-10-29 22:43 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
2006-10-08 23:18 145,920 ----a-w C:\WINDOWS\inf\hdaudio.sys
.

((((((((((((((((((((((((((((( snapshot@2008-01-02_17.10.09,84 )))))))))))))))))))))))))))))))))))))))))
.
+ 2000-08-31 07:00:00 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
+ 2008-01-04 16:32:47 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_2b8.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UberIcon"="C:\Program Files\UberIcon\UberIcon Manager.exe" [2005-08-12 20:52 180224]
"VisualTaskTips"="C:\Windows\System32\VisualTaskTips.exe" [2006-07-05 03:23 36864]
"TweakRAM"="C:\Program Files\TweakRAM\TweakRAM.exe" [2006-04-15 18:07 907264]
"LClock"="C:\Program Files\LClock\lclock.exe" [2004-09-19 20:27 65536]
"Ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:54 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-11-02 21:33 7700480]
"nwiz"="nwiz.exe" []
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-11-02 21:33 86016]
"Vistadrv"="C:\WINDOWS\system32\Vistadrive\vsdrv.exe" [2006-07-30 03:37 121089]
"TopDesk"="C:\WINDOWS\system32\topdesk.exe" [2006-11-06 20:31 195584]
"DiskeeperSystray"="C:\Program Files\Executive Software\Diskeeper\DkIcon.exe" [2005-07-26 17:52 184408]
"nod32kui"="C:\Program Files\Nod32\nod32kui.exe" [2007-03-09 17:26 921600]
"Look 'n' Stop"="C:\Program Files\Soft4Ever\looknstop\looknstop.exe" [2007-04-10 07:07 364612]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"UberIcon"="C:\Program Files\UberIcon\UberIcon Manager.exe" [2005-08-12 20:52 180224]
"VisualTaskTips"="C:\Windows\System32\VisualTaskTips.exe" [2006-07-05 03:23 36864]
"TweakRAM"="C:\Program Files\TweakRAM\TweakRAM.exe" [2006-04-15 18:07 907264]
"LClock"="C:\Program Files\LClock\lclock.exe" [2004-09-19 20:27 65536]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide3"="cmd.exe" [2006-06-20 11:15 403968 C:\WINDOWS\system32\cmd.exe]

C:\Documents and Settings\All Users.WINDOWS\Menu D‚marrer\Programmes\D‚marrage\
Acc‚l‚rateur de d‚marrage AutoCAD.lnk - C:\Program Files\Fichiers communs\Autodesk Shared\acstart17.exe [2006-03-05 13:43:54]
Assistant d'Acrobat.lnk - C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-05-15 00:19:50]
Outil de mise … jour Google.lnk - C:\Program Files\Google\Google Updater\GoogleUpdater.exe [2007-03-22 08:51:45]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebywxx]
gebywxx.dll

R0 Si3112;Si3112;C:\WINDOWS\system32\drivers\Si3112.sys [2006-10-09 00:30]
R0 viamraid;viamraid;C:\WINDOWS\system32\DRIVERS\viamraid.sys [2006-10-09 00:30]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-10-09 00:30]
R1 GhPciScan;GhostPciScanner;C:\Program Files\Symantec\Norton Ghost 2003\ghpciscan.sys [2003-05-28 19:01]
R1 lnsfw1;lnsfw1;C:\WINDOWS\system32\drivers\lnsfw1.sys [2007-03-09 21:36]
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 21:58]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-12-29 00:58]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalService REG_MULTI_SZ WebClient LmHosts upnphost SSDPSRV

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{1B323974-9D09-774A-0507-020300020002}]
C:\WINDOWS\Nod32.exe
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-04 18:14:56
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe [6.00.2900.3156]
-> C:\WINDOWS\system32\topdesk.dll
-> C:\Program Files\UberIcon\UberIcon.dll
-> C:\Windows\System32\VttHooks.dll
-> C:\Program Files\LClock\LC.dll
.
Completion time: 2008-01-04 18:16:27
ComboFix-quarantined-files.txt 2008-01-04 17:16:22
ComboFix2.txt 2008-01-04 16:35:32
ComboFix3.txt 2008-01-02 16:10:41
.
2007-12-21 16:37:47 --- E O F ---

par **Falkra** » 04 Jan 2008 18:20

Ok, poste un log HJt (lignes à finir).

par **Schobrink** » 04 Jan 2008 18:22

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:22, on 04/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Nod32\nod32krn.exe
C:\WINDOWS\system32\topdesk.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Nod32\nod32kui.exe
C:\Program Files\Soft4Ever\looknstop\looknstop.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\UberIcon\UberIcon Manager.exe
C:\Windows\System32\VisualTaskTips.exe
C:\Program Files\TweakRAM\TweakRAM.exe
C:\Program Files\LClock\lclock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1.72F\LOCALS~1\Temp\Rar$EX00.436\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Vistadrv] C:\WINDOWS\system32\Vistadrive\vsdrv.exe
O4 - HKLM\..\Run: [TopDesk] C:\WINDOWS\system32\topdesk.exe
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Nod32\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [VisualTaskTips] C:\Windows\System32\VisualTaskTips.exe
O4 - HKCU\..\Run: [TweakRAM] C:\Program Files\TweakRAM\TweakRAM.exe
O4 - HKCU\..\Run: [LClock] C:\Program Files\LClock\lclock.exe
O4 - HKCU\..\Run: [Ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [VisualTaskTips] C:\Windows\System32\VisualTaskTips.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [TweakRAM] C:\Program Files\TweakRAM\TweakRAM.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [LClock] C:\Program Files\LClock\lclock.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'Default user')
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart17.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O20 - Winlogon Notify: gebywxx - gebywxx.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Nod32\nod32krn.exe

--
End of file - 7326 bytes

par **Falkra** » 04 Jan 2008 18:24

Coche ça et fais "fix checked" (maintenant on peut) :

O20 - Winlogon Notify: gebywxx - gebywxx.dll (file missing)

Redémarre et vois si tu as des symptômes anormaux.

par **Schobrink** » 04 Jan 2008 18:38

J'ai effacé la ligne 20 dans le hijackthis et j'ai rebooté, tout est OK
MERCI d'avoir consacré du temps à mon problème.
Tu as droit à la bise du jour de l'an.
J'ajouterais juste pour ceux qui liront ce post, que j'ai choppé ça en P2P en ouvrant un de ces fichiers.exe de 220 k qui répondent à toutes les recherches. Je savais que c'était des virus, mais top tard, j'ai malheureusement cliqué dessus.
Je constate aussi que la procédure d'erradication n'est pas tout à fait complète.
En tous cas, encore MERCI et à Plus.
Schobrink

par **Falkra** » 04 Jan 2008 18:41

Schobrink a écrit:Je constate aussi que la procédure d'erradication n'est pas tout à fait complète.

Précise, je n'ai pas dis "c'est fini". :lol:

par **Schobrink** » 04 Jan 2008 18:44

C'est la procédure automatique de suppréssion des malware qui est un peu faible, pour ce vundo en tous cas, car il n'enlève pas tout et laisse des traces ...

par **Falkra** » 04 Jan 2008 18:49

Il faut voir si après redémarrages et autres, tu as des symptômes anormaux, ça prend un moment à vérifier, et surtout, pour ne pas te faire réinfecter, il faudrait appliquer 2-3 trucs :
http://www.libellules.ch/phpBB2/prevention-comment-eviter-bien-des-infections-t24540.html

Vundo, ça ne s'attrape pas tout seul en fait. :wink:

par **Schobrink** » 04 Jan 2008 18:51

oui, le vundo n'est pas détecté au téléchargement

par **ben74** » 01 Avr 2008 16:35

Sympa l'article :supers:

Mais pour trouver un antivirus viable et gratuit de nos jours, est-ce possible ?

Nombreux sont ceux qui tentent de passer en payant ..

pour le firewall je suis passé de kerio à comodo

par **Falkra** » 01 Avr 2008 19:43

C'est là une autre question, n'hésite pas à ouvrir un autre sujet.

Actuellement en gratuit, Antivir est le plus fiable : http://www.libellules.ch/tuto_antivir.php

Malware trojan vundo

Re: Malware trojan vundo

Re: Malware trojan vundo

Re: Malware trojan vundo

Re: Malware trojan vundo

Re: Malware trojan vundo

Re: Malware trojan vundo

Re: Malware trojan vundo

Re: Malware trojan vundo

Re: Malware trojan vundo

Re: Malware trojan vundo

Re: Malware trojan vundo

Re: Malware trojan vundo

Qui est en ligne