Infecté par virtumonde,smitfraud-C etc...

[chris henri]

Bonsoir à tous,

Je suis infecté par différents spywares suite à un téléchargement douteux sur limewire.

Suite à une recherche sur le net, j'ai essayé de les supprimer sans succès en utilisant différents outils dans l'ordre ou dans le désordre comme Vundofix, smitfraudfix, combofix, ewido, virtumondo, et les classiques ADAWARE et SPYBOT, etc....

Les effets de ces spywares sur mon ordi sont classiques comme des fenêtres de pub intempestives lors de l'ouverture d'explorer et proposition de logiciel de désinfection etc...

Vous trouverez ci joint les rapports demandés.

Help me.

[JPL]

Le rapport HijackThis n'a pas été fait avec la version de HJT conseillée par le groupe antimalwares. Je t'invite donc à appliquer intégralement la procédure suivante http://www.futura-sciences.com/fr/co...701/c3/221/p1/ et à revenir poster les rapports obtenus.

[chris henri]

Bonsoir !
Merci pour ton aide.
Comme demandé, j'ai suivi la procédure: j'ai fait un fait un ATF-cleaner , DiagHelp, HijackThis.
Voici ci-joint les fichiers de résultats ( si j'arrive à les joindre au message )
A+

[chris henri]

Désolé je suis nouveau sur ce forum, je n'arrive pas à joindre les fichiers.
Merci de m'indiquer la procédure.

[JPL]

Tu cliques sur le bouton Répondre. Parmi les icônes il y a celle-ci . Elle t'amène à une fenêtre qui te permet de sélectionner la ou les pièces jointes. Ensuite dans cette fenêtre tu cliques sur Uploader (désolé... pas traduit). On a quelques petits problèmes ces temps-ci et parfois il faut s'y reprendre à plusieurs fois.

[chris henri]

Bonjour !

Merci pour les conseils.

Voici enfin les rapports demandés.

A+

[igor51]

Bonsoir


Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!
Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

Bonne soirée

[chris henri]

Bonsoir
Merci pour ton aide Igor51, j'ai lancer combofix.
Pour info le processus a été interrompu par mon antivirus avast qui a détecté encore plusieurs trojans
Voici les 2 rapports que tu m'as demandé, au plaisir de te lire.
A+

[igor51]

Bonsoir,

dans un document texte, copie/.colle tout ce qui se trouve entre les les codes :

Code:

File::
C:\n.bat

C:\2636.bat
C:\WINDOWS\system32\vbbgtjpc.dll
C:\WINDOWS\Fonts\svchost.exe
C:\WINDOWS\system32\ywivlhre.dll
C:\WINDOWS\system32\e1\caws83122.exe.dll
C:\WINDOWS\system32\yymuoclb.dll
C:\DOCUME~1\aapc1363\LOCALS~1\Temp\CEMG555077.exe.dll
C:\z.dat
C:\WINDOWS\system32\yymuoclb.dll

C:\WINDOWS\system32\rakacejq.ini
C:\WINDOWS\system32\cwdmiojd.ini

C:\WINDOWS\system32\pyjcaikh.exe

C:\WINDOWS\system32\ilyrbplt.dll

C:\WINDOWS\system32\qhglgwmk.exe

C:\WINDOWS\system32\lyvvtyyf.ini

C:\WINDOWS\system32\jxokpkik.dll

C:\WINDOWS\system32\yjfqgtlh.ini

C:\5726.bat
C:\3579.bat

C:\WINDOWS\system32\yacenubu.ini

C:\Temp\mZOr

C:\WINDOWS\system32\wvutrrq.dll
C:\WINDOWS\system32\eeqyluih.dll
C:\4397.bat
C:\WINDOWS\system32\ynuwxeod.ini

C:\WINDOWS\system32\howfhhbj.ini

C:\WINDOWS\system32\vtmjjunw.dll

C:\WINDOWS\system32\iifffgd.dll

C:\WINDOWS\system32\hbrfkjwk.ini

C:\WINDOWS\system32\muwyxetd.dll

C:\WINDOWS\system32\xubojemy.exe

C:\WINDOWS\system32\hggfebc.dll

C:\Documents and Settings\Camille\z.dat

C:\Documents and Settings\Camille\x.dat

C:\WINDOWS\system32\ssqqqqr.dll

C:\WINDOWS\system32\cbxwvtq.dll

C:\winlogon.exe

C:\WINDOWS\system32\fccawxu.dll

C:\Documents and Settings\aapc1363\z.dat

C:\x.dat

C:\Documents and Settings\aapc1363\x.dat
C:\WINDOWS\system32\fvhjkhaa.dll
C:\WINDOWS\system32\njsxajfb.exe
C:\WINDOWS\system32\whjbpkpy.ini
C:\WINDOWS\system32\gcchasbj.dll

C:\WINDOWS\system32\mcdpwswo.exe

C:\WINDOWS\system32\dqpfiblw.dll

C:\WINDOWS\system32\ywivlhre.dll

C:\WINDOWS\system32\erhlviwy.ini

C:\WINDOWS\system32\hmmfoato.exe

C:\WINDOWS\system32\ewbrfvpy.ini

C:\WINDOWS\system32\nfmfpnln.exe

C:\WINDOWS\system32\qiwbsexs.exe

C:\WINDOWS\system32\iunmdsdc.exe

C:\WINDOWS\system32\lrwpscfx.ini

C:\WINDOWS\system32\kipkvsyw.dll

C:\WINDOWS\system32\kxgixlvc.exe

C:\WINDOWS\system32\abdlrmic.exe

C:\WINDOWS\system32\adrkphfh.dll

C:\WINDOWS\system32\lgfidvhs.ini

C:\WINDOWS\system32\cnqqclpb.exe

C:\WINDOWS\system32\kujqfuuh.ini

Nomme ce fichier CFScript

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
• Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Bonne soirée

[chris henri]

Hi !

Merci pour ton message.

Voici le résultat. Le micro s'est planté au redémarrage avec un message
RUN DLL

Erreur de chargement C:\windows\system32\ywivhre.dl l .......etc

Pour info, depuis hier juste après la manip que tu m'as demandée, j'ai été obligé de lancer VUNDOFIX pour arrêter des messages d'alertes intempestifs et une activation en continu de mon anti virus.
Ce programme a supprimé un .dll infecté. J'ai déjà réalisé cette opération plusieurs fois depuis le début de l'infection. Cela permet de retrouver une navigation normale pendant quelques heures sans pour autant tordre le cou définitivement au problème. Pour confirmer, des scans avec les outils classiques confirment la présence de virtumonde et d'autres spywares.

A +

[chris henri]

Bonsoir,

Je suis toujours en attente d'un commentaire sur mon dernier message.

Mon micro n'est à priori par encore tout à fait "propre".

Je conserve également le message suivant au démarrage.

Run DLL Erreur de chargement C:\windows\system32\ywivhre.dl l

Merci pour votre aide.

[igor51]

Bonjour,


je t'ai un peu loupé hier....désolé...voici donc la suite

Lance Hijackthis, choisis do a scan only et coche les lignes suivantes :

O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe
O4 - HKLM\..\Run: [888a6c0c] rundll32.exe "C:\WINDOWS\system32\ywivlhre. dll",b
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - http://194.51.19.18/iNotes6W.cab
O20 - Winlogon Notify: vbbgtjpc - C:\WINDOWS\SYSTEM32\vbbgtjpc.d ll

Ferme toutes les fenêtres sauf Hijackthis et clique sur Fix Checked

Télécharge AVG Anti-Spyware

1. Lance AVG Anti-Spyware et clique sur le bouton Mise à jour (barre d'outils - au haut). Sous Mise à jour manuelle clique Commencer la mise à jour.
2. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Mise à jour réussie"
3. Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

1. Du mode Sans Échec, lance AVG Anti-Spyware,
2. Choisis l'onglet Analyse puis sur Paramètre, clique sur Actions recommandées : La, choisis Quarantaine.
3. Clique sur le bouton Analyse (de la barre d'outils) et ensuite clique sur Analyse complète du sytème. Le scan prendra un certain temps, donc sois patient.
4. AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement". Clique sur le bouton Appliquer toutes les actions. AVG Anti-Spyware affichera "Toutes les actions ont été effectuées" du côté droit.
5. Clique sur "Enregistrer le rapport", puis "Enregistrer sous". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

Poste moi le rapport généré

Bonne journée

[chris henri]

Bonsoir !

J'ai réalisé les opérations demandées Hijackthis et AVG Anti-Spyware.

Sur Hijackthis, je n'ai pas trouvé la ligne:
O20 - Winlogon Notify: vbbgtjpc - C:\WINDOWS\SYSTEM32\vbbgtjpc.d ll

Disparue ? ou changement de nom ? Pour info, je te joins un nouveau rapport Hijackthis réalisé à la suite d'AVG Anti-Spyware.

Le bout du tunnel n'est loin....

Merci pour ton aide.

@+

[igor51]

Bonsoir,

Oki pour la ligne, disparut suite au précédente opération mais je l'ai mis dans le cas où...

• Fais un scan en ligne Kaspersky
• Clique sur Accept
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
• clique une nouvelle fois sur "Accept"
• Les bases de mises à jour vont s'installer, patiente un moment
• Clique sur Next.
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

Copie/colle l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

Poste ce rapport dans ta réponse dans ta réponse ainsi qu'un nouveau log Hijackthis.
Bonne soirée

[chris henri]

Bonjour !!!!

Impossible de lancer Kaspersky. Je n'ai plus de connection internet sur le micro infecté depuis qq jours avec un message : Connectivité limitée ou inexsitante.

J'ai passé une heure (eh oui) ce jour avec la hot line d'Orange. Après moult tests, pour eux tout fonctionne correctement. Le pb vient de mon ordi. Nous ne somme pas arrivé à fixer l'adresse IP même manuellement.

Me conseil de formater......

Ce problème est-il un effet collatéral de l'infection en cours ????

Je pensais être au bout....

Help me.

Merci d'avance

[chris henri]

Bonjour,

Finalement, j'ai retrouvé ce soir, ma connexion internet !!!!!!!

J'en ai profité pour faire le scan Kaspersky demandé. A priori "la bête" est encore malade....

Voici le résultat. Mon anti virus avast a encore détecté ce jour un trojan Trojan.Win32.Obfuscated. mis en quarantaine.

Coriace....

A suivre.

Merci.

[igor51]

Bonjour,

non rien de grave c'est juste des backup des outils que nous avons utilisés pour nettoyaer ton système

Supprime les dossiers suivant :

C:\upload_moi_AAPC-362574AF1D.tar.gz
C:\qoobox\
C:\VundoFix Backups

Citation:

• Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
• Coche la case "Désactiver le système de restauration..."
• Clique sur « Appliquer »
• Décoche la case "Désactiver le système de restauration..."

Et voila, un nouveau point de restauration qui est a priori propre

Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.

Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.

Bonne journée

[chris henri]

Bonsoir !!!!!

Merci pour ton aide et tes conseils.

Il me reste un seul problème, cette fois, j'ai perdu défitivement ma connexion internet.

Je te confirme, ma box fonctionne correctement. Je peux me connecter sans problème avec un autre PC.

Je n'arrive pas à fixer l'adresse IP même manuellement. J'obtiens une adresse privée automatique en 169.254.x.y.

j'ai essayé différentes procédures, sans succés, pour fixer les adresses et réinstaller le protocole TCPIP. (WinsockFix, etc..)

A priori, la couche réseau est endommagée ou la carte ????

@+