VirtumondeRésolu/Fermé

Question

Bonour j'avais un problème et résolue avec VUNDOFIX 6.4.2 mais j'ai fait un scan par la suite avec Spybot et il trouve Virtumonde mais il n'est pas capable de le supprimé  !!!

Le problème qu'il me reste est le suivant, au démarrage de  on ordinateur, un fenêtre Internet Excplorer ouvre sur ce site http://suppcons.info/cgi-bin/ko35em8w.cgi?name=brb 

Aussi, dans le mode Windows Service il y a une commande qui ne veux pas s'éffacer, c'est  AFSEGTGF Windows Services !

Merci pour votre aide et voici le scan que j'ai fais en esperant qu ca peux vous aider !


Logfile of HijackThis v1.99.1
Scan saved at 13:16:42, on 2007-06-06
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\system32\DRIVERS\CDAC11BA.EXE
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Sony\ISB Utility\ISBMgr.exe
C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Program Files\FileMaker\FileMaker Pro 8.5\FileMaker Pro.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\quebec70\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.polycomconnect.com/Apps/DCS/mcp...00003TiQ041Vpy0
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {42FFDCD4-D2E7-4736-81D8-008929E7C652} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {B8BC13DE-233A-4EB1-B9D6-A5DE2B0A8A18} - (no file)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Program Files\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [Switcher.exe] C:\Program Files\Sony\Wireless Switch Setting Utility\Switcher.exe
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1180466774787
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1180466764528
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = SONOVIDEO.QC.COM
O17 - HKLM\Software\..\Telephony: DomainName = SONOVIDEO.QC.COM
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = SONOVIDEO.QC.COM
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = SONOVIDEO.QC.COM
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: qomlmlk - qomlmlk.dll (file missing)
O20 - Winlogon Notify: VESWinlogon - C:\WINDOWS\SYSTEM32\VESWinlogon.dll
O23 - Service: AFSEGTGF Windows Service - Unknown owner - C:\WINDOWS\system32\dsxej.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDAC11BA.EXE
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Program Files\Sony\VAIO Event Service\VESMgr.exe

jlpjlp · Accepted Answer

c'est qu'il faut desactiver la restauration systeme le temps du redemarrage dans DEMARRER puis TOUS LES PROG puis ACCESOIRE puis OUTILS SYSTEME puis DANS RESTAURATION SYSTEME aller dans parametre et desactiver la restauration 

puis refaire les scan 
redemarrer et reactiver la restauration systeme

jlpjlp · Answer

scan avec vundo

Téléchargez VundoFix -> http://www.atribune.org/ccount/click.php?id=4

Double cliquez VundoFix.exe pour l'exécuter.
Quand VundoFix s'ouvre, cliquez sur le bouton Scan for Vundo.
Une fois le scan fini, cliquez sur le bouton Remove Vundo.
Vous recevrez un avertissement vous demandant si vous voulez effacer ces
fichiers répondez en cliquant sur YES
Une fois que vous avez cliqué yes, votre bureau deviendra vide au moment où il
enlève Vundo.

Quand c'est fini, il vous sera demandé de redémarrer votre ordinateur, cliquez
OK.


puis si ca persiste:

i ca persiste lance aussi


virtumondebegone

http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe


puis Symantec Vundo Remove Tool

https://www.broadcom.com/support/security-center





tu peux aussi utiliser pour effacer tes traces de surf et voir si il n'y a pas d'autre espions
CCLEANER : ne pas mettre la barre yahoo

https://www.01net.com/


spybot :

https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26157.html

AD AWARE
https://www.01net.com/



et scan en ligne sur bitdefender :

https://www.bitdefender.com/toolbox/

ou Panda en ligne :

http://pandasoftware.fr

ebproseller · Answer

Voici les résulats, ce n'est toujour pas partis en passant !

- Vundofix n'a rien trouver

- Virtumondebegone n'a rien trouver

- Symantec Vundofix a enlever 1 objet, voici le texte ;
Symantec Trojan.Vundo Removal Tool 1.5.0
The process "IEXPLORE.EXE" might be affected by the threat. It has been suspended.
The process "IEXPLORE.EXE" might be affected by the threat. It has been terminated.

C:\System Volume Information: (not scanned)

Trojan.Vundo has been successfully removed from your computer!

Here is the report:

The total number of the scanned files: 27605
The number of deleted files: 0
The number of viral processes terminated: 1
The number of viral processes suspended: 1
The number of viral threads terminated: 0
The number of registry entries fixed: 0

- Spybot a enlever 4 virus, mais il revienne après un reboot, voici les noms ;
Virtumonde
Smitfraud-C.Toolbar888
Doubleclick
Blue Streak

- Ad Aware a enlevé 6 objets négligible.

- Bidefender  a aussi supprimmé des choses, voici le log ;

C:\System Volume Information\_restore{FB34E087-081A-4D66-841A-31ABDAE4C036}\RP39\A0003314.dll
 Infected with: Trojan.Vundo.AY
 
C:\System Volume Information\_restore{FB34E087-081A-4D66-841A-31ABDAE4C036}\RP39\A0003314.dll
 Disinfection failed
 
C:\System Volume Information\_restore{FB34E087-081A-4D66-841A-31ABDAE4C036}\RP39\A0003314.dll
 Deleted
 
C:\System Volume Information\_restore{FB34E087-081A-4D66-841A-31ABDAE4C036}\RP39\A0004482.dll
 Infected with: Trojan.Vundo.DLV
 
C:\System Volume Information\_restore{FB34E087-081A-4D66-841A-31ABDAE4C036}\RP39\A0004482.dll
 Disinfection failed
 
C:\System Volume Information\_restore{FB34E087-081A-4D66-841A-31ABDAE4C036}\RP39\A0004482.dll
 Deleted
 
C:\System Volume Information\_restore{FB34E087-081A-4D66-841A-31ABDAE4C036}\RP39\A0004483.dll
 Infected with: Trojan.Virtumod.ALZ
 
C:\System Volume Information\_restore{FB34E087-081A-4D66-841A-31ABDAE4C036}\RP39\A0004483.dll
 Disinfection failed
 
C:\System Volume Information\_restore{FB34E087-081A-4D66-841A-31ABDAE4C036}\RP39\A0004483.dll
 Deleted
 
C:\VundoFix Backups\jseixnpn.dll.bad
 Infected with: Trojan.Vundo.DLV
 
C:\VundoFix Backups\jseixnpn.dll.bad
 Disinfection failed
 
C:\VundoFix Backups\jseixnpn.dll.bad
 Deleted
 
C:\VundoFix Backupsndnapsn.dll.bad
 Infected with: Trojan.Virtumod.ALZ
 
C:\VundoFix Backupsndnapsn.dll.bad
 Disinfection failed
 
C:\VundoFix Backupsndnapsn.dll.bad
 Deleted
 
C:\VundoFix Backups	qgbdfvx.dll.bad
 Infected with: MemScan:Trojan.BHO.BM
 
C:\VundoFix Backups	qgbdfvx.dll.bad
 Disinfection failed
 
C:\VundoFix Backups	qgbdfvx.dll.bad
 Deleted
 
  
Mais quand je reboot toujours la même chose !!!!!!!!!!!!! est-ce dangereux ou je peu le garder ????

Merci

jlpjlp · Answer

sinon lance ces logiciels en mode sans echec en demmarrant appuyer plusieurs fois sur F8 ou F5 ou suppr  ou esc en général et choisir le mode sans echec




si ca persiste installe et lance BHO DEMON

https://www.01net.com/telecharger/windows/Utilitaire/cryptage_et_securite/fiches/32724.html

dans la fenetre qui s'affiche, il y a indiqueé tous les barres d'outils et autres logiciles gréfés sur ton ordi. les lignes vertes sont jugées saines, les rouges et jaunes sont estimées comme dangereuses: dans ce cas il faut les desactiver en decochant la case situé a gauche de chaque ligne.

si la ligne n'est pas colorée et comporte la mention unknown, double clique dessus , des explication apparaitrons, si il y a un doute desactiv ces ligne aussi.

relance ensuite apres BHO un de tes anti espion: SPYBOT, AVG, AD AWARE pour finir le travail

ebproseller · Answer

Vous êtes fort !!!!!!!!!

C'est regler, il fallait que je désactive la restauration ......... et voila !

Merci encore.

jlpjlp · Answer

parfait 

bonne continuation

Utilisateur anonyme · Answer

Bonjour

Ton rapport hijackthis n'est pas très propre, malgrè le fait d'avoir utilisé de utilitaires de désinfection.

Où est ton pare-feu ? Internet Explorer pas à jour, Windows avec ?

++

berg · Answer

Je confirme auss la solution ce dessus. Faites le en mode sans echec...

Merci à tous

regis · Answer

merci avec ta solution mon probleme avec virtumonde ET RESOLU

seb0384 · Answer

J'ai un petit problème car moi VundoFix bug en phase 2 est ne veut plus rien faire je suis obliger de faire un reset sur le bouton poussoir de mon pc. Si quelqu'un peut m'aidé ca serait un grand soulagement. Merci d'avance

Ebo62 · Answer

Svp j ai a peu près le meme pobleme vindofix ne trouve rien et je ne sais pas comment aller dans les parametres et désactiver la restoration du système

Ebo62 · Answer

j ai fait tout ce qui est di jusque : sinon lance ces logiciels en mode sans echec en demmarrant appuyer plusieurs fois sur F8 ou F5 ou suppr ou esc en général et choisir le mode sans echec .
Ensuite pour BOHDemon le telechargement est suspendu

jlpjlp · Answer

regarde le message 3

fabien · Answer

Salut
j'ai le virus VIRTUMONDE en mémoire est mon scanner NOD32 ne peut pas l'enlever.
Voici ce que me dit le scanner:
Virus détecté en mémoire: application Win32/Adware.Virtumonde. Infection de la mémoire système originaire du fichierC:\WINDOWS\system32\mllji.dll.

jlpjlp · Answer

cré ton propre post . Colle y un rappot vundofix et hijackthis et explique tes soucis

elo · Answer

Bonjour,
J'ai un souci lorsque je veut ouvrir un jeu agatha voici ce que m'indique microsoft :  
Alerte virus : Microsoft a détecté le virus Win32/PSW.Lineage.DN/ PWS-Lineage sur votre ordinateur.

Ce problème a été provoqué par Win32/PSW.Lineage.DN/ PWS-Lineage, un virus informatique connu
 
AVAST ne trouve pas le virus et malwarebyte non plus. 
Que faire?

Malekal_morte- · Answer

Je veux bien récup pour voir : C:\WINDOWS\system32\dsxej.exe
envoye le fichier sur http://upload.malekal.com

achocolu · Answer

Mince
oubliez cette reponse, je vais creer un nouveau message

quel boulet

dermorgenstern · Answer

suite à plantage magistral de mon PC, j'ai réussi à virer tous les spyware avec un logiciel merveilleux, gratuit (ça ne gâche rien) et en plus facile à utiliser (aucune manip compliquée à faire: même un bonobo avec une souris y arriverait)!

je vous conseille donc à tous: superantispyware free edition

salut!

danhulotte · Answer

bonjour, j'ai vraiment galéré avec Virtumonde et Vundo des malware de chez malware. Un vrai jeu de piste. J'ai téléchargé x et x anti "tout". Finalement, après lecture de tous les rapports et des heures de scan j'ai identifié les problèmes car tous les identifiez mais aucun n'étaient capable de les éradiquer. Alors j'ai relevé mes manches et suis allée dans le registre grâce à hijacjthis, ligne 02 et 020 je voyais mon pb. Donc en suivant le chemin, j'ai supprimé dans le registre ce qui me semblait logique, je ne suis pas une championne de regedit mais la logique a fonctionné. J'avais des fenêtres pop-up qui ne me permettaient plus de lire sur firefox, fenêtre sur fenêtre. Ce matin résolu après pratiquement 24 h mais pas vraiment simple. Jai retrouvé mon ordi en ordre de marche et ouf, ouf, ouf. Merci

jlpjlp · Answer

slt oui c'est dans les ligne 2 et 20

mais lance tout de meme ceci pour verifier:









scan avec 
MalwareByte's Anti-Malware en mode normal et vire ce qui est trouvé et colle le rapport

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ 



puis


télécharge combofix (par sUBs) ici : 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

et enregistre le sur le bureau. 


déconnecte toi d'internet et ferme toutes tes applications. 

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware) 


double-clique sur combofix.exe et suis les instructions 

à la fin, il va produire un rapport C:\ComboFix.txt 

réactive ton parefeu, ton antivirus, la garde de ton antispyware 

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse. 

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi. 

Tu as un tutoriel complet ici : 

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Virtumonde

21 réponses

Discussions similaires

Newsletters