Vundo III l' ultime combatRésolu/Fermé

Question

Bonjour,
Bien comme d' habitude voilà Vundo/Virtumonde est encore revenu et commence à me chauffer c' est la troisième fois que je le vire mais Pourquoi revient-il malgré une éradication et comment s' en debarrasser DEFINITIVEMENT car là je pense à un gros formatave complet du disque dur !!!
Merci de me re-re-re aider. Merci de vos réponses.

Je vous rappelle ma config : XP , SP2 , IE7 , NIS 2007 , Ad-aware 2007 , Malwarebytes anti-malware , Spybot , Stinger , CCleaner , WI Cleaner , Washandgo , Regcleaner , Regseeker , Internet History eraser , Regcure .

Ps : c'est l'ultime combat lol

FillPCA · Accepted Answer

Salut,

Si ça peut vous aider : http://www.commentcamarche.net/forum/affich 6763560 je suis infectee par des trojans?dernier#dernier

Bon courage...

FillPCA

BOB3 · Answer

salut dave-rosisky,
j'ai vu que t'etais infecte par un trojan sur un autre post,
ca a ete regle, ou bien c'est la suite???

envoi un hijackthis complet.
a+BOB3

Utilisateur anonyme · Answer

Ben en fait c' est la suite de l' épisode II (lépisode est d' un mois je crois) mais la j'ouvre un autre topic car l'autre il ne veut pas poster mon message

Utilisateur anonyme · Answer

bonjour fait ceci pour commencer



bonjour fait ceci


Télécharge sur le bureau" outil de diagnostic et reparation"
ftp://ftp.commentcamarche.com/download/HJTInstall.exe
= Clic-droit sur Hijackthis
= Extraire ici ( ou extraire sans confirmation ou tout ou unzip)
= clic droit sur Hijackthis ==> renommer ==> écrire : test.exe ( à la place de hijackthis.exe) <== Important
=Double-clic dessus
= Clic Do a system scan and save the log
=coller le rapport
si problème voir l'aide
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm 


ensuite


Télécharge sur le bureau
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
=> Double clic sur VirtumundoBeGone.exe
=> Clic Continue ==> clic Start
=> Clic Oui
=> A la fin si Vundo est présent , le PC s’éteint et redémarre
- Si Ecran bleu et message : Erreur fatale .. pas de problème
=> Poster le rapport VBG.TXT qui est sur le bureau


ensuite




1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton bureau à partir de ce lien :

https://www.malwarebytes.com/

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide" n'est pas coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Ferme le bloc-note. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

Utilisateur anonyme · Answer

Je vous rappelle ma config : XP , SP2 , IE7 , NIS 2007 , Ad-aware 2007 , Malwarebytes anti-malware , Spybot , Stinger , CCleaner , WI Cleaner , Washandgo , Regcleaner , Regseeker , Internet History eraser , Regcure . 


c'est quoi l'antivirus dans tous ca ?

c'est aps la peine d'en avoir 50 si ils protege pas ou tu ne sais aps t'en servir

moi j'ai nod32 + spybot et j'ai jamais de soucis...

met antivir ou kaspersky ou nod32 et virez tout ce prog à 2 ballle qui bouffe plus de la ram que ce qu'il protège.

Utilisateur anonyme · Answer

bonjour dorgane , ne jamais dire jamais !!!! lol

Utilisateur anonyme · Answer

non mais c'est vrai si c'est pour mettre 50 logiciel et transformer ton pc en bunceur autant enlever le net et tu va au cyber...

parce que la...ca metonnerai que son pc démarre en 30 sec^^
tu pisse, tu boit, tu fait une sieste...

en plus les 3/4 j'ai jamais entendu parler de ces logiciel lol

BOB3 · Answer

Re salut a vous tous,
ca ne sert a rien de se chamailler, 

Dave, en 2 je t'ai demande un rapport Hijackthis, tu le lance qu'on puisse avancer, apres on te dira qu4est ce qu'il faut garder comme protection, en effet t'as des doublons qui servent a rien d'autre que de creer des conflits entre eux et ralentir ta becane.

poste ton rapport hijackthis

a+
BOB3

Utilisateur anonyme · Answer

Re , dsl du retard (école)

voila un rapport HijackThis


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:50, on 2008-06-10
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
D:\Programmes\Utilitaires\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O3 - Toolbar: Afficher Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - D:\Programmes\Utilitaires\Ad-Aware\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Validation de mot de passe Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe

Utilisateur anonyme · Answer

UP !!!

Utilisateur anonyme · Answer

bonjour as tous , dave-rosisky  
fillpca a dejas fait un gros travail de desinfection sur ton pc , peu nous donner l'emplacement de l'alerte de vundo stp 

je pense qu'il se trouve dans C:\System Volume Information\_restore    est ce bien celas ?

Utilisateur anonyme · Answer

en fait il n' y a pas d' alerte c' est MBAM qui me le trouve et deux minutes après le voila en train de m'embêter
Les emplacements sont dans le System32 et dans mon registre je crois

Utilisateur anonyme · Answer

poste le dernier rapport de malwarebytes

Utilisateur anonyme · Answer

non ne desactive pas ta restauration systeme pour l'instant ! il vau mieux des points de restauration infectés pour l'instant plutot que pas de point dutout , attend e nous avoir poster le rapport de malwarebytes afin de controler ce probleme recalcitrant

BOB3 · Answer

Bonjour a vous tous,

Marie, 
lorsque je dis desactive la restauration, c'est bien du disque D: que je parle et non pas du C:

actuellement le C: est sain, si on isole pas completemnt le D: on prends un risque.
le probleme c'est que-- dave-rosisky --- traine ses infections depuis un mois.
BOB3

^^Marie^^ · Answer

&#9658; à lire : http://www.commentcamarche.net/forum/affich 6763560 je suis infectee par des trojans?page=3#0

Surtout de poste.



Ne te compare pas à FillPCA, quand même................



La majorité de mes utilitaires sont sur D\: aussi ;;))

FillPCA · Answer

Re BOB3,

Tu parles de quelle infection sur D que j'aurais oubliée ?

FillPCA

BOB3 · Answer

Re salut dave-rosisky,

tu peux nous dire,
1--qu'est ce qu'il ya exactement sur ton disque D:
2--il est ou ton pare feu

a+BOB3

FillPCA · Answer

Re BOB3,

J'aimerais que tu m'indiques où se situe l'infection que j'ai oubliée sur D.

Si tu parles de ceci :
D:\Programmes\Utilitaires\Ad-Aware\aawservice.exe

C'est un service d'adaware. Il apparait d'ailleurs en ligne 23 :
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - D:\Programmes\Utilitaires\Ad-Aware\aawservice.exe

Son emplacement vient du fait d'une installation sur la partition D.

D'ailleurs, le serivce est légitime : http://www.castlecops.com/o23list-2684.html

Merci de préciser si tu parlais d'autre chose.

FillPCA

BOB3 · Answer

Salut FillPCA,

t'as mis le doigt dessus, 
son endroit legitime etant C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe 

et ton lien le confirme
Related to Ad-Aware_2007 anti-spyware solution. This program can find and remove spyware and malware from your computer. Note: Located in C:\Program Files\Lavasoft\ 

et si tu veux t'assurer, demande a dave-rosisky d'essayer de le desinstaller???

en plus le probleme de dave-rosisky date depuis debut mai 2008
http://www.commentcamarche.net/forum/affich 6291405 virus vundo b

il faut peut etre eclaircir l'origine execte de ad-aware 

Bonne journee
BOB3

FillPCA · Answer

Re,

Le lieu d'installation est inhabituel, mais il est possible et ne gêne en rien le fonctionnement du logiciel. Donc, ce n'est pas un problème.

Pour le nettoyage, je te laisse faire car j'ai déjà donné.

FillPCA

BOB3 · Answer

Re bonjour MARIE,

sur le C: ou sur le D: ou la ou ca t'arranges, c'est ton point de vue, et si tu veux defendre les causes contres natures c'est ton probleme.

le soucis n'est pas la, tout ce que je dis c'est que  Ad-Aware n'est pas a sa place legitime.

CA PLACE LEGITIME EST DANS: \Lavasoft\Ad-Aware\aawservice.exe
et s'il n'est pas a sa place legitime, il ne sert absolument a rien, et on est en droit d'emettre des doutes a son egard.
et d'ailleurs FillPCA l'a confirmé par son lien en 29.
http://www.castlecops.com/o23list-2684.html

et le probleme majeur que j'ai constaté est simple, dave-rosisky traine son probleme depuis plus d'un mois,
http://www.commentcamarche.net/forum/affich 6291405 virus vundo b

il est temps de regler definitivement son probleme, moi j'ai aucune pretention, je reste courtois, tolerent, en plus 
de tres bonne education, bonjour, bonsoir, merci, au revoir, etc.................................

Bonne soiree Marie.
BOB3

FillPCA · Answer

Re,

Je ne confirme rien du tout. Le service est légitime. Il peut parfaitement être lancé depuis la partoche D.

Ce qui est certain, c'est que le problème, s'il existe, ne vient pas de là.

En plus, pour ce qu'Ad-Aware est utile...

Mais là, c'est un autre débat.

FillPCA

BOB3 · Answer

Re bonsoir Marie,

on dirais un dialogue de sourds,

tu me reponds en 35
je te cite
1---"Désolée mais tu dis n'importe quoi. 

TOUS mes utilitaires sont sur D 
Cela ne pose aucune problème"

je t'avais deja repondu en 33 sur les memes propos en 32


2--"et d'ailleurs FillPCA l'a confirmé par son lien en 29. 
http://www.castlecops.com/o23list-2684.html "

et j'avais repondu que FillPCA l'avais confirme en 29
et que CA PLACE LEGITIME EST DANS: \Lavasoft\Ad-Aware\aawservice.exe 
et non pas dans --------------------------------------------> \Ad-Aware\aawservice.exe 
et s'il n'est pas a sa place legitime, il ne sert absolument a rien, et on est en droit d'emettre des doutes a son egard. 

3---"De toutes les façons pour Ad-Aware 

La version gratuite n'offre pas de protection en temps réel, 
ça reste un scanneur donc l'efficacité est plus qu'à douter, voir : https://forum.malekal.com/viewtopic.php?f=45&t=8046 
Ce qui veut dire :: qu'avec lui tu passes le balais sans le balais......... "

tu reconfortes mon point de vue, car c'est pas lui qui trouve les anomalies mais Malwarebytes anti-malware.

bref, je pense que tout ca est sterile et ne resoud pas definitivement le probleme dave-rosisky
et en plus ca prend une tournure decevante.

bonne fin de soiree.
BOB3

Utilisateur anonyme · Answer

Bonjour ,
bien en fait tout mes programmes à part l'anti-virus sont sur le disque dur D: comme ça ^je fais un gain d' espace sur le premier voilà et le troisième est une réserve mais en tout cas j' ai jamais eu de problème avec Ad-Aware sur cette emplacement.
Bon je fais quoi moi exactement ???
Merci de vos réponses

Utilisateur anonyme · Answer

Voici un rapport MBAM 1.17

Malwarebytes' Anti-Malware 1.17
Version de la base de données: 851

13:39:28 2008-06-13
mbam-log-6-13-2008 (13-39-28).txt

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 58043
Temps écoulé: 9 minute(s), 36 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{08CBFA20-67EB-4758-B65D-B3CB0AFFD90B}\RP94\A0022679.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{08CBFA20-67EB-4758-B65D-B3CB0AFFD90B}\RP94\A0022680.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

BOB3 · Answer

Bonjour Dave,

tu dis en 37 
bien en fait tout mes programmes à part l'anti-virus sont sur le disque dur D: comme ça ^je fais un gain d' espace sur le premier voilà et le troisième est une réserve mais en tout cas j' ai jamais eu de problème avec Ad-Aware sur cette emplacement. 
moi je vois qu'il est sur D:
D:\Programmes\Utilitaires\Ad-Aware\aawservice.exe 
en plus c'est quoi cette version que t'as, si c'est une version gratis, MARIE  a raison,elle sert a rien , tu le vires.

ton scan est propre, n'empeche que les fichiers infectes ont bien ete trouve dans la restauration.
et n'oubli pas d'installer un parefeu
a+
BOB3

^^Marie^^ · Answer

OK

·	Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.(sur un des 2 liens)
http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe
http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
·	Clique sur Recherche et laisse le scan se terminer.
·	Clique, sur Suppression pour finaliser.
·	Tu peux, si tu le souhaites, te servir des Options facultatives.
·	Clique sur Quitter, pour que le rapport puisse se créer.
·	Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

+++

Utilisateur anonyme · Answer

voila le log

-->- Recherche: 


---------------------------------
-->- Suppression: 


Corbeille vidée!
Fichiers temporaires nettoyés !

^^Marie^^ · Answer

Super

Bon surf......

Utilisateur anonyme · Answer

Merci

Vundo III l' ultime combat

31 réponses

Discussions similaires

Newsletters