Virtumonde

Résolu/Fermé
Messages postés
3
Date d'inscription
vendredi 8 juin 2007
Statut
Membre
Dernière intervention
9 juin 2007
-
Messages postés
51557
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
1 décembre 2021
-
Bonour j'avais un problème et résolue avec VUNDOFIX 6.4.2 mais j'ai fait un scan par la suite avec Spybot et il trouve Virtumonde mais il n'est pas capable de le supprimé !!!

Le problème qu'il me reste est le suivant, au démarrage de on ordinateur, un fenêtre Internet Excplorer ouvre sur ce site http://suppcons.info/cgi-bin/ko35em8w.cgi?name=brb

Aussi, dans le mode Windows Service il y a une commande qui ne veux pas s'éffacer, c'est AFSEGTGF Windows Services !

Merci pour votre aide et voici le scan que j'ai fais en esperant qu ca peux vous aider !


Logfile of HijackThis v1.99.1
Scan saved at 13:16:42, on 2007-06-06
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\system32\DRIVERS\CDAC11BA.EXE
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Sony\ISB Utility\ISBMgr.exe
C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Program Files\FileMaker\FileMaker Pro 8.5\FileMaker Pro.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\quebec70\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.polycomconnect.com/Apps/DCS/mcp...00003TiQ041Vpy0
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {42FFDCD4-D2E7-4736-81D8-008929E7C652} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {B8BC13DE-233A-4EB1-B9D6-A5DE2B0A8A18} - (no file)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Program Files\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [Switcher.exe] C:\Program Files\Sony\Wireless Switch Setting Utility\Switcher.exe
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1180466774787
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1180466764528
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = SONOVIDEO.QC.COM
O17 - HKLM\Software\..\Telephony: DomainName = SONOVIDEO.QC.COM
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = SONOVIDEO.QC.COM
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = SONOVIDEO.QC.COM
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: qomlmlk - qomlmlk.dll (file missing)
O20 - Winlogon Notify: VESWinlogon - C:\WINDOWS\SYSTEM32\VESWinlogon.dll
O23 - Service: AFSEGTGF Windows Service - Unknown owner - C:\WINDOWS\system32\dsxej.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDAC11BA.EXE
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Program Files\Sony\VAIO Event Service\VESMgr.exe

21 réponses

Messages postés
51557
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
1 décembre 2021
5 047
c'est qu'il faut desactiver la restauration systeme le temps du redemarrage dans DEMARRER puis TOUS LES PROG puis ACCESOIRE puis OUTILS SYSTEME puis DANS RESTAURATION SYSTEME aller dans parametre et desactiver la restauration

puis refaire les scan
redemarrer et reactiver la restauration systeme
Messages postés
51557
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
1 décembre 2021
5 047
scan avec vundo

Téléchargez VundoFix -> http://www.atribune.org/ccount/click.php?id=4

Double cliquez VundoFix.exe pour l'exécuter.
Quand VundoFix s'ouvre, cliquez sur le bouton Scan for Vundo.
Une fois le scan fini, cliquez sur le bouton Remove Vundo.
Vous recevrez un avertissement vous demandant si vous voulez effacer ces
fichiers répondez en cliquant sur YES
Une fois que vous avez cliqué yes, votre bureau deviendra vide au moment où il
enlève Vundo.

Quand c'est fini, il vous sera demandé de redémarrer votre ordinateur, cliquez
OK.


puis si ca persiste:

i ca persiste lance aussi


virtumondebegone

http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe


puis Symantec Vundo Remove Tool

https://www.broadcom.com/support/security-center





tu peux aussi utiliser pour effacer tes traces de surf et voir si il n'y a pas d'autre espions
CCLEANER : ne pas mettre la barre yahoo

https://www.01net.com/


spybot :

https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26157.html

AD AWARE
https://www.01net.com/



et scan en ligne sur bitdefender :

https://www.bitdefender.com/toolbox/

ou Panda en ligne :

http://pandasoftware.fr
Messages postés
3
Date d'inscription
vendredi 8 juin 2007
Statut
Membre
Dernière intervention
9 juin 2007
2
Voici les résulats, ce n'est toujour pas partis en passant !

- Vundofix n'a rien trouver

- Virtumondebegone n'a rien trouver

- Symantec Vundofix a enlever 1 objet, voici le texte ;
Symantec Trojan.Vundo Removal Tool 1.5.0
The process "IEXPLORE.EXE" might be affected by the threat. It has been suspended.
The process "IEXPLORE.EXE" might be affected by the threat. It has been terminated.

C:\System Volume Information: (not scanned)

Trojan.Vundo has been successfully removed from your computer!

Here is the report:

The total number of the scanned files: 27605
The number of deleted files: 0
The number of viral processes terminated: 1
The number of viral processes suspended: 1
The number of viral threads terminated: 0
The number of registry entries fixed: 0

- Spybot a enlever 4 virus, mais il revienne après un reboot, voici les noms ;
Virtumonde
Smitfraud-C.Toolbar888
Doubleclick
Blue Streak

- Ad Aware a enlevé 6 objets négligible.

- Bidefender a aussi supprimmé des choses, voici le log ;

C:\System Volume Information\_restore{FB34E087-081A-4D66-841A-31ABDAE4C036}\RP39\A0003314.dll
Infected with: Trojan.Vundo.AY

C:\System Volume Information\_restore{FB34E087-081A-4D66-841A-31ABDAE4C036}\RP39\A0003314.dll
Disinfection failed

C:\System Volume Information\_restore{FB34E087-081A-4D66-841A-31ABDAE4C036}\RP39\A0003314.dll
Deleted

C:\System Volume Information\_restore{FB34E087-081A-4D66-841A-31ABDAE4C036}\RP39\A0004482.dll
Infected with: Trojan.Vundo.DLV

C:\System Volume Information\_restore{FB34E087-081A-4D66-841A-31ABDAE4C036}\RP39\A0004482.dll
Disinfection failed

C:\System Volume Information\_restore{FB34E087-081A-4D66-841A-31ABDAE4C036}\RP39\A0004482.dll
Deleted

C:\System Volume Information\_restore{FB34E087-081A-4D66-841A-31ABDAE4C036}\RP39\A0004483.dll
Infected with: Trojan.Virtumod.ALZ

C:\System Volume Information\_restore{FB34E087-081A-4D66-841A-31ABDAE4C036}\RP39\A0004483.dll
Disinfection failed

C:\System Volume Information\_restore{FB34E087-081A-4D66-841A-31ABDAE4C036}\RP39\A0004483.dll
Deleted

C:\VundoFix Backups\jseixnpn.dll.bad
Infected with: Trojan.Vundo.DLV

C:\VundoFix Backups\jseixnpn.dll.bad
Disinfection failed

C:\VundoFix Backups\jseixnpn.dll.bad
Deleted

C:\VundoFix Backups\rndnapsn.dll.bad
Infected with: Trojan.Virtumod.ALZ

C:\VundoFix Backups\rndnapsn.dll.bad
Disinfection failed

C:\VundoFix Backups\rndnapsn.dll.bad
Deleted

C:\VundoFix Backups\tqgbdfvx.dll.bad
Infected with: MemScan:Trojan.BHO.BM

C:\VundoFix Backups\tqgbdfvx.dll.bad
Disinfection failed

C:\VundoFix Backups\tqgbdfvx.dll.bad
Deleted


Mais quand je reboot toujours la même chose !!!!!!!!!!!!! est-ce dangereux ou je peu le garder ????

Merci
Messages postés
51557
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
1 décembre 2021
5 047
sinon lance ces logiciels en mode sans echec en demmarrant appuyer plusieurs fois sur F8 ou F5 ou suppr ou esc en général et choisir le mode sans echec




si ca persiste installe et lance BHO DEMON

https://www.01net.com/telecharger/windows/Utilitaire/cryptage_et_securite/fiches/32724.html

dans la fenetre qui s'affiche, il y a indiqueé tous les barres d'outils et autres logiciles gréfés sur ton ordi. les lignes vertes sont jugées saines, les rouges et jaunes sont estimées comme dangereuses: dans ce cas il faut les desactiver en decochant la case situé a gauche de chaque ligne.

si la ligne n'est pas colorée et comporte la mention unknown, double clique dessus , des explication apparaitrons, si il y a un doute desactiv ces ligne aussi.

relance ensuite apres BHO un de tes anti espion: SPYBOT, AVG, AD AWARE pour finir le travail
Messages postés
51557
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
1 décembre 2021
5 047
en mode sans echec pour tous les logiciels : spybot, ...


https://www.informatruc.com
Messages postés
51557
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
1 décembre 2021
5 047
regarde le message 3
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 514
Je veux bien récup pour voir : C:\WINDOWS\system32\dsxej.exe
envoye le fichier sur http://upload.malekal.com
Messages postés
17
Date d'inscription
jeudi 26 juin 2008
Statut
Membre
Dernière intervention
8 janvier 2009
1
Mince
oubliez cette reponse, je vais creer un nouveau message

quel boulet
Messages postés
3
Date d'inscription
vendredi 8 juin 2007
Statut
Membre
Dernière intervention
9 juin 2007
2
Vous êtes fort !!!!!!!!!

C'est regler, il fallait que je désactive la restauration ......... et voila !

Merci encore.
salut cment fait tu pour desactiver la restoration merci d avance
Messages postés
51557
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
1 décembre 2021
5 047
parfait

bonne continuation
Messages postés
22964
Date d'inscription
mardi 14 mars 2006
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
2 590
Bonjour

Ton rapport hijackthis n'est pas très propre, malgrè le fait d'avoir utilisé de utilitaires de désinfection.

Où est ton pare-feu ? Internet Explorer pas à jour, Windows avec ?

++
Je confirme auss la solution ce dessus. Faites le en mode sans echec...

Merci à tous
merci avec ta solution mon probleme avec virtumonde ET RESOLU
J'ai un petit problème car moi VundoFix bug en phase 2 est ne veut plus rien faire je suis obliger de faire un reset sur le bouton poussoir de mon pc. Si quelqu'un peut m'aidé ca serait un grand soulagement. Merci d'avance
Messages postés
4
Date d'inscription
dimanche 27 avril 2008
Statut
Membre
Dernière intervention
28 avril 2008

Svp j ai a peu près le meme pobleme vindofix ne trouve rien et je ne sais pas comment aller dans les parametres et désactiver la restoration du système
Messages postés
4
Date d'inscription
dimanche 27 avril 2008
Statut
Membre
Dernière intervention
28 avril 2008

j ai fait tout ce qui est di jusque : sinon lance ces logiciels en mode sans echec en demmarrant appuyer plusieurs fois sur F8 ou F5 ou suppr ou esc en général et choisir le mode sans echec .
Ensuite pour BOHDemon le telechargement est suspendu
Salut
j'ai le virus VIRTUMONDE en mémoire est mon scanner NOD32 ne peut pas l'enlever.
Voici ce que me dit le scanner:
Virus détecté en mémoire: application Win32/Adware.Virtumonde. Infection de la mémoire système originaire du fichierC:\WINDOWS\system32\mllji.dll.
Messages postés
51557
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
1 décembre 2021
5 047
cré ton propre post . Colle y un rappot vundofix et hijackthis et explique tes soucis
Bonjour,
J'ai un souci lorsque je veut ouvrir un jeu agatha voici ce que m'indique microsoft :
Alerte virus : Microsoft a détecté le virus Win32/PSW.Lineage.DN/ PWS-Lineage sur votre ordinateur.

Ce problème a été provoqué par Win32/PSW.Lineage.DN/ PWS-Lineage, un virus informatique connu

AVAST ne trouve pas le virus et malwarebyte non plus.
Que faire?

suite à plantage magistral de mon PC, j'ai réussi à virer tous les spyware avec un logiciel merveilleux, gratuit (ça ne gâche rien) et en plus facile à utiliser (aucune manip compliquée à faire: même un bonobo avec une souris y arriverait)!

je vous conseille donc à tous: superantispyware free edition

salut!
Messages postés
2
Date d'inscription
lundi 1 décembre 2008
Statut
Membre
Dernière intervention
1 septembre 2016

bonjour, j'ai vraiment galéré avec Virtumonde et Vundo des malware de chez malware. Un vrai jeu de piste. J'ai téléchargé x et x anti "tout". Finalement, après lecture de tous les rapports et des heures de scan j'ai identifié les problèmes car tous les identifiez mais aucun n'étaient capable de les éradiquer. Alors j'ai relevé mes manches et suis allée dans le registre grâce à hijacjthis, ligne 02 et 020 je voyais mon pb. Donc en suivant le chemin, j'ai supprimé dans le registre ce qui me semblait logique, je ne suis pas une championne de regedit mais la logique a fonctionné. J'avais des fenêtres pop-up qui ne me permettaient plus de lire sur firefox, fenêtre sur fenêtre. Ce matin résolu après pratiquement 24 h mais pas vraiment simple. Jai retrouvé mon ordi en ordre de marche et ouf, ouf, ouf. Merci