Vundo III l' ultime combat

Résolu
Utilisateur anonyme -  
 Utilisateur anonyme -
Bonjour,
Bien comme d' habitude voilà Vundo/Virtumonde est encore revenu et commence à me chauffer c' est la troisième fois que je le vire mais Pourquoi revient-il malgré une éradication et comment s' en debarrasser DEFINITIVEMENT car là je pense à un gros formatave complet du disque dur !!!
Merci de me re-re-re aider. Merci de vos réponses.

Je vous rappelle ma config : XP , SP2 , IE7 , NIS 2007 , Ad-aware 2007 , Malwarebytes anti-malware , Spybot , Stinger , CCleaner , WI Cleaner , Washandgo , Regcleaner , Regseeker , Internet History eraser , Regcure .

Ps : c'est l'ultime combat lol
--
Une vie sans porno , ni de crack , ni de virus serait une belle vie
Configuration: Windows XP
Internet Explorer 7.0

31 réponses

  • 1
  • 2
Résumé de la discussion

Récidive de Vundo/Virtumonde sur un système Windows XP, malgré une suppression préalable et une série d’outils de sécurité, ce qui amène l’utilisateur à rechercher des solutions définitives pour éviter une réinfection. Plusieurs intervenants suggèrent des mesures complémentaires comme l’usage de HijackThis, le logiciel VirtumundoBeGone et Malwarebytes pour identifier et neutraliser les composants résiduels, tout en vérifiant les services système. Ils évoquent aussi des précautions liées à la localisation exacte de l’infection sur des partitions D, des conflits entre outils et l’importance d’un diagnostic approfondi avant une réinstallation. En complément, certains conseillent d’évacuer les données sensibles et de préparer un plan de sauvegarde avant toute opération majeure, afin d’éviter des pertes en cas de réinfection.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    4
    1. BOB3
       
      Salut FillPCA,
      je sais d'ailleur c'est ce que je lui ai dit ne 2 si t'as remarque, je pense qu'il a recidive pour choper a nouveau une nlle salopris, les jeux en ligne sans protections, c'est comme si tu exposais ton Q devant un nid de bourdons.
      A+
      bob3
      0
  2. BOB3
     
    Re salut a vous tous,
    ca ne sert a rien de se chamailler,

    Dave, en 2 je t'ai demande un rapport Hijackthis, tu le lance qu'on puisse avancer, apres on te dira qu4est ce qu'il faut garder comme protection, en effet t'as des doublons qui servent a rien d'autre que de creer des conflits entre eux et ralentir ta becane.

    poste ton rapport hijackthis

    a+
    BOB3
    2
  3. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
     
    ► à lire : http://www.commentcamarche.net/forum/affich 6763560 je suis infectee par des trojans?page=3#0

    Surtout de poste.

    Ne te compare pas à FillPCA, quand même................

    La majorité de mes utilitaires sont sur D\: aussi ;;))

    2
    1. BOB3
       
      Re Marie,

      je suis au courant de ce post, regardes ma question en 1.

      FillPCA a travaille sur ce post, mais il est passe a cote de l'infection sur D:
      je n'ai pas voulu intervenir car c'est pas la peine d'etre a plusieurs compte tenu que chacun a sa methode,
      et de surcroit ca se termine par des chamailleries comme c'est le cas a nouveau.

      En plus, ne me compares a personne s'il te plait, car tu ne sais meme pas a quoi servent mes interventions.

      Quand au service de restauration, nous on utilise des systemes autonomes et securise de sauvegardes,
      le systeme de sauvegarde de microsoft est un vrai passoir et en plus il marche une fois sur 2 et c'est la meilleure planque des infections de toutes sortes (et tu le sais bien Marie)

      Bonne fin de journee
      BOB3
      0
  4. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Re BOB3,

    J'aimerais que tu m'indiques où se situe l'infection que j'ai oubliée sur D.

    Si tu parles de ceci :
    D:\Programmes\Utilitaires\Ad-Aware\aawservice.exe


    C'est un service d'adaware. Il apparait d'ailleurs en ligne 23 :
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - D:\Programmes\Utilitaires\Ad-Aware\aawservice.exe


    Son emplacement vient du fait d'une installation sur la partition D.

    D'ailleurs, le serivce est légitime : http://www.castlecops.com/o23list-2684.html

    Merci de préciser si tu parlais d'autre chose.

    FillPCA
    2
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. BOB3
     
    salut dave-rosisky,
    j'ai vu que t'etais infecte par un trojan sur un autre post,
    ca a ete regle, ou bien c'est la suite???

    envoi un hijackthis complet.
    a+BOB3
    1
  7. Utilisateur anonyme
     
    bonjour fait ceci pour commencer

    bonjour fait ceci

    Télécharge sur le bureau" outil de diagnostic et reparation"
    ftp://ftp.commentcamarche.com/download/HJTInstall.exe
    = Clic-droit sur Hijackthis
    = Extraire ici ( ou extraire sans confirmation ou tout ou unzip)
    = clic droit sur Hijackthis ==> renommer ==> écrire : test.exe ( à la place de hijackthis.exe) <== Important
    =Double-clic dessus
    = Clic Do a system scan and save the log
    =coller le rapport
    si problème voir l'aide
    http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

    ensuite

    Télécharge sur le bureau
    http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
    => Double clic sur VirtumundoBeGone.exe
    => Clic Continue ==> clic Start
    => Clic Oui
    => A la fin si Vundo est présent , le PC s’éteint et redémarre
    - Si Ecran bleu et message : Erreur fatale .. pas de problème
    => Poster le rapport VBG.TXT qui est sur le bureau

    ensuite

    1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton bureau à partir de ce lien :

    https://www.malwarebytes.com/

    3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

    4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

    5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

    6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

    7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide" n'est pas coché et clique sur le bouton Rechercher pour démarrer l'analyse.

    8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

    9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

    10) Si des malwares ont été détectés, leur liste s'affiche.
    En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

    11) MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Ferme le bloc-note. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

    12) Ferme MBAM en cliquant sur Quitter.
    1
    1. Utilisateur anonyme
       
      Merci Carossier13 je ferai ca plus tard car la je suis follement occupé et MBAM je l' ai déja la v1.15 mis a jour il y a déjà 2 min
      0
  8. Utilisateur anonyme
     
    Je vous rappelle ma config : XP , SP2 , IE7 , NIS 2007 , Ad-aware 2007 , Malwarebytes anti-malware , Spybot , Stinger , CCleaner , WI Cleaner , Washandgo , Regcleaner , Regseeker , Internet History eraser , Regcure .

    c'est quoi l'antivirus dans tous ca ?

    c'est aps la peine d'en avoir 50 si ils protege pas ou tu ne sais aps t'en servir

    moi j'ai nod32 + spybot et j'ai jamais de soucis...

    met antivir ou kaspersky ou nod32 et virez tout ce prog à 2 ballle qui bouffe plus de la ram que ce qu'il protège.
    1
    1. Utilisateur anonyme
       
      Toi tu ne lis paqs tout
      Je vous rappelle ma config : XP , SP2 , IE7 , NIS 2007 , Ad-aware 2007 , Malwarebytes anti-malware , Spybot , Stinger , CCleaner , WI Cleaner , Washandgo , Regcleaner , Regseeker , Internet History eraser , Regcure .
      C' est Norton Internet Security 2007 mon anti-virus
      0
  9. Utilisateur anonyme
     
    bonjour dorgane , ne jamais dire jamais !!!! lol
    1
  10. Utilisateur anonyme
     
    non mais c'est vrai si c'est pour mettre 50 logiciel et transformer ton pc en bunceur autant enlever le net et tu va au cyber...

    parce que la...ca metonnerai que son pc démarre en 30 sec^^
    tu pisse, tu boit, tu fait une sieste...

    en plus les 3/4 j'ai jamais entendu parler de ces logiciel lol
    1
  11. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Re BOB3,

    Tu parles de quelle infection sur D que j'aurais oubliée ?

    FillPCA
    1
  12. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
     
    Re,

    Je ne confirme rien du tout. Le service est légitime. Il peut parfaitement être lancé depuis la partoche D.

    Ce qui est certain, c'est que le problème, s'il existe, ne vient pas de là.

    En plus, pour ce qu'Ad-Aware est utile...

    Mais là, c'est un autre débat.

    FillPCA
    1
  13. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
     
    OK

    · Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.(sur un des 2 liens)
    http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe
    http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
    · Clique sur Recherche et laisse le scan se terminer.
    · Clique, sur Suppression pour finaliser.
    · Tu peux, si tu le souhaites, te servir des Options facultatives.
    · Clique sur Quitter, pour que le rapport puisse se créer.
    · Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

    +++

    1
  14. Utilisateur anonyme
     
    Ben en fait c' est la suite de l' épisode II (lépisode est d' un mois je crois) mais la j'ouvre un autre topic car l'autre il ne veut pas poster mon message
    0
    1. FillPCA Messages postés 2264 Statut Contributeur sécurité 123
       
      Re,

      L'autre a le droit à un minimum de respect ! En plus, je te donne des consignes et tu dis que ton père ne veut pas. Alors, ne viens pas demander de l'aide si tu ne suis pas les directives !

      0
    2. Utilisateur anonyme
       
      je n'avais pas vue ce message , a moins de plates excuse envers fillpca qui t'a accordé du temps afin de nettoyer ton pc ,je considère ce poste comme fermé !
      0
      1. FillPCA Messages postés 2264 Statut Contributeur sécurité 123 > Utilisateur anonyme
         
        Salut,

        Tu n'as pas à t'excuser. Moi, je ne poursuis pas donc si tu en as le courage, ne t'en prive pas.
        0
      2. Utilisateur anonyme > FillPCA Messages postés 2264 Statut Contributeur sécurité
         
        un pour le couscous et tous pour le vin !!!
        0
  15. Utilisateur anonyme
     
    Re , dsl du retard (école)

    voila un rapport HijackThis

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:50, on 2008-06-10
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16640)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
    C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
    D:\Programmes\Utilitaires\Ad-Aware\aawservice.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.0\NppBho.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
    O3 - Toolbar: Afficher Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
    O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
    O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\system32\shdocvw.dll
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\system32\shdocvw.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - D:\Programmes\Utilitaires\Ad-Aware\aawservice.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
    O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
    O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\VAScanner\comHost.exe
    O23 - Service: Validation de mot de passe Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe
    O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
    O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
    O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
    O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
    O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
    0
  16. Utilisateur anonyme
     
    bonjour as tous , dave-rosisky
    fillpca a dejas fait un gros travail de desinfection sur ton pc , peu nous donner l'emplacement de l'alerte de vundo stp

    je pense qu'il se trouve dans C:\System Volume Information\_restore est ce bien celas ?
    0
  17. Utilisateur anonyme
     
    en fait il n' y a pas d' alerte c' est MBAM qui me le trouve et deux minutes après le voila en train de m'embêter
    Les emplacements sont dans le System32 et dans mon registre je crois
    0
    1. BOB3
       
      Salut Dave,
      te revoila revenu,

      il y'a un peu de boulot a finir,

      1--desactive ta restauration---tu reactive une fois le nettoyage terminé, et tu recrees un nouveau point .

      t'as une infection sur ton Disque D:
      D:\Programmes\Utilitaires\Ad-Aware\aawservice.exe
      NORMALEMENT IL DOIT ETRE LA
      C:\programme\lavasoft\ad-aware.*\!

      reboot en mode sans echec, lance msconfig.exe, Demarrage,
      et repere le sous D:\Programmes\Utilitaires\Ad-Aware\aawservice.exe
      ensuite, Fixe le avec Hijackthis en mode sans echec toujours,

      reboot, et refait un nouveau Hijackthis.
      a+
      BOB3
      0
      1. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280 > BOB3
         
        Slt

        1--desactive ta restauration---tu reactive une fois le nettoyage terminé, et tu recrees un nouveau point .

        NON


        Il est déconseillé vivement de faire désactiver la restauration en début de nettoyage : il vaut mieux une restauration infectée que pas du tout, s'il y a un problème ou une erreur de commise, pas moyen de revenir en arrière

        D:\Programmes\Utilitaires\Ad-Aware\aawservice.exe
        C'est une vérole ??

        0
  18. Utilisateur anonyme
     
    poste le dernier rapport de malwarebytes
    0
  19. Utilisateur anonyme
     
    non ne desactive pas ta restauration systeme pour l'instant ! il vau mieux des points de restauration infectés pour l'instant plutot que pas de point dutout , attend e nous avoir poster le rapport de malwarebytes afin de controler ce probleme recalcitrant
    0
  20. BOB3
     
    Bonjour a vous tous,

    Marie,
    lorsque je dis desactive la restauration, c'est bien du disque D: que je parle et non pas du C:

    actuellement le C: est sain, si on isole pas completemnt le D: on prends un risque.
    le probleme c'est que-- dave-rosisky --- traine ses infections depuis un mois.
    BOB3
    0
  • 1
  • 2