besoin d'aide pour virer notre "ami" virtumonde

[yomgy]

bonjour,

Oui, il y a un probleme, refais en un et poste le

La aussi, y a un probleme

 

Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Cleaning" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

 

@+

 

 

 

 

 

desole pour ce long silence g eu des pb deconnexion

bon en ce qui concerne virtumonde il est tjrs present mais moins genant

a mon avis le fait de ne pas pouvoir faire les manip en mode sans echec y est pour quelque chose

qu en pense tu ?

si je reeboot avec mon cd de windows et que je repare mon systeme, pense tu que je pourrai redemarer, par la suite en mode sans echec?

[bruce lee]

bonjour yomgy,

 

Tu ne peux vraiment pas telecharger blacklight? (meme a partir d' un autre PC)

[yomgy]

bonjour yomgy,

 

Tu ne peux vraiment pas telecharger blacklight? (meme a partir d' un autre PC)

 

 

non je n'y arrive pas je vais essayer d'un autre pc et je verrai bien

ki vivra verra !!!

en tout cas maeci de ta patience

[bruce lee]

bonjour yomgy,

 

On va tout reprendre (vu que ca fait plus de 15 jours, tu es peut etre infectés).

On va se baser sur le dernier log.

 

 

Si durant la procedure ci-dessous, il y a des etapes que tu n'as pas reussi a faire, merci de

continuer la procedure jusqu'au bout et de les signaler dans ta prochaine reponse.

 

 

1/Télécharge puis installe http://www.ewido.net/en/download

Une fois AVG AS lancé, clique sur Mise à jour

Ferme le programme.

 

 

 

2/demarre en mode sans echec http://www.sosordi.net/Faq/Faq.2.html

 

3/

demarrer/panneau de configuration/ajouts et suppresions de programmes et verifie la presence de:

 

VSToolBar

 

si ce programme est present desinstalle le. (désinstalle-les.)

 

 

4/fais:

demarer executer services.msc repere France Telecom Routing Table Service

 

dans le champs Type de démarrage met le sur désactivé puis

Appliquer puis ok .

 

 

5/lance hijackthis en cliquant sur do a scan system only coche cette ligne:

 

O3 - Toolbar: &VSToolBar - {821F87FF-8245-4972-9E28-732E92EC2F51} - C:\Program Files\VSToolbar\VSToolBar.dll

 

Ferme toutes les fenêtres ouvertes sauf Hijackthis et clique sur fix checked

 

 

6/pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

7/supprime ce qui est en gras:

 

C:\Program Files\ VSToolbar<== tout le dossier

C:\Windows\System32\ labiucvgf.dat<== le fichier

C:\Windows\System32\ labiucvgf_nav.dat<== le fichier

C:\Windows\System32\ labiucvgf_navps.dat<== le fichier

c:\WINDOWS\Prefetch\ labiucvgf******<== le fichier qui commence par labiucvgf

 

 

8/ Relance AVG AS puis choisis l'onglet Analyse

Puis l'onglet Paramètres

Sous la question Comment réagir ?, clique sur Actions recommandées et choisis Quarantaine

Re-clique sur l'onglet Analyse puis réalise une Analyse complète du système

 

Si un fichier est infecté détécté en fin d'analyse

Clique sur Appliquer toutes les actions

 

Clique sur Enregistrer le rapport puis sur Enregistrer le rapport sous

Enregistre ce fichier texte sur ton bureau

 

 

9/redemarre en mode normal

 

10/poste le rapport d'AVG Anti spyware 7.5 ainsi qu'un nouveau log hijackthis.

 

bon courage, et si tu as la moindre question n'hesite surtout pas

 

@+

[WawaSeb]

-- Je m'excuse d'intervenir dans votre topic --

 

1) La ligne présente ici dans le rapport de yomgy nous annonce qu'HijackThis n'a pas été renommé :

C:\Documents and Settings\yomgy.PCYOMGY\Bureau\HijackThis.exe

 

 

2) D'après cette page, Virtumonde correspondrait à Vundo B

 

 

3) Le premier rapport de yomgy ne présente aucune -02- et aucune -020-Winlogon

 

 

........ Je peux me tromper, mais n'aurions-nous pas affaire au désormais célèbre trojan Vundo, à éradiquer avec Vundofix de chez Atribune ?

 

Bonne soirée / journée à tous les deux,

 

 

* J'avais effacé ce post par respect pour toi, Bruce Lee, mais apparemment, c'était une mauvaise idée *

Modifié le 9 novembre 2006 par WawaSeb

[Mark]

-- Je m'excuse d'intervenir dans votre topic --

Ça se fait très bien par MP Seb, sans problèmes...

 

yomgy et Bruce, je me permets cette intrusion suite aux remarques ^^

 

Les problèmes en Sans Échec sont causés par Vundo ; ça arrive dans environ 5 à 10% des cas.

 

Il y a effectivement Egdaccess et Vundo >> deux petites pestes... (bien vu pour Egdaccess Bruce ).

 

Seb : c'est Atribune (un seul "t").

=========

 

Bonne continuation à vous deux.

Modifié le 8 novembre 2006 par Qc001

[bruce lee]

bonjour a tous,

 

yomgy,

 

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

• Double-clique VundoFix.exe afin de le lancer
  
• Clique sur le bouton Scan for Vundo
  
• Lorsque le scan est complété, clique sur le bouton Remove Vundo
  
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
  
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  
• Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  
• Copie/colle le contenu du rapport situé dans C:\vundofix.txt dans ta prochaine réponse
  

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

 

 

fais un clique droit sur hijackthis.exe puis choisis renommer et appele le yomgy .

 

lance le en cliquant sur Do a system scan and save a logfile a la fin du scan le bloc note va s'ouvrir tu fais un copier coller de tout son contenu.