bon, les enfants, j'ai besoin de votre aide urgente. J'ai chopé un virus hier, et Nod32 (que j'utilise depuis 3 ans sans aucun pb) n'arrive pas à me virer. Cette saleté m'empêche de me connecter au net via mozilla, et me bloque quasiment tous les sites via explorer. J'ai miraculeusement réussi à voir mes mails aujourd'hui et à me connecter sur TGSE mais je ne peux rien faire de plus

Si quelqu'un peut m'aider...

Nod32, connais pas.

Le problème c'est que si tu ne peux pas aller sur le web, tu ne vas pas pouvoir enregistrer de nouveaux "médicaments"...

As-tu Spybot?
Si oui, fait lui scanner ton système en cliquant sur "vérifier tout".

Essaie à nouveau un balayage de Nod32, il a peut être reçu l'antidote (il faut parfois prés d'une journée pour que les antivirus nous envoie la parade.

J'espère qu'un Doc'Micro traine dans les parrages!

Bon courage!

Spybot à télécharger gratuitement si tu peux :

http://www.pcastuces.com/logitheque/spybotsd.htm

connais tu le nom du virus ?

Courage

Ah ! yojumy, les anciens (et les autres !) te l'avait dit! Avast est un trés bon antivirus gratuit, t'aurais dû! Moi aussi j'utilise Avast et spybot, avec un pitit coup d'ad aware de temps en temps ! En tout cas, norton antivirus est une vrai plaie à desinstaller, moins sur XP que sur 98 où il fallait déployer des trésors d'ingéniosité pour effacer toutes les traces de cette saloperie...
Au fait, t'as réussi à relancer le ouaib ?

J'ai fait le tour de toutes les solutions anti-virus et depuis des années (ça fait partie de mon taf) et le meilleur est sans conteste Kaspersky.

Il bouffait beaucoup de ressources mais c'est moins le cas actuellement.

Avast est pas mal ainsi qu'AVG même si mon préféré en résident est AntiVir (qui me saoule tout de même avec sa page de pub qui s'affiche à chaque MaJ...

Mais sinon quelques bonnes pratiques vous évitent 99.99% des virus et un scanner temps réel n'est pas forcément obligatoire...

ClamWin (le seul anti-virus Open Source) ne possède pas de moteur de scan résident mais en lui faisant scanner les mails (et les pièces jointes) ainsi que tout fichier téléchargé on peut obtenir un degré de sécurité suffisant.

Surtout si on utilise un Firefox bien configuré

J'utilise aussi Kapersky sur une de mes bécanes (les autres tournent avec Avast qui n'est pas si mauvais que ça) et il parait que Kapresky est le premier à réagir pour envoyer la parade lorsqu'un nouveau virus parait.

En attendant, pas de nouvelle de Yojumy qui doit avoir de réelles problème, surtout si elle ne peut pas aller télécharger des "rustines" sur le net.


_

Arretez de dire à yojumy "on te l'avait dit, tu étais prévenue, patati patata, etc..."

Le mal est fait alors essayez de l'aider à résoudre son problème

Na, c'était mon coup de gueule, terminé

Bon courage yojumy

T'as raison Marsup!
C'est vrai qu'on peut pas être et avoir été ! "Un bon formatage, y'a que ça de vrai" signé Bill
Bon courage Yojumi !

hello
J'ai le plaisir de vous annoncer qu'après moultes installations de moultes antivirus (pendant moultes heures de la nuit)... I WON!
Bon, maintenant, faut que je regarde quel(s) antivirus je peux garder pour qu'ils se complètent (et pas qu'ils se tirent dans les pattes).
Pour le moment, je mixe nod32 et Avast Pro, ça a l'air de marcher
merc tout le monde!

marsup a écrit:

connais tu le nom du virus ?

Virtumonde dans un premier temps, et une vingtaine de saloperies annexes

J'ai trouvé quelque chose sur : http://www.commentcamarche.net/forum/affich-3092451-virtumonde

Comme ton internet n'est pas terrible en ce moment, je vais mettre l'ensemble du post de forum de comment ça marche en plusieurs posts car c'est long

Dommage que Monty ne soit pas là, car pour déplacer l'ensemble de ce post ça va être plus long

D'abord premier post, un internaute expose son PB

Virtumonde
par ebproseller
Fil de Discussions
Statut : Résolu
vendredi 8 juin 2007 à 16:56:55
Bonour j'avais un problème et résolue avec VUNDOFIX 6.4.2 mais j'ai fait un scan par la suite avec Spybot et il trouve Virtumonde mais il n'est pas capable de le supprimé !!!

Le problème qu'il me reste est le suivant, au démarrage de on ordinateur, un fenêtre Internet Excplorer ouvre sur ce site http://suppcons.info/cgi-bin/ko35em8w.cgi?name=brb

Aussi, dans le mode Windows Service il y a une commande qui ne veux pas s'éffacer, c'est AFSEGTGF Windows Services !

Merci pour votre aide et voici le scan que j'ai fais en esperant qu ca peux vous aider !


Logfile of HijackThis v1.99.1
Scan saved at 13:16:42, on 2007-06-06
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\system32\DRIVERS\CDAC11BA.EXE
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Sony\ISB Utility\ISBMgr.exe
C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Program Files\FileMaker\FileMaker Pro 8.5\FileMaker Pro.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\quebec70\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.polycomconnect.com/Apps/DCS/mcp...00003TiQ041Vpy0
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {42FFDCD4-D2E7-4736-81D8-008929E7C652} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {B8BC13DE-233A-4EB1-B9D6-A5DE2B0A8A18} - (no file)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Program Files\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [Switcher.exe] C:\Program Files\Sony\Wireless Switch Setting Utility\Switcher.exe
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1180466774787
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1180466764528
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = SONOVIDEO.QC.COM
O17 - HKLM\Software\..\Telephony: DomainName = SONOVIDEO.QC.COM
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = SONOVIDEO.QC.COM
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = SONOVIDEO.QC.COM
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: qomlmlk - qomlmlk.dll (file missing)
O20 - Winlogon Notify: VESWinlogon - C:\WINDOWS\SYSTEM32\VESWinlogon.dll
O23 - Service: AFSEGTGF Windows Service - Unknown owner - C:\WINDOWS\system32\dsxej.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDAC11BA.EXE
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Program Files\Sony\VAIO Event Service\VESMgr.exe

Configuration: Windows XP
Internet Explorer 6.0

La réponse d'un internaute

1


Par jlpjlp, le vendredi 8 juin 2007 à 16:59:49 Fil de Discussions
scan avec vundo

Téléchargez VundoFix -> http://www.atribune.org/ccount/click.php?id=4

Double cliquez VundoFix.exe pour l'exécuter.
Quand VundoFix s'ouvre, cliquez sur le bouton Scan for Vundo.
Une fois le scan fini, cliquez sur le bouton Remove Vundo.
Vous recevrez un avertissement vous demandant si vous voulez effacer ces
fichiers répondez en cliquant sur YES
Une fois que vous avez cliqué yes, votre bureau deviendra vide au moment où il
enlève Vundo.

Quand c'est fini, il vous sera demandé de redémarrer votre ordinateur, cliquez
OK.


puis si ca persiste:

i ca persiste lance aussi


virtumondebegone

http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe


puis Symantec Vundo Remove Tool

http://securityresponse.symantec.com/avcenter/FixVundo.exe



tu peux aussi utiliser pour effacer tes traces de surf et voir si il n'y a pas d'autre espions
CCLEANER : ne pas mettre la barre yahoo

http://www.01net.com/...


spybot :

http://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26157.html

AD AWARE
http://www.01net.com/...

et scan en ligne sur bitdefender :

http://www.bitdefender.com/scan8/ie.html

ou Panda en ligne :

http://www.pandasoftware.fr/Activescan/Activescan.html

La Suite

2

Par ebproseller, le vendredi 8 juin 2007 à 21:45:29 Fil de Discussions
Voici les résulats, ce n'est toujour pas partis en passant !

- Vundofix n'a rien trouver

- Virtumondebegone n'a rien trouver

- Symantec Vundofix a enlever 1 objet, voici le texte ;
Symantec Trojan.Vundo Removal Tool 1.5.0
The process "IEXPLORE.EXE" might be affected by the threat. It has been suspended.
The process "IEXPLORE.EXE" might be affected by the threat. It has been terminated.

C:\System Volume Information: (not scanned)

Trojan.Vundo has been successfully removed from your computer!

Here is the report:

The total number of the scanned files: 27605
The number of deleted files: 0
The number of viral processes terminated: 1
The number of viral processes suspended: 1
The number of viral threads terminated: 0
The number of registry entries fixed: 0

- Spybot a enlever 4 virus, mais il revienne après un reboot, voici les noms ;
Virtumonde
Smitfraud-C.Toolbar888
Doubleclick
Blue Streak

- Ad Aware a enlevé 6 objets négligible.

- Bidefender a aussi supprimmé des choses, voici le log ;

C:\System Volume Information\_restore{FB34E087-081A-4D66-841A-31ABDAE4C036}\RP39\A0003314.dll
Infected with: Trojan.Vundo.AY

C:\System Volume Information\_restore{FB34E087-081A-4D66-841A-31ABDAE4C036}\RP39\A0003314.dll
Disinfection failed

C:\System Volume Information\_restore{FB34E087-081A-4D66-841A-31ABDAE4C036}\RP39\A0003314.dll
Deleted

C:\System Volume Information\_restore{FB34E087-081A-4D66-841A-31ABDAE4C036}\RP39\A0004482.dll
Infected with: Trojan.Vundo.DLV

C:\System Volume Information\_restore{FB34E087-081A-4D66-841A-31ABDAE4C036}\RP39\A0004482.dll
Disinfection failed

C:\System Volume Information\_restore{FB34E087-081A-4D66-841A-31ABDAE4C036}\RP39\A0004482.dll
Deleted

C:\System Volume Information\_restore{FB34E087-081A-4D66-841A-31ABDAE4C036}\RP39\A0004483.dll
Infected with: Trojan.Virtumod.ALZ

C:\System Volume Information\_restore{FB34E087-081A-4D66-841A-31ABDAE4C036}\RP39\A0004483.dll
Disinfection failed

C:\System Volume Information\_restore{FB34E087-081A-4D66-841A-31ABDAE4C036}\RP39\A0004483.dll
Deleted

C:\VundoFix Backups\jseixnpn.dll.bad
Infected with: Trojan.Vundo.DLV

C:\VundoFix Backups\jseixnpn.dll.bad
Disinfection failed

C:\VundoFix Backups\jseixnpn.dll.bad
Deleted

C:\VundoFix Backups\rndnapsn.dll.bad
Infected with: Trojan.Virtumod.ALZ

C:\VundoFix Backups\rndnapsn.dll.bad
Disinfection failed

C:\VundoFix Backups\rndnapsn.dll.bad
Deleted

C:\VundoFix Backups\tqgbdfvx.dll.bad
Infected with: MemScan:Trojan.BHO.BM

C:\VundoFix Backups\tqgbdfvx.dll.bad
Disinfection failed

C:\VundoFix Backups\tqgbdfvx.dll.bad
Deleted


Mais quand je reboot toujours la même chose !!!!!!!!!!!!! est-ce dangereux ou je peu le garder ????

Merci

La Suite 1

3

Par jlpjlp, le vendredi 8 juin 2007 à 22:10:14 Fil de Discussions
c'est qu'il faut desactiver la restauration systeme le temps du redemarrage dans DEMARRER puis TOUS LES PROG puis ACCESOIRE puis OUTILS SYSTEME puis DANS RESTAURATION SYSTEME aller dans parametre et desactiver la restauration

puis refaire les scan
redemarrer et reactiver la restauration systeme


4

Par jlpjlp, le vendredi 8 juin 2007 à 22:12:24 Fil de Discussions
sinon lance ces logiciels en mode sans echec en demmarrant appuyer plusieurs fois sur F8 ou F5 ou suppr ou esc en général et choisir le mode sans echec


si ca persiste installe et lance BHO DEMON

http://www.01net.com/...

dans la fenetre qui s'affiche, il y a indiqueé tous les barres d'outils et autres logiciles gréfés sur ton ordi. les lignes vertes sont jugées saines, les rouges et jaunes sont estimées comme dangereuses: dans ce cas il faut les desactiver en decochant la case situé a gauche de chaque ligne.

si la ligne n'est pas colorée et comporte la mention unknown, double clique dessus , des explication apparaitrons, si il y a un doute desactiv ces ligne aussi.

relance ensuite apres BHO un de tes anti espion: SPYBOT, AVG, AD AWARE pour finir le travail

5

Par jlpjlp, le vendredi 8 juin 2007 à 22:13:30 Fil de Discussions
en mode sans echec pour tous les logiciels : spybot, ...


http://www.informatruc.com/mode_sans_echec.php

La fin et je pense que c'est important le mode sans echec lis tout stp Yojumi

6


Par ebproseller, le samedi 9 juin 2007 à 00:13:03 Fil de Discussions
Vous êtes fort !!!!!!!!!

C'est regler, il fallait que je désactive la restauration ......... et voila !

Merci encore.

Bon Courage

Monty tu m'as fait peur, je ne trouvais pas tous mes messages concernant le PB de Yojumi, j'ai même redémarré l'ordi.

Tu as du déplacé pendant que je postais

OUF ils sont tous là

Allez Yojumi à toi de jouer et annonce nous la bonne nouvelle