Spyware: Virtumonde, comment l'enlever? [Résolu]
Dernière réponse : dans Sécurité
Bonjour,
J'avais déjà eu des problèmes avec virtumonde auparavant (détecté par ad-aware et spybot, mais pas complètement supprimé), je l'avais enlevé tant bien que mal, par moi-même.
Aujourd'hui, j'ai fait un scan Panda en ligne et voilà ce qu'il me trouve:
Incident Status Location
Adware:adware/dollarrevenue Not disinfected c:\windows\keyboard1.dat
Spyware:spyware/virtumonde Not disinfected Windows Registry
Potentially unwanted tool:Application/Processor Not disinfected C:\WINDOWS\system32\Process.exe
Adware:Adware/CommAd Not disinfected C:\WINDOWS\SG9hbmc\m361vAw.vbs
(J'ai fait 2 scans ewido avant celui de Panda: au deuxième scan il ne me trouvait plus que quelques cookies)
Merci pour votre aide.
J'avais déjà eu des problèmes avec virtumonde auparavant (détecté par ad-aware et spybot, mais pas complètement supprimé), je l'avais enlevé tant bien que mal, par moi-même.
Aujourd'hui, j'ai fait un scan Panda en ligne et voilà ce qu'il me trouve:
Incident Status Location
Adware:adware/dollarrevenue Not disinfected c:\windows\keyboard1.dat
Spyware:spyware/virtumonde Not disinfected Windows Registry
Potentially unwanted tool:Application/Processor Not disinfected C:\WINDOWS\system32\Process.exe
Adware:Adware/CommAd Not disinfected C:\WINDOWS\SG9hbmc\m361vAw.vbs
(J'ai fait 2 scans ewido avant celui de Panda: au deuxième scan il ne me trouvait plus que quelques cookies)
Merci pour votre aide.
Autres pages sur : spyware virtumonde enlever resolu
Lassé par la pub ? Créez un compte
Il y a aussi CmdService:
. Télécharge delcmdservice (par Marckie), et sauvegardez-le sur ton Bureau.
. Décompresse le contenu sur votre Bureau (un dossier nommé delcmdservice)
. Double-clique sur le dossier delcmdservice
. Double-clique sur delreg.bat afin de lancer l'outil
. Ensuite clique sur le menu Démarrer puis executez
. Dans le champs, tape Services.msc
. Dans la liste vérifie que Command Service n'est pas présent, si c'est le cas, double-clique dessus
. Positionne le type de démarrage sur désactiver
De Malekal_Morte
Puis Vundo
Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
Double-clique VundoFix.exe afin de le lancer.
Coche Run VundoFix as a task.
Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok
Clique sur le bouton Scan for Vundo.
Lorsque le scan est complété, clique sur le bouton Remove Vundo.
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
Démarre ton PC à nouveau.
Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
. Télécharge delcmdservice (par Marckie), et sauvegardez-le sur ton Bureau.
. Décompresse le contenu sur votre Bureau (un dossier nommé delcmdservice)
. Double-clique sur le dossier delcmdservice
. Double-clique sur delreg.bat afin de lancer l'outil
. Ensuite clique sur le menu Démarrer puis executez
. Dans le champs, tape Services.msc
. Dans la liste vérifie que Command Service n'est pas présent, si c'est le cas, double-clique dessus
. Positionne le type de démarrage sur désactiver
De Malekal_Morte
Puis Vundo
Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
Salut Angeldark,
CmdService a bien été supprimé, merci de me l'avoir signalé ;-)
Pour VundoFix, il y a quelque chose d'anormal... Il n'a pas trouvé de fichiers à supprimer (donc pas de log non plus).
Voilà le log Hijackthis (qui me semble clean![]()
):
Logfile of HijackThis v1.99.1
Scan saved at 22:31:04, on 10.06.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\pavsrv.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\AVENGINE.EXE
C:\Program Files\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE
C:\Zone Labs\ZoneAlarm\zlclient.exe
C:\DAEMON Tools\daemon.exe
C:\Program Files\Conexant\AccessRunner ADSL\CnxDslTb.exe
C:\Program Files\Fichiers communs\ACD Systems\fr\DevDetect.exe
C:\WINDOWS\twain_32\A4CIS\WATCH.exe
C:\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Panda Software\Panda Antivirus Titanium\pavProxy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.schachbund.ch/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [Zone Labs Client] C:\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Program Files\Conexant\AccessRunner ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS\WATCH.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267....
O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} (StagingUI Object) - http://zone.msn.com/binFrameWork/v10/StagingUI.cab40641...
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode...
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab312...
O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} (ZoneBuddy Class) - http://zone.msn.com/BinFrameWork/v10/ZBuddy.cab32846.ca...
O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} (ZonePAChat Object) - http://zone.msn.com/binframework/v10/ZPAChat.cab32846.c...
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClie...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst....
O16 - DPF: {9BDF4724-10AA-43D5-BD15-AEA0D2287303} (ZPA_TexasHoldem Object) - http://zone.msn.com/bingame/zpagames/zpa_txhe.cab45837....
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab342...
O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} (StadiumProxy Class) - http://zone.msn.com/binframework/v10/StProxy.cab41227.c...
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown....
O17 - HKLM\System\CCS\Services\Tcpip\..\{C5240C8C-6547-4CCB-B6EA-4B9B5EB07BF0}: NameServer = 195.186.4.108 195.186.1.108
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\ewido anti-malware\ewidoctrl.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\WINDOWS\SYSTEM32\pavsrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
Peut-être un bug de panda?
Pourrais-tu aussi m'expliquer pourquoi je ne trouve pas ce fichier: Adware:Adware/CommAd Not disinfected C:\WINDOWS\SG9hbmc\m361vAw.vbs
J'ai tapé dans Rechercher "m36" mais il ne trouve rien. Cependant, quand je met C:\WINDOWS\SG9hbmc\m361vAw.vbs dans la barre d'addresse, voilà le message qu'on me donne:
Nom de la fenêtre: Confirm Application Delete
Message: Are you sure you wish to remove the application: Command?
Removing this application may cause dependant applications to stop functioning.
[Oui] [Non]
Avec un triangle jaune avec un point d'exclamation, à la gauche. (Quand je tape C:\WINDOWS\SG9hbmc\, le dossier est vide, avec bien entendu le "montrer les fichiers cachés")
Merci de ton aide.
CmdService a bien été supprimé, merci de me l'avoir signalé ;-)
Pour VundoFix, il y a quelque chose d'anormal... Il n'a pas trouvé de fichiers à supprimer (donc pas de log non plus).
Voilà le log Hijackthis (qui me semble clean
):Logfile of HijackThis v1.99.1
Scan saved at 22:31:04, on 10.06.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\pavsrv.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\AVENGINE.EXE
C:\Program Files\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE
C:\Zone Labs\ZoneAlarm\zlclient.exe
C:\DAEMON Tools\daemon.exe
C:\Program Files\Conexant\AccessRunner ADSL\CnxDslTb.exe
C:\Program Files\Fichiers communs\ACD Systems\fr\DevDetect.exe
C:\WINDOWS\twain_32\A4CIS\WATCH.exe
C:\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Panda Software\Panda Antivirus Titanium\pavProxy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.schachbund.ch/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [Zone Labs Client] C:\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Program Files\Conexant\AccessRunner ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS\WATCH.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267....
O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} (StagingUI Object) - http://zone.msn.com/binFrameWork/v10/StagingUI.cab40641...
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode...
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab312...
O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} (ZoneBuddy Class) - http://zone.msn.com/BinFrameWork/v10/ZBuddy.cab32846.ca...
O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} (ZonePAChat Object) - http://zone.msn.com/binframework/v10/ZPAChat.cab32846.c...
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClie...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst....
O16 - DPF: {9BDF4724-10AA-43D5-BD15-AEA0D2287303} (ZPA_TexasHoldem Object) - http://zone.msn.com/bingame/zpagames/zpa_txhe.cab45837....
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab342...
O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} (StadiumProxy Class) - http://zone.msn.com/binframework/v10/StProxy.cab41227.c...
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown....
O17 - HKLM\System\CCS\Services\Tcpip\..\{C5240C8C-6547-4CCB-B6EA-4B9B5EB07BF0}: NameServer = 195.186.4.108 195.186.1.108
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\ewido anti-malware\ewidoctrl.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\WINDOWS\SYSTEM32\pavsrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
Peut-être un bug de panda?
Pourrais-tu aussi m'expliquer pourquoi je ne trouve pas ce fichier: Adware:Adware/CommAd Not disinfected C:\WINDOWS\SG9hbmc\m361vAw.vbs
J'ai tapé dans Rechercher "m36" mais il ne trouve rien. Cependant, quand je met C:\WINDOWS\SG9hbmc\m361vAw.vbs dans la barre d'addresse, voilà le message qu'on me donne:
Nom de la fenêtre: Confirm Application Delete
Message: Are you sure you wish to remove the application: Command?
Removing this application may cause dependant applications to stop functioning.
[Oui] [Non]
Avec un triangle jaune avec un point d'exclamation, à la gauche. (Quand je tape C:\WINDOWS\SG9hbmc\, le dossier est vide, avec bien entendu le "montrer les fichiers cachés")
Merci de ton aide.
Télécharge : Pocket KillBox
Mets le dans un dossier ou sur ton bureau (Clique droit puis Extraire tout)
Selectionne le texte dans le cadre:
Clique droit puis Copier.
----------
. Ouvre Killbox.exe
. Choisis "Delete on reboot"
. Clique sur "File" et ensuite "Paste from Clipboard"
. Clique sur All Files
. Clique sur le rond rouge avec une croix blanche.
. Repond par "oui", ton pc va redemarrer.
----------
Supprime ce dossier : C:\!KillBox
----------
Tu n'as pas de traces de Vundo dans ton log.
Mets le dans un dossier ou sur ton bureau (Clique droit puis Extraire tout)
Selectionne le texte dans le cadre:
Citation :
C:\WINDOWS\SG9hbmc\Clique droit puis Copier.
----------
. Ouvre Killbox.exe
. Choisis "Delete on reboot"
. Clique sur "File" et ensuite "Paste from Clipboard"
. Clique sur All Files
. Clique sur le rond rouge avec une croix blanche.
. Repond par "oui", ton pc va redemarrer.
----------
Supprime ce dossier : C:\!KillBox
----------
Tu n'as pas de traces de Vundo dans ton log.
Lassé par la pub ? Créez un compte
- Contenus similaires :
- ForumEnlever virus spyware
- ForumComment enlever spyware
- ForumEnlever des spyware
- ForumEnlever virus et spyware avec hijackthis
- ForumComment enlever un spyware de mon pc
- ForumComment enlever un spyware
- ForumEnlever spyware
- ForumLogiciel pour enlever virus et spyware
- ForumEnlever un spyware
- ForumUn anti spyware ca enleve les pubs
- Voir plus
