Retour sur e-logitheque.com

[FredB]

J'ai été infesté par un ou plusieurs virus, un scan avast en a enlevé quelque'un et spybot en a enlevé 20! Mais il reste toujours virtumonde.generic et virtumonde et lorsque spybot essaye de les supprimer, spybot se ferme et un message dit "une erreur s'est produite avec le logiciel et spybot doit fermer". Des fenetres s'ouvrent lors du démarrage du PC et tout est très lent et parfois même bloqué. Est-ce que mon spybot a un problème?

[E-LOG-Admin]

Virtumonde est un cheval de Troie il est particulièrement dur a enlever, car il se bat lorsqu'on essaye de l'éradiquer. Si Spybot se ferme en provquant une erreur, c'est à cause de Virtumonde. Même avec Hijackthis, il se bat et férocement.

Le troyen s'installe dans un répertoire C:\windows\system32 normalement

Télécharge Hijackthis

c'est avec Hijackthis que tu va l'enlever...

Virtumonde est tellement coriace, qu'il faut renommer Hijackthis avant de l'utiliser, sinon Virtumonde sera masqué.

Renomme le fichier HijackThis.exe en Scanner.exe

Lance Scanner.exe et une fois ouvert, cliquez sur "Do a system scan and save a Logfile"

Hijackthis va alors faire un rapport :

Voici les lignes que tu va trouver dans ton rapport si tu es bien infecté par Virtumonde

O2 - BHO: ATLDistrib Object - {93C6313C-9DB4-4694-8BD0-E378C573A9AD} - C:\WINDOWS\System32\pmnnl.dll

O20 - Winlogon Notify: pmnnl - C:\WINDOWS\System32\pmnnl.dll

O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\wvuuu.dll

O20 - Winlogon Notify: wvuuu - C:\WINDOWS\SYSTEM32\wvuuu.dll

O2 - BHO: MSEvents Object - {FC148228-87E1-4D00-AC06-58DCAA52A4D1} - C:\WINDOWS\system32\nnnol.dll

O20 - Winlogon Notify: nnnol - C:\WINDOWS\system32\nnnol.dll

O2 - BHO: ATLDistrib Object - {3FE36807-69ED-45D1-B9BE-85C0E3F75B6A} - C:\WINDOWS\system32\mlljk.dll

O20 - Winlogon Notify: mlljk - C:\WINDOWS\system32\mlljk.dll

O2 - BHO: CIEPl Object - {F85E86D8-F796-4C97-AAA2-26664A98A42C} - C:\WINDOWS\system32\service.dll

O20 - Winlogon Notify: service - service.dll

O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\System32\byxwv.dll

O20 - Winlogon Notify: byxwv - C:\WINDOWS\SYSTEM32\byxwv.dll

O2 - BHO: MFCOptimizeClass Object - {A6CEA0E7-6B4D-4CD9-9932-D85705CBC1A9} - C:\WINDOWS\System32\ssqrs.dll

O20 - Winlogon Notify: ssqrs - C:\WINDOWS\System32\ssqrs.dll

Fixe chaqun'une des lignes ci-dessus dans ton rapport. (il faut les cocher)

En suite suit la procédure suivante :

VundoFix

Télécharge VundoFix sur ton bureau, lance VundoFix.exe et clic sur le bouton "Scan for Vundo".
Une fois le scan terminé, clic sur le bouton "Remove Vundo". Un message demandera si tu veux supprimer les fichiers, clic sur YES.
Le PC s'éteint, après il faut le redémarrer.

VirtumundoBeGone
Télécharge VirtumundoBeGone sur le bureau. Lance VirtumundoBeGone.exe et suit les instructions qui s'affichent à l'écran.
L'écran est bleu comme lors d'une erreur fatale du système d'exploitation et tu redémarre le PC.

ComboFix
Encore un petit nettoyage : Télécharge ComboFix sur ton Bureau.
Redémarre ton PC en mode sans échec. Lance ComboFix.exe et lance le scan en pressant la touche Y (Yes).
Redémarrage du PC : suit les instructions.

HijackThis
Enfin avec HiJackThis, efface les clés du registre et autres dll annoncées au début de ce poste. Pour effacer, il faut cocher les entrée citées en haut du poste et cliquer sur le bouton Fix checked, puis confirmer par Oui.

Si par malheur il y a encore des programme qui essayent de ce lancer au démarrage du PC (messages d'erreur sous quoi un prog n'a pas été trouvé ou autre)

Tu peux encore aller voir dans la base de registre pour enlever certaines entrées :

Dans le menu démarrer, clic sur "Exécuter" puis tappe regedit.exe et enter
Le prog de la base de registre s'ouvre : Il y a deux endroit ou Virtumonde adore placer des entrées. Ce sont des ordres de lancement de programme et de dll qui se produisent au démarrage du PC. Ces lignes de commande ne se trouvent pas dans la clé du registre où se trouvent normalement les ordres de lancement permanents ,il existe une clé du registre de Windows dans laquelle est stocké les valeurs qui doivent s'exécuter seulement au prochain démarrage. En fait Virtumonde place un ordre de démarrage provisoire pour une seul fois, mais à chaque fois que le PC démarre. C'est comme ça qu'il se cache.

Il faut donc aller dans HKEY_LOCAL_MACHINE / Software / Microsoft / Windows / CurrentUser / RunOnce

Il se peut qu'il y aie encore une liste d'ordre de lancement de dll et de prog. Vu que les noms changent souvent, on ne peut les lister ici, mais comme cette clé du registre ne contient que des ordres provisoires, il n'est pas grave de tous les effacer! Efface toutes les valeurs contenues dans cette clé!

Même chose recommence avec le même chemin mais depuis la clé HKEY_CURRENT_USER / Software / Microsoft / Windows / CurrentUser / RunOnce

Tu efface toutes les valeurs qui s'y trouvent aussi.
Attention si tu n'as pas l'habitude de manipuler la base de registre de Windows. Procède comme suit : Navigue en ouvrant les clés du registre (ce sont les dossier qui sont dans la fenêtre de gauche). Les valeurs contenues dans la clés se trouvent dans la fenêtre de droite. Pour effacer les valeurs qui se trouvent dans la clé, faire un clic droit sur la valeur (attention pas la clé), la valeur se trouve dans la fenêtre de droite et choisir supprimer.

registre.jpg (47.96 Ko) Vu 5787 fois

Et donne nous des nouvelle si tu n'est pas trop épuisé après tout ça

[FredB]

ouaaaaaou

jamais vu un truc aussi pouri à enlever j'ai mis 2 heures ils commencent a vraiment mettre des trucs infect!

Merci tu m'évite le formatage j'ai pu sauvé mon pc