Virus "virtumonde" comment s'en débarrasser ?

Bonjour les chefs AMHis

Depuis 3 semaines , à chaque exécution de spybot je trouve un élément appeler "virtumonde" que spybot me détruit.
Mais bizarrement il revient à chaque analyse avec spybot.

Est-ce un problème grave ??
Et comment faire pour s'en débarrasser définitivement ??

Bien sûr, n'étant pas un pro informatique, je vous serais très reconnaissant de bien vouloir me donner des explications assez détaillées de manière a ce que je puisse suivre facilement vos consignes.
Merci d'avance, je sais qu'avec vous ce ne sera qu'une formalité comme d'habitude.
Amicalement, Pascal

Bpnjour AMHi zimmer,

Télécharge Malwarebytes et fais un scan complet de ton ordi.

http://www.clubic.com/telecharger-fiche215092-malwarebytes-anti-malware.html

Pour plus d'efficacité, fais ce scan en Mode sans Échec (F8 au démarrage)

Bien AMHicalement

P.S. Ensuite, après avoir redémarré ton ordi, fais un nouveau scan avec Spybot et reviens nous dire s'il est encore présent et supprimé par Spybot.
Si oui, il faudra trouver autre chose. Si non, le problème sera règlé.
On veut savoir... lollll

Bonjour Richard1, bonjour à tous,

J'ai beaucoup tardé à répondre (qqes soucis de santé) et je vous présente mes excuses.
Mais voilà, j'ai appliqué la procédure pour essayer de supprimer ce "virtumonde" mais il est de retour après chaque démarrage.
Dans mes recherches je me suis aperçu qu'il était certainement lié à mon imprimante, je ne sais pas comment, car lorsque je demande à Spybot de me le supprimer, je n'ai plus de pilote d'imprimante (hp laserjet 1015) et il faut à chaque fois le réinstaller.
Le pb est que j'ai de nombreux ralentissements et de nombreux patinages (l'Uc gratte et met un temps fou pour exécuter de simples applications qui d'ordinaire sont instantanées).
Autre remarque, à l'ouverture de l'ordi, si j'ai le malheur d'ouvrir ma messagerie avant Internet, il est pratiquement automatique que je ne puisse ouvrir une page internet dans la foulée.
J'ai aperçu dans des forums similaires à celui-ci des questions sur ce "virtumonde" mais il est question de désactiver des protections de base de registre !!! ou quelque chose de ce genre. N'y connaissant pas grand chose, je n'ai pas pris le risque de faire quoi que ce soit sans aide et détail précis de votre part.
En résumé, est-ce grave docteur ?
FAut-il faire des tas de manip ou laisser vivre ce virtumonde au risque d'y perdre mes données ?
Merci par avance pour tout conseil.
Bonne soirée

Pascal et sa moitié qui va tenter de suivre vos précieux conseils à la lettre.

Bonjour AMHi zimmer,

J'ai déplacé le dossier pour le mettre dans Sécurité car je pense que c'est plus approprié. N'y voir là aucun reproche ni même une miette de reproche.

Je vais tenter de voir ce qu'on pourrait bien faire pour supprimer ce petit tannant persistant.

Je reviens ici dès que j'ai une piste de solution.

Très AMHicalement

Oups! Que je suis paresseux ce soir!

Voici un lien qui explique quelques méthodes pour supprimer ce virtumonde.

http://www.commentcamarche.net/faq/sujet-6862-supprimer-le-trojan-vundo-virtumonde

Si en suivant ces méthodes, ça ne fonctionne pas, il faut revenir ici et on regardera plus attentivement et avec plus d'intérêt.

Je suggère d'imprimer ce qui est démontré dans le lien et, ensuite, tenter de suivre les procédures.

Merci de revenir avec des commentaires (bons ou pas)

Bonne chance

Très AMHicalement
P.S. Grosse journée aujourd'hui: Je vais me coucher. a+

Bientôt bonsoir,
Mon dieu que c'est long quand un malveillant ne veut pas être délogé.
J'ai suivi la démarche proposée. Je n'ai rien obtenu avec MalwaresBytes donc j'ai pris l'option Combofix. J'envoie le rapport sans doute en plusieurs morceaux pour savoir si ça a marché.

ComboFix 09-05-23.04 - Pascal Zimmer 24/05/2009 17:34.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.447.229 [GMT 2:00]
Lancé depuis: c:\documents and settings\Pascal Zimmer\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1335 [VPS 090524-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\Ijl11.dll
c:\windows\system32\sqlite3.dll
.
((((((((((((((((((((((((((((( Fichiers créés du 2009-04-24 au 2009-05-24 ))))))))))))))))))))))))))))))))))))
.
2009-05-24 13:01 . 2009-05-24 13:36 -------- d-----w c:\windows\BDOSCAN8
2009-05-24 12:40 . 2009-05-24 12:40 -------- d-----w C:\VundoFix Backups
2009-05-24 12:28 . 2009-05-24 12:37 -------- d-----w c:\documents and settings\Pascal Zimmer\.housecall6.6
2009-05-10 11:55 . 2009-05-10 11:55 -------- d-----w c:\documents and settings\Pascal Zimmer\Application Data\AVS4YOU
2009-05-10 11:54 . 2009-05-10 11:54 -------- d-----w c:\documents and settings\All Users\Application Data\AVS4YOU
2009-05-10 11:52 . 2009-05-11 18:29 -------- d-----w c:\program files\Fichiers communs\AVSMedia
2009-05-10 11:52 . 2008-07-11 09:52 1700352 ----a-w c:\windows\system32\GdiPlus.dll
2009-05-10 11:52 . 2009-05-11 18:29 -------- d-----w c:\program files\AVS4YOU
2009-05-10 11:52 . 2003-05-21 21:50 24576 ----a-w c:\windows\system32\msxml3a.dll
2009-04-26 16:54 . 2009-04-26 17:28 -------- d-----w c:\documents and settings\Pascal Zimmer\Local Settings\Application Data\Deployment
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-24 14:02 . 2006-12-27 10:59 -------- d-----w c:\documents and settings\All Users\Application Data\Google Updater
2009-05-18 09:19 . 2008-11-24 19:19 -------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-05-18 09:19 . 2009-04-04 15:21 2967799 ----a-w c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-04-29 07:23 . 2008-11-30 15:58 -------- d-----w c:\program files\Lx_cats
2009-04-27 18:31 . 2008-03-27 16:42 -------- d---a-w c:\documents and settings\All Users\Application Data\TEMP
2009-04-27 18:29 . 2008-03-27 16:42 -------- d-----w c:\program files\SpywareBlaster
2009-04-27 18:00 . 2008-03-03 20:44 45056 ----a-w c:\windows\NCUNINST.EXE
2009-04-27 17:58 . 2008-03-03 20:42 -------- d-----w c:\program files\Hewlett-Packard
2009-04-16 07:19 . 2004-08-05 12:00 84818 ----a-w c:\windows\system32\perfc00C.dat
2009-04-16 07:19 . 2004-08-05 12:00 510736 ----a-w c:\windows\system32\perfh00C.dat
2009-04-09 13:29 . 2008-11-24 16:36 -------- d-----w c:\program files\Java
2009-04-09 13:27 . 2009-04-09 13:27 152576 ----a-w c:\documents and settings\Pascal Zimmer\Application Data\Sun\Java\jre1.6.0_13\lzma.dll
2009-04-06 13:32 . 2008-11-24 19:19 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-06 13:32 . 2008-11-24 19:19 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-03-09 03:19 . 2008-11-24 16:36 410984 ----a-w c:\windows\system32\deploytk.dll
2009-03-06 14:20 . 2004-08-05 12:00 286720 ----a-w c:\windows\system32\pdh.dll
2009-03-03 00:13 . 2004-08-05 12:00 826368 ----a-w c:\windows\system32\wininet.dll
2008-03-27 14:34 . 2008-03-27 14:34 504 -c--a-w c:\program files\autorun_off.reg
2008-02-28 19:14 . 2008-02-28 19:14 11174703 -c--a-w c:\program files\thegimp-2.2.7-PC.zip
2008-02-28 18:55 . 2008-02-28 18:55 987452 -c--a-w c:\program files\flash-linux.tar.gz
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cld2000.exe"="c:\program files\Calendrier\Cld2000.exe" [2008-09-10 3083264]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-04-01 68856]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"OpwareSE4"="c:\program files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" [2006-03-21 69632]
"VadeRetro Outlook"="c:\program files\Goto Software\Vade Retro\VrMoRegister.exe" [2008-02-20 87552]
"VadeRetro Desktop"="c:\program files\Goto Software\Vade Retro\Vaderetro_Mgr.exe" [2008-04-10 1054208]
"eBayToolbar"="c:\program files\eBay\eBay Toolbar2\eBayTBDaemon.exe" [2009-01-16 632048]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"StatusClient"="c:\program files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe" [2002-12-16 36864]
"TomcatStartup"="c:\program files\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe" [2003-03-31 155648]
"LXCGCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll" [2005-04-27 69632]
"VTTimer"="VTTimer.exe" - c:\windows\system32\VTTimer.exe [2004-10-01 53248]
"VTtrayp"="VTtrayp.exe" - c:\windows\system32\VTTrayp.exe [2004-06-22 143360]
"CARPService"="carpserv.exe" - c:\windows\system32\carpserv.exe [2003-03-18 4608]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\Pascal Zimmer\Menu D‚marrer\Programmes\D‚marrage\
wkcalrem.LNK - c:\program files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe [2004-7-12 15360]
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32
"wave1"= serwvdrv.dll
"wave3"= serwvdrv.dll
"wave4"= serwvdrv.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\IZArc\\IZArc.exe"=
"c:\\Program Files\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\lxcgcoms.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [10/04/2008 16:01 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [10/04/2008 16:01 20560]
R3 dskwatch;Disk Watch Filter;c:\windows\system32\drivers\dskwatch.sys [27/12/2006 22:37 15232]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\drivers\fbxusb32.sys [31/10/2007 16:27 21344]
.
Contenu du dossier 'Tâches planifiées'
2009-05-24 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-01-27 12:26]
.
- - - - ORPHELINS SUPPRIMES - - - -
SafeBoot-procexp90.Sys

.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
mStart Page = hxxp://www.01net.com/telecharger/
uInternet Settings,ProxyOverride =
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~4\Office10\EXCEL.EXE/3000
IE: Recherche sur eBay - c:\program files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
TCP: {2BA45A00-EE38-4C40-A39B-1E99F292745C} = 212.27.32.176,212.27.32.177
TCP: {2BBFA774-7D3E-4B3C-BF04-E943914C84B3} = 212.27.53.252,212.27.54.252
Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - c:\program files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-24 17:38
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXCGCATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'explorer.exe'(3172)
c:\program files\ScanSoft\OmniPageSE4.0\OpHookSE4.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\snmp.exe
c:\program files\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2009-05-24 17:43 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-05-24 15:42
Avant-CF: 37 744 316 416 octets libres
Après-CF: 37 668 548 608 octets libres
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect
158 --- E O F --- 2009-05-13 11:01

Merci par avance pour les conseils et remarques supplémentaires.
Pascal et sa moitié

Bonjour AMHi zimmer,

Certaines infections ont été supprimées. Bravo pour avoir fait tout ce travail...

Allons au plus simple maintenant: Télécharge HijackThis et place un log ici.

http://www.01net.com/telecharger/windows/Internet/internet_utlitaire/fiches/29061.html

À bientôt

Très AMHicalement

Voici le rapport HiJack. Entre temps, j'avais refait un spybot et mon ami Virtumonde est toujours là !

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:37:23, on 24/05/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\VTTimer.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\Program Files\Goto Software\Vade Retro\Vaderetro_Mgr.exe
C:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe
C:\WINDOWS\system32\carpserv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\Program Files\Calendrier\Cld2000.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Pascal Zimmer\Bureau\CCM.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [VTtrayp] VTtrayp.exe
O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [VadeRetro Outlook] C:\Program Files\Goto Software\Vade Retro\VrMoRegister.exe -s
O4 - HKLM\..\Run: [VadeRetro Desktop] C:\Program Files\Goto Software\Vade Retro\Vaderetro_Mgr.exe
O4 - HKLM\..\Run: [eBayToolbar] C:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [StatusClient] C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup] C:\Program Files\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [LXCGCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [Cld2000.exe] C:\Program Files\Calendrier\Cld2000.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: wkcalrem.LNK = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Recherche sur eBay - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Correcteur - {F7C8E5F6-B6D1-45db-8D91-2BCFA5DF11A9} - C:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote K - IE 6.htm (HKCU)
O9 - Extra button: Dictionnaire - {FB4AE6A3-EE20-442c-9189-251885352358} - C:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote D - IE 6.htm (HKCU)
O9 - Extra button: Synonymes - {FDD637F8-2693-49ce-817E-1AD59574900C} - C:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote S - IE 6.htm (HKCU)
O9 - Extra button: Conjugueur - {FF229BEC-9E1F-48c1-99A6-AF34ABEFAB0A} - C:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote C - IE 6.htm (HKCU)
O9 - Extra button: Grammaire - {FFB5EE7F-726F-423e-83C2-572FE7CEB3F0} - C:\PROGRA~1\Druide\Antidote\Antidote\Internet Explorer\6\Antidote G - IE 6.htm (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.01net.com/telecharger/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2BA45A00-EE38-4C40-A39B-1E99F292745C}: NameServer = 212.27.32.176,212.27.32.177
O17 - HKLM\System\CCS\Services\Tcpip\..\{2BBFA774-7D3E-4B3C-BF04-E943914C84B3}: NameServer = 212.27.53.252,212.27.54.252
O17 - HKLM\System\CS1\Services\Tcpip\..\{2BA45A00-EE38-4C40-A39B-1E99F292745C}: NameServer = 212.27.32.176,212.27.32.177
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: lxcg_device - Unknown owner - C:\WINDOWS\system32\lxcgcoms.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
--
End of file - 9099 bytes

A tout à l'heure sans doute...

Bonjour AMHi zimmer,

Désactive ton antivirus Avast. (sinon, il t'empêchera peut-être de télécharger le logiciel que je te propose)

Télécharge ce petit logiciel et fais le fonctionner.

http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

Redémarre ensuite ton ordi et regarde si tu as encore ce virtumonde.

Reviens avec tes commentaires.

Bonjour AMHI zimmer,

Ce logiciel que je te demande de faire fonctionner sur ton ordi devrait te débarasser de ce trojan persistant. N'hésite pas et donne-moi un compte rendu de son efficacité.

Très AMHicalement

Echec et mat. Manipulation faite, redémarrage, spybot et virtumonde toujours là.

Voici d'une part le rapport du petit logiciel :
[05/25/2009, 9:32:49] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Pascal Zimmer\Local Settings\Temporary Internet Files\Content.IE5\W7ICCC31\VirtumundoBeGone[1].exe" )
[05/25/2009, 9:33:07] - Detected System Information:
[05/25/2009, 9:33:07] - Windows Version: 5.1.2600, Service Pack 3
[05/25/2009, 9:33:07] - Current Username: Pascal Zimmer (Admin)
[05/25/2009, 9:33:07] - Windows is in NORMAL mode.
[05/25/2009, 9:33:07] - Searching for Browser Helper Objects:
[05/25/2009, 9:33:07] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[05/25/2009, 9:33:07] - BHO 2: {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} (eBay Toolbar Helper)
[05/25/2009, 9:33:07] - BHO 3: {53707962-6F74-2D53-2644-206D7942484F} (Spybot-S&D IE Protection)
[05/25/2009, 9:33:07] - BHO 4: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[05/25/2009, 9:33:07] - BHO 5: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
[05/25/2009, 9:33:07] - BHO 6: {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} (Google Dictionary Compression sdch)
[05/25/2009, 9:33:07] - BHO 7: {DBC80044-A445-435b-BC74-9C25C1C588A9} (Java(tm) Plug-In 2 SSV Helper)
[05/25/2009, 9:33:07] - BHO 8: {E7E6F031-17CE-4C07-BC86-EABFE594F69C} (JQSIEStartDetectorImpl Class)
[05/25/2009, 9:33:07] - Finished Searching Browser Helper Objects
[05/25/2009, 9:33:07] - Finishing up...
[05/25/2009, 9:33:07] - Nothing found! Exiting...

et ce que me livre Spybot après analyse :
Virtumonde
[SBI $92386332] Bibliothèque
C:\WINDOWS\system32\ZSPOOL.DLL

Merci en core de votre patience

Bonjour AMHi zimmer,

C'est le cas de le dire qu'il est persistant...

Télécharge le petit logiciel suivant. Une fois sur ton bureau, redémarre
ton ordi en mode Sans Échecs (il faut faire F8 plusieurs fois au tout début du redémarrage) Choisir le mode Sans Échecs.

Aller sur le bureau et cliquer sur ce petit logiciel que tu as téléchargé auparavant.

Faire un scan complet et si jamais il refuse de supprimer des lignes, il faudra les supprimer MANUELLEMENT. (TOUJOURS EN MODE SANS ÉCHECS)

http://securityresponse.symantec.com/avcenter/FxVMonde.exe

Redémarre ensuite ton ordi et regarde si le virus est encore présent.

Bonne chance

J'ai effectué FxVmonde qui n'a rien détecté. Virtumonde était toujours là avec son fameux fichier ZSPOOL.DLL. En refaisant Spybot, je l'ai supprimé, donc disparition de mon imprimante. J'ai rebooté puis réinstallé avec un pilote à partir du net (d'habitude je le faisais à partir du cdrom d'origine) mais respybot plus tard, virtumonde toujours là....
Désolé mais il est vraiment vicieux.
Cordialement et merci encore.
Pascal

Bonjour Pascal,

Peut être à essayer (majuscules ou minuscules sans importance dans ce que vous tapez) :

-démarrage mode sans échec
-cliquer sur Démarrer puis Executer et taper cmd puis cliquer sur Ok
-si le répertoire actif n'est pas C:\> vous tapez :

cd.. puis Entrée jusqu'à ce que celui-ci soit affiché

puis taper :

cd windows et Entrée
cd system32 et Entrée

attrib -h -r -s zspool.dll
del zspool.dll
exit

ensuite désactiver la Restauration Système et redémarrer.

Réactiver la Restauration Système.

Bonjour,

C'est une bonne idée d'essayer de supprimer ce fichier malsain en passant par le DOS.

Merci d'essayer la suggestion amicale de l'Ami monsieur Yora_senior.
En mode sans échec, bien sûr.

Bonne chance

Petit pb pratique quand je démarre en mode sans échec (F8), jobtiens un écran déformé et je n'ai pas accès à la barre du bas pour faire "démarrer", "exécuter", etc..
Quelle solution ?

Merci

Je pense qu'il peut s'agir d'un problème d'affichage.

Essayez de modifier les paramètres dans Panneau de configuration, Affichage et onglet Paramètres. Vous réduisez la résolution à 800x600 par exemple.

Bonjour,

Pour obtenir ce petit tableau Exécuter,
on peut aussi peser sur la touche Windows du clavier (celle à droite de la touche CTRL), la maintenir enfoncée et peser sur la touche R.

Win+R = exécuter

Très AMHicalement

C'est fait mais virtumonde est toujours là quand je passe Spybot par contre le fichier a changé. Maintenant c'est zipfldr.dll
Faut-il reproduire la même manoeuvre ?

Bonjour,

Allez voir votre messagerie privée.

Bien AMHicalement

Excusez-moi mais je n'ai pas compris pourquoi il fallait aller voir ma messagerie privée.
Cordialement
Pascal

Bonjour Pascal,

Parce que je vous ai envoyé un message privé tout simplement.

Cliquez sur le mot Messagerie dans le menu du haut et vous verrez que je vous ai envoyé un message personnel.

À bientôt

Très AMHicalement

Bonjour Pascal,

Le manipulation fonctionnait entre autre pour se débarrasser de "Eorezo" mais on voit qu'ici ce n'est pas le cas.

En effet, le fichier se recrée, à partir d'un autre, mais sous des noms différents.

Vous pouvez, par exemple, regarder ici :

http://www.site-naheulbeuk.com/vundo.php

mais Richard1 va sans doute vous donner le solution.

Amicalement.

Bonjour AMHi zimmer,

Tout ce qui a été essayé jusqu'à maintenant n'a pas fonctionné.

Il y a bien ici dans le forum, quelqu'un qui possède des outils de nettoyage.

Je parle de l'AMHie Chrifleur.

Soyez patient et si elle voit ce message, il est fort possible qu'elle
s'occupe du dossier.
Merci d'être patient car nous avons tous une vie personnelle qui nous accapare plus ou moins...

Bien AMHicalement

Merci encore pour tout (patience, conseil, écoute...).
L'ordinateur même s'il rame parfois e fait des trucs bizarres est utilisable, donc pas de souci, il n'y a pas "le feu au lac" comme on dit chez nous et je suis bien d'accord qu'il y a d'autres choses prioritaires au fonctionnement d'une machine.

Encore merci et à bientôt.
Pascal