Guide de desinfection pour Vundo Virtumonde
Date : Mardi 20 novembre 2007 @ 11:47:34 :: Sujet : Guides de desinfection
Guides de désinfection
Comment se débarrasser de ce qui vous encombre
Guide de suppression de Vundo / Virtumonde
Vundo / Virtumonde Aussi appelé VBStat) est un troyen (trojan).
A l'envers des Virus, il ne se multiplie pas et il ne se propage pas par lui même.
Lors de la visite de certaines pages web douteuses, il s'installe automatiquement si l'internaute utilise une version non mise à jour d'Internet Explorer (d'où l'intérêt de mettre à jour son système ou de naviguer avec Firefox.)
Le troyen s'installe alors dans un répertoire (souvent C:windowssystem32) sous un nom aléatoire avec une extension en .DLL, puis modifie la base de registre afin d'être exécuté à chaque démarrage de l'ordinateur.
Vundo.B déclenche l'affichage de fenêtres publicitaires
intempestives (WinAntiVirus / DriveCleaner / Amaena...), puis tente de
télécharger et d'exécuter des adwares (programmes affichant des
publicités) sans autorisation.
Spybot Search & Destroy détecte l'infection Vundo / Virtumonde sous le nom de Smitfraud-Toolbar888, donc s'il vous trouve cette infection, suivez le guide !
» Détection
Grâce à l'outil HijackThis développé par Merijn, nous allons pouvoir détecter ce qui déclenche Vundo / Virtumonde !
Téléchargez HijackThis sur votre bureau.
Extraire le fichier sur votre bureau... Faîtes un clic droit sur HijackThis.exe et choisissez Renommer 
puis renommez-le bidule.exe. 
Ceci est très important car cette infection assez coriace peut être
masquée sous HijackThis si l'outil n'est pas renommé avant tout scan !
Ensuite double-cliquez sur bidule.exe
puis sur I Accept sur le message qu'HijackThis va vous envoyer.
Dans HijackThis,
cliquez sur "Do a system scan and save a Logfile" : cela va scanner puis ouvrir un rapport dans le bloc-notes. 
Ce rapport est composé de lignes avec des numéros devant (02, 04, 016, 020, 023...). C'est quoi ces chiffres? R0, R1, R2, R3 - URL des pages de Démarrage/Recherche d'Internet Explorer
F0, F1 - Programmes chargés automatiquement -fichiers .INI
N1, N2, N3, N4 - URL des pages de Démarrage/Recherche de Netscape/Mozilla
O1 - Redirections dans le fichier Hosts
O2 - Browser Helper Objects
O3 - Barres d'outils d'Internet Explorer
O4 - Programmes chargés automatiquement -Base de Registre et dossier Démarrage
O5 - Icônes d'options IE non visibles dans le Panneau de Configuration
O6 - Accès aux options IE restreints par l'administrateur
O7 - Accès à Regedit restreints par l'administrateur
O8 - éléments additionnels du menu contextuel d'IE
O9 - Boutons additionnels de la barre d'outils principale d'IE ou éléments additionnels du menu 'Outils' d'IE
O10 - Pirates de Winsock
O11 - Groupes additionnels de la fenêtre 'Avancé' des Options d'IE
O12 - Plugins d'IE
O13 - Piratage des DefaultPrefix d'IE (préfixes par défaut)
O14 - Piratage de 'Reset Web Settings' (réinitialisation de la configuration Web)
O15 - Sites indésirables de la Zone de confiance
O16 - Objets ActiveX (alias Downloaded Program Files - Fichiers programmes téléchargés)
O17 - Pirates du domaine Lop.com
O18 - Pirates de protocole et de protocoles additionnels
O19 - Piratage de la feuille de style utilisateur
O20 - Valeur de Registre AppInit_DLLs en démarrage automatique
O21 - Clé de Registre ShellServiceObjectDelayLoad en démarrage automatique
O22 - Clé de Registre SharedTaskScheduler en démarrage automatique.
O23- Services activés
Si vous comprenez pas tout ceci, vous pouvez aller sur cette page : http://www.hijackthis.de/fr Copiez tout votre LOG de HiJackThis dans le boitier texte et cliquez sur évaluer : Vous verrez ce qui ne vas pas dans votre LOG. (Et en Français)
Voici comment se traduit la présence d'une infection Vundo / Virtumonde sur un rapport HijackThis :
O2 - BHO: ATLDistrib Object - {93C6313C-9DB4-4694-8BD0-E378C573A9AD} - C:WINDOWSSystem32pmnnl.dll
O20 - Winlogon Notify: pmnnl - C:WINDOWSSystem32pmnnl.dll
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:WINDOWSsystem32wvuuu.dll
O20 - Winlogon Notify: wvuuu - C:WINDOWSSYSTEM32wvuuu.dll
O2 - BHO: MSEvents Object - {FC148228-87E1-4D00-AC06-58DCAA52A4D1} - C:WINDOWSsystem32
nnol.dll
O20 - Winlogon Notify: nnnol - C:WINDOWSsystem32
nnol.dll
O2 - BHO: ATLDistrib Object - {3FE36807-69ED-45D1-B9BE-85C0E3F75B6A} - C:WINDOWSsystem32mlljk.dll
O20 - Winlogon Notify: mlljk - C:WINDOWSsystem32mlljk.dll
O2 - BHO: CIEPl Object - {F85E86D8-F796-4C97-AAA2-26664A98A42C} - C:WINDOWSsystem32service.dll
O20 - Winlogon Notify: service - service.dll
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:WINDOWSSystem32�yxwv.dll
O20 - Winlogon Notify: byxwv - C:WINDOWSSYSTEM32�yxwv.dll
O2 - BHO: MFCOptimizeClass Object - {A6CEA0E7-6B4D-4CD9-9932-D85705CBC1A9} - C:WINDOWSSystem32ssqrs.dll
O20 - Winlogon Notify: ssqrs - C:WINDOWSSystem32ssqrs.dll
Vous l'aurez compris, l'infection marche par paires : s'il y a une ligne 02, le même fichier (avec l'extension ".dll") se trouve en ligne 020 !
Juste une précision :
vous pouvez avoir une seule paire de lignes 02 et 020 avec le même
fichier ou plusieurs, cela traduit dans tous les cas une infection
Vundo / Virtumonde. » Désinfection
Cette partie de l'article n'est à suivre uniquement que si vous obtenez
un rapport montrant une infection Vundo / Virtumonde ! Voir l'exemple
ci-dessus... Ces manipulations sont à suivre dans l'ordre indiqué et il faut toutes
les effectuer sans exception, en prenant votre temps pour n'omettre
aucun détail, afin d'obtenir le meilleur résultat possible ! - VundoFix
Téléchargez VundoFix sur votre bureau.
Double-cliquez sur VundoFix.exe afin de le lancer, puis cliquez sur le bouton "Scan for Vundo".
Lorsque le scan est terminé, cliquez sur le bouton "Remove Vundo".
Une invite vous demandera si vous voulez supprimer les fichiers, cliquez sur YES.
Après avoir cliqué sur Yes, le Bureau disparaitra un moment lors de la suppression des fichiers (ne vous inquiétez pas c'est normal !).
Vous verrez ensuite une invite qui vous annoncera que votre PC va s'éteindre (shutdown en anglais) : cliquez sur OK.
Une fois votre PC éteint, redémarrez-le.
VirtumundoBeGone
Téléchargez VirtumundoBeGone sur votre bureau.
Double-cliquez ensuite sur VirtumundoBeGone.exe et suivez les instructions qui s'affichent à l'écran.
Une fois terminé, redémarrez votre PC.
PS : Ne vous inquiétez pas si vous voyez un écran bleu "Erreur fatale", c'est normal.
ComboFix
Il va falloir utiliser ComboFix pour nettoyer certains fichiers (extension ".dll") récalcitrants de Vundo / Virtumonde.
Téléchargez ComboFix (créé par sUBs) sur ton Bureau.
Redémarrez votre PC en mode sans échec.
Double cliquez sur ComboFix.exe
Tapez sur la touche Y (Yes) pour démarrer le scan.
ComboFix redémarrera votre PC : suivez les instructions indiquées à l'écran.
HijackThis
Afin de retirer les clés registre liées à Vundo / Virtumonde ainsi
que les messages au démarrage de votre PC vous annonçant que certains
fichiers ".dll" n'ont pas pu se lancer (liés à Vundo / Virtumonde),
lancez HijackThis (renommé en bidule.exe) puis cliquez sur "Do a system scan only".
Ensuite cochez les cases en face des paires de lignes 02 et 020
infectées par Vundo / Virtumonde (voir plus haut comment les
reconnaître).
Cliquez enfin sur le bouton Fix checked, puis au message cliquez sur Oui.
Vous pouvez maintenant quitter HijackThis.
» Conclusion
Voilà, votre PC doit maintenant être débarassé de Vundo / Virtumonde !
C'est une infection assez coriace : si vous n'arrivez toujours pas à
vous en débarassez malgré ce guide, créez un nouveau sujet sur un forum
de désinfection.
|