Bonjour a tous
Voici un petit cour pour apprendre a supprimer ce virus :
Ce
trojan nommé
Vundo ou
Virtumonde, ou encore
trojan agent csse caractérise par la présence d’un ou plusieurs fichiers.dll au nom
aléatoire, se situant dans le fichiers system32 et visibles dans un
rapport hijackthis au niveau des lignes 02 et/ou 020.
Les dernières variantes parfois assez coriaces à supprimer
présentes plusieurs particularités comme l’ouverture de fenêtres
publicitaires intempestives ou l’absence de lignes 02 et 020 dans un
rapport hijackthis.
Il existe aujourd’hui plusieurs méthodes pour le supprimer !
- Procedure de desinfection :
- 2eme methode : Virtuomundobegone
Procédure de désinfection :
1er méthode : Vundofix Télécharger
Vundofix.exe (par Atribune) sur votre Bureau.
- Double-cliquer sur VundoFix.exe afin de le lancer.
- Cliquer sur le bouton Scan for Vundo.
- Lorsque le scan est complété, cliquer sur le bouton Remove Vundo.
- Une invite de commande demandera si l’on souhaite supprimer les fichiers, cliquer sur YES
- Après avoir cliqué "YES", le Bureau disparaîtra un moment lors de la suppression des fichiers.
- Une nouvelle invite de commende annoncera que le PC devra s'éteindre ("shutdown"). Cliquer sur OK , puis laisser le redémarrer.
- Le contenu du rapport est situé dans C:\vundofix.txt, ouvrez le et assurez vous que la mention Has been deleted! figure pour chaque fichier.dll détecté !
- Refaire un rapport hijackthis, et assurez vous que les 02 ou
020 ont bien été supprimer, si ce n’est pas le cas, mais que la mention
file missing apparaît à coté des lignes incriminées, cela signifira que l’infection a bien était neutralisée ! Dans notre exemple, on obtiendra :
O2 - BHO: (no name) - {2EDB63B7-7432-42B8-B484-B7DE2779F848} - C:\WINDOWS\system32\gebcaxw.dll
(file missing) O2 - BHO: (no name) - {4C8DB378-7DAD-46A6-AA86-7BD344296187} - C:\WINDOWS\system32\mljgh.dll
(file missing)Il suffira de relancer hjackThis, choisir
do a scan only, puis de cocher les cases devant ces lignes , et de cliquer en bas sur
fix checked pour les supprimer.
2ème méthode : VirtumundoBegoneTélécharger
VirtumundoBegone sur le bureau:
Double cliquer sur
VirtumundoBeGone.exe et suivre les instructions.
Une fois terminé, redémarrer le PC, le rapport VBG.TXT sera crée sur le bureau .
(Si un message Ecran bleu "Erreur fatale" apparaît, pas
d’inquiétude car c'est normal et attendu). Comme précédemment, refaire
un rapport hijackhthis, et fixer les lignes correspondante comme
indiquer plus haut.
NB pour les aideurs : Cet outil n'est efficace que contre les
variantes qui générent à la fois une ligne 02 et une ligne 020 avec le
même fichier. Cette efficacité est liée au mode même de fonctionnement
de l'outil et peut se voir dans le rapport. L'outil examine toutes les
clés de registre correspondant aux lignes 02 d'un rapport Hijackthis
(clé HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser
Helper Objects). Il se focalise sur les lignes
(no name) . Pour
chacune, il recherche l'existence de la clé de registre correspondant
aux lignes 020 ayant les caractéristiques recherchées (clé
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify
). S'il trouve, alors il supprime les éléments correspondants.
3ème méthode : CombofixTélécharger
ComboFix (par sUBs) sur le Bureau
- Démarrer en mode sans echec
- Double cliquer combofix.exe.
- Appuyer sur la touche Y (Yes) pour démarrer le scan
- Le rapport sera crée dans: C:\Colombo.txt
- Refaire un rapport hijackhthis, et fixer les lignes correspondante comme indiquer plus haut.
Remarque : il se peut dans certains cas que l’un des outils
utilisé seul ne parvienne pas à éradiquer le troyen Vundo, dans ce cas,
vous pourrez enchainer deux, voir les trois outils afin d’en venir à
bout !
Il ne vous restera plus qu'à faire un
petit nettoyage pour éliminer les « saletés » qui restent !
Admin