Imprimer la page

» 28.03.2024 | 14:16

Vous êtes ici : Accueil » Guides spécifiques de désinfection » Vundo / Virtumonde

» Dernière mise à jour le 23/05/08

Guides de désinfection

Guide de suppression de Vundo / Virtumonde

» Présentation

Vundo / Virtumonde (autrement appelé VBStat ou WIN32 Trat BHO par certains antivirus) est un troyen (trojan), c'est-à-dire un programme incapable de se multiplier et de se propager par lui-même, contrairement aux virus.

Il se présente sous la forme d'un fichier téléchargé et installé automatiquement lors de la visite de certaines pages web douteuses, lorsque l'internaute utilise une version vulnérable du navigateur Microsoft Internet Explorer (d'où l'intérêt de mettre à jour son système !).

Le troyen s'installe alors dans un répertoire (souvent C:\windows\system32) sous un nom aléatoire avec une extension en .DLL, puis modifie la base de registre afin d'être exécuté à chaque démarrage de l'ordinateur.

Vundo.B déclenche l'affichage de fenêtres publicitaires intempestives (WinAntiVirus / DriveCleaner / Amaena / MalWarrior...), puis tente de télécharger et d'exécuter des adwares (programmes affichant des publicités) sans autorisation.

Spybot Search & Destroy détecte l'infection Vundo / Virtumonde sous le nom de Smitfraud-Toolbar888, donc s'il vous trouve cette infection, suivez ce guide !


Attention : cette infection est coriace et donc recommandée aux gens ayant quelques connaissances de l'informatique ! Sinon créez un nouveau sujet sur un forum de sécurité pour vous faire aider !


» Détection

Grâce à l'outil HijackThis développé par Merijn, nous allons pouvoir détecter si vous êtes infectés par Vundo / Virtumonde !

Téléchargez HijackThis sur votre bureau.

Faîtes un clic droit sur HijackThis.exe et choisissez Renommer puis renommez-le Sanner.exe.

Ceci est très important car cette infection assez coriace peut être masquée sous HijackThis si l'outil n'est pas renommé avant tout scan !

Ensuite double-cliquez sur Scanner.exe puis sur OK sur le message qu'HijackThis va vous envoyer.

Dans HijackThis, cliquez sur "Do a system scan and save a Logfile" : cela va scanner puis ouvrir un rapport dans le bloc-notes.

Ce rapport est composé de lignes avec des numéros devant (02, 04, 016, 020, 023...).

Voici comment peut se traduire la présence d'une infection Vundo / Virtumonde sur un rapport HijackThis :


O2 - BHO: ATLDistrib Object - {93C6313C-9DB4-4694-8BD0-E378C573A9AD} - C:\WINDOWS\System32\pmnnl.dll

O20 - Winlogon Notify: pmnnl - C:\WINDOWS\System32\pmnnl.dll


O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\wvuuu.dll

O20 - Winlogon Notify: wvuuu - C:\WINDOWS\SYSTEM32\wvuuu.dll


O2 - BHO: MSEvents Object - {FC148228-87E1-4D00-AC06-58DCAA52A4D1} - C:\WINDOWS\system32\nnnol.dll

O20 - Winlogon Notify: nnnol - C:\WINDOWS\system32\nnnol.dll


O2 - BHO: ATLDistrib Object - {3FE36807-69ED-45D1-B9BE-85C0E3F75B6A} - C:\WINDOWS\system32\mlljk.dll

O20 - Winlogon Notify: mlljk - C:\WINDOWS\system32\mlljk.dll


O2 - BHO: CIEPl Object - {F85E86D8-F796-4C97-AAA2-26664A98A42C} - C:\WINDOWS\system32\service.dll

O20 - Winlogon Notify: service - service.dll


O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\System32\byxwv.dll

O20 - Winlogon Notify: byxwv - C:\WINDOWS\SYSTEM32\byxwv.dll


O2 - BHO: MFCOptimizeClass Object - {A6CEA0E7-6B4D-4CD9-9932-D85705CBC1A9} - C:\WINDOWS\System32\ssqrs.dll

O20 - Winlogon Notify: ssqrs - C:\WINDOWS\System32\ssqrs.dll


Vous l'aurez compris, l'infection marche par paires : s'il y a une ligne 02, le même fichier (avec l'extension ".dll") se trouve en ligne 020 !


Juste une précision : vous pouvez avoir une seule paire de lignes 02 et 020 avec le même fichier ou plusieurs, cela traduit dans tous les cas une infection Vundo / Virtumonde.


Une autre possibilité est de voir des lignes 04 (démarrage de Windows) avec comme clé (entre les crochets) une série aléatoire de lettres et de chiffres et des noms de fichiers dll aléatoires, suivis d'une virgule puis d'une lettre, exemples :

O4 - HKLM\..\Run: [29701554] rundll32.exe "C:\WINDOWS\system32\bbslsfcs.dll",b

O4 - HKLM\..\Run: [c2b5251c] rundll32.exe "C:\WINDOWS\system32\eawvygxj.dll",b

O4 - HKLM\..\Run: [BMc1861680] Rundll32.exe "C:\WINDOWS\system32\wsfdmfdp.dll",s


Ne prenez pas de risque ! Si vous n'êtes pas certain que votre PC est infecté, créez un sujet sur un forum de sécurité et des helpers formés vous aideront !


» Désinfection

Cette partie de l'article n'est à suivre uniquement si vous obtenez un rapport montrant une infection Vundo / Virtumonde ! Voir l'exemple ci-dessus...


Ces manipulations sont à suivre dans l'ordre indiqué et il faut toutes les effectuer sans exception, en prenant votre temps pour n'omettre aucun détail, afin d'obtenir le meilleur résultat possible !


  1. 1. VundoFix

    Téléchargez VundoFix sur votre bureau.

    Double-cliquez sur VundoFix.exe afin de le lancer, puis cliquez sur le bouton "Scan for Vundo".

    Lorsque le scan est terminé, cliquez sur le bouton "Remove Vundo".

    Une invite vous demandera si vous voulez supprimer les fichiers, cliquez sur YES.

    Après avoir cliqué sur Yes, le Bureau disparaîtra un moment lors de la suppression des fichiers (ne vous inquiétez pas c'est normal !).

    Vous verrez ensuite une invite qui vous annoncera que votre PC va s'éteindre (shutdown en anglais) : cliquez sur OK.

    Une fois votre PC éteint, redémarrez-le.


  2. 2. ComboFix

    Il va falloir utiliser ComboFix pour nettoyer certains fichiers (extension ".dll") récalcitrants de Vundo / Virtumonde.

    Téléchargez ComboFix (créé par sUBs) sur ton Bureau.

    Redémarrez votre PC en mode sans échec.

    Double cliquez sur ComboFix.exe

    Tapez sur la touche Y (Yes) pour démarrer le scan.

    ComboFix redémarrera votre PC : suivez les instructions indiquées à l'écran.


  3. 3. MalwareBytes' Anti-Malware

    Passez un coup de MalwareBytes' Anti-Malware : mettez-le à jour avant, puis effectuez le scan en mode sans échec) et nettoyez tout ce qu'il trouve.

    Tuto : http://mickael.barroux.free.fr/securite/malwarebytes.php

    Une fois terminé, redémarrez votre PC.


  4. 4. HijackThis

    Afin de retirer les clés registre liées à Vundo / Virtumonde ainsi que les messages au démarrage de votre PC vous annonçant que certains fichiers ".dll" n'ont pas pu se lancer (liés à Vundo / Virtumonde), lancez HijackThis (renommé en Scanner.exe) puis cliquez sur "Do a system scan only".

    Ensuite cochez les cases en face des lignes 02, 04 et/ou 020 infectées par Vundo / Virtumonde (voir plus haut comment les reconnaître).

    Cliquez enfin sur le bouton Fix checked, puis au message cliquez sur Oui.

    Vous pouvez maintenant quitter HijackThis.


» Conclusion

Voilà, votre PC doit maintenant être débarassé de Vundo / Virtumonde !

C'est une infection assez coriace : si vous n'arrivez toujours pas à vous en débarassez malgré ce guide, créez un nouveau sujet sur un forum de désinfection comme 01net.


» Haut de page