Supprimer le trojan Vundo/Virtumonde

Octobre 2016

Ce trojan, nommé Vundo ou Virtumonde ou encore trojan agent cs, se caractérise par la présence d'un ou plusieurs fichiers.dll au nom aléatoire, se situant dans le dossier system32 et visibles dans un rapport HijackThis au niveau des lignes O2, O4 et/ou O20.
Les dernières variantes parfois assez coriaces à supprimer présentent plusieurs particularités comme l'ouverture de fenêtres publicitaires intempestives ou l'absence de lignes O2 et O20 dans un rapport HijackThis.
Il existe aujourd'hui plusieurs méthodes pour le supprimer !


Comment repérer l'infection Vundo dans un rapport HijackThis ?


Exemple de rapport HijackThis révélant la présence de ce cheval de Troie (Voir parties en gras dans le rapport) :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:16:59, on 23/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:Program FilesGrisoftAVG Anti-Spyware 7.5guard.exe
C:WINDOWSSystem32FTRTSVC.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesFichiers communsMcAfeeHackerWatchHWAPI.exe
C:Program FilesNetwork AssociatesCommon FrameworkFrameworkService.exe
C:PROGRA~1McAfeeMSCmcmscsvc.exe
c:program filesfichiers communsmcafeemnamcnasvc.exe
C:PROGRA~1McAfeeMSCmcpromgr.exe
C:Program FilesNetwork AssociatesVirusScanMcshield.exe
C:Program FilesNetwork AssociatesVirusScanVsTskMgr.exe
C:Program FilesFichiers communsMicrosoft SharedVS7Debugmdm.exe
C:Program FilesMcAfeeMPFMPFSrv.exe
C:Program FilesPinnacleMediaServerMicrosoft SQL ServerMSSQL$PINNACLESYSBinnsqlservr.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesiPodbiniPodService.exe
C:Program FilesMSN Messengerusnsvc.exe
C:Program FilesMozilla Firefoxfirefox.exe
C:hijackthisHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://google.dospop.com
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.fr/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://fr.yahoo.com
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:PROGRA~1WanadooSEARCH~1.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {2EDB63B7-7432-42B8-B484-B7DE2779F848} - C:WINDOWSsystem32gebcaxw.dll
O2 - BHO: (no name) - {4C8DB378-7DAD-46A6-AA86-7BD344296187} - C:WINDOWSsystem32mljgh.dll
O2 - BHO: (no name) - {55DB983C-BDBF-426f-86F0-187B02DDA39B} - C:WINDOWSsystem32reejepwh.dll

O2 - BHO: (no name) - {72D805BD-FCB4-4759-A134-1FD720E74BD3} - C:WINDOWSsystem32awvvt.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.6.0_01binssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:program filesgooglegoogletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program filesgooglegoogletoolbar2.dll
O4 - HKLM..Run: [RestoreIT!] "C:Program FilesPhoenix Technologies LtdRecoverPro_XPVBPTASK.EXE" VBStart
O4 - HKLM..Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM..Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM..Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [PinnacleDriverCheck] C:WINDOWSsystem32PSDrvCheck.exe -CheckReg
O4 - HKLM..Run: [SunJavaUpdateSched] "C:Program FilesJavajre1.6.0_01binjusched.exe"
O4 - HKLM..Run: [5c36d04c] rundll32.exe "C:WINDOWSsystem32yyaujdjn.dll",b
O4 - HKLM..Run: [WOOWATCH] C:PROGRA~1WanadooWatch.exe
O4 - HKLM..Run: [WOOTASKBARICON] C:PROGRA~1WanadooGestMaj.exe TaskBarIcon.exe
O4 - HKLM..Run: [ShStatEXE] "C:Program FilesNetwork AssociatesVirusScanSHSTAT.EXE" /STANDALONE
O4 - HKLM..Run: [McAfeeUpdaterUI] "C:Program FilesNetwork AssociatesCommon FrameworkUpdaterUI.exe" /StartedFromRunKey
O4 - HKLM..Run: [Network Associates Error Reporting Service] "C:Program FilesFichiers communsNetwork AssociatesTalkBackTBMon.exe"
O4 - HKLM..Run: [!AVG Anti-Spyware] "C:Program FilesGrisoftAVG Anti-Spyware 7.5avgas.exe" /minimized
O4 - HKLM..Run: [WindowsUpdate] rundll32.exe "C:WINDOWSsystem32kfoefyyx.dll",realset
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [WOOKIT] C:PROGRA~1WanadooGestMaj.exe GestionnaireInternet.exe
O4 - HKCU..Run: [updateMgr] C:Program FilesAdobeAcrobat 7.0ReaderAdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU..Run: [swg] C:Program FilesGoogleGoogleToolbarNotifier1.2.1128.5462GoogleToolbarNotifier.exe
O4 - HKCU..Run: [MsnMsgr] "C:Program FilesMSN MessengerMsnMsgr.Exe" /background
O4 - HKCU..Run: [Skype] "C:Program FilesSkypePhoneSkype.exe" /nosplash /minimized
O4 - HKCU..Run: [WMPNSCFG] C:Program FilesWindows Media PlayerWMPNSCFG.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:Program FilesAdobeAcrobat 7.0Readerreader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOffice10OSA.EXE
O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:PROGRA~1MICROS~3Office10EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=67633
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O17 - HKLMSystemCCSServicesTcpip..{F79A0EAF-8E03-4AF2-AA8C-548940B99FDD}: NameServer = 80.10.246.1 80.10.246.132
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:PROGRA~1MSNMES~1MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:PROGRA~1MSNMES~1MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:PROGRA~1FICHIE~1SkypeSKYPE4~1.DLL
O20 - Winlogon Notify: gebcaxw - C:WINDOWSSYSTEM32gebcaxw.dll
O20 - Winlogon Notify: mljgh - C:WINDOWSsystem32mljgh.dll

O20 - Winlogon Notify: mfscnejo - mfscnejo.dll
O20 - Winlogon Notify: oalilsov - oalilsov.dll
O20 - Winlogon Notify: oalilsov - oalilsov.dll
O20 - Winlogon Notify: phgypywy - phgypywy.dll
O20 - Winlogon Notify: uglnuncw - uglnuncw.dll

O20 - Winlogon Notify: WgaLogon - C:WINDOWSSYSTEM32WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:WINDOWSsystem32WPDShServiceObj.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:Program FilesGrisoftAVG Anti-Spyware 7.5guard.exe
O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:Program FilesFichiers communsMcAfeeHackerWatchHWAPI.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:Program FilesNetwork AssociatesCommon FrameworkFrameworkService.exe
O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:PROGRA~1McAfeeMSCmcupdmgr.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:PROGRA~1McAfeeMSCmcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:program filesfichiers communsmcafeemnamcnasvc.exe
O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:PROGRA~1McAfeeMSCmcpromgr.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:Program FilesNetwork AssociatesVirusScanMcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:Program FilesNetwork AssociatesVirusScanVsTskMgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:Program FilesMcAfeeMPFMPFSrv.exe


Si le rapport ne présente aucune ligne 02 ou 020, il se peut que l'infection soit masquée. Afin de la mettre en évidence, il suffit de renommer l'outil HijackThis pour faire apparaître les lignes absentes.

Après avoir téléchargé HijackThis sur le Bureau ou dans un dossier créé à cet effet, faire un clic droit sur l'icône du logiciel, choisir Renommer et nommez-le CCM.exe par exemple, ensuite, faites un nouveau rapport, celui-ci devrait ressembler au rapport ci-dessus.


exemple de fichiers infectés:
C:WINDOWSsystem32duboejnm.dllbox (Trojan.Vundo.H)
C:WINDOWSsystem32lmytzmbi.dllbox (Trojan.Vundo.H)
C:WINDOWSsystem32mfscnejo.dllbox (Trojan.Vundo.H)
C:WINDOWSsystem32oalilsov.dllbox (Trojan.Vundo.H)
C:WINDOWSsystem32ojkuvxlp.dllbox (Trojan.Vundo.H)
C:WINDOWSsystem32phgypywy.dllbox (Trojan.Vundo.H)
C:WINDOWSsystem32uglnuncw.dllbox (Trojan.Vundo.H)
C:WINDOWSsystem32mcrh.tmp (Malware.Trace)
C:WINDOWSBM47dbb184.txt (Trojan.Vundo)
C:WINDOWSBM47dbb184.xml (Trojan.Vundo)
C:WINDOWSpskt.ini (Trojan.Vundo)

Préliminaire

  • Important 1 : si vous avez Windows Vista, vous devez désactiver l'UAC le temps de la désinfection.
  • Important 2 : si vous avez TeaTimer (le résident de Spybot), désactivez le sinon il risque de gêner la désinfection.
    • Démarrez Spybot, cliquez sur Mode, cochez Mode avancé.
    • A gauche, cliquez sur Outils, puis sur Résident.
    • Décochez la case devant Résident "TeaTimer" puis quittez Spybot :


Procédure de désinfection


1ère méthode : MBAM


  • Téléchargez Malwarebytes' Anti-Malware (MBAM) sur votre Bureau.
  • Double-cliquez sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet Mise à jour, cliquez sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, acceptez.
  • Une fois la mise à jour terminée, rendez-vous dans l'onglet Recherche.
  • Sélectionnez Exécuter un examen complet.
  • Cliquez sur Rechercher. L'analyse démarre, le scan est relativement long, c'est normal.
  • A la fin de l'analyse, un message s'affiche :


L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
  • Cliquez sur OK pour poursuivre. Si MBAM n'a rien trouvé, il vous le dira aussi.
  • Fermez vos navigateurs.

Si des malwares ont été détectés, cliquez sur Afficher les résultats.
  • Sélectionnez tout (ou laissez coché) et cliquez sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse, sauvegardez-le.

2ème méthode : Super Antispyware


  • Téléchargez SUPERAntiSpyware (SAS) puis installez le et mettez le à jour.
    • Pour scanner son ordinateur avec SUPERAntiSpyware, cliquez sur le bouton : Scan your Computer.
    • Dans la nouvelle fenêtre, vous pouvez choisir dans la partie gauche les éléments à scanner (Disques, répertoires etc..).
    • Dans la partie de droite, le type de scan. Vous pouvez utiliser le Perform Quick Scan.


3ème méthode : ComboFix


  • Téléchargez ComboFix (par sUBs) sur le Bureau.
  • Désactivez vos logiciels de protection avant de lancer Combofix.
  • Double-cliquez ComboFix.exe (Sous Vista, il faut cliquer droit sur ComboFix.exe et choisir Exécuter en tant qu'administrateur).
  • A l'apparition du message d'alerte, acceptez les conditions d'utilisation puis suivez les instructions.
  • Il est vivement recommandé d'installer la Console de récupération ! (Sous XP)
  • Le rapport sera créé dans : C:/Combofix.txt.
  • Réactivez vos logiciels de protection.
  • Refaîtes un rapport HijackThis, et fixez les lignes correspondantes comme indiqué plus haut.


Le tutoriel officiel se trouve à cette adresse : Un guide et un tutoriel sur l'utilisation de ComboFix

La "puissance" et la difficulté à analyser les résultats des rapports en font un outil à utiliser avec précaution.

Remarque : il se peut dans certains cas que l'un des outils utilisé seul ne parvienne pas à éradiquer le trojan Vundo, dans ce cas, vous pourrez enchaîner les deux outils afin d'en venir à bout !
Dans le cas d'infections multiples : rootkits, vers et autres spywares associés au trojan vundo, il est conseillé de faire vérifier l'état de son pc sur le forum Virus/Sécurité, car il est possible que toutes les infections associées n'aient pas été totalement neutralisées.

Désactivation/Réactivation de la restauration système


Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés (par Vundo par exemple) :

Nettoyage complémentaire


Il ne vous restera plus qu'à faire un petit nettoyage pour éliminer les «saletés» qui restent !

A voir également :

Ce document intitulé «  Supprimer le trojan Vundo/Virtumonde  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.