Auteur(s) : Jesses Création : 07/07/2007 Mise à jour : 07/07/2007

 

Trojan.Vundo.B

Vundo est un adware qui veut absolument vous inviter à scanner votre ordinateur par des pourriciels du genre ErrorSafe, SystemDoctor, WinAntiSpy, WinAntiSpyware, WinAntiVirus, WinAntiVirusPro, WinFixer, ...

Cette bestiole assez coriace peut résister à votre antivirus.
Si elle est incorrectement nettoyée, elle se régénèrera en permanence.
Elle est facilement reconnaissable sur un rapport de scan HijackThis (voir le dernier chapitre de cette page).

Vous trouverez sur cette page, deux outils spécifiques qui devraient en venir à bout.
Je vous conseille de les utiliser tous les deux dans l'ordre indiqué.

Préparation

Exigez de Windows qu'il affiche tous les fichiers et leur extension.
Reportez-vous à la section "Bases" de ce site -> "Voir tous les fichiers"

L'outil VundoFix

Téléchargez l'outil

Cliquez sur l'un des liens ci-dessous pour télécharger cet outil :

http://www.atribune.org/public-beta/VundoFix.exe

http://www.atribune.org/ccount/click.php?id=4

Cela vous permet de charger le fichier "VundoFix.exe"

Le plus pratique est de l'installer sur le bureau.
Son emplacement importe peu, l'essentiel est de savoir le retrouver.

Utilisez l'outil

Double-cliquez sur "VundoFix.exe" pour le lancer.


Le nettoyage s'effectue en deux étapes.

1 - Le scan

Cliquez sur le bouton "Scan for Vundo"
Laissez-le rechercher les fichiers.
Il vous signale la fin de scan par la boîte d'alerte :

(Recherche des fichiers terminée)

Cliquez sur le bouton "OK".

Si aucune infection n'a été trouvée

(Recherche des fichiers terminée. Pas de fichiers infectés trouvés).

Cliquez sur le bouton "OK"

Si une infection a été trouvée

La liste des fichiers trouvés est affichée dans le cadre placé au dessus des boutons.

Quel que soit le résultat, passez à l'étape suivante (Le nettoyage).

2 - Le nettoyage

Cliquez sur le bouton "Remove Vundo"

Si aucune infection n'avait été trouvée à l'étape 1

(Pas de fichiers trouvés, VunfoFix V6.5.1 va maintenant fermer).

Cliquez sur le bouton "OK" cela fermera l'outil VundoFix. Vous avez terminé avec cet outil.

Si une infection avait été trouvée à l'étape 1

(Etes vous certain de vouloir supprimer ces fichiers ?)

Cliquez sur le bouton "Oui".

Votre bureau disparait, ne vous affolez pas, c'est normal. Le nettoyage se lance. Soyez patient(e).
Quand l'opération est terminée, VundoFix vous indique qu'il va lancer le redémarrage de Windows :

Cliquez sur "OK" et laissez Windows redémarrer.

Après redémarrage

Si VundoFix recontre un problème pour supprimer un fichier, il se relancera automatiquement au redémarrage.
Dans ce cas, recommencez la procédure à l'étape 1.

N'hésitez pas à relancer l'outil jusqu'à ce qu'il ne trouve plus d'infection.
Puis passez à l'outil Symantec.

Le rapport d'activité de VundoFix

Utilisez le poste de travail pour ouvrir le disque système (habituellement C:)

A sa racine, vous trouverez le fichier "Vundo.txt".
Double-cliquez dessus. Il va s'ouvrir dans le bloc-notes.
Toutes les actions successives de l'outil y sont listées.

Pour le communiquer sur un forum.

Dans le bloc-notes où il s'affiche :
- Menu "Edition" -> "Sélectionner tout" (La totalité du rapport va être sélectionnée)
- A nouveau Menu "Edition" -> "Copier" (Le contenu du rapport est placé dans le presse-papiers, prêt à être collé).
Vous pouvez fermer le bloc-notes si vous le souhaitez.
- Répondez comme d'habitude sur le forum.
A l'endroit où vous désirez coller le rapport : clic bouton droit de la souris -> "Coller".

Supprimer des fichiers supplémentaires

Seulement si celui qui vous aide vous le demande. Il le fera peut-être après avoir analysé un rapport de scan HijackThis.

Il est possible d'ajouter des fichiers qui n'auraient pas été détectés par VundoFix.
Cela se fait avant de demander le nettoyage (bouton "Remove Vundo").

Effectuez un clic bouton droit dans le cadre des fichiers trouvés -> "Add more files?" :

Le forulaire suivant s'affiche :


Dans le formulaire qui s'affiche ajoutez le chemin complet du ou des fichiers à supprimer (un par case).

Puis cliquez sur le bouton "Add File(s)" et enfin sur "Close Windows" pour fermer le formulaire.

L'outil de nettoyage Symantec

Chargez l'outil

La page de présentation de l'outil :
http://www.symantec.com/fr/fr/enterprise/security_response/writeup.jsp?docid=2004-112210-3747-99
Cliquez sur le bouton jaune "> Télécharger l'outil de suppression"

Le lien de chargement direct :
http://securityresponse.symantec.com/avcenter/FixVundo.exe

Ce lien vous permet de charger le fichier "FxVundoB.exe" sur votre disque dur.

Utilisez l'outil

1 - Lancez le fichier "FxVundoB.exe" (double-cliquez dessus).

2 - Cliquez sur le bouton "Start" pour lancer le processus de nettoyage.
Laissez-le travailler.

3 - Redémarrez Windows

4 - Une fois redémarré, ne vous connectez surtout pas, ne lancez aucun programme.
Relancez l'outil de nettoyage. Il ne devrait plus rien trouver.

S'il a des difficultés pour effectuer le nettoyage, n'hésitez pas à le lancer en mode sans-échec.

Après nettoyage

Poster un nouveau rapport de scan HijackThis si demandé

Si vous avez sollicité une aide sur un forum, celui qui vous aide a vraissemblablement détecté Vundo sur un raport de scan HijackThis.
Il vous demandera surement de poster un nouveau rapport de vérification.

Nettoyer la restauration système

Si vous utilisez Windows Me ou XP.

Pendant la présence du nuisible, des points de restauration ont surement été créés.
Inutile de risquer de la ressusciter en utilisant un point de restauration contaminé.

Comment faire ? C'est expliqué à la section "Bases" de ce site à la page "Nettoyer la restauration"

Lancez un nettoyage du poste avec CCleaner

A voir à la section "Logiciels" de ce site à la page "CCleaner"
Utilisez les deux modules : "Nettoyeur" puis "Erreurs", bref la totale.

Revenez à un affichage "normal" des fichiers

Voir à la section "Bases" de ce site à la page "Voir tous les fichiers"
Appliquez le chapitre "Pour plus de sécurité".

Compléments

Les traces sur un rapport de scan HijackThis

Vundo se reconnait facilement sur un rapport de scan HijackThis par des inscriptions de ce genre :

O2 - BHO: (no name) - {53B01FA9-E0AB-4734-91FD-F5C6D5AB898A} - C:\WINDOWS\system32\mljjk.dll
O20 - Winlogon Notify: mljjk - C:\WINDOWS\system32\mljjk.dll

Le nom du fichier d'extension ".dll" est généré aléatoirement (ici "mljjk"). Il sera bien sûr toujours différent.
Notez que le même fichier est mentionné dans :
- Un BHO (additif à Internet Explorer).
- Une sous clé de la clé HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
dont le nom est le nom aléatoire du fichier ".dll".

Si un antivirus se contente de supprimer le fichier, le nuisible se réinstalle immédiatement sous un autre nom.
Il n'est pas rare de découvrir plusieurs inscriptions de Vundo sur un rapport de scan HijackThis.
Dont certaines incomplètes (ligne O2 ou O20), souvent indiquées "file missing".

Liens utiles

La page Symantec sur Trojan.Vundo :
http://www.symantec.com/fr/ca/security_response/writeup.jsp?docid=2004-112111-3912-99
La page Symantec sur Trojan.Vundo.B :
http://www.symantec.com/fr/ca/security_response/writeup.jsp?docid=2005-042810-2611-99

 

Jesses Entraide. Création 03/2005