[center]
Cette manip est une traduction d'un tutoriel issu de BleepingComputer.com la Version originale est :
How to remove the TrojanVundoB/Search42.com/MSevents Infection
Elle a été possible grace a L'aimable autorisation de Grinler. [/center]
Je l'en remercie.
Thank you very much Grinler
.
[center]
Comment éradiquer Trojan.Vundo.B / Search42.com / MSevent / Req.dat Redirector
Credits:pour Attribune qui a développé le fix
[/center]
Action du Troyen:
Il provoque des popups et redirige vers le site Search42.com
Outils nécéssaires :
Tutoriels relatifs a la manip
Comment utiliser HitjackThispour enlever les Browser Hijackers & Spywares.
Symptomes visibles dans un rapport Hitjackthis:
Ce type d'infection a toujours au moins une DLL qui est apellée
MSEvents Object comme visible ci dessous.
Cette même DLL apparaîtra comme une entrée en ligne O20
Winlogon Notify comme ci dessous.
Ces DLL ont des noms aléatoires mais vous pouvez les cibler grace a ces seules informations.
Voici a quoi cela ressemble dans un rapport HitjackThis:
O2 - BHO: (no name) - {1C044AAD-7955-4cbd-8175-501A165C4E5D} - C:\WINDOWS\system32\req.dat
O2 - BHO: MSEvents Object - {B8B55274-0F9A-41E5-9067-A3539BD9E860} - C:\WINDOWS\repair\wineula.dll
O20 - Winlogon Notify: req - C:\WINDOWS\system32\req.dat
O20 - Winlogon Notify: wineula - C:\WINDOWS\repair\wineula.dll
Le fichier
req.dat n'apparait pas dans chaque rapport résultant de ce type d'infection.
Désinfection:
Pour nettoyer le système nous allons utiliser HijackThis et enlever manuellement le troyen.
1.
Imprimez les instructions suivantes ; car nous aurons besoin de fermer toutes les fenêtres plus tard dans le processus de nettoyage.
2. Téléchargez
HijackThis et installez le.
3. fermez toutes les fenêtres même et surtout celles d' Internet Explorer.
4. Lancez
HijackThis puis cliquez sur le bouton
faire un scan et sauvegarder le log.
5. Quand le rapport est inscrit dans le Blocnotes imprimez le ou enregistrez le.
6. En utilisant les informations de la section Symptomes, déterminez les lignes du rapport qui désignent cette infection. Rapellez vous que les noms des Dll sont aléatoires mais reconnaissable au fait que la ligne 02 sera nommée
MSEvent et quelle aura une correspondance avec la ligne O20
Winlogon.
Rapellez vous aussi qu'il n'est pas obligatoire qu'il y ait de ligne O2 ou O20
req.dat, mais que si elles existent elles devront être marquées comme faisant partie de l'infection.
Une fois toutes les lignes identifiées.
7.Téléchargez
Process Explorer de Sysinternals dézippez le sur votre bureau. Nous l'utiliserons plus tard.
8. Téléchargez
Killbox dézippez le sur votre bureau. Réservez le aussi.
9.Téléchargez
FixVundo.reg c'est une "page web" vous ferez "enregistrer sous" sur votre bureau et obtiendrez un fichier
FixVundo.reg , nous l'utiliserons plus tard.
10. redémarrez votre ordinateur en
mode sans echec.
11. double cliquez sur
procexp.exe précédement téléchargé.
12. dans la section du haut double cliquez sur
winlogon.exe ce qui affichera les propriétées de winlogon a l'écran. Sélectionnez l'onglet
Threads.
13. Sur la fenêtre affichée cliquez sur chaque instance des DLL identifiées en analysant le rapport, puis cliquez le bouton
Kill.Dans notre exemple ce serait
wineula.dll.Le nom de votre DLL sera différent. Si vous voyez dans la liste un fichier portant le même nom mais finissant par
.bak ou
.ini ou le même nom mais a l'envers faites de même selectionnez les puis faites
Kill.
14. Ensuite quand vous avez terminez cliquez sur
ok.
15. Maintenant double cliquez sur
explorer.exe selectionnez l'onglet
Thread, et cliquez sur chaque instance des DLL incriminées, une fois sélectionnées cliquez le bouton
Kill comme vous l'avez fait en phase 13.
Si vous avez désactivé le BHO (ligne 02) vous ne trouverez pas sa dll listée ici, vous pouvez continuer.
Une fois fait cliquez le bouton
OK.
16. Fermez toutes les fenétres, Lancez HitjackThis et faites
scan.
17. Cochez chaque ligne identifiée comme mauvaise sur le rapport que vous avez imprimé précedement.
Pour notre exemple les lignes sont :
O2 - BHO: (no name) - {1C044AAD-7955-4cbd-8175-501A165C4E5D} - C:\WINDOWS\system32\req.dat
O2 - BHO: MSEvents Object - {B8B55274-0F9A-41E5-9067-A3539BD9E860} - C:\WINDOWS\repair\wineula.dll
O20 - Winlogon Notify: req - C:\WINDOWS\system32\req.dat
O20 - Winlogon Notify: wineula - C:\WINDOWS\repair\wineula.dll
18. Une fois les lignes cochées cliquer
fixer objets puis fermez HitjackThis.
19. maintenant double cliquez sur
FixVundo.reg téléchargé précédement et autorisez le a
ajouter les informations au registre.
20. Double cliquez sur
Killbox déja téléchargé et extrait sur le bureau. Choisissez l'option
delete on reboot.
Puis entrez le chemein complet de la dll concernée dans le champs
Full path of file to delete. Dans l'exemple le chemin complet est:
C:\WINDOWS\repair\wineula.dll
21. Cliquer le cercle rouge avec la croix blanche et sélectionnez
Yes a la commande
delete (effacer) mais
NO a la demande de
reboot.
Ensuite ajoutez la ligne
c:\windows\system32\req.dat
si elle existait, pressez le cercle rouge a croix blanche sélectionnez
Yes pour la commande
delete et
yes pour le
reboot.
Votre ordinateur devrait être maintenant débarrassé du
Trojan.Vundo.B / Search42.com / MSevent / Req.dat Redirector.
Il est possible que cette infection ne soit pas isolée.
Si vous avez besoin d'aide n'hésitez pas a la demander sur le
forum.