Forum XP.Net -Sécurité Informatique-

- Dépannages - Prévention - Conseils - Aide -
Nous sommes actuellement le Jeu 28 Mar 2024 - 11:25

Heures au format UTC + 1 heure




Publier un nouveau sujet Ce sujet est verrouillé, vous ne pouvez rédiger ou éditer aucun message.  [ 1 message ] 
Auteur Message
 Sujet du message: Trojan.Vundo.B / Search42.com / MSevent / Req.dat Redirector
MessagePublié: Jeu 22 Sep 2005 - 10:01 
Hors-ligne
Site Admin
Site Admin
Avatar de l’utilisateur

Inscrit le: Dim 4 Sep 2005 - 13:42
Messages: 2866
Localisation: Hérault
[center]Cette manip est une traduction d'un tutoriel issu de BleepingComputer.com la Version originale est :
How to remove the TrojanVundoB/Search42.com/MSevents Infection
Elle a été possible grace a L'aimable autorisation de Grinler.
[/center]
Je l'en remercie.
Thank you very much Grinler :).
[center]Comment éradiquer Trojan.Vundo.B / Search42.com / MSevent / Req.dat Redirector
Credits:pour Attribune qui a développé le fix

[/center]

Action du Troyen:

Il provoque des popups et redirige vers le site Search42.com

Outils nécéssaires :


Tutoriels relatifs a la manip

Comment utiliser HitjackThispour enlever les Browser Hijackers & Spywares.
Symptomes visibles dans un rapport Hitjackthis:
Ce type d'infection a toujours au moins une DLL qui est apellée MSEvents Object comme visible ci dessous.
Cette même DLL apparaîtra comme une entrée en ligne O20 Winlogon Notify comme ci dessous.
Ces DLL ont des noms aléatoires mais vous pouvez les cibler grace a ces seules informations.
Voici a quoi cela ressemble dans un rapport HitjackThis:

O2 - BHO: (no name) - {1C044AAD-7955-4cbd-8175-501A165C4E5D} - C:\WINDOWS\system32\req.dat
O2 - BHO: MSEvents Object - {B8B55274-0F9A-41E5-9067-A3539BD9E860} - C:\WINDOWS\repair\wineula.dll
O20 - Winlogon Notify: req - C:\WINDOWS\system32\req.dat
O20 - Winlogon Notify: wineula - C:\WINDOWS\repair\wineula.dll


Le fichier req.dat n'apparait pas dans chaque rapport résultant de ce type d'infection.

Désinfection:
Pour nettoyer le système nous allons utiliser HijackThis et enlever manuellement le troyen.
1. Imprimez les instructions suivantes ; car nous aurons besoin de fermer toutes les fenêtres plus tard dans le processus de nettoyage.

2. Téléchargez HijackThis et installez le.

3. fermez toutes les fenêtres même et surtout celles d' Internet Explorer.

4. Lancez HijackThis puis cliquez sur le bouton faire un scan et sauvegarder le log.

5. Quand le rapport est inscrit dans le Blocnotes imprimez le ou enregistrez le.

6. En utilisant les informations de la section Symptomes, déterminez les lignes du rapport qui désignent cette infection. Rapellez vous que les noms des Dll sont aléatoires mais reconnaissable au fait que la ligne 02 sera nommée MSEvent et quelle aura une correspondance avec la ligne O20 Winlogon.
Rapellez vous aussi qu'il n'est pas obligatoire qu'il y ait de ligne O2 ou O20 req.dat, mais que si elles existent elles devront être marquées comme faisant partie de l'infection.
Une fois toutes les lignes identifiées.

7.TéléchargezProcess Explorer de Sysinternals dézippez le sur votre bureau. Nous l'utiliserons plus tard.

8. Téléchargez Killbox dézippez le sur votre bureau. Réservez le aussi.

9.Téléchargez FixVundo.reg c'est une "page web" vous ferez "enregistrer sous" sur votre bureau et obtiendrez un fichier FixVundo.reg , nous l'utiliserons plus tard.

10. redémarrez votre ordinateur enmode sans echec.

11. double cliquez sur procexp.exe précédement téléchargé.

12. dans la section du haut double cliquez sur winlogon.exe ce qui affichera les propriétées de winlogon a l'écran. Sélectionnez l'onglet Threads.

13. Sur la fenêtre affichée cliquez sur chaque instance des DLL identifiées en analysant le rapport, puis cliquez le bouton Kill.Dans notre exemple ce serait wineula.dll.Le nom de votre DLL sera différent. Si vous voyez dans la liste un fichier portant le même nom mais finissant par .bak ou .ini ou le même nom mais a l'envers faites de même selectionnez les puis faites Kill.

14. Ensuite quand vous avez terminez cliquez sur ok.

15. Maintenant double cliquez sur explorer.exe selectionnez l'onglet Thread, et cliquez sur chaque instance des DLL incriminées, une fois sélectionnées cliquez le bouton Kill comme vous l'avez fait en phase 13.
Si vous avez désactivé le BHO (ligne 02) vous ne trouverez pas sa dll listée ici, vous pouvez continuer.
Une fois fait cliquez le bouton OK.

16. Fermez toutes les fenétres, Lancez HitjackThis et faites scan.

17. Cochez chaque ligne identifiée comme mauvaise sur le rapport que vous avez imprimé précedement.
Pour notre exemple les lignes sont :
O2 - BHO: (no name) - {1C044AAD-7955-4cbd-8175-501A165C4E5D} - C:\WINDOWS\system32\req.dat
O2 - BHO: MSEvents Object - {B8B55274-0F9A-41E5-9067-A3539BD9E860} - C:\WINDOWS\repair\wineula.dll
O20 - Winlogon Notify: req - C:\WINDOWS\system32\req.dat
O20 - Winlogon Notify: wineula - C:\WINDOWS\repair\wineula.dll


18. Une fois les lignes cochées cliquer fixer objets puis fermez HitjackThis.

19. maintenant double cliquez sur FixVundo.reg téléchargé précédement et autorisez le a ajouter les informations au registre.

20. Double cliquez sur Killbox déja téléchargé et extrait sur le bureau. Choisissez l'option delete on reboot.
Puis entrez le chemein complet de la dll concernée dans le champs Full path of file to delete. Dans l'exemple le chemin complet est:
C:\WINDOWS\repair\wineula.dll

21. Cliquer le cercle rouge avec la croix blanche et sélectionnez Yes a la commande delete (effacer) mais NO a la demande de reboot.
Ensuite ajoutez la ligne
c:\windows\system32\req.dat
si elle existait, pressez le cercle rouge a croix blanche sélectionnez Yes pour la commande delete et yes pour le reboot.

Votre ordinateur devrait être maintenant débarrassé du Trojan.Vundo.B / Search42.com / MSevent / Req.dat Redirector.
Il est possible que cette infection ne soit pas isolée.
Si vous avez besoin d'aide n'hésitez pas a la demander sur le forum.


Haut
 Profil Envoyer un e-mail  
 
Afficher les messages depuis:  Trier par  
Publier un nouveau sujet Ce sujet est verrouillé, vous ne pouvez rédiger ou éditer aucun message.  [ 1 message ] 

Heures au format UTC + 1 heure


Qui est en ligne ?

Utilisateurs parcourant actuellement ce forum : Aucun utilisateur inscrit et 2 invités


Vous ne pouvez pas publier de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas insérer de pièces jointes dans ce forum

Rechercher pour:
Sauter vers:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Translated by Xaphos © 2007, 2008, 2009 phpBB.fr