trojan vundo / virtumonde qui se reconstruit [resolu]

trojan vundo / virtumonde qui se reconstruit [resolu] - Virus/Spywares - Windows & Software

Marsh Posté le 24-12-2008 à 03:54:56    

Bonsoir à tous, je post sur le forum car je suis un peu désespéré. J'ai l'habitude de nettoyer des pc mais je me trouve en face d'un espèce de spyware/trojan qu'il m'est impossible d'enlever, j'espère trouver quelqu'un ici qui voudra bien m'aider.
 
Le pc est sous windows XP home edition sp3, tous mis à jour comme il faut.
 
Le bidule en question est identifié "virtumonde" par spybot ou mbam mais j'ai l'impression qu'il ne se comporte pas de la même manière car j'ai déja eu à supprimer ce trojan.
 
Voila en gros les données que j'ai :  
 
Il est présent dans HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run et à chaque fois que je tente de l'enlever il fait une nouvelle clé instantanément et donc se remet au démarrage (visible également avec msconfig)
 
Voici le genre de valeurs qu'on y trouve : Rundll32.exe "C:\WINDOWS\system32\kihinuga.dll",s
 
Cela pointe en générale sur des dll dans systeme32 nommé aléatoirement, je peux les supprimer sans trop de soucis mais il lui arrive, je ne sais pas exactement quand (pas nécessairement au démarrage) d'en créer de nouvelle, toujours nommés aléatoirement avec les clé correspondante dans le registre
 
Présent également dans HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
 
Sous le Nom AppInit_DLLs (avec les mêmes dll que celles chargé au démarrage : kihinuga.dll etc)
 
Il s'amuse à créer deux/trois autres fichiers nommés aléatoirement dans systeme32, également pas trop dur à supprimer.
 
Encore une fois, si je change quelque chose il reconstruit tout dans la seconde, MÊME la structure complète "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" dans le cas ou je cherche à renommer comme l'évoque certaines solutions sur le net.
 
Les solutions :
 
J'ai essayé un peu près toutes les solutions classiques, je ne suis pas un pro mais j'ai l'habitude de m'occuper de ça... la je sèche !
 
Mode sans échec... combofix...HijackThis....VundoFix/VirtumundoBeGone/FixVundo....mbam...spybot,ccleaner, et tout le tralala J'ai également vérifié tous les processus, rien de suspect pour moi et j'ai arrêté ceux sur lesquels je pouvais avoir un doute. Et évidemment j'ai beaucoup cherché sur le net, sans succès.
 
J'aimerais comprendre comment il arrive à reconstruire les clé et les dll quoi que je fasse, j'imagine que AppInit_DLLs doit être responsable mais les dll qu'il lance (J'ai évidemment verifié si il y en avait des cachés avec un séparateur en binaires dans regedit) ne sont pas présente dans systeme32
 
Les symptômes de cette salo**** sont assez bien contenu mais quand il arrive à recréer tout son tralala il balance un popup si ie ou firefox sont lancés qui pointe vers un site de scan bidon. Un problème également au démarrage puisqu'il il essaye de lancer des dll que j'ai supprimées.
 
Voila, je pense avoir fait le tour du problème. Désolé pour le pavé et merci de m'avoir lu ou d'éventuellement pouvoir m'aider parceque je commence à perdre mon sang froid face à ce machin. N'hésitez pas dans le cas ou mon post n'est pas clair à me demander plus d'informations.
 
Au plaisir de vous lire ;-)


Message édité par fristaille le 24-12-2008 à 06:01:09
Reply

Marsh Posté le 24-12-2008 à 03:54:56   

Reply

Marsh Posté le 24-12-2008 à 06:00:04    

Problème résolu, voici comment :
 
J'avais déjà essayé Combofix sans succès mais en éradiquant toute traces de ces fameuses dll et fichiers dans systeme32 je l'ai relancé et la Miracle, après le reboot les clé ne se reconstruisait plus !
 
J'ai finalisé le tout en passant un coup de tous les atv/antispyware que j'ai, apparemment les dll du trojan empêchaient Combofix de faire bien son boulot, malgré mon bon usage du logiciel (renomage, dl sur le bureau etc)
 
Donc un bon coup de tout les scan, puis nettoyage base de registre, tout ça plusieurs fois et le problème à complètement été éradiqué !
 
J'espère que ça en aidera quelques uns, au plaisir !

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed