Remover Trojan Vundo / Virtumonde

O trojan, chamado Vundo ou Virtumonde ou agente de Tróia cs, é caracterizado pela presença de um ou mais aleatoriamente chamado fichiers.dll, encontrando-se na pasta system32 e visível numa HijackThis em comparação com o nível de linhas O2 O4 e / ou O20.
As últimas variantes, por vezes, difíceis o suficiente para remover têm várias características, tais como a abertura de pop ou ausência de linhas de O2 e O20 em um relatório HijackThis.
Hoje, existem vários métodos para removê-lo!


Como manchar a infecção Vundo em um relatório HijackThis?


HijackThis relatório de exemplo que revelam a presença deste Trojan (ver partes gordura no relatório):


Logfile do Trend Micro HijackThis v2.0.2
Digitalização guardados em 3:16:59, nós 23/10/2008
Plataforma: Windows XP SP3 (WinNT 5.1.2600)
MSIE: V7.00 Internet Explorer (7.00.6000.16735)
Boot Mode: Normal

Processos em execução:
C: WINDOWSSystem32smss.exe
C: WINDOWSsystem32winlogon.exe
C: WINDOWSsystem32services.exe
C: WINDOWSsystem32lsass.exe
C: WINDOWSsystem32svchost.exe
C: WINDOWSSystem32svchost.exe
C: WINDOWSsystem32spoolsv.exe
C: WINDOWSExplorer.EXE
C: 7.5guard.exe Programa FilesGrisoftAVG Anti-Spyware
C: WINDOWSSystem32FTRTSVC.exe
C: WINDOWSSystem32svchost.exe
C: Programa FilesFichiers communsMcAfeeHackerWatchHWAPI.exe
C: Programa FilesNetwork AssociatesCommon FrameworkFrameworkService.exe
C: ARQUIV ~ 1McAfeeMSCmcmscsvc.exe
c: programa filesfichiers communsmcafeemnamcnasvc.exe
C: ARQUIV ~ 1McAfeeMSCmcpromgr.exe
C: Programa FilesNetwork AssociatesVirusScanMcshield.exe
C: Programa FilesNetwork AssociatesVirusScanVsTskMgr.exe
C: Programa FilesFichiers communsMicrosoft SharedVS7Debugmdm.exe
C: Programa FilesMcAfeeMPFMPFSrv.exe
C: Program FilesPinnacleMediaServerMicrosoft SQL ServerMSSQL $ PINNACLESYSBinnsqlservr.exe
C: WINDOWSsystem32svchost.exe
C: WINDOWSsystem32ctfmon.exe
C: Programa FilesiPodbiniPodService.exe
C: Programa FilesMSN Messengerusnsvc.exe
C: Programa FilesMozilla Firefoxfirefox.exe
C: hijackthisHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain, Default_Page_URL = http://google.dospop.com
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain, página inicial = http://www.google.fr/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain, Default_Page_URL = http://fr.yahoo.com
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar, LinksFolderName = Ligações
R3 - URLSearchHook: Pesquisa Classe - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C: PROGRA ~ ~ 1WanadooSEARCH 1.DLL
O2 - BHO: Adobe PDF Reader Fazer a ligação Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C: Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: (sem nome) - {2EDB63B7-7432-42B8-B484-B7DE2779F848} - C: WINDOWSsystem32gebcaxw.dll
O2 - BHO: (sem nome) - {4C8DB378-7DAD-46A6-AA86-7BD344296187} - C: WINDOWSsystem32mljgh.dll
O2 - BHO: (sem nome) - {55DB983C-BDBF-426E-86F0-187B02DDA39B} - C: WINDOWSsystem32reejepwh.dll

O2 - BHO: (sem nome) - {72D805BD-FCB4-4759-A134-1FD720E74BD3} - C: WINDOWSsystem32awvvt.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (nenhum arquivo)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C: Program FilesJavajre1.6.0_01binssv.dll
O2 - BHO: (sem nome) - {7E853D72-626A-48EC-a868-BA8D5E23E045} - (nenhum arquivo)
O2 - BHO: Toolbar Helper Google - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C: filesgooglegoogletoolbar2.dll programa
O3 - Barra de Ferramentas: &Google - {} 2318C2B1-4965-11d4-9B18-009027A5CD4F - c: filesgooglegoogletoolbar2.dll programa
O4 - HKLM..Run [RestoreIT!] "C: Program FilesPhoenix Technologies LtdRecoverPro_XPVBPTASK.EXE" VBStart
O4 - HKLM..Run: [High Definition Audio imóvel Página Atalho] HDAShCut.exe
O4 - HKLM..Run [Rthdcpl] rthdcpl.exe
O4 - HKLM..Run [Alcmtr] ALCMTR.EXE
O4 - HKLM..Run [NeroFilterCheck] C: WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run [PinnacleDriverCheck] C: WINDOWSsystem32PSDrvCheck.exe -CheckReg
O4 - HKLM..Run [SunJavaUpdateSched] "C: Programa FilesJavajre1.6.0_01binjusched.exe"
O4 - HKLM..Run [5c36d04c] rundll32.exe "C: WINDOWSsystem32yyaujdjn.dll"b
O4 - HKLM..Run [WOOWATCH] C: 1WanadooWatch.exe ~ ARQUIV
O4 - HKLM..Run [WOOTASKBARICON] C: ARQUIV ~ 1WanadooGestMaj.exe TaskBarIcon.exe
O4 - HKLM..Run [ShStatEXE] "C: Programa FilesNetwork AssociatesVirusScanSHSTAT.EXE" / STANDALONE
O4 - HKLM..Run [McAfeeUpdaterUI] "C: Programa FilesNetwork AssociatesCommon FrameworkUpdaterUI.exe" / StartedFromRunKey
O4 - HKLM..Run [Network Associates Error Reporting Service] "C: Programa FilesFichiers communsNetwork AssociatesTalkBackTBMon.exe"
O4 - HKLM..Run [AVG Anti-Spyware!] "C: 7.5avgas.exe Programa FilesGrisoftAVG Anti-Spyware" / minimizado
O4 - HKLM..Run [Windows Update] rundll32.exe "C: WINDOWSsystem32kfoefyyx.dll", realset
O4 - HKCU..Run [CTFMON.EXE] C: WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run [WOOKIT] C: ARQUIV ~ 1WanadooGestMaj.exe GestionnaireInternet.exe
O4 - HKCU..Run [updateMgr] C: Program FilesAdobeAcrobat 7.0ReaderAdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU..Run [SWG] C: Program FilesGoogleGoogleToolbarNotifier1.2.1128.5462GoogleToolbarNotifier.exe
O4 - HKCU..Run [MsnMsgr] "C: Programa FilesMSN MessengerMsnMsgr.Exe" / fundo
O4 - HKCU..Run: [Skype] "C: Programa FilesSkypePhoneSkype.exe" / NOSPLASH / minimizada
O4 - HKCU..Run [WMPNSCFG] C: Program FilesWindows Digital PlayerWMPNSCFG.exe
O4 - Startup global: Adobe Reader velocidade Lançamento = C: Program FilesAdobeAcrobat 7.0Readerreader_sl.exe
O4 - Startup global: Microsoft Office.lnk = C: Program FilesMicrosoft OfficeOffice10OSA.EXE
O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl este painel
O8 - item de menu de contexto Extra: E&xport a Microsoft Excel - res: // C: PROGRA ~ ~ 1MICROS 3Office10EXCEL.EXE / 3000
O9 - botão Extra: Messenger - - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C: Program FilesMessengermsmsgs.exe
O9 - menuitem 'Ferramentas' extra: Windows Messenger - - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C: Program FilesMessengermsmsgs.exe
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=67633
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Classe) - http: //update.microsoft.com / ...
O17 - HKLMSystemCCSServicesTcpip .. {F79A0EAF-8E03-4AF2-AA8C-548940B99FDD} NameServer = 80.10.246.1 80.10.246.132
O18 - Protocolo: LiveCall - {828030A1-22C1-4009-854F-8E305202313F} - C: PROGRA ~ ~ 1MSNMES 1MSGRAP ~ 1.DLL
O18 - Protocolo: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C: PROGRA ~ ~ 1MSNMES 1MSGRAP ~ 1.DLL
O18 - Protocolo: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C: PROGRA ~ ~ 1FICHIE 1SkypeSKYPE4 ~ 1.DLL
O20 - Winlogon Notificar: gebcaxw - C: WINDOWSSYSTEM32gebcaxw.dll
O20 - Winlogon Notificar: mljgh - C: WINDOWSsystem32mljgh.dll

O20 - Winlogon Notificar: mfscnejo - mfscnejo.dll
O20 - Winlogon Notificar: oalilsov - oalilsov.dll
O20 - Winlogon Notificar: oalilsov - oalilsov.dll
O20 - Winlogon Notificar: phgypywy - phgypywy.dll
O20 - Winlogon Notificar: uglnuncw - uglnuncw.dll

O20 - Winlogon Notificar: WgaLogon - C: WINDOWSSYSTEM32WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C: WINDOWSsystem32WPDShServiceObj.dll
O23 - Serviço: AVG Anti-Spyware Guard - Anti-Malware a.s. Desenvolvimento - C: 7.5guard.exe Programa FilesGrisoftAVG Anti-Spyware
O23 - Serviço: McAfee Serviço HackerWatch - McAfee, Inc. - C: Program FilesFichiers communsMcAfeeHackerWatchHWAPI.exe
O23 - Serviço: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C: Program FilesNetwork AssociatesCommon FrameworkFrameworkService.exe
O23 - Serviço: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C: 1McAfeeMSCmcupdmgr.exe ~ PROGRA
O23 - Serviço: Serviços da McAfee (mcmscsvc) - McAfee, Inc. - C: PROGRA ~ 1McAfeeMSCmcmscsvc.exe
O23 - Serviço: McAfee Network Agent (McNASvc) - McAfee, Inc. - c: filesfichiers programa communsmcafeemnamcnasvc.exe
O23 - Serviço: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C: 1McAfeeMSCmcpromgr.exe ~ PROGRA
O23 - Serviço: Network Associates McShield (McShield) - Network Associates, Inc. - C: Program FilesNetwork AssociatesVirusScanMcshield.exe
O23 - Serviço: Network Associates Gerenciador de Tarefas (McTaskManager) - Network Associates, Inc. - C: Program FilesNetwork AssociatesVirusScanVsTskMgr.exe
O23 - Serviço: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C: Program FilesMcAfeeMPFMPFSrv.exe


Se o relatório não mostra nenhuma linha de 02 ou 020, é possível que a infecção está escondido. Para realçá-lo, basta renomear a ferramenta HijackThis para mostrar as linhas em falta.

Depois de ter baixado HijackThis no ambiente de trabalho ou em uma pasta criada para o efeito, fazer uma Botão direito do mouse no ícone do programa, escolha renomear e nomeá-la kioskea.exe por exemplo, em seguida, fazer um novo relatório, que deve ser semelhante o relatório acima.


Exemplo de arquivos infectados:
C: WINDOWSsystem32duboejnm.dllbox (Trojan.Vundo.H)
C: WINDOWSsystem32lmytzmbi.dllbox (Trojan.Vundo.H)
C: WINDOWSsystem32mfscnejo.dllbox (Trojan.Vundo.H)
C: WINDOWSsystem32oalilsov.dllbox (Trojan.Vundo.H)
C: WINDOWSsystem32ojkuvxlp.dllbox (Trojan.Vundo.H)
C: WINDOWSsystem32phgypywy.dllbox (Trojan.Vundo.H)
C: WINDOWSsystem32uglnuncw.dllbox (Trojan.Vundo.H)
C: WINDOWSsystem32mcrh.tmp (Malware.Trace)
C: WINDOWSBM47dbb184.txt (Trojan.Vundo)
C: WINDOWSBM47dbb184.xml (Trojan.Vundo)
C: WINDOWSpskt.ini (Trojan.Vundo)

preliminar

  • Importante 1: Se você tiver o Windows Vista, você deve desativar tempo UAC para a desinfecção.
  • 2 Importante: Se você tiver TeaTimer (Spybot residente), desativá-lo caso contrário, pode interferir com a desinfecção.
    • Comece Spybot, clique em modo, verificar modo avançado.
    • À esquerda, clique em ferramentas, em seguida residente.
    • Desmarque a caixa para residente "TeaTimer" em seguida, Spybot saída:

Remover Trojan Vundo / Virtumonde

procedimento de desinfecção


Método 1: MMFA


Remover Trojan Vundo / Virtumonde
  • baixar Malwarebytes' Anti-Malware (MBAM) em seu desktop.
  • Dê um duplo clique no arquivo baixado para iniciar o processo de instalação.
  • Na guia atualizar, clique no botão Atualização Research Se o firewall pede permissão para MMFA para se conectar à internet, aceitar.
  • Depois que a atualização for concluída, vá para a guia pesquisa.
  • selecionar Executar uma verificação completa.
  • Clique em pesquisa. A análise começa, a varredura é relativamente longo, é normal.
  • Ao final da análise, uma mensagem será exibida:


A revisão foi concluída normalmente. Clique em 'Mostrar resultados' para exibir todos os objetos encontrados.
  • Clique em ok para continuar. Se MBAM não encontrou nada, ele também irá dizer-lhe.
  • Feche seu navegador.

Se o malware foi detectado, clique em Mostrar resultados.
  • Selecionar tudo (ou deixe marcada) e clique Remover selecionados, MBAM irá destruir arquivos e chaves de registro infectados e colocar uma cópia em quarentena.
  • MMFA vai abrir o bloco de notas e copiar o relatório de análise, salvá-lo.

Método 2: Super Antispyware


Remover Trojan Vundo / Virtumonde
  • Baixar SUPERAntiSpyware (SAS) e, em seguida, instalar a atualização-lo.
    • Para digitalizar o seu computador com SUPERAntiSpyware, clique em: Analise o seu computador.
    • Na nova janela, você pode escolher a partir da esquerda para fazer a varredura elementos (discos, diretórios etc ..).
    • No painel direito, tipo de verificação. Você pode usar o Executar Quick Scan.


3ª método: ComboFix


Remover Trojan Vundo / Virtumonde
  • baixar ComboFix (Por sUBs) no ambiente de trabalho.
  • Desativar seu software de segurança antes de executar Combofix.
  • Dê um duplo clique ComboFix.exe (No Vista, você deve Botão direito do mouse ComboFix.exe em e escolha Executar como administrador).
  • Sobre a aparência da mensagem de alerta, aceite os termos de uso e siga as instruções.
  • É altamente recomendável instalar o Console de Recuperação! (Sob XP)
  • O relatório será criado em: C: /Combofix.txt.
  • Reativar seu software de proteção.
  • Fazer um relatório HijackThis e prender as linhas correspondentes, como indicado acima.


O tutorial oficial está localizada em: Um guia e tutorial sobre o uso ComboFix

o "poder" ea dificuldade em analisar os resultados dos relatórios de torná-lo uma ferramenta para ser usada com cuidado.

observação Ele pode, em alguns casos, apenas uma das ferramentas utilizadas não conseguirá erradicar o Trojan Vundo, neste caso, você pode ligar as duas ferramentas para lidar com eles!
No caso de infecções múltiplas: rootkits, worms e spyware associados com o Vundo Trojan, é aconselhável verificar o status do seu fórum PC Vírus / Segurança, porque é possível que todas as infecções associadas não foram completamente neutralizados.

Desativação / reativação do System Restore


É necessário desativar reative a Restauração do sistema para limpar, porque os pontos de restauração pode ser infectado (por Vundo por exemplo):
  • Para XP.
  • Para o Vista.

limpeza adicional


Ele vai fazer mais do que fazer um pouco de limpeza para remover "sujeira" que permanecem!
Remover Trojan Vundo / VirtumondeBaixe este artigo (PDF)
Artigo original publicado por Carlos vialfa. Traduzido por dia verde. Este documento intitulado " Remover Trojan Vundo / Virtumonde »deKioskea (Www.commentcamarche.net)Está disponível sob a licença Creative Commons.Você pode copiar, modificar cópias desta página, nas condições estipuladas pela licença,como esta nota aparece claramente.baixar este artigo (PDF