Supprimer amvo/tavo/kavo : Trojan.PWS.Onlinegames/ Win32/Taterf

Trojan.PWS.Onlinegames (nom générique)/Win32/Taterf est une infection qui se propage par disques amovibles.
Il se copie sur les supports amovibles telles que les flash drives, cds, memory cards, usb disks.

C'est une infection très courante, le but de cette infection est de récupérer les identifiants de jeux en lignes : Word of Warcraft etc.
Cette page décrit le fonctionnement et la manière dont ces infections se propagent ainsi que des conseils de préventions : infection sur disques amovibles

Détection amvo/tavo/kavo : Win32/Taterf/Trojan.PWS.Onlinegames

L'infection créé les fichiers suivants :

avpo.exe amvo.exe avmo0.dll avmo1.dll avmo2.dll
kavo.exe kavo0.dll - kavo1.dll
tavo.exe avo1.dll tavo0.dll

Peut créer les lignes suivantes sur HijackThis :

O4 - HKCU\..\Run: [avpa] C:\WINDOWS\system32\avpo.exe
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
ou : O4 - HKCU\..\Run: [kava] C:\WINDOWS\system32\kavo.exe
ou : O4 - HKCU\..\Run: [tava] C:\WINDOWS\system32\tavo.exe

L'infection créé des fichiers .com avec des noms aléatoires à la racine du disque, exemple :
C:\gqsk.bat Infected: Worm.Win32.AutoRun.cpr skipped
C:\n6j.com Infected: Trojan-PSW.Win32.OnLineGames.sxa skipped
C:\obc3wrq3.bat Infected: Trojan-PSW.Win32.OnLineGames.tng skipped
D:\1wod1.com Infected: Trojan-PSW.Win32.OnLineGames.tng skipped
D:\autorun.inf Infected: Trojan-PSW.Win32.OnLineGames.tng skipped
D:\cfv90h.com Infected: Trojan-PSW.Win32.OnLineGames.szb skipped
D:\gqsk.bat Infected: Worm.Win32.AutoRun.cpr skipped
D:\n6j.com Infected: Trojan-PSW.Win32.OnLineGames.sxa skipped
D:\u.exe Infected: Trojan-PSW.Win32.OnLineGames.rui skipped
D:\uorys.cmd Infected: Trojan-PSW.Win32.OnLineGames.tfa skipped

Vous trouverez un très bon article sur le fonctionnent de cette infection sur la page suivante (en anglais) : http://www.bluetack.co.uk/forums/index.php?showtopic=18228

Update Février 2009 :

Un fichier C:\Windows\System32\kamsoft.exe est créé et est chargé au démarrage avec un autre fichier .exe au nom aléatoire.
Un fichier .exe ou .com au nom aléatoire est créé dans C:\ avec un fichier bat et le autorun.inf
enfin des fichiers DLL se terminant par un chiffre sont créés dans system32, exemple :

gasretyw0.dll
gasretyw2.dll
amvo0.dll
ckvo0.dll

Les détections :

Fichier ckvo0.dll reçu le 2009.02.06 19:09:54 (CET)

Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE

Résultat: 36/39 (92.31%)
Antivirus Version Dernière mise à jour Résultat<
a-squared4.0.0.932009.02.06Trojan-GameThief.Win32.Magania!IK
AhnLab-V35.0.0.22009.02.06Win-Trojan/Magania.85504.B
AntiVir7.9.0.762009.02.06TR/Vundo.Gen
Authentium5.1.0.42009.02.05W32/Onlinegames.gen
Avast4.8.1335.02009.02.06Win32:Gamona AVG8.0.0.2292009.02.06Win32/Heur
BitDefender7.22009.02.06Packer.Malware.NSAnti.1
CAT-QuickHeal10.002009.02.06TrojanGameThief.Magania.aczm
ClamAV0.94.12009.02.06Trojan.Magania-6104
Comodo9672009.02.06TrojWare.Win32.PSW.Magania.aczm
DrWeb4.44.0.091702009.02.06Trojan.Nsanti.Packed eSafe7.0.17.02009.02.05-
eTrust-Vet31.6.63452009.02.06Win32/Frethog.BUD
F-Prot4.4.4.562009.02.05W32/Onlinegames.gen
F-Secure8.0.14470.02009.02.06Trojan-GameThief.Win32.Magania.aczm
Fortinet3.117.0.02009.02.06W32/Gamania.A!tr.pws
GData192009.02.06Packer.Malware.NSAnti.1
IkarusT3.1.1.45.02009.02.06Trojan-GameThief.Win32.Magania
K7AntiVirus7.10.6222009.02.06Trojan-GameThief.Win32.Magania.aczm
Kaspersky7.0.0.1252009.02.06Trojan-GameThief.Win32.Magania.aczm
McAfee55172009.02.06PWS-Gamania.gen.a
McAfee+Artemis55172009.02.06PWS-Gamania.gen.a
Microsoft1.43062009.02.05PWS:Win32/Frethog.gen!B
NOD3238342009.02.06Win32/PSW.OnLineGames.NMP
Norman6.00.022009.02.06Virtumonde.ADOY
nProtect2009.1.8.02009.02.06Trojan-PWS/W32.WebGame.85504.AR Panda9
.5.1.22009.02.06W32/Gamania.gen
PCTools 4.4.2.02009.02.06- Prevx1V22009.02.06Cloaked Malware
Rising 21.15.40.002009.02.06Packer.Win32.Mian007.a
SecureWeb-Gateway 6.7.62009.02.06Trojan.Vundo.Gen
Sophos4.38.02009.02.06Mal/EncPk-EG
Sunbelt 3.2.1847.22009.02.06Trojan-GameThief.Win32.Magania.aczm
Symantec102009.02.06Infostealer.Gampas
TheHacker6.3.1.5.2482009.02.06Trojan/Magania.aczm
TrendMicro8.700.0.10042009.02.06TSPY_LINEAGE.KPU
VBA323.12.8.122009.02.05Trojan-PSW.Win32.Vagon
ViRobot2009.2.6.15942009.02.06Trojan.Win32.PSWMagania.85504.D
VirusBuster4.5.11.02009.02.06-

Information additionnelle
File size: 85504 bytes
MD5...: 51b4c40fbc217a4be4d15f533034a7c8
SHA1..: 59bc5d4f53b90db6db2ccfbb6df89393a3d102b3

Fichier olhrwef.exe reçu le 2009.02.06 19:10:28 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 29/39 (74.36%)

Antivirus Version Dernière mise à jour Résultat
a-squared4.0.0.932009.02.06Worm.Win32.Taterf!IK
AhnLab-V35.0.0.22009.02.06-
AntiVir7.9.0.762009.02.06TR/Drop.Agent.frh
Authentium5.1.0.42009.02.05-
Avast4.8.1335.02009.02.06Win32:Rootkit-gen
AVG8.0.0.2292009.02.06Win32/Heur
BitDefender7.22009.02.06Trojan.PWS.Onlinegames.KBML
CAT-QuickHeal10.002009.02.06TrojanGameThief.Magania.aukf
ClamAV0.94.12009.02.06-
Comodo9672009.02.06-
DrWeb4.44.0.091702009.02.06Trojan.PWS.Wsgame.4983
eSafe7.0.17.02009.02.05Suspicious File
eTrust-Vet31.6.63452009.02.06Win32/Frethog.CXE
F-Prot4.4.4.562009.02.05-
F-Secure8.0.14470.02009.02.06Trojan-GameThief.Win32.Magania.aukf
Fortinet3.117.0.02009.02.06SPY/Magania
GData192009.02.06Trojan.PWS.Onlinegames.KBML
IkarusT3.1.1.45.02009.02.06Worm.Win32.Taterf
K7AntiVirus7.10.6222009.02.06-
Kaspersky7.0.0.1252009.02.06Trojan-GameThief.Win32.Magania.aukf
McAfee55172009.02.06PWS-Mmorpg.gen
McAfee+Artemis55172009.02.06PWS-Mmorpg.gen
Microsoft1.43062009.02.05Worm:Win32/Taterf.B
NOD3238342009.02.06Win32/PSW.OnLineGames.NMY
Norman6.00.022009.02.06-
nProtect2009.1.8.02009.02.06Trojan-PWS/W32.WebGame.109930
Panda9.5.1.22009.02.06W32/Lineage.KLS
PCTools4.4.2.02009.02.06-
Prevx1V22009.02.06Worm
Rising21.15.40.002009.02.06Trojan.PSW.Win32.GameOL.uhd
SecureWeb-Gateway6.7.62009.02.06Trojan.Drop.Agent.frh
Sophos4.38.02009.02.06Troj/Agent-IUE
Sunbelt3.2.1847.22009.02.06Trojan-GameThief.Win32.Magania.aukf
Symantec102009.02.06Infostealer.Gampass
TheHacker6.3.1.5.2482009.02.06Trojan/OnLineGame.gen
TrendMicro8.700.0.10042009.02.06TSPY_ONLINEG.MCL
VBA323.12.8.122009.02.05-
ViRobot2009.2.6.15942009.02.06Trojan.Win32.PSWMagania.109930
VirusBuster4.5.11.02009.02.06-
Information additionnelle
File size: 109930 bytes
MD5...: cc3ebec868aef9ccf972df1b26234d98
SHA1..: b0c13a974e42a0a1767bf0113aaa9059ea0b2895

Fichier kamsoft.exe reçu le 2009.01.28 09:15:42 (CET)
Situation actuelle: terminé
Résultat: 32/39 (82.05%)
Formaté Formaté

Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.73 2009.01.28 Worm.Win32.AutoRun!IK
AhnLab-V3 5.0.0.2 2009.01.28 Win32/Autorun.worm.112132
AntiVir 7.9.0.60 2009.01.28 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2009.01.27 -
Avast 4.8.1281.0 2009.01.27 Win32:Krap-AQ
AVG 8.0.0.229 2009.01.27 PSW.Generic6.ASAK
BitDefender 7.2 2009.01.28 Worm.Generic.37399
CAT-QuickHeal 10.00 2009.01.28 Worm.AutoRun.thn
ClamAV 0.94.1 2009.01.28 -
Comodo 948 2009.01.27 TrojWare.Win32.Trojan.Agent.~
DrWeb 4.44.0.09170 2009.01.28 Trojan.PWS.Wsgame.4983
eSafe 7.0.17.0 2009.01.27 Win32.AutoRun.thn
eTrust-Vet 31.6.6330 2009.01.28 -
F-Prot 4.4.4.56 2009.01.27 -
F-Secure 8.0.14470.0 2009.01.28 Worm.Win32.AutoRun.thn
Fortinet 3.117.0.0 2009.01.28 W32/Pws.AK!tr
GData 19 2009.01.28 Worm.Generic.37399
Ikarus T3.1.1.45.0 2009.01.28 Worm.Win32.AutoRun
K7AntiVirus 7.10.607 2009.01.27 Worm.Win32.AutoRun.thn
Kaspersky 7.0.0.125 2009.01.28 Worm.Win32.AutoRun.thn
McAfee 5508 2009.01.27 Generic PWS.ak
McAfee+Artemis 5508 2009.01.27 Generic PWS.ak
Microsoft 1.4205 2009.01.28 TrojanDownloader:Win32/Small.gen!O
NOD32 3805 2009.01.28 Win32/PSW.OnLineGames.OFG
Norman 5.93.01 2009.01.27 W32/AutoRun.IWW
nProtect 2009.1.8.0 2009.01.28 Worm/W32.AutoRun.112132
Panda 9.5.1.2 2009.01.27 W32/Lineage.KFS
PCTools 4.4.2.0 2009.01.27 Worm.AutoRun!sd6
Prevx1 V2 2009.01.28 Cloaked Malware
Rising 21.13.42.00 2009.01.23 -
SecureWeb-Gateway 6.7.6 2009.01.28 Trojan.Crypt.XPACK.Gen
Sophos 4.37.0 2009.01.28 -
Sunbelt 3.2.1835.2 2009.01.16 Worm.Win32.AutoRun.thn
Symantec 10 2009.01.28 Trojan Horse
TheHacker 6.3.1.5.229 2009.01.26 W32/AutoRun.thn
TrendMicro 8.700.0.1004 2009.01.27 TSPY_ASAK.A
VBA32 3.12.8.11 2009.01.27 Worm.Win32.AutoRun.thn
ViRobot 2009.1.28.1578 2009.01.28 Worm.Win32.Autorun.112132
VirusBuster 4.5.11.0 2009.01.27 -
Information additionnelle
File size: 112132 bytes
MD5...: 0cdf473e884a37c74d242269d6c3ebe4
SHA1..: a3f0d56352446f458f44dc08006b462ffee4691e

Suppression amvo/tavo/kavo : Win32/Taterf / Trojan.PWS.Onlinegames

Désactivez les logiciels de protection (Antivirus, Antispywares) puis :
- Téléchargez Combofix de sUBs sur votre bureau : combofix.exe
Double-clicquez sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider.
Laissez le scan s'effectuer, cela peut prendre plusieurs minutes, voir 1h.
Téléchargez et installez Malwarebyte's Anti-Malware anti-malware recommandé
Démarrez Windows en mode sans échec : Guide pour redémarrer en mode sans échec
Afin de supprimer toutes traces du spyware et d'autres élements qu'il aurait pu installer, scannez votre ordinateur avec :
- Malwarebyte's Anti-Malware anti-malware recommandé
Redémarrez l'ordinateur

L'infection se propage par disques amovibles (clefs USB, disque dur externe, carte flash etc..).

Le simple faite d'ouvrir le poste de travail et de double-cliquer sur ta clef USB/disque dur externe va réinfecter votre système.

Il te faut maintenant nettoyer tes clefs USB/disques dur externes, pour cela :

SURTOUT ne pas double-cliquer sur le disque dans le poste de travail

Ouvrez le poste de travail
Clicquez sur le menu outils en haut à droite puis options des dossiers
Dans la nouvelle fenêtre, clicquez sur l'onglet Affichage en haut
Cochez dans la liste "Afficher les fichiers cachés"
Décochez "masquer les fichier proteger du systeme d exploitation (recommandée)"
Vous allez recevoir un message qui te dit que cela peut endommager le système, n'en tenez pas compte.
Ouvrez le poste de travail
Pour chaque disque dans le poste de travail : Faites un clic droit sur le disque dur - surtout ne double-clic pas dessus!!!
Choisissez ouvrir dans le menu déroulant.
Cherchez un fichier autorun.inf et des fichiers : .com ou .bat avec des noms aléatoires
Si présents, supprimez le en faisant un clic droit puis supprimer.
Répétez l'opération sur tous les disques se trouvant dans le poste de travail.

Autres Liens

Pour plus d'informations, sur le fonctionnement des spywares et les conseils à suivre :
Fonctionnement et suppression des Vers/Spywares/Malwares sous Windows
Guide de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike, Winbound, etc..)