AccueilPortailFAQRechercherS'enregistrerMembresGroupesConnexion

Partagez | 
 

 [Virus]Extension Fichier cacher

Voir le sujet précédent Voir le sujet suivant Aller en bas 
AuteurMessage
Shadow
King Of Shadows


Masculin
Nombre de messages : 233
Age : 28
Date d'inscription : 20/10/2007

MessageSujet: [Virus]Extension Fichier cacher   Lun 28 Jan - 12:11

Je crois qu'on peut dire que l'année commence mal. Dites "bonjour" à mes deux nouveaux locataires que rien ne semble pouvoir déloger :

* Worm.Win32.AutoRun.aha
* Worm.Win32.AutoRun.aim

Date d'apparition : 16 déc 2007 11:43 GMT
Comportement : Net-Worm, ver Internet

C'est la première fois depuis... hum... 3 ans et 4 mois, depuis le fameux virus Blaster en fait. Ca fait tout drôle, obligé de réinstaller un firewall, un anti-virus et un anti-spyware des familles. Bon, d'ici 2 semaines ils seront probablement désinstallés à nouveau parce qu'ils me pompent toute mes ressources, mais quand même... Je me demande de quelle façon j'ai bien pu chopper ces deux énergumènes, je n'ai rien fait de spécial dernièrement.

Souhaitez moi bonne chance pour les éradiquer. Pour le moment, ni Avast!, ni Ad-Aware, ni Spybot S&D ne les ont détecté. Kaspersky Anti-Virus est à l'oeuvre, on verra bien ce que ça donne... même si je lui fait plutôt confiance, il est programmé par des russes. Mais si, vous savez... les gens qui font les virus. Le monde est bien fichu quand même.


Mise à jour !

J'ai enfin réussi à me débarasser de ces gêneurs (aussi connus sous les noms WIN32.Worm.VB.NPM ou W32.SillyDC), mais ça n'aura pas été grace aux multiples anti-virus et anti-spyware que j'ai installés. Aucun d'entre eux n'a réussi à supprimer correctement le virus, je me suis donc démerdé pour l'erradiquer à mains nues. Pour ceux qui ont le même problème, voici la marche à suivre.

Symptômes :

* Extensions de fichiers qui disparaissent malgré avoir décoché "Masquer les extensions des fichiers dont le type est connu" dans les options des dossiers.
* Impossible d'ouvrir les disques durs internes ou externes depuis le poste de travail (accès refusé).
* Impossible d'accéder à Panneau de configuration > Options des dossiers.
* Ouverture possible d'une backdoor vers votre PC.
* Attention, ils sont auto-réplicateurs, ils se copient de disque en disque sur tout le système ainsi que sur les disques amovibles (clefs usb, disques externes, lecteurs mp3, etc.).

Marche à suivre :

Je précise que jouer avec les fichiers système et la base de registre est dangeureux à la base. Je ne serai donc pas responsable de quoi que ce soit si vous avez des problèmes par la suite, je ne fais qu'exposer mon aventure !
Il n'est pas nécessaire de se mettre en mode sans échec pour effectuer cette manipulation. Toutefois, si le virus s'auto-réplique par votre réseau, vous feriez mieux de démarrer en mode sans échec sans prise en charge du réseau.

1. Vérifiez qu'il s'agit bien du même virus :
Pour cela, ouvrez le bloc-notes, faites Fichier > Ouvrir, et dans "nom du fichier" tapez C:\Autorun.inf
Si le bloc-notes ouvre un fichier et que ce fichier contient quelque chose ressemblant à ce qui suit, c'est qu'à priori, vous avez le même virus :

[autorun]
open=

shell\open\Command=RECYCLED\INFO.EXE
shell\open\Default=1
shell\explore\Command=RECYCLED\INFO.EXE

2. Désactivez le virus :
Dans le Gestionnaire des tâches (Ctrl+Alt+Suppr) puis onglet Processus > System.exe > Terminer le processus (attention à ne pas confondre avec System sans le .exe qui fait partie de Windows).

3. Supprimez les fichiers :
C'est une partie délicate, puisque le virus cache ses propres fichiers. Il faut trouver un moyen d'accéder à ces fichiers cachés. Pour ma part j'ai utilisé le programme FileZilla, qui même s'il est un client FTP à la base, passe outre les limitations de Windows et peut accéder aux fichiers et dossiers cachés et les effacer.

Les fichiers à supprimer sont les suivants :
* C:\Windows\Config\svchost.exe
* C:\Windows\Config\System.exe
* C:\System.exe
* C:\Autorun.inf

Les dossiers suivants sont à supprimer également (si vous n'arrivez à les supprimer, essayez de les renommer, puis de les supprimer, faites également une suppression directe avec Maj+Suppr pour éviter de les envoyer dans la corbeille) :
* C:\Recycled
* C:\Config
* C:\Windows\Config\

Il faut également supprimer sur chaque autre disque que le disque C:\ les fichier X:\Autorun.inf et le dossier X:\RECYCLED (pensez à le faire sur les disques durs externes, les clefs usb, les lecteurs mp3, etc. si vous ne le faites pas, vous risquez de vous faire ré-infecter).

4. Rétablir le registre Windows :
Ouvrez le registre avec Démarrer > Exécuter > regedit

Trouvez HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\System et supprimez.

Trouvez HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\system et supprimez.

Trouvez HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced et modifiez ces clefs :
* ShowSuperHidden = 0x00000000 à remplacer par
ShowSuperHidden = 0x00000001
* HideFileExt = 0x00000001 à remplacer par
HideFileExt = 0x00000000

Trouvez HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\HideFileExt
et modifiez ValueName = "HideFileExt " en ValueName = "HideFileExt" (il faut enlever le dernier espace en fin de valeur).

Trouvez HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\SuperHidden
et faites pareil avec ValueName = "ShowSuperHidden " en ValueName = "ShowSuperHidden"

Trouvez HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Winlogon et modifiez Userinit = "%System%\userinit.exe,System" en Userinit = "%System%\userinit.exe,"

Trouvez HKEY_CURRENT_USER\Software\Microsoft\Windows NT\
CurrentVersion\Windows et videz la valeur load="System" (effacer "System" mais garder la clef).

Voilà, c'est assez long et fastidieux, mais ça vous évite un reformatage inutile. Il n'y a que les gogos pour reformater à chaque problème Very Happy Merci à Tibonum pour l'aide apportée et à cette page de ThreatExpert pour la liste des fichiers altérés.


Source : http://blog.logout.fr/2008/01/wormwin32autorun.html

_________________

Je Veux Vivre pour Proteger ceux que j'aime et les rendres heureux
Revenir en haut Aller en bas
Voir le profil de l'utilisateur http://www.aofs.max2forum.com
 
[Virus]Extension Fichier cacher
Voir le sujet précédent Voir le sujet suivant Revenir en haut 
Page 1 sur 1
 Sujets similaires
-
» Probleme de fichier info
» Je ne peux plus changer l'extension d'un document.
» Fichier format *.gfx
» Format de fichier innatendu
» Fichier cfg

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
 :: Taverne-
Sauter vers: