Ce billet commence à être obsolète, je vous invite à consulter la mise à jour disponible sur ce lien.

Les infections se propageant par les supports amovibles : USB, Flash, etc.

Note : un post synthétique est disponible ici.


De quoi s'agit-il ?

La nature même de ces infections est classique

AdobeR.exe, Ravmon.exe, Copy.exe, Host.exe, Svchost.exe, etc.

Tous ces noms vous évoquent quelque chose ? Indépendamment de leur vecteur de propagation faisant l'objet de ce sujet, ces infections sont classiques dans leur finalité avouée. Malekal morte a synthétisé les infections de ce type que l'on croise régulièrement sur les forums (cliquez sur la roue dentée) :

Vers disques amovibles

Il est proposé des méthodes de désinfection en autonomie complète. A réserver aux utilisateurs avertis connaissant un minimum leur système et l'emploi des outils traditionnels de sécurité et d'éradication des infections. Ces infections, une fois présentes sur votre pc, agissent comme tout bon trojan classique. Elles permettent un accès à distance à votre système, télécharge du code sur le net, modifie des entrées dans le registre, etc. La finalité précise de chacune dépend évidemment de la variante rencontrée. Voici un exemple avec AdobeR.exe et la page sophos associée. Ce qui va nous intéresser très précisément dans ce sujet est leur propagation via les supports amovibles et les moyens de s'en prémunir. Là aussi, Malekal morte a rédigé un beau sujet sur la chose, et il ne s'agit pas ici de réinventer le beurre ou son fil à couper , mais de reformuler autrement ce qui a déja été dit afin mieux saisir pour ceux qui n'auraient pas compris, et donner quelques astuces personnelles (cliquez sur la roue dentée) :

Infection sur disques amovibles

Schéma de propagation

Un schéma vous permettra d'y voir plus clair. Nous allons aborder chaque étape de la propagation. Voici la légende utilisée.

De fait, ce type d'infection par propagation sur supports amovibles a de beaux jours devant elles dans tous les endroits où des ordinateurs sont susceptibles d'être utilisés par plusieurs personnes : (facs, lycées, écoles, cybercafés, etc). Tous les endroits où sont concentrés des pc sur lesquels s'échangent et se branchent fréquemment des supports amovibles. Cette infection bien que très présente n'est pas une fatalité, et un minimum de rigueur et de bon sens suffirait à l'éradiquer facilement.

Explications. En 1, vous branchez votre clé usb sur un pc infecté, où l'infection est active. Celle-ci va copier-coller (2) automatiquement sur votre clé USB des fichiers relatifs à l'infection, aux attributs "cachés" et "Système'. Ces infections désactivent en effet l'affichage des fichiers et dossiers cachés, dans le cas où vous auriez activé ces options d'affichage. Ainsi, vous ne verrez pas la présence de ces fichiers sur le pc infecté, et sur la clé. L'attribut "Système" permettra de vous affoler dans le cas où vous souhaiteriez les effacer manuellement en présentant un message d'avertissement windows.

Suivant les variantes, ces fichiers ne sont pas les mêmes, mais il y aura presque systématiquement un fichier Autorun.inf qui est ce qui lui permettra de se propager et qui fera l'objet de toute notre attention. Car c'est lui qui va permettre d'enchaîner sur la suite de la propagation. Lorsque vous brancherez votre clé nouvellement infectée sur un pc sain (3), l'infection se propage à son tour sur le pc, qui ce dernier (4), devient lui même un vecteur de propagation pour tous les supports amovibles branchés dessus, en plus des fonctions natives de l'infection permettant notamment un contrôle à distance du pc. La boucle est bouclée. Ainsi, l'utilisateur, quel qu'il soit, infecte généralement sa clé USB sur un PC en libre service, infecté initialement par malveillance ou ignorance, et ramènera son infection sur son PC personnel et/ou la propagera sur d'autres PC.

Quels sont les symptômes apparents ?

Si vous ne constatez pas de ralentissements de vos surfs, que vous ne surveillez pas votre gestionnaire des tâches et les processus actifs, que vous n'avez pas l'affichage des fichiers et dossiers cachés d'activé (et donc la modification d'affichage par l'infection devrait vous alerter), vous ne constaterez rien, sinon que le double-clic pour ouvrir vos supports amovibles infectés ne fonctionne plus.

Cela dit, ces infections sont connues des antivirus, et ces derniers devraient normalement réagir à l'introduction du support amovible infecté. Le souci est que l'antivirus va traiter directement le fichier infectieux, et pas les fichiers responsables de la propagation. Subsiste alors sur la clé les fichiers annexes tels que des dll, des autorun.inf ou autres. Cela aura pour conséquence de neutraliser le double-clic lorsque vous cliquez sur la lettre du volume, puisque l'autorun.inf cherchera un fichier inexistant.

La clé : le fichier Autorun.inf

Penchons nous sur ce fichier très pratique et son utilisation. Il s'agit là d'une fonctionnalité Windows associée au double-clic lorsque vous ouvrez un volume. C'est à dire ? Lorsque vous double-cliquez sur un lecteur (quel qu'il soit) pour l'ouvrir, la première démarche de Windows sera de chercher la présence d'un fichier Autorun.inf afin de déterminer ce qu'il doit faire à l'ouverture de ce volume. En l'absence de ce fichier, l'explorateur windows s'ouvrira. Ce système est surtout utilisé sur les CD-ROM afin de lancer automatiquement une application à l'insertion du CD. Mais il est extensible à tous types de supports et volumes, et c'est cette fonctionnalité qui a été détournée ainsi par les auteurs des infections. Ce lien windows vous expliquera succintivement comment rédiger un autorun.inf, et ce lien de developpez.com entrera d'avantage dans les détails de sa rédaction.

Attention, pour lire le contenu d'un fichier Autorun.inf, il vous faut l'ouvrir par exemple avec le Bloc-notes de windows. Si vous double-cliquez dessus, vous l'exécutez, et ainsi les commandes qu'il contient. Ainsi, dans le cas des infections qui nous intéressent, ce fichier contiendra généralement les entrées suivantes :

Comme vous le constatez, ainsi au double-clic sur la lettre du volume à ouvrir, windows va chercher la présence de cet autorun.inf, le trouver, et exécuter le processus AdobeR.exe qui infectera ainsi le système. Dans le cas où le fichier infectieux AdobeR.exe a été traité par l'antivirus présent sur le pc, l'autorun.inf va pointer un fichier qui n'existe plus. C'est à ce moment là que vous constaterez aussi que lorsque vous cliquerez sur la lettre du volume, le double-clic ne l'ouvrira pas. La suppression du fichier Autorun.inf rétablira par contre le double-clic pour ouvrir le volume.

Je suis infecté, que faire ?

Il n'y a pas de méthodes miracles, sinon y aller avec méthodologie

Si vous connaissez précisément la variante qui vous a infecté, consultez les liens de désinfection en autonomie complète proposés par Malekal morte (première roue dentée). Si vous ne le savez pas, cela va être moins aisé. Téléchargez dans un premier temps l'outil suivant, réalisé par sUBs, et exécutez le en suivant les instructions : à savoir brancher tous les supports amovibles infectés.

Flash Disinfector

Puis, assurez vous de neutraliser les processus infectieux actifs sur votre système. Supprimez ces fichiers, puis, faites le tour de chacune de vos racines de lecteurs, et cherchez la présence des fichiers infectieux et de l'autorun.inf associé afin de les supprimer. Il vous sera nécessaire d'avoir accès aux fichiers et dossiers cachés à cet effet :
Citation
Pour afficher les fichiers et dossiers cachés du systéme :
• Démarrer, Poste de travail ou autre dossier, Menu Outils -> Option des dossiers -> onglet Affichage :
• Cocher la case : Afficher les fichiers et dossiers cachés
• Décocher la case : Masquer les extensions des fichiers dont le type est connu
• Décocher la case : Masquer les fichiers protégés du système d'exploitation
  ---> Répondre OUI à la demande de confirmation
• Cliquer Appliquer puis OK

J'attire votre attention sur le fait qu'en accédant à chacune des racines de vos lecteurs en double-cliquant sur le nom ou la lettre du volume, si un fichier Autorun.inf est présent associé à des fichiers infectieux, vous relancez l'infection ! Il vous faudra, en attendant d'être certain que tous vos volumes soient propres, accéder à chacune d'entre elles en sélectionnant Développer disponible sur le clic-droit du volume. La difficulté à neutraliser cette infection réside dans le fait qu'il faut traiter tous les volumes infectés, sinon l'infection se repropagera très vite. Prenez conscience que tous les supports amovibles peuvent être infectés : clé USB, disque dur externe, lecteur MP3, appareil photo, carte Flash, etc.

Suivant les variantes rencontrées, vous aurez en plus d'un fichier Autorun.inf et d'un exécutable infectieux, des fichiers d'autres natures, aux attributs variables. Très souvent l'infection s'accompagne de fichiers annexes, des exécutables à l'icône de répertoire (par exemple), dont l'utilisateur lambda (affichage des fichiers et dossiers cachés activés oblige) ira double-cliquer pour voir le contenu, ce qui aura pour conséquence d'activer l'infection. C'est une méthode doublon je pense de propagation en cas de neutralisation du fichier autorun.inf jouant sur la curiosité de l'utilisateur.

Si vous ne vous sentez pas à l'aise avec toutes ces manipulations, demandez de l'aide sur le forum.

Comment se préserver de ce type d'infections ?

N'ouvrez pas vos volumes en double-cliquant

En effet, reprenons notre schéma type de propagation de l'infection. Lorsque nous branchons notre clé saine sur un pc infecté (1), nous ne pouvons éviter l'infection en l'état (nous y reviendrons plus bas ) de la clé (étape 2). Par contre, lorsque nous ouvrons la clé infectée sur un pc sain, au lieu de double-cliquer sur le nom de volume de la clé pour l'ouvrir, si nous faisons un clic-droit et Développer, nous évitons l'étape 3 et le pc n'est pas infecté. Voici pour synthétiser un nouveau schéma :

L'action de l'autorun.inf est évité en sélectionnant Développer (1). Le pc n'est pas infecté (2). Je suis en mesure de nettoyer la clé efficacement.

Désactiver l'autorun par défaut dans Windows

Autre manipulation, nous permettant d'éviter d'avoir à sélectionner Développer sur le clic-droit et conserver le double-clic pratique pour ouvrir le volume sans qu'il soit fait appel à un fichier Autorun.inf s'il est présent.

Pour cela, il vous suffira de télécharger le fichier REG ci-dessous (si le téléchargement ne se lance pas en cliquant dessus, faites un clic droit dessus, puis sélectionnez "Enregistrer sous"). Double-cliquez le fichier obtenu et acceptez la fusion dans le registre. Puis, redémarrez votre pc.

autorun_off.reg

La manipulation inverse vous est possible, bien que je vous le déconseille très vivement pour les raisons invoquées précédemment.

autorun_on.reg

Enfin, pour pallier à une réactivation de la fonction autorun par une éventuelle infection, vous pouvez "doubler" la désactivation en détournant la fonction en elle-même. A cet effet, télécharger de la même manière que précédemment le fichier REG suivant (merci JF:))

inifilemapping-autorun-protection-activee.reg

La manipulation inverse vous est possible, bien que je vous le déconseille très vivement pour les raisons invoquées précédemment. Un redémarrage sera nécessaire ensuite.

inifilemapping-autorun-suppression-de-la-clef.reg

Conserver sa clé saine, la "vacciner"

La manipulation précédente nous permet d'ouvrir un support amovible sans s'infecter. Mais cela n'est valable que sur son propre pc. Dans le cas de pc publiques, infectés, comment protéger son support lorsque l'on a pas la main sur les pc sur lesquels on doit le brancher ? La méthode suivante n'est pas très élégante, mais elle permet de "vacciner" sa clé contre ce type d'infections et ainsi pouvoir la brancher n'importe où sans d'avantage se soucier de la propagation d'infections.

Créez des répertoires aux noms des fichiers infectieux censés se copier-coller sur les supports, et attribuez leur en attribut Lecture seule. Ainsi, l'infection ne pourra écraser un fichier/dossier existant et ne pourra donc se propager. L'outil Flash Disinfector de sUBs crée déja ce répertoire Autorun.inf en lecture seule, avec un fichier texte nommé "Who creates this folder.txt" afin d'expliquer d'où il vient. Cette méthode, simple, permet facilement de protéger sa clé (ou support amovible) d'un Autorun.inf infectieux. Elle n'empêchera pas cependant le copier-coller d'autres fichiers infectieux. Mais au moins, lorsque vous double-cliquerez sur le nom de votre volume pour l'ouvrir, vous ne déclencherez pas l'infection. Vous vous trouverez dans ce cas de figure :

C'est à dire dans le même cas de figure que précédemment (vous constatez que le schéma est le même) lorsque vous évitez l'action de l'autorun.inf par Développer ou en le désactivant via la base de registre.

Elle n'est cependant pas suffisante, car la plupart des infections créent cet Autorun en copiant également divers fichiers infectieux. Mais pour aller plus loin, si vous étendez la méthode aux autres noms de fichiers, votre clé pourra être considérée comme "vaccinée".

Par exemple, faites un clic-droit à la racine de votre clé et créez un nouveau répertoire que vous nommerez AdobeR.exe. Puis, à nouveau, faites un clic-droit et sélectionnez Propriétés, et sélectionnez l'attribut "lecture seule".

Voilà, si vous insérez votre clé dans un pc infecté par cette variante de l'infection, le véritable AdobeR.exe infectieux ne pourra se copier-coller sur votre clé. Il suffit d'étendre la méthode à la variante rencontrée sur les postes sur lesquels vous branchez régulièrement vos supports.

Vous trouverez ci-dessous un petit exécutable (cliquez sur la roue dentée) permettant d'automatiser la création de quelques répertoires en lecture seule, les plus rencontrés, au noms de fichiers infectieux se propageant par ce moyen.

VaccinUSB.exe

Attention, l'exécutable est détecté comme dangereux par certains Antivirus. Il n'en est rien. Une fois que vous avez téléchargé ce dernier, copiez-collez le à la racine du disque à "vacciner", puis double-cliquez le. A présent, l'outil détectera automatiquement toutes les partitions et les supports, et les vaccinera en conséquence. Il n'est plus nécessaire de copier-coller l'outil à la racine de chacun des disques. Il créera ainsi les répertoires aux noms suivants : ravmon.exe, ravmon.log, winfile.exe, copy.exe, host.exe, autorun.inf, msvcr71.dll, adober.exe, found.000, comment.htt, desktop.ini à la racine du volume. C'est à dire les fichiers de propagation des infections les plus rencontrées (la liste des répertoires créés est susceptible d'évoluer). Une fois ces répertoires créés, vous pouvez supprimer VaccinUSB.exe. Notez que les noms des fichiers se copiant-collant sur les supports ne sont pas systématiquement les noms des processus actifs dans le gestionnaire des tâches lorsque l'infection est active. Chacun des répertoires contient un fichier texte pointant sur ce sujet, de sorte de savoir ce qui a créé ces répertoires. De plus, si un fichier portant l'un des noms mentionnés était déja présent, ce dernier sera effacé. En quelque sorte, vous désinfectez la clé, et la vaccinez. Vous vous retrouvez à présent dans ce cas de figure, vous conservez votre clé saine même en la branchant sur un pc au système infecté :

Démonstration par l'image d'une infection et désinfection

J'ai inséré ma clé dans un pc contaminé

J'ai donc inséré ma clé dans un pc contaminé. Cette dernière n'était pas vaccinée, la voici infectée. Comme l'infection a modifié les options d'affichage des fichiers et dossiers cachés, de sorte qu'ils n'apparaissent pas, les fichiers responsables de l'infection ne sont pas visibles. Tiens, quel est donc ce répertoire winfile que je ne connais pas sur ma clé ? Prudence.

Pourtant, les fichiers infectieux sont bien là. Modifions les options d'affichage afin de les révéler. On voit ainsi tous les fichiers infectieux qui se sont greffés sur ma clé. On aperçoit à présent une extension au répertoire Winfile : il ne s'agit donc pas d'un répertoire mais d'un processus. En double-cliquant dessus, je l'aurais exécuté. Souvenez-vous, je vous avais parlé de cette astuce des infections

En insérant la clé dans mon pc sain, sans antivirus, et en double-cliquant sur la lettre du volume pour l'ouvrir, j'active l'infection en ouvrant ma clé. Les processus sont maintenant actifs sur mon système, et en plus de travailler à ceux pourquoi ils ont été conçus, ils infecteront chacun des supports amovibles connectés dès que je double-cliquerais dessus. Sur l'image suivante, on les distingue bien.

On voit nettement les processus AdobeR.exe et Temp1.exe.

Procédons à la désinfection

Commençons par télécharger Flash Disinfector de sUBs, et exécutons le. Observons les processus et fichiers qui ont disparu.

Les processus ont disparu, ils ne sont plus en cours d'utilisation. C'est une bonne chose. Maintenant, allons faire un tour sur la clé voir ce qui subsiste.

Le double-clic fonctionne à nouveau, car le Fix a traité l'Autorun.inf infectieux, et placé son répertoire homonyme en lecture seule. Cependant, il reste encore des processus infectieux sur la clé. Passons au vaccin, téléchargeons le et exécutons le.

C'est nettement mieux, plus que le autorun.rar inoffensif à supprimer afin d'avoir une clé propre. Les autres fichiers infectieux qui subsistaient ont été écrasé par les répertoires-vaccins. Je peux m'assurer qu'il s'agit bien ici des répertoires vaccins, car en passant ma souris sur chacun d'entre eux, windows me révèle la présence d'un Gof.txt dans chacun d'eux.

Me voilà désinfecté ici, dans cet exemple. Et le fait d'avoir vacciné ma clé me prémunit de l'infecter la prochaine fois que je l'insérerais dans un pc ayant cette même infection. Il ne s'agit là que d'un exemple, avec des infections basiques. Certaines nécessitent de compléter le nettoyage par la suppression de fichiers dans les répertoires système et le nettoyage d'entrées dans la base de registre. Les forums sont là pour vous aider

Bonjour à tous

Je up ce petit sujet pour porter à votre attention une observation que m'a formulée JF:) : à savoir que certains infections se propageant par support amovible détournent également la fonction Explorer du menu contextuel.


Contrairement à ce que j'avais écrit, ce n'est pas Explorer qui est fiable, mais Développer. Il se trouve que dans tous mes petits essais avant rédaction du sujet, je n'étais pas tombé sur d'autorun.inf modifiant la fonction Explorer (uniquement Ouvrir du menu contextuel était corrompu). Alors que la corruption d'Explorer est toute aussi simple....

Toutes mes excuses pour ce manque de précision. Je vous saurais gré pour ceux qui avaient posté le sujet sur leurs forums d'apporter cette précision importante et d'ôter les mentions où je préconise d'ouvrir par le clic-droit>Explorer pour les remplacer par Clic-droit>Développer.

Précision sur Développer :

On l'obtiendra normalement au clic droit l'option Développer en passant par la fenêtre de gauche de l'explorateur.

Je vous invite à consulter le sujet très complet sur ce type d'infections rédigé par JF:) : http://fspsa.free.fr/contamination-lecteurs-amovibles.htm.


Une mise à jour Windows est à prendre en considération à présent, consultez le post suivant : ici.

Bonjour tout le monde,

Dans le prolongement de ce type d'infections, il arrive que l'antivirus installé sur le système traite immédiatement dès l'insertion du support amovible les fichiers infectieux. Le Pc hôte n'est pas contaminé. Mais subsiste alors uniquement l'autorun.inf, en soi pas infectieux, mais occasionnant parfois (suivant les options d'exécution automatique ou non d'activées) des problèmes d'ouverture de l'explorateur windows sur le contenu du lecteur.



Le sujet est là : Restaurer l'ouverture d'un lecteur suite à une infection

Note : attention à ne pas confondre un souci d'ouverture de lecteur lié à une infection avec les cas où c'est -par exemple- la recherche qui s'effectue au double-clic et non l'ouverture. Le souci est complètement différent et n'a en général rien à voir avec une origine infectieuse.

Dans ces cas là, essayez la méthode suivante préconisée par Pear :

Rendez-vous dans votre Menu Démarrer>Exécuter et copiez-collez ou tapez : regsvr32 /i shell32

Puis validez par la touche [Entrée] ou en pressant [Ok].

Exemples de sujet où ces méthodes ont été efficaces :

ouverture disque dur impossible
Tu va t'ouvrir oui saleté ? [fonction du double clic modifiée]

En cas de soucis persistants, consultez l'article suivant de la Tanière de PN : Dossiers et lecteurs - Action par défaut.

Enfin, le forum est là pour vous aider si vous ne vous en sortez pas.

mon probleme est que mon appareil photo n'est plus reconnu sur aucun pc

Bonjour tout le monde, weld

J'ignore où tu en es de ton souci, mais il ne semble pas à "première vue" lié à une infection se propageant par supports amovibles, ou alors tu as été avare de détails sur les symptômes. Je t'invite à te créer un sujet dans le forum de désinfection ou software afin de pallier au souci s'il est toujours présent.

Up pour faire remonter le sujet, car c'est encore très chaud en ce moment côté infections supports amovibles.

Bonjour,

Lors du téléchargement de Flash Disinfector, mon Nod32 me signal que celui ci est infecté par un trojan de variante win32.
Il n'est est rien pour les autres utilitaires par contre

@+

'soir JetKoX

les outils de désinfection sont plus facilement (et à tord) détectés par les antivirus que les vraies saloperies

En effet!

Je leur ai fait remonter ce faux-positif. NOD32 merdouille en ce moment: hier il m'a supprimé Gmer.exe...

Bonjour,
J'essaie cette manip, mais en double cliquant sur tes liens, j'obtiens des fichiers .txt et je ne vois nulle part la possibilité de "fusion dans le registre"

Quelque chose m'aurait-il échapper ?
Je ne comprends pas.

Merci de ta réponse et grand merci pour ce dossier.

Ok, j'ai fait ce "vaccin".
Cependant, quelques questions :
1) la liste des répertoires collés ont du évoluer car, est-ce normal
Ne se sont pas créés : Found.000, desktop.ini et autorun.rar
Par contre, j'ai "en plus" : comment.hht, info.exe, sqlserv.exe, temp.exe, temp1.exe, temp2.exe, zPharaoh.exe
Il est donc certainement conseillé de vacciner régulièrement en téléchargeant régulièrement vaccinUB.exe
2) Doit-on exécuter aussi ce "vaccin" à la racine de C, c'est à dire sur le Disque dur du PC ?

Merci et a+

Bonjour tout le monde, Elis

Navré du délai, je n'ai que peu de disponibilités en ce moment.



Si tu obtiens en effet des fichiers textes avec l'icône suivante =>
Tu n'auras pas la possibilité de "fusionner" les fichiers au registre. Il te faut obtenir des fichiers avec cette icône :

Pour cela plusieurs possibilités, suivant comment réagit le navigateur.

1. Si tu as déja les fichiers texte sur ton PC, change l'extension .txt en .reg, les fichiers seront ainsi fonctionnels.
2. Ou encore, fais un clic-droit sur le lien, et sélectionne Enregistrer sous ou Enregistrer la cible sous.
3. Autre possibilité, si en cliquant sur le lien ton navigateur au lieu de te proposer d'enregistrer le fichier t'affiche son contenu, rends toi dans Fichier > Enregistrer sous du navigateur, le nom proposé par défaut devrait être l'original.




1. En effet, le contenu du "vaccin" diffère un peu depuis que ce post a été rédigé. Il a été actualisé avec les versions d'infections très fréquemment rencontrées. Pour autant, le vaccin bouge peu ; il faut comprendre que le répertoire "vaccin" le plus important est l'autorun.inf ; le reste c'est du bonus
2. Oui, je suggère en effet de l'exécuter aussi à la racine de C. Cela permet ainsi la création d'un autorun.inf vaccin sur la partition Système.

A terme, je bricolerais le vaccin pour que l'utilisateur ne soit plus obligé de renouveler la vaccination sur chacun des disques, mais que cela soit fait automatiquement en une fois.

J'espère avoir répondu le plus clairement possible à tes questions. Si c'est le cas, je t'invite à consulter ce sujet afin de poursuivre et s'assurer que tout a été bien compris :

Exercice de Propagation d'une infection par support amovible - Ais-je bien compris, suis-je prémuni(e) ?

A bientôt

Importante mise à jour Microsoft de la fonctionnalité Autorun.

fonctionnalité "Autorun" mise à jour par Microsoft
Source : mag-securs.com

C'était pour cette raison que dans l'article "infections par supports USB" il était indiqué de systématiquement ouvrir les supports potentiellement infectés par un clic-droit>Développer. Car les fonctions Ouvrir et Explorer restaient polluées, même après désactivation de l'autorun. Ce qui avait été constaté après quelques essais.

La mise à jour windows créée notamment cette valeur (elle est à 1 par défaut) :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

Nom : HonorAutoRunSetting
Type : REG_DWORD
Données : 0x1

Nom : NoDriveTypeAutoRun
Type : REG_DWORD
Données : 0xff

Plus d'infos :

• http://www.microsoft.com/technet/security/...e=2009-%2002-24
• http://support.microsoft.com/kb/967715
• http://groups.google.com/group/microsoft.p...62ecc484d3f1539
• http://fspsa.free.fr/contamination-lecteurs-amovibles.htm (début de sujet)

Merci à JF:) qui m'a prévenu

Ainsi, après la MAJ, une fois l' Autorun désactivé (toujours via le REG proposé), les double-clic, Ouvrir, Explorer ou Développer n'exécuteront pas l'autorun.inf présent. Il n'y aura plus d'impératifs à faire impérativement "Développer" pour ouvrir un support potentiellement contaminé.

Que devez vous donc faire en plus ?

Seulement vous assurer que votre système soit à jour. Si vous n'êtes pas en mise à jour automatique, assurez vous de télécharger manuellement vos mises à jour de sécurité. La mise à jour qui nous intéresse est celle-ci : KB967715.

Bonjour TLM,
Bonjour Gof,

Suite à ce dernier post, j'ai vérifié, dans mon PC, la clé:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
Et voici ce que ça donne:



Question:
Pour se mettre dans les conditions énoncées de ton dernier post (savoir: « Il n'y aura plus d'impératifs à faire impérativement "Développer" pour ouvrir un support potentiellement contaminé. ») suffirait-il, après action de Flash Disinfector, de remplacer "ma ligne" valeur/données (voir image) par les deux nouvellement proposées ?
En effet, le correctif n'est pas nécessairement admis sur les OS OEM, dont des milliers d'internautes sont victimes.

Merci d'avance pour cette précision.