Aller au contenu

OVH

Photo
* * * * * 2 note(s)

Infections par supports amovibles


  • Veuillez vous connecter pour répondre
39 réponses à ce sujet

#1 Gof

Gof

    Tera Power Extrem Member

  • Modérateur [Gof]
  • 9761 messages

Posté 13 octobre 2007 - 08:35

Image IPB Ce billet commence à être obsolète, je vous invite à consulter la mise à jour disponible sur ce lien.


Les infections se propageant par les supports amovibles : USB, Flash, etc.




Note : un post synthétique est disponible ici.


De quoi s'agit-il ?

Image IPBLa nature même de ces infections est classiqueAdobeR.exe, Ravmon.exe, Copy.exe, Host.exe, Svchost.exe, etc.
Tous ces noms vous évoquent quelque chose ? Indépendamment de leur vecteur de propagation faisant l'objet de ce sujet, ces infections sont classiques dans leur finalité avouée. Malekal morte a synthétisé les infections de ce type que l'on croise régulièrement sur les forums (cliquez sur la roue dentée) :
Image IPB Vers disques amovibles
[/list]Il est proposé des méthodes de désinfection en autonomie complète. A réserver aux utilisateurs avertis connaissant un minimum leur système et l'emploi des outils traditionnels de sécurité et d'éradication des infections. Ces infections, une fois présentes sur votre pc, agissent comme tout bon trojan classique. Elles permettent un accès à distance à votre système, télécharge du code sur le net, modifie des entrées dans le registre, etc. La finalité précise de chacune dépend évidemment de la variante rencontrée. Voici un exemple avec AdobeR.exe et la page sophos associée. Ce qui va nous intéresser très précisément dans ce sujet est leur propagation via les supports amovibles et les moyens de s'en prémunir. Là aussi, Malekal morte a rédigé un beau sujet sur la chose, et il ne s'agit pas ici de réinventer le beurre ou son fil à couper :P, mais de reformuler autrement ce qui a déja été dit afin mieux saisir pour ceux qui n'auraient pas compris, et donner quelques astuces personnelles (cliquez sur la roue dentée) :
Image IPB Infection sur disques amovibles
[/list]Image IPBSchéma de propagationUn schéma vous permettra d'y voir plus clair. Nous allons aborder chaque étape de la propagation. Voici la légende utilisée.

Image IPB

De fait, ce type d'infection par propagation sur supports amovibles a de beaux jours devant elles dans tous les endroits où des ordinateurs sont susceptibles d'être utilisés par plusieurs personnes : (facs, lycées, écoles, cybercafés, etc). Tous les endroits où sont concentrés des pc sur lesquels s'échangent et se branchent fréquemment des supports amovibles. Cette infection bien que très présente n'est pas une fatalité, et un minimum de rigueur et de bon sens suffirait à l'éradiquer facilement.

Image IPB

Explications. En 1, vous branchez votre clé usb sur un pc infecté, où l'infection est active. Celle-ci va copier-coller (2) automatiquement sur votre clé USB des fichiers relatifs à l'infection, aux attributs "cachés" et "Système'. Ces infections désactivent en effet l'affichage des fichiers et dossiers cachés, dans le cas où vous auriez activé ces options d'affichage. Ainsi, vous ne verrez pas la présence de ces fichiers sur le pc infecté, et sur la clé. L'attribut "Système" permettra de vous affoler dans le cas où vous souhaiteriez les effacer manuellement en présentant un message d'avertissement windows.

Image IPB

Suivant les variantes, ces fichiers ne sont pas les mêmes, mais il y aura presque systématiquement un fichier Autorun.inf qui est ce qui lui permettra de se propager et qui fera l'objet de toute notre attention. Car c'est lui qui va permettre d'enchaîner sur la suite de la propagation. Lorsque vous brancherez votre clé nouvellement infectée sur un pc sain (3), l'infection se propage à son tour sur le pc, qui ce dernier (4), devient lui même un vecteur de propagation pour tous les supports amovibles branchés dessus, en plus des fonctions natives de l'infection permettant notamment un contrôle à distance du pc. La boucle est bouclée. Ainsi, l'utilisateur, quel qu'il soit, infecte généralement sa clé USB sur un PC en libre service, infecté initialement par malveillance ou ignorance, et ramènera son infection sur son PC personnel et/ou la propagera sur d'autres PC.
Image IPBQuels sont les symptômes apparents ?Si vous ne constatez pas de ralentissements de vos surfs, que vous ne surveillez pas votre gestionnaire des tâches et les processus actifs, que vous n'avez pas l'affichage des fichiers et dossiers cachés d'activé (et donc la modification d'affichage par l'infection devrait vous alerter), vous ne constaterez rien, sinon que le double-clic pour ouvrir vos supports amovibles infectés ne fonctionne plus.
Cela dit, ces infections sont connues des antivirus, et ces derniers devraient normalement réagir à l'introduction du support amovible infecté. Le souci est que l'antivirus va traiter directement le fichier infectieux, et pas les fichiers responsables de la propagation. Subsiste alors sur la clé les fichiers annexes tels que des dll, des autorun.inf ou autres. Cela aura pour conséquence de neutraliser le double-clic lorsque vous cliquez sur la lettre du volume, puisque l'autorun.inf cherchera un fichier inexistant.
Image IPBLa clé : le fichier Autorun.infPenchons nous sur ce fichier très pratique et son utilisation. Il s'agit là d'une fonctionnalité Windows associée au double-clic lorsque vous ouvrez un volume. C'est à dire ? Lorsque vous double-cliquez sur un lecteur (quel qu'il soit) pour l'ouvrir, la première démarche de Windows sera de chercher la présence d'un fichier Autorun.inf afin de déterminer ce qu'il doit faire à l'ouverture de ce volume. En l'absence de ce fichier, l'explorateur windows s'ouvrira. Ce système est surtout utilisé sur les CD-ROM afin de lancer automatiquement une application à l'insertion du CD. Mais il est extensible à tous types de supports et volumes, et c'est cette fonctionnalité qui a été détournée ainsi par les auteurs des infections. Ce lien windows vous expliquera succintivement comment rédiger un autorun.inf, et ce lien de developpez.com entrera d'avantage dans les détails de sa rédaction.
Attention, pour lire le contenu d'un fichier Autorun.inf, il vous faut l'ouvrir par exemple avec le Bloc-notes de windows. Si vous double-cliquez dessus, vous l'exécutez, et ainsi les commandes qu'il contient. Ainsi, dans le cas des infections qui nous intéressent, ce fichier contiendra généralement les entrées suivantes :

Image IPB

Comme vous le constatez, ainsi au double-clic sur la lettre du volume à ouvrir, windows va chercher la présence de cet autorun.inf, le trouver, et exécuter le processus AdobeR.exe qui infectera ainsi le système. Dans le cas où le fichier infectieux AdobeR.exe a été traité par l'antivirus présent sur le pc, l'autorun.inf va pointer un fichier qui n'existe plus. C'est à ce moment là que vous constaterez aussi que lorsque vous cliquerez sur la lettre du volume, le double-clic ne l'ouvrira pas. La suppression du fichier Autorun.inf rétablira par contre le double-clic pour ouvrir le volume.

Je suis infecté, que faire ?

Image IPBIl n'y a pas de méthodes miracles, sinon y aller avec méthodologieSi vous connaissez précisément la variante qui vous a infecté, consultez les liens de désinfection en autonomie complète proposés par Malekal morte (première roue dentée). Si vous ne le savez pas, cela va être moins aisé. Téléchargez dans un premier temps l'outil suivant, réalisé par sUBs, et exécutez le en suivant les instructions : à savoir brancher tous les supports amovibles infectés.
Image IPBFlash Disinfector
[/list]
  • Puis, assurez vous de neutraliser les processus infectieux actifs sur votre système. Supprimez ces fichiers, puis, faites le tour de chacune de vos racines de lecteurs, et cherchez la présence des fichiers infectieux et de l'autorun.inf associé afin de les supprimer. Il vous sera nécessaire d'avoir accès aux fichiers et dossiers cachés à cet effet :

    Pour afficher les fichiers et dossiers cachés du systéme :

  • Démarrer, Poste de travail ou autre dossier, Menu Outils -> Option des dossiers -> onglet Affichage :
  • Cocher la case : Afficher les fichiers et dossiers cachés
  • Décocher la case : Masquer les extensions des fichiers dont le type est connu
  • Décocher la case : Masquer les fichiers protégés du système d'exploitation
    ---> Répondre OUI à la demande de confirmation
  • Cliquer Appliquer puis OK

J'attire votre attention sur le fait qu'en accédant à chacune des racines de vos lecteurs en double-cliquant sur le nom ou la lettre du volume, si un fichier Autorun.inf est présent associé à des fichiers infectieux, vous relancez l'infection ! Il vous faudra, en attendant d'être certain que tous vos volumes soient propres, accéder à chacune d'entre elles en sélectionnant Développer disponible sur le clic-droit du volume. La difficulté à neutraliser cette infection réside dans le fait qu'il faut traiter tous les volumes infectés, sinon l'infection se repropagera très vite. Prenez conscience que tous les supports amovibles peuvent être infectés : clé USB, disque dur externe, lecteur MP3, appareil photo, carte Flash, etc.
Suivant les variantes rencontrées, vous aurez en plus d'un fichier Autorun.inf et d'un exécutable infectieux, des fichiers d'autres natures, aux attributs variables. Très souvent l'infection s'accompagne de fichiers annexes, des exécutables à l'icône de répertoire (par exemple), dont l'utilisateur lambda (affichage des fichiers et dossiers cachés activés oblige) ira double-cliquer pour voir le contenu, ce qui aura pour conséquence d'activer l'infection. C'est une méthode doublon je pense de propagation en cas de neutralisation du fichier autorun.inf jouant sur la curiosité de l'utilisateur.
Si vous ne vous sentez pas à l'aise avec toutes ces manipulations, demandez de l'aide sur le forum.

Comment se préserver de ce type d'infections ?

Image IPBN'ouvrez pas vos volumes en double-cliquantEn effet, reprenons notre schéma type de propagation de l'infection. Lorsque nous branchons notre clé saine sur un pc infecté (1), nous ne pouvons éviter l'infection en l'état (nous y reviendrons plus bas :P ) de la clé (étape 2). Par contre, lorsque nous ouvrons la clé infectée sur un pc sain, au lieu de double-cliquer sur le nom de volume de la clé pour l'ouvrir, si nous faisons un clic-droit et Développer, nous évitons l'étape 3 et le pc n'est pas infecté. Voici pour synthétiser un nouveau schéma :

Image IPB

L'action de l'autorun.inf est évité en sélectionnant Développer (1). Le pc n'est pas infecté (2). Je suis en mesure de nettoyer la clé efficacement.
Image IPBDésactiver l'autorun par défaut dans WindowsAutre manipulation, nous permettant d'éviter d'avoir à sélectionner Développer sur le clic-droit et conserver le double-clic pratique pour ouvrir le volume sans qu'il soit fait appel à un fichier Autorun.inf s'il est présent.
Pour cela, il vous suffira de télécharger le fichier REG ci-dessous (si le téléchargement ne se lance pas en cliquant dessus, faites un clic droit dessus, puis sélectionnez "Enregistrer sous"). Double-cliquez le fichier obtenu et acceptez la fusion dans le registre. Puis, redémarrez votre pc.
Image IPB autorun_off.reg
[/list]La manipulation inverse vous est possible, bien que je vous le déconseille très vivement pour les raisons invoquées précédemment.
Image IPB autorun_on.reg
[/list]Enfin, pour pallier à une réactivation de la fonction autorun par une éventuelle infection, vous pouvez "doubler" la désactivation en détournant la fonction en elle-même. A cet effet, télécharger de la même manière que précédemment le fichier REG suivant (merci JF:))
Image IPBinifilemapping-autorun-protection-activee.reg
[/list]La manipulation inverse vous est possible, bien que je vous le déconseille très vivement pour les raisons invoquées précédemment. Un redémarrage sera nécessaire ensuite.
Image IPBinifilemapping-autorun-suppression-de-la-clef.reg
[/list]Image IPBConserver sa clé saine, la "vacciner"La manipulation précédente nous permet d'ouvrir un support amovible sans s'infecter. Mais cela n'est valable que sur son propre pc. Dans le cas de pc publiques, infectés, comment protéger son support lorsque l'on a pas la main sur les pc sur lesquels on doit le brancher ? La méthode suivante n'est pas très élégante, mais elle permet de "vacciner" sa clé contre ce type d'infections et ainsi pouvoir la brancher n'importe où sans d'avantage se soucier de la propagation d'infections.
Créez des répertoires aux noms des fichiers infectieux censés se copier-coller sur les supports, et attribuez leur en attribut Lecture seule. Ainsi, l'infection ne pourra écraser un fichier/dossier existant et ne pourra donc se propager. L'outil Flash Disinfector de sUBs crée déja ce répertoire Autorun.inf en lecture seule, avec un fichier texte nommé "Who creates this folder.txt" afin d'expliquer d'où il vient. Cette méthode, simple, permet facilement de protéger sa clé (ou support amovible) d'un Autorun.inf infectieux. Elle n'empêchera pas cependant le copier-coller d'autres fichiers infectieux. Mais au moins, lorsque vous double-cliquerez sur le nom de votre volume pour l'ouvrir, vous ne déclencherez pas l'infection. Vous vous trouverez dans ce cas de figure :

Image IPB

C'est à dire dans le même cas de figure que précédemment (vous constatez que le schéma est le même) lorsque vous évitez l'action de l'autorun.inf par Développer ou en le désactivant via la base de registre.
Elle n'est cependant pas suffisante, car la plupart des infections créent cet Autorun en copiant également divers fichiers infectieux. Mais pour aller plus loin, si vous étendez la méthode aux autres noms de fichiers, votre clé pourra être considérée comme "vaccinée".
Par exemple, faites un clic-droit à la racine de votre clé et créez un nouveau répertoire que vous nommerez AdobeR.exe. Puis, à nouveau, faites un clic-droit et sélectionnez Propriétés, et sélectionnez l'attribut "lecture seule".

Image IPB

Voilà, si vous insérez votre clé dans un pc infecté par cette variante de l'infection, le véritable AdobeR.exe infectieux ne pourra se copier-coller sur votre clé. Il suffit d'étendre la méthode à la variante rencontrée sur les postes sur lesquels vous branchez régulièrement vos supports.
Vous trouverez ci-dessous un petit exécutable (cliquez sur la roue dentée) permettant d'automatiser la création de quelques répertoires en lecture seule, les plus rencontrés, au noms de fichiers infectieux se propageant par ce moyen.
Image IPBVaccinUSB.exe
[/list]Attention, l'exécutable est détecté comme dangereux par certains Antivirus. Il n'en est rien. Une fois que vous avez téléchargé ce dernier, copiez-collez le à la racine du disque à "vacciner", puis double-cliquez le. A présent, l'outil détectera automatiquement toutes les partitions et les supports, et les vaccinera en conséquence. Il n'est plus nécessaire de copier-coller l'outil à la racine de chacun des disques. Il créera ainsi les répertoires aux noms suivants : ravmon.exe, ravmon.log, winfile.exe, copy.exe, host.exe, autorun.inf, msvcr71.dll, adober.exe, found.000, comment.htt, desktop.ini à la racine du volume. C'est à dire les fichiers de propagation des infections les plus rencontrées (la liste des répertoires créés est susceptible d'évoluer). Une fois ces répertoires créés, vous pouvez supprimer VaccinUSB.exe. Notez que les noms des fichiers se copiant-collant sur les supports ne sont pas systématiquement les noms des processus actifs dans le gestionnaire des tâches lorsque l'infection est active. Chacun des répertoires contient un fichier texte pointant sur ce sujet, de sorte de savoir ce qui a créé ces répertoires. De plus, si un fichier portant l'un des noms mentionnés était déja présent, ce dernier sera effacé. En quelque sorte, vous désinfectez la clé, et la vaccinez. Vous vous retrouvez à présent dans ce cas de figure, vous conservez votre clé saine même en la branchant sur un pc au système infecté :

Image IPB


Démonstration par l'image d'une infection et désinfection

Image IPBJ'ai inséré ma clé dans un pc contaminéJ'ai donc inséré ma clé dans un pc contaminé. Cette dernière n'était pas vaccinée, la voici infectée. Comme l'infection a modifié les options d'affichage des fichiers et dossiers cachés, de sorte qu'ils n'apparaissent pas, les fichiers responsables de l'infection ne sont pas visibles. Tiens, quel est donc ce répertoire winfile que je ne connais pas sur ma clé ? Prudence.

Image IPB

Pourtant, les fichiers infectieux sont bien là. Modifions les options d'affichage afin de les révéler. On voit ainsi tous les fichiers infectieux qui se sont greffés sur ma clé. On aperçoit à présent une extension au répertoire Winfile : il ne s'agit donc pas d'un répertoire mais d'un processus. En double-cliquant dessus, je l'aurais exécuté. Souvenez-vous, je vous avais parlé de cette astuce des infections :P

Image IPB

En insérant la clé dans mon pc sain, sans antivirus, et en double-cliquant sur la lettre du volume pour l'ouvrir, j'active l'infection en ouvrant ma clé. Les processus sont maintenant actifs sur mon système, et en plus de travailler à ceux pourquoi ils ont été conçus, ils infecteront chacun des supports amovibles connectés dès que je double-cliquerais dessus. Sur l'image suivante, on les distingue bien.

Image IPB

On voit nettement les processus AdobeR.exe et Temp1.exe.
Image IPBProcédons à la désinfectionCommençons par télécharger Flash Disinfector de sUBs, et exécutons le. Observons les processus et fichiers qui ont disparu.

Image IPB

Les processus ont disparu, ils ne sont plus en cours d'utilisation. C'est une bonne chose. Maintenant, allons faire un tour sur la clé voir ce qui subsiste.

Image IPB

Le double-clic fonctionne à nouveau, car le Fix a traité l'Autorun.inf infectieux, et placé son répertoire homonyme en lecture seule. Cependant, il reste encore des processus infectieux sur la clé. Passons au vaccin, téléchargeons le et exécutons le.

Image IPB

C'est nettement mieux, plus que le autorun.rar inoffensif à supprimer afin d'avoir une clé propre. Les autres fichiers infectieux qui subsistaient ont été écrasé par les répertoires-vaccins. Je peux m'assurer qu'il s'agit bien ici des répertoires vaccins, car en passant ma souris sur chacun d'entre eux, windows me révèle la présence d'un Gof.txt dans chacun d'eux.
Me voilà désinfecté ici, dans cet exemple. Et le fait d'avoir vacciné ma clé me prémunit de l'infecter la prochaine fois que je l'insérerais dans un pc ayant cette même infection. Il ne s'agit là que d'un exemple, avec des infections basiques. Certaines nécessitent de compléter le nettoyage par la suppression de fichiers dans les répertoires système et le nettoyage d'entrées dans la base de registre. Les forums sont là pour vous aider :P

  • 0

PUBLICITÉ

    Annonces Google

#2 Gof

Gof

    Tera Power Extrem Member

  • Modérateur [Gof]
  • 9761 messages

Posté 17 juin 2008 - 04:01

Bonjour à tous :P

Je up ce petit sujet pour porter à votre attention une observation que m'a formulée JF:) : à savoir que certains infections se propageant par support amovible détournent également la fonction Explorer du menu contextuel.


Contrairement à ce que j'avais écrit, ce n'est pas Explorer qui est fiable, mais Développer. Il se trouve que dans tous mes petits essais avant rédaction du sujet, je n'étais pas tombé sur d'autorun.inf modifiant la fonction Explorer (uniquement Ouvrir du menu contextuel était corrompu). Alors que la corruption d'Explorer est toute aussi simple....

; fichier "autorun.inf" de propagation d'infection
[AutoRun]
; la commande suivante exécute le fichier au double-clic
open=exemple.com
; la commande suivante exécute le fichier quel que soit la commande définie par défaut au double clic
shell\open\Default=1
; la commande suivante exécute le fichier sur le "menu contextuel" et "ouvrir"
shell\open\Command=exemple.com
; la commande suivante exécute le fichier sur le "menu contextuel" et "explorer"
shell\explore\Command=exemple.com
; fin du fichier "autorun.inf", exemple de fichier de propagation d'infection


Toutes mes excuses pour ce manque de précision. Je vous saurais gré pour ceux qui avaient posté le sujet sur leurs forums d'apporter cette précision importante et d'ôter les mentions où je préconise d'ouvrir par le clic-droit>Explorer pour les remplacer par Clic-droit>Développer.

Précision sur Développer : On l'obtiendra normalement au clic droit l'option Développer en passant par la fenêtre de gauche de l'explorateur.

Image IPB


Je vous invite à consulter le sujet très complet sur ce type d'infections rédigé par JF:) : http://fspsa.free.fr...s-amovibles.htm.


Une mise à jour Windows est à prendre en considération à présent, consultez le post suivant : ici.
  • 0

#3 Gof

Gof

    Tera Power Extrem Member

  • Modérateur [Gof]
  • 9761 messages

Posté 30 juin 2008 - 12:27

Bonjour tout le monde, :P

Dans le prolongement de ce type d'infections, il arrive que l'antivirus installé sur le système traite immédiatement dès l'insertion du support amovible les fichiers infectieux. Le Pc hôte n'est pas contaminé. Mais subsiste alors uniquement l'autorun.inf, en soi pas infectieux, mais occasionnant parfois (suivant les options d'exécution automatique ou non d'activées) des problèmes d'ouverture de l'explorateur windows sur le contenu du lecteur.

Restaurer le double-clic sur un lecteur suite à une infection


Image IPB Symptômes

Image IPB


Lorsque vous double-cliquez sur un lecteur, un message d'erreur apparaît et vous ne pouvez pas visualiser le contenu du lecteur. Le symptôme est identique si vous tentez l'ouverture ou l'exploration en faisant un clic-droit sur la lettre du lecteur pour atteindre le menu contextuel.

Image IPB Que s'est-il passé ?

Ce petit sujet s'adresse à vous si vous vous retrouvez dans le cas exposé. Suite à une infection se propageant par support amovible (cf le sujet), il arrive que l'antivirus présent sur le système traite immédiatement l'exécutable associé à l'infection. Mais il va subsister alors un fichier "autorun.inf" d'origine infectieuse, appelant ce fichier disparu.

Ainsi, en double-cliquant sur le volume, ou en l'ouvrant par le menu contextuel, le fichier autorun.inf est exécuté et cherche à exécuter le fichier supprimé. Ne le trouvant pas, windows affiche un message d'erreur et n'ouvre pas l'explorateur sur le lecteur.


Le sujet est là : Restaurer l'ouverture d'un lecteur suite à une infection
  • 0

#4 Gof

Gof

    Tera Power Extrem Member

  • Modérateur [Gof]
  • 9761 messages

Posté 30 juin 2008 - 02:02

Image IPB Note : attention à ne pas confondre un souci d'ouverture de lecteur lié à une infection avec les cas où c'est -par exemple- la recherche qui s'effectue au double-clic et non l'ouverture. Le souci est complètement différent et n'a en général rien à voir avec une origine infectieuse.

Dans ces cas là, essayez la méthode suivante préconisée par Pear : Rendez-vous dans votre Menu Démarrer>Exécuter et copiez-collez ou tapez : regsvr32 /i shell32
Puis validez par la touche [Entrée] ou en pressant [Ok].

Exemples de sujet où ces méthodes ont été efficaces : ouverture disque dur impossible
Tu va t'ouvrir oui saleté ? [fonction du double clic modifiée]

En cas de soucis persistants, consultez l'article suivant de la Tanière de PN : Dossiers et lecteurs - Action par défaut.

Enfin, le forum est là pour vous aider si vous ne vous en sortez pas.
  • 0

#5 weld

weld

    Member

  • Membres
  • 34 messages

Posté 05 août 2008 - 01:27

mon probleme est que mon appareil photo n'est plus reconnu sur aucun pc
  • 0

#6 Gof

Gof

    Tera Power Extrem Member

  • Modérateur [Gof]
  • 9761 messages

Posté 09 août 2008 - 10:22

Bonjour tout le monde, weld :P

J'ignore où tu en es de ton souci, mais il ne semble pas à "première vue" lié à une infection se propageant par supports amovibles, ou alors tu as été avare de détails sur les symptômes. Je t'invite à te créer un sujet dans le forum de désinfection ou software afin de pallier au souci s'il est toujours présent.
  • 0

#7 Apollo

Apollo

    Devil Member !

  • Equipe Sécurité
  • 23915 messages

Posté 27 janvier 2009 - 10:22

Up pour faire remonter le sujet, car c'est encore très chaud en ce moment côté infections supports amovibles.
  • 0

#8 JetKoX

JetKoX

    Junior Member

  • Membres
  • 1 messages

Posté 04 février 2009 - 06:59

Bonjour,

Lors du téléchargement de Flash Disinfector, mon Nod32 me signal que celui ci est infecté par un trojan de variante win32.
Il n'est est rien pour les autres utilitaires par contre

@+

Je suis infecté, que faire ?

Image IPBIl n'y a pas de méthodes miracles, sinon y aller avec méthodologieSi vous connaissez précisément la variante qui vous a infecté, consultez les liens de désinfection en autonomie complète proposés par Malekal morte (première roue dentée). Si vous ne le savez pas, cela va être moins aisé. Téléchargez dans un premier temps l'outil suivant, réalisé par sUBs, et exécutez le en suivant les instructions : à savoir brancher tous les supports amovibles infectés.
Image IPBFlash Disinfector
[/list]Puis, assurez vous de neutraliser les processus infectieux actifs sur votre système. Supprimez ces fichiers, puis, faites le tour de chacune de vos racines de lecteurs, et cherchez la présence des fichiers infectieux et de l'autorun.inf associé afin de les supprimer. Il vous sera nécessaire d'avoir accès aux fichiers et dossiers cachés à cet effet :
J'attire votre attention sur le fait qu'en accédant à chacune des racines de vos lecteurs en double-cliquant sur le nom ou la lettre du volume, si un fichier Autorun.inf est présent associé à des fichiers infectieux, vous relancez l'infection ! Il vous faudra, en attendant d'être certain que tous vos volumes soient propres, accéder à chacune d'entre elles en sélectionnant Développer disponible sur le clic-droit du volume. La difficulté à neutraliser cette infection réside dans le fait qu'il faut traiter tous les volumes infectés, sinon l'infection se repropagera très vite. Prenez conscience que tous les supports amovibles peuvent être infectés : clé USB, disque dur externe, lecteur MP3, appareil photo, carte Flash, etc.
Suivant les variantes rencontrées, vous aurez en plus d'un fichier Autorun.inf et d'un exécutable infectieux, des fichiers d'autres natures, aux attributs variables. Très souvent l'infection s'accompagne de fichiers annexes, des exécutables à l'icône de répertoire (par exemple), dont l'utilisateur lambda (affichage des fichiers et dossiers cachés activés oblige) ira double-cliquer pour voir le contenu, ce qui aura pour conséquence d'activer l'infection. C'est une méthode doublon je pense de propagation en cas de neutralisation du fichier autorun.inf jouant sur la curiosité de l'utilisateur.
Si vous ne vous sentez pas à l'aise avec toutes ces manipulations, demandez de l'aide sur le forum.


  • 0

#9 angelique

angelique

    Devil Member !

  • Membres
  • 12262 messages

Posté 04 février 2009 - 07:19

'soir JetKoX

les outils de désinfection sont plus facilement (et à tord) détectés par les antivirus que les vraies saloperies :P
  • 0

#10 oGu

oGu

    Godlike Member

  • Equipe Sécurité*
  • 2912 messages

Posté 04 février 2009 - 07:20

En effet!

Je leur ai fait remonter ce faux-positif. NOD32 merdouille en ce moment: hier il m'a supprimé Gmer.exe...
  • 0