Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Le Virus bloque regedit et taskmgr


Invité Bim2u
 Share

Messages recommandés

Invité Bim2u

Bonjour tlm

 

Mon PC est infecté par un Virus étrange qui change tout le temps de nom et d'extension. Lorsque je connecte ma clé USB, je vois 2 (parfois 3 fichiers) qui se créent automatiquement : l'autorun.inf et un autre portant l'extension ".pif" ou ".cmd" et parfois un troisième fichier executable ".exe".

Le virus bloque la commande regedit (càd crée la valeur DisableRegistryTools dans la base de registre) et le gestionnaire des tâches (DisableTaskMgr). J'ai effacé ces deux valeurs dans la base de registre (en utilisant TuneUp registry Editor) mais quelques secondes après, elles reviennent automatiquement. Je n'arrive plus à ouvrir les fichiers ".jpg". Est-ce quelqu'un a la solution?? Quel est le nom de ce virus?? Quel est le processus responsable de ce virus??.

 

Voici la description du virus et le contenu du fichier autorun.inf

 

Nom : wyqhu.cmd

Type de fichier : Script de commande Windows NT

Description : Jeu Démineur du pack Entertainment

Taille : 216 Ko (222207 octets)

Taille sur le disque : 218 Ko (223 232)

 

---------> VOICI LE CONTENU DU FICHIER autorun.inf (J'ai respecté la casse)

 

[Autorun]

;MDcsbXsomKxtKb

;jPmfAeedsTLoydd bfPddcrC NTliJq

shelL\explore\CoMmAND =wyqhu.cmd

 

;sQLbgEvaisjjogV vVOGsTLptF AcsPLS PfvwKgcRDrOtlLmGBKTyR

ShEll\opEn\DEfauLT=1

Open=wyqhu.cmd

;urhyXgavkctotRxfLdghoosQPP pjscWqbqAeuk xfYymvnGAJDt

ShelL\OpEn\ComMaNd=wyqhu.cmd

 

;

sHELL\AUtOplay\commAnd=wyqhu.cmd

 

 

 

 

Merci d'avance.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Les fichiers autorun.inf sont infectés.

Cette infection peut avoir été introduite par le biais d'un support amovible tels que Clé USB, CD-R, CDRW, etc.

Car cette infection a ceci de particulier qu'elle crée des fichiers .inf (cachés) aux racines de tout ce qui entre en contact avec elle, comme la racine du disque C (système) par exemple.

Des explications là:

http://forum.malekal.com/ftopic3350.php

http://forum.malekal.com/viewtopic.php?f=4...544&p=38463

 

Désinfection

Télécharger Flash_Disinfector.exe de sUBs

l'enregistrer sur le bureau.

Connecter tous les supports amovibles susceptibles d'avoir été infectés .

Double-cliquer dessus et suivre les instructions

,

Enregistrer Clean.zip sur le bureau

- faire un clic droit dessus et "extraire ici".

Un dossier "Clean" sera créé.

Redémarrer en mode sans échec

Ouvrez le dossier clean qui se trouve sur le bureau,

double-cliquer sur clean.cmd,

Dans la fenêtre noire, choisir l'option 2 et suivre les instructions

Cochez les options comme indiquées sur cettepage:

 

 

Prévention:

Désactiver l'autorun sur tous les lecteur (USB, CD, DVD, SATA, Firewire, etc.

Copier/coller ce qui suit dans le bloc notes,

sans ligne blanche au début.

Enregistrez sur le bureau sous regis.reg.

Cliquez droit sur le fichier ->fusionner

Acceptez la modification du Régistre:

 

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion­\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion­\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

 

Vaccination

Désactivez l'antivirus

Télécharge VaccinUSB de Gof

Enregistrez le surC:\

Double-cliquez

Faites la même opération sur les clés USB ,disque dur externe, et tous supports amovibles,en collant et exécutant. VaccinUSB sur chacun d'eux.

Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You are posting as a guest. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...