virus sur clé usb et sur pc (Résolu - Merci Gof)

[Arnipoul]

Arrivé à l'étape "double-clique" sur autorun off.reg, il m'ouvre un bloc-notes indiquant ceci :

 

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

 

 

C'est pas gagné avec moi, n'est-ce pas ?

[Gof]

Alors, plutôt que d'effectuer un double-clic, fais un clic-droit et sélectionne fusionner

 

Il faudra faire la même chose avec le deuxième fichier REG.

[Arnipoul]

Quand je fais un clic droit, je n'ai pas "fusionner"

[Gof]

Le fichier a bien cette icône ? =>

 

Ou l'icône est-elle différente ?

[Arnipoul]

En effet, ce n'est pas cet icône, c'est un icône "bloc-notes"

[Gof]

Ok. Ceci donc =>

 

Tu dois donc avoir comme nom de fichier autorun_off.reg.txt à la place de autorun_off.reg

 

Si tu vois le .txt dans le nom, fais un clic droit sur le fichier, sélectionne Renommer, et efface les derniers caractères du nom du fichier, soit .txt (avec le point). Tu auras un message d'avertissement t'indiquant que tu es en train de changer l'extension, valide.

 

Ensuite, tu retrouveras l'icone que je t'ai montrée précédemment, et tu pourras fusionner.

 

Si tu ne vois pas l'extension .txt et que tu ne peux donc pas renommer, dis le moi.

[Arnipoul]

Dans les propriétés du fichier, j'ai Document texte (.txt) mais sur le bureau, le fichier a bien pour nom autorun off.reg (sans l'extension .txt)

[Gof]

Alors, rends toi dans ton Panneau de configuration > options des fichiers et dossiers

• Va sur Affichage
  
• Assure toi que Afficher les fichiers et dossiers cachés soit sélectionné
  
• Et que les deux cases masquer les fichiers protégés du système d'exploitation et Masquer les extensions des fichiers dont le type est connu ne soient pas sélectionnées
  

 

Cela te permettra de voir l'extension réelle des fichiers et donc de les modifier. Via ces options d'affichage tu verras des fichiers que tu ne voyais pas auparavant ; rassure toi, c'est normal. Il s'agit de fichiers associés à Windows. Par la suite, je te ferais rétablir à l'état d'origine les options d'affichage.

[Arnipoul]

J'en suis au téléchargement de Vaccin USB mais quand je l'exécute, il me génère un bloc-notes dont voici le contenu :

 

27/06/2009 - 22:03:14,59 - Vaccin USB - Gof

 

Lecteur détectés :

 

Le volume dans le lecteur C n'a pas de nom.

Le numéro de série du volume est 16C6-7E24

Le volume dans le lecteur D s'appelle RECOVERY

Le numéro de série du volume est DC9B-7769

Le volume dans le lecteur F n'a pas de nom.

Le numéro de série du volume est 7EF9-0716

Le volume dans le lecteur G n'a pas de nom.

Le numéro de série du volume est 84BB-66AE

Le volume dans le lecteur H s'appelle Iomega HDD

Le numéro de série du volume est 6C4B-E238

 

Répertoires et fichiers vaccins :

 

c:\autorun.inf Present

c:\autorun.inf - Vaccin Ok

c:\adober.exe Present

c:\adober.exe - Vaccin Ok

c:\copy.exe Present

c:\copy.exe - Vaccin Ok

c:\comment.htt Present

c:\comment.htt - Vaccin Ok

c:\host.exe Present

c:\host.exe - Vaccin Ok

c:\info.exe Present

c:\info.exe - Vaccin Ok

c:\msvcr71.dll Present

c:\msvcr71.dll - Vaccin Ok

c:\ravmon.exe Present

c:\ravmon.exe - Vaccin Ok

c:\ravmon.log Present

c:\ravmon.log - Vaccin Ok

c:\sqlserv.exe Present

c:\sqlserv.exe - Vaccin Ok

c:\start.exe Present

c:\start.exe - Vaccin Ok

c:\temp.exe Present

c:\temp.exe - Vaccin Ok

c:\temp1.exe Present

c:\temp1.exe - Vaccin Ok

c:\temp2.exe Present

c:\temp2.exe - Vaccin Ok

c:\winfile.exe Present

c:\winfile.exe - Vaccin Ok

c:\ntdelect.com Present

c:\ntdelect.com - Vaccin Ok

d:\autorun.inf Present

d:\autorun.inf - Vaccin Ok

d:\adober.exe Present

d:\adober.exe - Vaccin Ok

d:\copy.exe Present

d:\copy.exe - Vaccin Ok

d:\comment.htt Present

d:\comment.htt - Vaccin Ok

d:\host.exe Present

d:\host.exe - Vaccin Ok

d:\info.exe Present

d:\info.exe - Vaccin Ok

d:\msvcr71.dll Present

d:\msvcr71.dll - Vaccin Ok

d:\ravmon.exe Present

d:\ravmon.exe - Vaccin Ok

d:\ravmon.log Present

d:\ravmon.log - Vaccin Ok

d:\sqlserv.exe Present

d:\sqlserv.exe - Vaccin Ok

d:\start.exe Present

d:\start.exe - Vaccin Ok

d:\temp.exe Present

d:\temp.exe - Vaccin Ok

d:\temp1.exe Present

d:\temp1.exe - Vaccin Ok

d:\temp2.exe Present

d:\temp2.exe - Vaccin Ok

d:\winfile.exe Present

d:\winfile.exe - Vaccin Ok

d:\ntdelect.com Present

d:\ntdelect.com - Vaccin Ok

f:\autorun.inf Present

f:\autorun.inf - Vaccin Ok

f:\adober.exe Present

f:\adober.exe - Vaccin Ok

f:\copy.exe Present

f:\copy.exe - Vaccin Ok

f:\comment.htt Present

f:\comment.htt - Vaccin Ok

f:\host.exe Present

f:\host.exe - Vaccin Ok

f:\info.exe Present

f:\info.exe - Vaccin Ok

f:\msvcr71.dll Present

f:\msvcr71.dll - Vaccin Ok

f:\ravmon.exe Present

f:\ravmon.exe - Vaccin Ok

f:\ravmon.log Present

f:\ravmon.log - Vaccin Ok

f:\sqlserv.exe Present

f:\sqlserv.exe - Vaccin Ok

f:\start.exe Present

f:\start.exe - Vaccin Ok

f:\temp.exe Present

f:\temp.exe - Vaccin Ok

f:\temp1.exe Present

f:\temp1.exe - Vaccin Ok

f:\temp2.exe Present

f:\temp2.exe - Vaccin Ok

f:\winfile.exe Present

f:\winfile.exe - Vaccin Ok

f:\ntdelect.com Present

f:\ntdelect.com - Vaccin Ok

g:\autorun.inf Present

g:\autorun.inf - Vaccin Ok

g:\adober.exe Present

g:\adober.exe - Vaccin Ok

g:\copy.exe Present

g:\copy.exe - Vaccin Ok

g:\comment.htt Present

g:\comment.htt - Vaccin Ok

g:\host.exe Present

g:\host.exe - Vaccin Ok

g:\info.exe Present

g:\info.exe - Vaccin Ok

g:\msvcr71.dll Present

g:\msvcr71.dll - Vaccin Ok

g:\ravmon.exe Present

g:\ravmon.exe - Vaccin Ok

g:\ravmon.log Present

g:\ravmon.log - Vaccin Ok

g:\sqlserv.exe Present

g:\sqlserv.exe - Vaccin Ok

g:\start.exe Present

g:\start.exe - Vaccin Ok

g:\temp.exe Present

g:\temp.exe - Vaccin Ok

g:\temp1.exe Present

g:\temp1.exe - Vaccin Ok

g:\temp2.exe Present

g:\temp2.exe - Vaccin Ok

g:\winfile.exe Present

g:\winfile.exe - Vaccin Ok

g:\ntdelect.com Present

g:\ntdelect.com - Vaccin Ok

h:\autorun.inf Present

h:\adober.exe Present

h:\adober.exe - Vaccin Ok

h:\copy.exe Present

h:\copy.exe - Vaccin Ok

h:\comment.htt Present

h:\comment.htt - Vaccin Ok

h:\host.exe Present

h:\host.exe - Vaccin Ok

h:\info.exe Present

h:\info.exe - Vaccin Ok

h:\msvcr71.dll Present

h:\msvcr71.dll - Vaccin Ok

h:\ravmon.exe Present

h:\ravmon.exe - Vaccin Ok

h:\ravmon.log Present

h:\ravmon.log - Vaccin Ok

h:\sqlserv.exe Present

h:\sqlserv.exe - Vaccin Ok

h:\start.exe Present

h:\start.exe - Vaccin Ok

h:\temp.exe Present

h:\temp.exe - Vaccin Ok

h:\temp1.exe Present

h:\temp1.exe - Vaccin Ok

h:\temp2.exe Present

h:\temp2.exe - Vaccin Ok

h:\winfile.exe Present

h:\winfile.exe - Vaccin Ok

h:\ntdelect.com Present

h:\ntdelect.com - Vaccin Ok

 

Examen fonctions Autorun BDR :

 

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

NoFolderOptions REG_DWORD 0x0

NoDriveTypeAutoRun REG_DWORD 0xff

 

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf

(par défaut) REG_SZ @SYS:DoesNotExist

 

 

27/06/2009 - 22:03:49,88 : Fin.

[Gof]

C'est donc tout bon

 

Ainsi, ce PC est prémuni contre l'exécution automatique de fichiers infectieux se propageant par supports amovibles. Les différents supports que tu as vacciné, ne seront plus non plus contaminants. C'est à dire que tu ne pourras pas infecter ta machine, ou une autre machine avec les supports vaccinés.

 

Cela n'empêchera pas peut-être que des fichiers infectieux se greffent sur le support amovible si tu les insères dans un PC déjà infecté, mais cela permettra d'éviter que les clés, à leur tour, n'infectent d'autres PC. A présent, la seule prudence qui restera, est de juste prendre soin d'analyser le supports amovible, en cas de doute, avec l'antivirus. Il devrait traiter sans soucis tout élément indésirable à présent.

 

As-tu compris la manipulation ?