Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

infection "Virut" et partition du disque dur

Artur

Par Artur
dans Analyses et éradication malwares

 Partager

Messages recommandés

Artur Junior Member

Artur

Posté(e)
Posté(e)

Bonsoir à tous,

 

j'ai découvert ce forum en cherchant une solution au problème de mon ordi : infection par Bck/Sdbot.JED.worm trouvée par Panda Antivirus.

 

J'ai en particulier lu la remarquable correspondance entre Mark et Eutorpe sur le sujet.

Un grand merci déjà pour tous les conseils contenus dans ces échanges.

 

Pour ma part, mon PC rebootait en permanence sans même terminer de charger Windows. Le mode sans échec n'était même plus accessible!

 

J'ai résolu le problème (dans l'urgence) sans faire dans le détail : je disposais d'un deuxième disque dur (qui n'était pas connecté de puis plusieurs mois) mais sur lequel était installé une version de Windows XP mais pas mes fichiers de travail). J'ai donc débranché le DD infecté et connecté l'autre !

Jusque là, plus de souci. Puis-je conserver Panda ? ou dois-je changer pour Antivir ?

 

Le disque dur infecté est partitionné en trois : une partition système où est (ou plutôt était) installé Windows ! et deux autre partitions : une contenant tous mes fichiers de travail (*.doc, *.xls, *.pdf, ... *.jpg, ...) des exécutables divers téléchargés (tels CCleaner, sdsetup.exe (PC tools)), des images de CD en *.nrg, *.ccd ...

 

Ma question est donc : que puis-je récupérer sans risque de tout cela ? L'infection n'a-t-elle atteinte que la partition où est installé Windows ? Ne dois reformater que la partition système ou tout le disque ?

 

Merci d'avance pour les conseils qui pourraient m'être donnés.

 

Bonne soirée à tous.

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Salut Artur :P

 

Merci pour les commentaires :P

 

Je dois faire vite (manque de temps), alors voici un petit survol :

 

Virut infecte tous les exécutables (.exe et .scr) ; ça on le sait. Les fichiers .htm, .html et .php aussi (via un iFrame). Un seul de ces fichiers infectés peut relancer l'infection en grande, rapidement, si laissé derrière. Les archives qui contiennent un ou des exécutables sont attaqués aussi. Les programmes également, puisqu'ils contiennent des fichiers exécutables.

 

Maintenant, les partitions et disques supplémentaires : plus compliqué là... Si le disque ou la partition ne contient que des fichiers perso non exécutables et qu'il n'y a pas de fichiers .htm, .html et .php, ça devrait aller. Si le disque contient un mélange de données + des programmes/exécutables, le risque est très élevé, surtout si des fichiers ont été transférés lorsque la machine était infectée. Risque à 100% pour une partition qui contient des programmes lancés via la partition système.

 

Cela dit... il n'est pas impossible de prendre un disque infecté, de le connecter en "slave" et de le scanner avec un antivirus compétent et à jour pour la variante de Virut présente. On laisse l'antivirus nettoyer et on espère qu'il nettoie tout (pas garanti...).

 

Méthode plus sûre pour un disque infecté : on y récupère les données essentielles en le branchant en "slave", puis on le formate, surtout s'il y avait Windows dessus qui était infecté. Ne pas sauvegarder les programmes ou fichiers exécutables... surtout pas.

 

Pour le cas isolé où des images, fichiers .doc et .pdf étaient infectés : suivre ma méthode dans l'autre discussion qui, je pense, est assez sécuritaire et permettra de conserver les précieux fichiers...

 

===========

 

Si questions, pas de gêne. Je repasserai durant la nuit.

 

@+

 

Mark

Artur Junior Member

Artur

Posté(e)
  • Auteur
Posté(e)

Bonsoir Mark,

 

un grand merci pour ta réponse hyper rapide !

 

Je n'ai pas encore essayé de brancher le disque dur infecté en slave et de lancer un scan avec un Antivirus à jour.

 

Par contre, j'ai scanné une clé USB qui avait été connecté à l'ordi infecté avec plusieurs outils à jour :

 

AVASt! ne trouve rien...

PCtools ne trouve rien...

Malwarebytes'antimalware ne trouve rien non plus.

 

Antivir trouve lui trois fichiers infectés sur la clé : SPOOLSV.EXE ; RUNDLL32.EXE ; CMD.EXE. Ces fichiers ne sont d'ailleurs pas visibles avec l'explorateur de Windows... même réglé avec affichage des fichiers système ou cachés.

mais comme comme ma clé était bloquée en écriture, Antivir n'a pas pu continuer : je referai la manip demain, avec écriture autorisée sur la clé. Mais est-elle sans risque de réinfection ?

 

Bonne soirée.

Et encore merci pour ton aide.

 

 

 

Salut Artur :P

 

Merci pour les commentaires :P

 

Je dois faire vite (manque de temps), alors voici un petit survol :

 

Virut infecte tous les exécutables (.exe et .scr) ; ça on le sait. Les fichiers .htm, .html et .php aussi (via un iFrame). Un seul de ces fichiers infectés peut relancer l'infection en grande, rapidement, si laissé derrière. Les archives qui contiennent un ou des exécutables sont attaqués aussi. Les programmes également, puisqu'ils contiennent des fichiers exécutables.

 

Maintenant, les partitions et disques supplémentaires : plus compliqué là... Si le disque ou la partition ne contient que des fichiers perso non exécutables et qu'il n'y a pas de fichiers .htm, .html et .php, ça devrait aller. Si le disque contient un mélange de données + des programmes/exécutables, le risque est très élevé, surtout si des fichiers ont été transférés lorsque la machine était infectée. Risque à 100% pour une partition qui contient des programmes lancés via la partition système.

 

Cela dit... il n'est pas impossible de prendre un disque infecté, de le connecter en "slave" et de le scanner avec un antivirus compétent et à jour pour la variante de Virut présente. On laisse l'antivirus nettoyer et on espère qu'il nettoie tout (pas garanti...).

 

Méthode plus sûre pour un disque infecté : on y récupère les données essentielles en le branchant en "slave", puis on le formate, surtout s'il y avait Windows dessus qui était infecté. Ne pas sauvegarder les programmes ou fichiers exécutables... surtout pas.

 

Pour le cas isolé où des images, fichiers .doc et .pdf étaient infectés : suivre ma méthode dans l'autre discussion qui, je pense, est assez sécuritaire et permettra de conserver les précieux fichiers...

 

===========

 

Si questions, pas de gêne. Je repasserai durant la nuit.

 

@+

 

Mark

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...