Bonsoir,
Voilà, je vais essayer d'apporter un maximum d'infos sur mon cas.
Un ami m'a passé une clé USB qui ne lui appartient pas pour que je lui remette des documents
De plus je viens de faire quelques formatages successifs et ce n'est pas fini donc je n'ai pas toujours un antivirus installé (oui, tout cela est imprudent je sais, mais avast! n'est plus ce qu'il était)
Donc je lui copie les documents, et en voulant vérifier qu'ils sont bien là où je les ai mis, j'ouvre la clé.
Le mal est fait, je vois AdobeR.exe et son Autorun.inf, ainsi que plusieurs fichiers cachés : phk1f.cmd, msvcr71.dll et ce qui m'inquiète le plus, un explorer.exe
Je m'inquiète un peu, je fais un scan de mes ports et des processus actifs, aucun signe de AdobeR ... Je reviens sur la clé en prenant soin de faire clicdroit>explorer et là plus de virus ! j'hallucine, je vais dans les options de fichiers et je décoche "cacher les fichiers protégés blablabla" mais toujours pas ...
AdobeR est assez facile à effacer, il existe des utilitaires qui le font très bien, mais les autres fichiers m'intriguent. Je boot sur une deuxième installation de XP, je fais une recherche sur goggle et j'efface les fichiers nommés ici : http://www.proland.net/virus_info/trojans/onlinegamesacvr.htm . Je supprime des autorun.inf et phk1f.cmd qui trainent à la racine de certaines partitions (mais pas toutes, pourquoi ?) et j'exécute FxRaJump et rav.exe pour AdobeR, aucun signe (peut-être parce que j'ai supprimé des fichiers manuellement ou parce que je ne suis pas sur l'installation infectée, je vais essayé plus tard). De plus j'ai regardé le contenu du phk1f.cmd, ce n'est pas du batch, et le autorun.inf est incompréhensible : un enchaînement de lettres n'ayant aucun sens apparent ...
Dernière minute, j'ai vu que McAfee Avert Stinger (http://vil.nai.com/vil/stinger/) detecte ce virus et le corrige (noms connus : W32/OnLineGames.ACVR, PWS-Gamania.gen.a, PSW.Win32.OnLineGames.acvr, PSW.OnlineGames.AZ, WORM_ONLINEG.AV) mais je n'ai pas encore essayé.
Mais deux choses m'inquiètent encore :
- Est-ce que ce ver/virus/trojan n'écrit rien dans le registre ?
- Pire, j'ai fait une recherche des fichiers créés au moment où j'ai été infecté, et il y a le explorer.exe de system32 ! Au même moment il y a des fichiers du Prefetch explorer.exe-(...).pf, phk1f.cmd-(...).pf et mes cports.exe-(...).pf, netscan.exe-(...).pf et procmon.exe-(...).pf qui ont été créés :
Est-ce qu'il aurait remplacé mon explorer.exe et l'aurait relancé par la suite ?
Voilà je pense que j'ai fait le tour, vous avez une idée sur mon problème ?
Pour l'instant je voudrais en savoir plus sur ce virus (tout récent semble-t'il, en date de 2008 et peu de sites français en parle ...), ensuite on verra pour la désinfection mais c'est pas le plus important ... surtout qu'il faudrait aller sur l'installation infectée et je voudrais éviter ...
"Pour la petite histoire, sachez que ce virus PWS-Gamania.gen.a Trojan aussi appelé W32.Gammima.AG, a été détecté par la NASA sur les ordinateurs portables des astronautes qui ont rejoint la station spatiale internationale (ISS) en Avril dernier. Il s'agit donc du premier virus mis en orbite" et il avait été propagé en masse par un lecteur MP3 de sony après avoir été infecté en usine ... (http://www.touslesdrivers.com/index.php?v_page=3&v_code=3163)
J'espère que je n'ai pas été trop long et que quelqu'un aura l'amabilité de bien vouloir s'interesser à mon virus :P
Bonne soirée, et merci d'avance.
Configuration: Windows XP PRO SP3
Firefox 3
Clé usb 64 go
