A voir également:
- Virus transmis par clé usb
- Cle usb non reconnu - Guide
- Clé windows 10 gratuit - Guide
- Cle usb bootable - Guide
- Formater clé usb mac - Guide
- Medicat usb - Guide
14 réponses
evasion60/PCA
Messages postés
819
Date d'inscription
mercredi 2 novembre 2005
Statut
Contributeur sécurité
Dernière intervention
29 janvier 2010
92
2 janv. 2009 à 22:55
2 janv. 2009 à 22:55
Bonsoir et bienvenue sur CCM
Flashdisinfector
Tuto du nettoyage Gof :
https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/
* Télécharge Flash Disinfector de sUBs sur le bureau.
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
* Ferme les applications (word, etc) : car explorer.exe va être arrêté puis relancé (on perd les icônes du bureau).
* Branche les supports amovibles, démarre-les (disques dur externes par exemple) pour ceux qui le devraient, sans ouvrir le contenu par le poste de travail.
* Double-clique sur Flash_Disinfector.exe.
* Le nettoyage est rapide, un message informer de la fin des opérations.
* Si un rapport est généré en cas d'infection, sauvegarde-le et poste le dans la prochaine réponse.
* S'il y a plusieurs clés USB ou disques durs externes à désinfecter, renouvelle l'opération en branchant les clés non traitées une par un
Bonne réception
Flashdisinfector
Tuto du nettoyage Gof :
https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/
* Télécharge Flash Disinfector de sUBs sur le bureau.
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
* Ferme les applications (word, etc) : car explorer.exe va être arrêté puis relancé (on perd les icônes du bureau).
* Branche les supports amovibles, démarre-les (disques dur externes par exemple) pour ceux qui le devraient, sans ouvrir le contenu par le poste de travail.
* Double-clique sur Flash_Disinfector.exe.
* Le nettoyage est rapide, un message informer de la fin des opérations.
* Si un rapport est généré en cas d'infection, sauvegarde-le et poste le dans la prochaine réponse.
* S'il y a plusieurs clés USB ou disques durs externes à désinfecter, renouvelle l'opération en branchant les clés non traitées une par un
Bonne réception
On est jamais mieux servi que par soi-même, voilà un lien avec quelques explications :
http://www.malekal.com/amvo_tavo_kavo_Trojan.PWS.Onlinegames.php
Pour désinfecter :
* Désactivez les logiciels de protection (Antivirus, Antispywares)
* Téléchargez Combofix de sUBs sur votre bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
* Double-cliquez sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider.
* Laissez le scan s'effectuer, cela peut prendre plusieurs minutes, voir 1h.
* Suivez ce tutorial pour Malwarebyte's Anti-Malware anti-malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ (telecharger, installer et nettoyage en mode sans echec)
* Redémarrez l'ordinateur
L'infection se propage par disques amovibles (clefs USB, disque dur externe, carte flash etc..).
Le simple fait d'ouvrir le poste de travail et de double-cliquer sur ta clef USB/disque dur externe va réinfecter votre système.
Il te faut maintenant nettoyer tes clefs USB/disques dur externes, pour cela :
SURTOUT ne pas double-cliquer sur le disque dans le poste de travail
* Ouvrez le poste de travail
* Clicquez sur le menu outils en haut à droite puis options des dossiers
* Dans la nouvelle fenêtre, clicquez sur l'onglet Affichage en haut
* Cochez dans la liste "Afficher les fichiers cachés"
* Décochez "masquer les fichier proteger du systeme d exploitation (recommandée)"
* Vous allez recevoir un message qui te dit que cela peut endommager le système, n'en tenez pas compte.
* Ouvrez le poste de travail
* Pour chaque disque dans le poste de travail : Faites un clic droit sur le disque dur - surtout ne double-clic pas dessus!!!
* Choisissez ouvrir dans le menu déroulant.
* Cherchez un fichier autorun.inf et des fichiers : .com ou .bat avec des noms aléatoires
* Si présents, supprimez le en faisant un clic droit puis supprimer.
* Répétez l'opération sur tous les disques se trouvant dans le poste de travail.
La question sur explorer reste toujours en suspend, je vois toujours pas qu'est-ce qu'il faisait sur une clé en fichier caché, mais je pense qu'on est trop débordé ici pour s'attarder sur ce que je raconte ... (désolé, un peu désobligé par la première réponse qui était ... assez à côté de la plaque ... comme si qu'on avait répondu au titre plus qu'au message ...)
Bonne continuation.
Cordialement,
TiBilly
http://www.malekal.com/amvo_tavo_kavo_Trojan.PWS.Onlinegames.php
Pour désinfecter :
* Désactivez les logiciels de protection (Antivirus, Antispywares)
* Téléchargez Combofix de sUBs sur votre bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
* Double-cliquez sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider.
* Laissez le scan s'effectuer, cela peut prendre plusieurs minutes, voir 1h.
* Suivez ce tutorial pour Malwarebyte's Anti-Malware anti-malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ (telecharger, installer et nettoyage en mode sans echec)
* Redémarrez l'ordinateur
L'infection se propage par disques amovibles (clefs USB, disque dur externe, carte flash etc..).
Le simple fait d'ouvrir le poste de travail et de double-cliquer sur ta clef USB/disque dur externe va réinfecter votre système.
Il te faut maintenant nettoyer tes clefs USB/disques dur externes, pour cela :
SURTOUT ne pas double-cliquer sur le disque dans le poste de travail
* Ouvrez le poste de travail
* Clicquez sur le menu outils en haut à droite puis options des dossiers
* Dans la nouvelle fenêtre, clicquez sur l'onglet Affichage en haut
* Cochez dans la liste "Afficher les fichiers cachés"
* Décochez "masquer les fichier proteger du systeme d exploitation (recommandée)"
* Vous allez recevoir un message qui te dit que cela peut endommager le système, n'en tenez pas compte.
* Ouvrez le poste de travail
* Pour chaque disque dans le poste de travail : Faites un clic droit sur le disque dur - surtout ne double-clic pas dessus!!!
* Choisissez ouvrir dans le menu déroulant.
* Cherchez un fichier autorun.inf et des fichiers : .com ou .bat avec des noms aléatoires
* Si présents, supprimez le en faisant un clic droit puis supprimer.
* Répétez l'opération sur tous les disques se trouvant dans le poste de travail.
La question sur explorer reste toujours en suspend, je vois toujours pas qu'est-ce qu'il faisait sur une clé en fichier caché, mais je pense qu'on est trop débordé ici pour s'attarder sur ce que je raconte ... (désolé, un peu désobligé par la première réponse qui était ... assez à côté de la plaque ... comme si qu'on avait répondu au titre plus qu'au message ...)
Bonne continuation.
Cordialement,
TiBilly
evasion60/PCA
Messages postés
819
Date d'inscription
mercredi 2 novembre 2005
Statut
Contributeur sécurité
Dernière intervention
29 janvier 2010
92
3 janv. 2009 à 15:17
3 janv. 2009 à 15:17
Bonjour
... et oui, comme tu dis !!! :
ERADICATION VIRUS KAVO.EXE
Le virus kavo.exe (ou approchant) s’installe sur TOUTES les partitions montées sur le PC : les disques internes,
externes USB et clefs USB. Il faut d’abord nettoyer le PC, puis les unités externes selon la procédure ci-dessous.
1 – Vérification de la présence
· Démarrer la fenêtre DOS (Démarrer -> Tous les progammes -> Accessoires -> Invite de commandes)
· Aller à une racine (C:\ ou P:\) en tapant CD \ (et Retour Marge)
· Taper DIR /A:SHR C: pour obtenir la liste des fichiers cachés. S’il y a un C:\AUTORUN.INF, le PC est
infecté. Seuls 5 fichiers de ce type SHR peuvent se trouver sur disque : BOOT.INI, IO.SYS, MSDOS.SYS,
NTDETECT.COM et NTLDR, Les autres sont à détruire selon la procédure ci-dessous.
2 – Eradication
· Aller dans regedit (Démarrer -> Exécuter)
· Se positionner sur Poste de travail et rechercher kavo (CTRL + F, puis PF3 pour aller au suivant)
· Détruire TOUS les éléments trouvés, ainsi que les semblables comme ravo, kava, rava, …
· Vider C:\WINDOWS\PREFETCH
· Exécuter Autorun_off.reg
· Redémarrer le PC
A ce moment, le PC est en état pour ne pas redémarrer les processus viraux
· Après le Boot, rechercher de nouveau kavo avec regedit (il est parfois tenace)
· Taper DIR /A:SHR C: dans la fenêtre DOS et noter les fichiers à détruire (l’un est AUTORUN.INF, les
autres sont des .BAT, .COM ou .EXE)
· Les détruire en tapant DEL /F /A:SHR C :*.INF C :???. ??? (2e fichier)
· Reproduire ces 2 commandes sur les autres partitions internes (DIR /A:SHR D:)
A ce moment, le PC est normalement vidé des éléments viraux. Rebooter le PC et vérifier.
3 – Eradication sur les périphériques USB
Le PC étant toujours en Autorun_off, il est désormais possible de nettoyer les disques et clefs USB en espérant qu’il
n’y ait pas de démarrage intempestif (surtout ne pas ouvrir la liste des fichiers)
· Insérer la clef (ou le disque) à tester
· Ne pas ouvrir via le Gestionnaire de Fichiers
· Ouvrir le Poste de travail pour connaître la lettre allouée à l’unité externe (ici F:)
· Taper ATTRIB F:\*.* dans la fenêtre DOS et noter les fichiers SHR à détruire
· Taper DEL /F /A :SHR F :*.INF F :???. ??? (2e fichier)
· Reproduire cette opération sur toutes les unités disponibles
Le PC peut être remis en Autorun_on, mais le risque existe de récupérer de nouveau le virus. Je conseille d’attendre
quelques jours avant de revenir à cette situation standard et de prévenir l’utilisateur de passer la commande
ATTRIB F:\*.* lors de chaque montage d’unité USB.
******************************************************
Autorun_off.reg
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000
*******************************************************
Autorun_on.reg
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000001
********************************************************
Bonne réception
--.
** Faites ce que l'on vous dit : pas plus, pas moins **
** Allez jusqu'au bout de la désinfection, même si vous notez une amélioration rapide **
... et oui, comme tu dis !!! :
ERADICATION VIRUS KAVO.EXE
Le virus kavo.exe (ou approchant) s’installe sur TOUTES les partitions montées sur le PC : les disques internes,
externes USB et clefs USB. Il faut d’abord nettoyer le PC, puis les unités externes selon la procédure ci-dessous.
1 – Vérification de la présence
· Démarrer la fenêtre DOS (Démarrer -> Tous les progammes -> Accessoires -> Invite de commandes)
· Aller à une racine (C:\ ou P:\) en tapant CD \ (et Retour Marge)
· Taper DIR /A:SHR C: pour obtenir la liste des fichiers cachés. S’il y a un C:\AUTORUN.INF, le PC est
infecté. Seuls 5 fichiers de ce type SHR peuvent se trouver sur disque : BOOT.INI, IO.SYS, MSDOS.SYS,
NTDETECT.COM et NTLDR, Les autres sont à détruire selon la procédure ci-dessous.
2 – Eradication
· Aller dans regedit (Démarrer -> Exécuter)
· Se positionner sur Poste de travail et rechercher kavo (CTRL + F, puis PF3 pour aller au suivant)
· Détruire TOUS les éléments trouvés, ainsi que les semblables comme ravo, kava, rava, …
· Vider C:\WINDOWS\PREFETCH
· Exécuter Autorun_off.reg
· Redémarrer le PC
A ce moment, le PC est en état pour ne pas redémarrer les processus viraux
· Après le Boot, rechercher de nouveau kavo avec regedit (il est parfois tenace)
· Taper DIR /A:SHR C: dans la fenêtre DOS et noter les fichiers à détruire (l’un est AUTORUN.INF, les
autres sont des .BAT, .COM ou .EXE)
· Les détruire en tapant DEL /F /A:SHR C :*.INF C :???. ??? (2e fichier)
· Reproduire ces 2 commandes sur les autres partitions internes (DIR /A:SHR D:)
A ce moment, le PC est normalement vidé des éléments viraux. Rebooter le PC et vérifier.
3 – Eradication sur les périphériques USB
Le PC étant toujours en Autorun_off, il est désormais possible de nettoyer les disques et clefs USB en espérant qu’il
n’y ait pas de démarrage intempestif (surtout ne pas ouvrir la liste des fichiers)
· Insérer la clef (ou le disque) à tester
· Ne pas ouvrir via le Gestionnaire de Fichiers
· Ouvrir le Poste de travail pour connaître la lettre allouée à l’unité externe (ici F:)
· Taper ATTRIB F:\*.* dans la fenêtre DOS et noter les fichiers SHR à détruire
· Taper DEL /F /A :SHR F :*.INF F :???. ??? (2e fichier)
· Reproduire cette opération sur toutes les unités disponibles
Le PC peut être remis en Autorun_on, mais le risque existe de récupérer de nouveau le virus. Je conseille d’attendre
quelques jours avant de revenir à cette situation standard et de prévenir l’utilisateur de passer la commande
ATTRIB F:\*.* lors de chaque montage d’unité USB.
******************************************************
Autorun_off.reg
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000
*******************************************************
Autorun_on.reg
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000001
********************************************************
Bonne réception
--.
** Faites ce que l'on vous dit : pas plus, pas moins **
** Allez jusqu'au bout de la désinfection, même si vous notez une amélioration rapide **
Merci, très utile ce site !
Etrangement (et c'est bien pour ça que j'ai posté sur ce site) je voulais savoir "comment ça marche" ! et pas comment le supprimé (chose que j'ai déjà faite manuellement, sauf si ce petit programme - que je trouve très bien et que j'ai conseillé à beaucoup d'amis - fait autre chose que supprimer les fichiers infectés). A moins que je n'ai pas été très clair ...
Merci toutefois pour ta réponse rapide, mais mes périphériques ne sont plus contaminés.
Etrangement (et c'est bien pour ça que j'ai posté sur ce site) je voulais savoir "comment ça marche" ! et pas comment le supprimé (chose que j'ai déjà faite manuellement, sauf si ce petit programme - que je trouve très bien et que j'ai conseillé à beaucoup d'amis - fait autre chose que supprimer les fichiers infectés). A moins que je n'ai pas été très clair ...
Merci toutefois pour ta réponse rapide, mais mes périphériques ne sont plus contaminés.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
De plus (désolé du double post) j'ai jté un oeil sur ton lien, et en fin de post il est écrit :
"Me voilà désinfecté ici, dans cet exemple. Et le fait d'avoir vacciné ma clé me prémunit de l'infecter la prochaine fois que je l'insérerais dans un pc ayant cette même infection. Il ne s'agit là que d'un exemple, avec des infections basiques. Certaines nécessitent de compléter le nettoyage par la suppression de fichiers dans les répertoires système et le nettoyage d'entrées dans la base de registre. Les forums sont là pour vous aider icon_wink.gif"
C'est précisément sur ce point que je demande de l'aide !
Et je ne parle biensûr pas de AdobeR comme tu semblais l'avoir compris (je pensais avoir donné suffisamment de détails pour m'être fait comprendre pourtant ^^) mais de phk1f.cmd (OnLineGames.ACVR)
"Me voilà désinfecté ici, dans cet exemple. Et le fait d'avoir vacciné ma clé me prémunit de l'infecter la prochaine fois que je l'insérerais dans un pc ayant cette même infection. Il ne s'agit là que d'un exemple, avec des infections basiques. Certaines nécessitent de compléter le nettoyage par la suppression de fichiers dans les répertoires système et le nettoyage d'entrées dans la base de registre. Les forums sont là pour vous aider icon_wink.gif"
C'est précisément sur ce point que je demande de l'aide !
Et je ne parle biensûr pas de AdobeR comme tu semblais l'avoir compris (je pensais avoir donné suffisamment de détails pour m'être fait comprendre pourtant ^^) mais de phk1f.cmd (OnLineGames.ACVR)
Utilisateur anonyme
3 janv. 2009 à 15:27
3 janv. 2009 à 15:27
Salut ,
EDIT , erreure de ma part sorry
@++
EDIT , erreure de ma part sorry
@++
evasion60/PCA
Messages postés
819
Date d'inscription
mercredi 2 novembre 2005
Statut
Contributeur sécurité
Dernière intervention
29 janvier 2010
92
3 janv. 2009 à 15:32
3 janv. 2009 à 15:32
Hello
... Que se passe-t-il ?
Evasion60
... Que se passe-t-il ?
Evasion60
Utilisateur anonyme
3 janv. 2009 à 15:33
3 janv. 2009 à 15:33
RE evasion
nada , c est ma faute j ai mal lu le topic désolé
[mode confu]
nada , c est ma faute j ai mal lu le topic désolé
[mode confu]
cyber-mentor
Messages postés
129
Date d'inscription
samedi 3 janvier 2009
Statut
Membre
Dernière intervention
18 avril 2009
10
3 janv. 2009 à 20:33
3 janv. 2009 à 20:33
Bonsoir,
Je crois savoir le problème le nom du virus à l'origine de ton problème est un " vers "
transmissible souvent infecté dans les CD, clé usb , etc..
la seul manière c'est de mettre en quarantaine le virus et jeté votre clé usb
apars si il y a un logiciel spécifiquement créer pour ces problèmes je doutes
Bonne chance et bonne journée
-------------------------------------------------------------------------------------------------------------------------------------------------------------------
Signé: Cyber-Mentor
Pour des question concernant mes réponses
veuillez m'en faire part le plus rapide possible
Je crois savoir le problème le nom du virus à l'origine de ton problème est un " vers "
transmissible souvent infecté dans les CD, clé usb , etc..
la seul manière c'est de mettre en quarantaine le virus et jeté votre clé usb
apars si il y a un logiciel spécifiquement créer pour ces problèmes je doutes
Bonne chance et bonne journée
-------------------------------------------------------------------------------------------------------------------------------------------------------------------
Signé: Cyber-Mentor
Pour des question concernant mes réponses
veuillez m'en faire part le plus rapide possible
evasion60/PCA
Messages postés
819
Date d'inscription
mercredi 2 novembre 2005
Statut
Contributeur sécurité
Dernière intervention
29 janvier 2010
92
3 janv. 2009 à 22:15
3 janv. 2009 à 22:15
Hello, bonsoir Cyber-Mentor
Mauvaise " pioche ", mauvaise " réponse " sur un forum publique, ou tout le monde à accès en lecture !!
En aucun cas nous disons aux " Visiteurs " de jeter sa clé USB !!!
Les réponses sont données plus haut ( remonter les posts => merci )
-1-
Désinfecter le PC principal ( voir les liens donnés )
-2-
Désinfecter les supports ammovibles ( Clé USB, HDD externes , etc ===> sans les ouvrir )
Bonne réception
Cordialement
Evasion60
Mauvaise " pioche ", mauvaise " réponse " sur un forum publique, ou tout le monde à accès en lecture !!
En aucun cas nous disons aux " Visiteurs " de jeter sa clé USB !!!
Les réponses sont données plus haut ( remonter les posts => merci )
-1-
Désinfecter le PC principal ( voir les liens donnés )
-2-
Désinfecter les supports ammovibles ( Clé USB, HDD externes , etc ===> sans les ouvrir )
Bonne réception
Cordialement
Evasion60
Utilisateur anonyme
3 janv. 2009 à 23:50
3 janv. 2009 à 23:50
RE
En fait si ,
killer l autorun ne suffit pas forcément a nettoyer le support amovible
++
En fait si ,
killer l autorun ne suffit pas forcément a nettoyer le support amovible
++
Merci pour ta réponse !
En effet j'avais pu faire la sppression de tous les éléments que tu as cité grâce à une installation que j'avais sur une autre partition (un peu plus simple que msdos :)).
Du coup j'ai fait un scan avec Malwarebytes en mode sans echec pour voir ce qu'il en reste, et il trouve infecté : explorer.exe !!! (bizarrement hein :P)
Du coup tu me conseilles quoi ? tu penses que si je fais supprimer windows pourra le remettre tt seul ? il y a un risque de pb si je réccupère explorer.exe sur mon CD original et que je le remplace ?
Merci de ton aide
Cordialement,
TiBilly
En effet j'avais pu faire la sppression de tous les éléments que tu as cité grâce à une installation que j'avais sur une autre partition (un peu plus simple que msdos :)).
Du coup j'ai fait un scan avec Malwarebytes en mode sans echec pour voir ce qu'il en reste, et il trouve infecté : explorer.exe !!! (bizarrement hein :P)
Du coup tu me conseilles quoi ? tu penses que si je fais supprimer windows pourra le remettre tt seul ? il y a un risque de pb si je réccupère explorer.exe sur mon CD original et que je le remplace ?
Merci de ton aide
Cordialement,
TiBilly
Je me rectifie,
EXPLORER.EXE n'est pas lié à kavo.exe, c'est un virus à part.
Cette clé USB était décidément bien fournie : AdobeR, kavo et EXPLORER
Evasion60, si tu as une méthode simple pour le supprimer fais nous-en part.
En fait ce n'est pas l'explorateur windows qui est infecté (C:\WINDOWS\explorer.exe) mais un fichier qui porte le même nom (C:\WINDOWS\system32\EXPLORER.EXE) reconnu par Avast! comme Win32:Detnat-AX [Wrm] et qui est un fichier caché
J'ai donc supprimé ce fichier et tout ce qui s'y rapporte dan le registre (en faisant attention à ne pas supprimer des liens vers le bon explorer, la différence étant que l'un et en majuscules et l'autre en minuscules : c'est le seul moyen que j'ai trouvé)
Pour note chez moi je l'ai trouvé dans :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run (les fichiers qui se lancent au démarrage)
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MuiCache (à quoi correspond ce chemin ?!)
(attention, dans ce dernier il y a les deux explorer, il faut bien supprimer :\WINDOWS\system32\EXPLORER.EXE)
Voilà, tout est propre maintenant, je vais faire un dernier scan avec Malwarebytes pour en être sûr.
Merci de votre aide.
Cordialement,
TiBilly
EXPLORER.EXE n'est pas lié à kavo.exe, c'est un virus à part.
Cette clé USB était décidément bien fournie : AdobeR, kavo et EXPLORER
Evasion60, si tu as une méthode simple pour le supprimer fais nous-en part.
En fait ce n'est pas l'explorateur windows qui est infecté (C:\WINDOWS\explorer.exe) mais un fichier qui porte le même nom (C:\WINDOWS\system32\EXPLORER.EXE) reconnu par Avast! comme Win32:Detnat-AX [Wrm] et qui est un fichier caché
J'ai donc supprimé ce fichier et tout ce qui s'y rapporte dan le registre (en faisant attention à ne pas supprimer des liens vers le bon explorer, la différence étant que l'un et en majuscules et l'autre en minuscules : c'est le seul moyen que j'ai trouvé)
Pour note chez moi je l'ai trouvé dans :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run (les fichiers qui se lancent au démarrage)
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MuiCache (à quoi correspond ce chemin ?!)
(attention, dans ce dernier il y a les deux explorer, il faut bien supprimer :\WINDOWS\system32\EXPLORER.EXE)
Voilà, tout est propre maintenant, je vais faire un dernier scan avec Malwarebytes pour en être sûr.
Merci de votre aide.
Cordialement,
TiBilly
cyber-mentor
Messages postés
129
Date d'inscription
samedi 3 janvier 2009
Statut
Membre
Dernière intervention
18 avril 2009
10
4 janv. 2009 à 18:37
4 janv. 2009 à 18:37
Bonsoir / evasion60/PCA
Il y a certainement du vraie et du faux dans ce que tu dis
et certainement du faux et du vraie dans ce que je dis ..
Mais qu'en je dis quelque chose je réfléchis toujours ta réponse était très pertinente mais réfléchi ?
Bien qu'un ver peut infecté une clé usb n'oublions pas quelle se transmet au moment ou il l'introduit
ce virus c'est transmit je pense dans tout le PC le problème c'est que à moins d'avoir un logiciel
pour cela je doute qu'il puisse supprimer le vers de sa clé usb.
Peut être ais-je tore peut être pas ..
Bref, bonne chance oubliez pas si notre réponse n'est pas 100% correct on
essaie comem de vous aidez ;)
Bonne chance et bonne journée
-------------------------------------------------------------------------------------------------------------------------------------------------------------------
Signé: Cyber-Mentor
Pour des question concernant mes réponses
veuillez m'en faire part le plus rapide possible
Ps:Mes réponses ne sont pas 100% sur je le précise!
Il y a certainement du vraie et du faux dans ce que tu dis
et certainement du faux et du vraie dans ce que je dis ..
Mais qu'en je dis quelque chose je réfléchis toujours ta réponse était très pertinente mais réfléchi ?
Bien qu'un ver peut infecté une clé usb n'oublions pas quelle se transmet au moment ou il l'introduit
ce virus c'est transmit je pense dans tout le PC le problème c'est que à moins d'avoir un logiciel
pour cela je doute qu'il puisse supprimer le vers de sa clé usb.
Peut être ais-je tore peut être pas ..
Bref, bonne chance oubliez pas si notre réponse n'est pas 100% correct on
essaie comem de vous aidez ;)
Bonne chance et bonne journée
-------------------------------------------------------------------------------------------------------------------------------------------------------------------
Signé: Cyber-Mentor
Pour des question concernant mes réponses
veuillez m'en faire part le plus rapide possible
Ps:Mes réponses ne sont pas 100% sur je le précise!
evasion60/PCA
Messages postés
819
Date d'inscription
mercredi 2 novembre 2005
Statut
Contributeur sécurité
Dernière intervention
29 janvier 2010
92
4 janv. 2009 à 18:50
4 janv. 2009 à 18:50
Bonsoir Cyber
... T'inquiète pas aucun problème ;))
Bonne soirée
... T'inquiète pas aucun problème ;))
Bonne soirée
cyber-mentor
Messages postés
129
Date d'inscription
samedi 3 janvier 2009
Statut
Membre
Dernière intervention
18 avril 2009
10
4 janv. 2009 à 19:14
4 janv. 2009 à 19:14
Merci à toi aussi evasion60/PCA
et bonne soirée
Signé: Cyber-Mentor
et bonne soirée
Signé: Cyber-Mentor
Bonjour,
J'en suis conscient, oui.
Certains de ces vers me sont inconnus, et c'est bien pour cela que je suis venu demander de l'aide, pour en savoir plus.
J'ai fait un scan complet du système avec Malwarebytes' Anti-Malware, puis install de Avast! et scan complet au démarrage, j'ai eu une alerte sur des fichiers de restauration (ne pas oublier de désactiver la restauration système avant la suppression donc), ce qui a été résolu par la désactivation puis réactivation de la restauration système.
Par contre pour ceux qui comme moi ont été touché par le virus EXPLORER.EXE et qui trouvent bizarre que à chaque démarrage il y a la fenêtre "Mes Documents" qui s'ouvre à chaque démarrage, il reste peut-être une trace dans le registre : il faut aller dans HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\currentVersion\Winlogon et dans le volet de droite vérifier que la chaine "Userinit" ne contient que userinit.exe, (avec la virgule) et qu'il n'y a pas par exemple userinit.exe,EXPLORER.EXE.
En tout cas merci beaucoup pour votre aide, pour ma part le problème est résolu.
Cordialement,
TiBilly.
J'en suis conscient, oui.
Certains de ces vers me sont inconnus, et c'est bien pour cela que je suis venu demander de l'aide, pour en savoir plus.
J'ai fait un scan complet du système avec Malwarebytes' Anti-Malware, puis install de Avast! et scan complet au démarrage, j'ai eu une alerte sur des fichiers de restauration (ne pas oublier de désactiver la restauration système avant la suppression donc), ce qui a été résolu par la désactivation puis réactivation de la restauration système.
Par contre pour ceux qui comme moi ont été touché par le virus EXPLORER.EXE et qui trouvent bizarre que à chaque démarrage il y a la fenêtre "Mes Documents" qui s'ouvre à chaque démarrage, il reste peut-être une trace dans le registre : il faut aller dans HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\currentVersion\Winlogon et dans le volet de droite vérifier que la chaine "Userinit" ne contient que userinit.exe, (avec la virgule) et qu'il n'y a pas par exemple userinit.exe,EXPLORER.EXE.
En tout cas merci beaucoup pour votre aide, pour ma part le problème est résolu.
Cordialement,
TiBilly.
