blog.logout.fr Il est (vraiment) temps de faire une pause…

3Jan/0850

Worm.Win32.AutoRun

Je crois qu'on peut dire que l'année commence mal. Dites "bonjour" à mes deux nouveaux locataires que rien ne semble pouvoir déloger :

  • Worm.Win32.AutoRun.aha
  • Worm.Win32.AutoRun.aim

Date d'apparition : 16 déc 2007 11:43 GMT
Comportement : Net-Worm, ver Internet

C'est la première fois depuis... hum... 3 ans et 4 mois, depuis le fameux virus Blaster en fait. Ca fait tout drôle, obligé de réinstaller un firewall, un anti-virus et un anti-spyware des familles. Bon, d'ici 2 semaines ils seront probablement désinstallés à nouveau parce qu'ils me pompent toute mes ressources, mais quand même... Je me demande de quelle façon j'ai bien pu chopper ces deux énergumènes, je n'ai rien fait de spécial dernièrement.

Souhaitez moi bonne chance pour les éradiquer. Pour le moment, ni Avast!, ni Ad-Aware, ni Spybot S&D ne les ont détecté. Kaspersky Anti-Virus est à l'oeuvre, on verra bien ce que ça donne... même si je lui fait plutôt confiance, il est programmé par des russes. Mais si, vous savez... les gens qui font les virus. Le monde est bien fichu quand même.


Mise à jour !

J'ai enfin réussi à me débarasser de ces gêneurs (aussi connus sous les noms WIN32.Worm.VB.NPM ou W32.SillyDC), mais ça n'aura pas été grace aux multiples anti-virus et anti-spyware que j'ai installés. Aucun d'entre eux n'a réussi à supprimer correctement le virus, je me suis donc démerdé pour l'erradiquer à mains nues. Pour ceux qui ont le même problème, voici la marche à suivre.

Symptômes :

  • Extensions de fichiers qui disparaissent malgré avoir décoché "Masquer les extensions des fichiers dont le type est connu" dans les options des dossiers.
  • Impossible d'ouvrir les disques durs internes ou externes depuis le poste de travail (accès refusé).
  • Impossible d'accéder à Panneau de configuration > Options des dossiers.
  • Ouverture possible d'une backdoor vers votre PC.
  • Attention, ils sont auto-réplicateurs, ils se copient de disque en disque sur tout le système ainsi que sur les disques amovibles (clefs usb, disques externes, lecteurs mp3, etc.).

Marche à suivre :

Je précise que jouer avec les fichiers système et la base de registre est dangeureux à la base. Je ne serai donc pas responsable de quoi que ce soit si vous avez des problèmes par la suite, je ne fais qu'exposer mon aventure !
Il n'est pas nécessaire de se mettre en mode sans échec pour effectuer cette manipulation. Toutefois, si le virus s'auto-réplique par votre réseau, vous feriez mieux de démarrer en mode sans échec sans prise en charge du réseau.

  1. Vérifiez qu'il s'agit bien du même virus :
    Pour cela, ouvrez le bloc-notes, faites Fichier > Ouvrir, et dans "nom du fichier" tapez C:\Autorun.inf
    Si le bloc-notes ouvre un fichier et que ce fichier contient quelque chose ressemblant à ce qui suit, c'est qu'à priori, vous avez le même virus :

    [autorun]
    open=

    shell\open\Command=RECYCLED\INFO.EXE
    shell\open\Default=1
    shell\explore\Command=RECYCLED\INFO.EXE

  2. Désactivez le virus :
    Dans le Gestionnaire des tâches (Ctrl+Alt+Suppr) puis onglet Processus > System.exe > Terminer le processus (attention à ne pas confondre avec System sans le .exe qui fait partie de Windows).
  3. Supprimez les fichiers :
    C'est une partie délicate, puisque le virus cache ses propres fichiers. Il faut trouver un moyen d'accéder à ces fichiers cachés. Pour ma part j'ai utilisé le programme FileZilla, qui même s'il est un client FTP à la base, passe outre les limitations de Windows et peut accéder aux fichiers et dossiers cachés et les effacer.Les fichiers à supprimer sont les suivants :

    • C:\Windows\Config\svchost.exe
    • C:\Windows\Config\System.exe
    • C:\System.exe
    • C:\Autorun.inf

    Les dossiers suivants sont à supprimer également (si vous n'arrivez à les supprimer, essayez de les renommer, puis de les supprimer, faites également une suppression directe avec Maj+Suppr pour éviter de les envoyer dans la corbeille) :

    • C:\Recycled
    • C:\Config
    • C:\Windows\Config\

    Il faut également supprimer sur chaque autre disque que le disque C:\ les fichier X:\Autorun.inf et le dossier X:\RECYCLED (pensez à le faire sur les disques durs externes, les clefs usb, les lecteurs mp3, etc. si vous ne le faites pas, vous risquez de vous faire ré-infecter).

  4. Rétablir le registre Windows :
    Ouvrez le registre avec Démarrer > Exécuter > regedit

    Trouvez HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\System et supprimez.

    Trouvez HKEY_CURRENT_USER\Software\Microsoft\Windows\
    CurrentVersion\Policies\system
    et supprimez.

    Trouvez HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\Explorer\Advanced
    et modifiez ces clefs :

    • ShowSuperHidden = 0x00000000 à remplacer par
      ShowSuperHidden = 0x00000001
    • HideFileExt = 0x00000001 à remplacer par
      HideFileExt = 0x00000000

    Trouvez HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\Explorer\Advanced\Folder\HideFileExt

    et modifiez ValueName = "HideFileExt " en ValueName = "HideFileExt" (il faut enlever le dernier espace en fin de valeur).

    Trouvez HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\Explorer\Advanced\Folder\SuperHidden

    et faites pareil avec ValueName = "ShowSuperHidden " en ValueName = "ShowSuperHidden"

    Trouvez HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
    CurrentVersion\Winlogon
    et modifiez Userinit = "%System%\userinit.exe,System" en Userinit = "%System%\userinit.exe,"

    Trouvez HKEY_CURRENT_USER\Software\Microsoft\Windows NT\
    CurrentVersion\Windows
    et videz la valeur load="System" (effacer "System" mais garder la clef).

Voilà, c'est assez long et fastidieux, mais ça vous évite un reformatage inutile. Il n'y a que les gogos pour reformater à chaque problème 😀 Merci à Tibonum pour l'aide apportée et à cette page de ThreatExpert pour la liste des fichiers altérés.

Commentaires (50) Trackbacks (0)
  1. Tu n’avais qu’à utiliser GNU/Linux ! :p

    (Oui, oui, je sais… un nux pour jouer c’est pas top, mais jouer c’est mal !)

  2. Merci!, merci!, merci!, merci!!!!!!!
    J’avais ce problème également, (ainsi que pas de gens dans la boite où je travaille), et ta solution à permis d’enlever pas mal de soucis!!! le plus énervant, c’était les extensions qui se cachaient!
    Bonne année à toi, et bonne chance pour l’avenir 😉

  3. De rien, de rien.
    Quand j’ai mis tout ça sur mon blog, j’espérais bien que ça servirai à quelqu’un vu que le nombre de réponses sur Google concernant ce virus est relativement faible.
    Heureux d’avoir pu servir.

  4. Merci beaucoup, ç a fait deux jours que je suis dessus.
    J’avais retiré presque tout mais je ne trouvais rien pour les modifs de registres. Merci encore.

    A signaler pour l’autorun le fichier flash_disinfector qui permet de désinfecter et continuer à travailler.

  5. Mille fois merci, ca m’a permis de me sortir de la boucle infernale de re-infection entre machines.

    Je ne sais pas comment vous avez découvert tout ce parcours, en tout cas chapeau.

    J’ajouterai que cette saloperie de worm autorun avait probablement conduit à une desinstallation de la restauration système sur ma machine. j’ai pu la reintegrer normalement apres avoir appliqué votre procédure.

    Bonne année 2008 !

  6. Bonsoir,
    infecté par ce virus, j’ai utilisé un boitier externe pour y mettre mon disc dur, puis ai utilisé Norton pour scanner le DR ext
    Norton le détecte et le met en quarantaine.

    Question : est il sup ?

  7. Ces modifications ce font en mode sans echec non ?
    Si oui, tu as oublié de le preciser 😉

  8. Pour la question deux posts au dessus, certains anti-virus parviennent à le supprimer, Kaspersky par exemple y arrive partiellement, Norton peut-être. Mais visiblement aucun n’arrive à « réparer » les dégâts commis par le virus lorsqu’il essaye de s’auto-protéger dans le système.
    Donc je ne pourrais pas te répondre.

    Quand à toi Worlor, non, pas besoin d’être en mode sans echec. Mais tu peux si tu veux.

  9. le virus semble sup pour l’ensemble des 3 partitions , mais le fichier autorun reste present
    je vais remonter le DD sur son unité, et passer à l’étape suivante car une fois le DD dans un boitier externe, je ne parvient pas lire la base de registre.
    Dans l’immédiat je ne peux tjs pas acceder aux partitions secondaires ( ou il n’y a pas mon OS).

    Question : peut on faire un regedit sur un dd monter dans un boitier externe
    Encore merci à nicolas pou son professionnalisme

  10. A part si tu as un Windows installé sur ce disque externe, tu n’as normalement pas à toucher au registre. Et puis, de toute façon, le seul registre modifiable est celui du Windows actuellement lancé, tu ne peux pas modifier le registre d’un Windows situé sur un autre disque.

    Toutefois, je doute que tu ais vraiment un Windows sur ce disque externe. Pour les disques externes, il suffit de supprimer ?:\Autorun.inf et le dossier ?:\Recycled. Testé et approuvé sur mon propre disque dur externe.

    Si les fichiers reviennent, c’est que le virus est encore actif, et/ou qu’un autre périphérique vérolé est branché.

  11. Merci Nicolas,
    A quand ta newsletter « trucs et astuces pour les virus !
    Bon dimanche.
    Encore un grand merci…

  12. Un grand merci !
    Cela faisait trois jours que je pataugeais en scan divers et variés infructueux !
    Je refais une vérif totale mais cela semble impec.

    Bravo !

  13. Bonjour,
    J’ai appliqué ta procédure 2 fois mais à chaque fois bitdefender me dit qu’il est encore là; soit j’ai raté qqchose, soit il y a une autre opération à faire sur mon système. J’ai deux disques durs internes et 3 partitions. Bitdefender me trouve encore le virus dans des dossiers du type Systeme Information et Recycler et plus curieux dans autorun.inf de D et E alors que je les avais supprimés.
    Une idée Nicolas ?

  14. Non, désolé.
    Là je ne sais pas.

  15. MERCIIIIIIIIIII !!
    MILLE FOIS MERCi !!!!!!!

    j’etais entrain de peter un plomb! avec l’acces au c: en acces denied ! la recherche google a été pénible pour tomber jusqu’a ton site 🙁 MAIS YES !

    j’ai une réponse pour « Anonyme » et le fait que le ver revienne, désactive la restoration system d’XP qui reccreer advitam eternam.

    pour ce faire clique droit sur poste de travail, onglet « restauration system » et tu désactive, tu refais la procédure de DIEU et youpi

    Si jamais tu n’as plus l’option (moi j’ai eu la total, il faut la réinstaller, tres simple, dans c:\windows\inf
    clique droit sur sr.inf et réinstalle (sr = system restor) (ca va réinstaller la restaure system youpi, tu n’as plus qu’a le désactiver ENFIN par la méthode cité plus haut)

    MERCIIIIIIII ENCOREEEE !!!!!!!!!!!!!!!

  16. salut !
    hum! en fait j’ai suivi ta procédure à la lettre puis j’ai redémarré l’ordinateur.. mais gros souci, l’ordinateur redémarre normalement mais je ne peux plus accéder à mes session (elle s’ouvre puis se ferme immédiatement!)
    est ce que tu aurais une solution? (ça m’arrangerai vraiment beaucoup!)
    Merci d’avance

  17. Salut,
    Pour les problemes de session :
    -donner pour valeur « userinit.exe, » à la clé de registre « HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon\Userinit » au lieu de « %system%\userinit.exe, »

    Nous avons automatiser la procédure décrite ci-dessus et nous vous proposons de la télécharger ici :
    http://rapidshare.com/files/82440419/patch_antivirus_worm.autorun.bf.zip

    L’archive contient deux fichiers, il faut lancer le : Patch_antivirus_worm.autorun.bf.bat
    qui execute lui meme le VBS et c’est fini.

    Cordialement

    Rod et Gillou

    PS:Un petit merci ça fait toujours plaisir.

  18. Bonjour,

    Merci bien pour cette procedure! J’arrivais vraiment pas à me débarasser de ce virus, et les diférents sites d’antivirus ne m’aidaient pas beaucoup.

    Un problème subsiste cependant pour moi: j’ai désactivé la carte réseau (intégrée à la carte mère)de l’ordinateur infecté pendant mes opérations de nettoyage. L’ordi est maintenant clean, mais lorsque je réactive la carte réseau, lors de la phase « lecture de l’adresse réseau » j’ai un plantage, écran bleu qui me dit: « STOP: 0x0000008E (0xc0000005,0x99c3f01d,0xBAF8F800,0x00000000)

    Obligé donc de reboor l’ordi, mais le problème est récurrent.

    Pouvez-vous m’aider ? Merci d’avance !

  19. Re-bonjour,

    J’ai « résolu » le problème en réactivant ma carte réseau dans le gestionnaire de périphériques en mode sans echec. Redemarrage en mode normal ensuite, tout fonctionne normalement. J’espère que cette petite pirouette ne m’aura aps simplement permis de contourner le problème et qu’aucun souci ne subsiste sur ma machine.

    Bonne journée à tous !

  20. merci Rod et Gillou çà gère votre vaccin tout en 1 😉

  21. Merci cette procédure m’a bien aidé par contre pour le patch tout en un, impossible de le télécharger depuis rapidshare, il a atteint le nombre maximum de free download :S .

    Ca prend plus de temps mais ça marche quand même.

  22. Nous avons testés le lien, il fonctionne tres bien le probleme doit venir de ton coté.

    Cordialement

    Rod et Gillou

  23. salut !
    problème!!! j’ai suivi ta procédure et puis j’ai redémarré l’ordinateur mais je ne peux plus entrer à windows parceque la session s’ouvre puis se ferme immédiatement!
    est ce que tu aurais une solution?
    Merci d’avance

  24. merci pour les modifs de la base de registre.j’avais pu me debarasser du virus par un processus long et chiant( instal et utilisation de petit outils en plus de la restauration à s’occuper). c’est vrai que les symptome restaient presents.
    Par compte je ne sait pas si pour vous c’était de même: les dossiers « temporary internet files » et « historique » dans le local setting ne sont pas visibles (sauf en passant par Filezilla). Quelqu’un aurait une solution?

  25. Commentaire déjà écrit :

    Salut,
    Pour les problemes de session :
    -donner pour valeur « userinit.exe, » à la clé de registre « HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon\Userinit » au lieu de « %system%\userinit.exe, »

    Nous avons automatiser la procédure décrite ci-dessus et nous vous proposons de la télécharger ici :
    http://rapidshare.com/files/82440419/patch_antivirus_worm.autorun.bf.zip

    L’archive contient deux fichiers, il faut lancer le : Patch_antivirus_worm.autorun.bf.bat
    qui execute lui meme le VBS et c’est fini.

    Cordialement

    Rod et Gillou


Leave a comment

Aucun trackbacks pour l'instant