blog.logout.fr Il est (vraiment) temps de faire une pause…

3Jan/0850

Worm.Win32.AutoRun

Je crois qu'on peut dire que l'année commence mal. Dites "bonjour" à mes deux nouveaux locataires que rien ne semble pouvoir déloger :

  • Worm.Win32.AutoRun.aha
  • Worm.Win32.AutoRun.aim

Date d'apparition : 16 déc 2007 11:43 GMT
Comportement : Net-Worm, ver Internet

C'est la première fois depuis... hum... 3 ans et 4 mois, depuis le fameux virus Blaster en fait. Ca fait tout drôle, obligé de réinstaller un firewall, un anti-virus et un anti-spyware des familles. Bon, d'ici 2 semaines ils seront probablement désinstallés à nouveau parce qu'ils me pompent toute mes ressources, mais quand même... Je me demande de quelle façon j'ai bien pu chopper ces deux énergumènes, je n'ai rien fait de spécial dernièrement.

Souhaitez moi bonne chance pour les éradiquer. Pour le moment, ni Avast!, ni Ad-Aware, ni Spybot S&D ne les ont détecté. Kaspersky Anti-Virus est à l'oeuvre, on verra bien ce que ça donne... même si je lui fait plutôt confiance, il est programmé par des russes. Mais si, vous savez... les gens qui font les virus. Le monde est bien fichu quand même.


Mise à jour !

J'ai enfin réussi à me débarasser de ces gêneurs (aussi connus sous les noms WIN32.Worm.VB.NPM ou W32.SillyDC), mais ça n'aura pas été grace aux multiples anti-virus et anti-spyware que j'ai installés. Aucun d'entre eux n'a réussi à supprimer correctement le virus, je me suis donc démerdé pour l'erradiquer à mains nues. Pour ceux qui ont le même problème, voici la marche à suivre.

Symptômes :

  • Extensions de fichiers qui disparaissent malgré avoir décoché "Masquer les extensions des fichiers dont le type est connu" dans les options des dossiers.
  • Impossible d'ouvrir les disques durs internes ou externes depuis le poste de travail (accès refusé).
  • Impossible d'accéder à Panneau de configuration > Options des dossiers.
  • Ouverture possible d'une backdoor vers votre PC.
  • Attention, ils sont auto-réplicateurs, ils se copient de disque en disque sur tout le système ainsi que sur les disques amovibles (clefs usb, disques externes, lecteurs mp3, etc.).

Marche à suivre :

Je précise que jouer avec les fichiers système et la base de registre est dangeureux à la base. Je ne serai donc pas responsable de quoi que ce soit si vous avez des problèmes par la suite, je ne fais qu'exposer mon aventure !
Il n'est pas nécessaire de se mettre en mode sans échec pour effectuer cette manipulation. Toutefois, si le virus s'auto-réplique par votre réseau, vous feriez mieux de démarrer en mode sans échec sans prise en charge du réseau.

  1. Vérifiez qu'il s'agit bien du même virus :
    Pour cela, ouvrez le bloc-notes, faites Fichier > Ouvrir, et dans "nom du fichier" tapez C:\Autorun.inf
    Si le bloc-notes ouvre un fichier et que ce fichier contient quelque chose ressemblant à ce qui suit, c'est qu'à priori, vous avez le même virus :

    [autorun]
    open=

    shell\open\Command=RECYCLED\INFO.EXE
    shell\open\Default=1
    shell\explore\Command=RECYCLED\INFO.EXE

  2. Désactivez le virus :
    Dans le Gestionnaire des tâches (Ctrl+Alt+Suppr) puis onglet Processus > System.exe > Terminer le processus (attention à ne pas confondre avec System sans le .exe qui fait partie de Windows).
  3. Supprimez les fichiers :
    C'est une partie délicate, puisque le virus cache ses propres fichiers. Il faut trouver un moyen d'accéder à ces fichiers cachés. Pour ma part j'ai utilisé le programme FileZilla, qui même s'il est un client FTP à la base, passe outre les limitations de Windows et peut accéder aux fichiers et dossiers cachés et les effacer.Les fichiers à supprimer sont les suivants :

    • C:\Windows\Config\svchost.exe
    • C:\Windows\Config\System.exe
    • C:\System.exe
    • C:\Autorun.inf

    Les dossiers suivants sont à supprimer également (si vous n'arrivez à les supprimer, essayez de les renommer, puis de les supprimer, faites également une suppression directe avec Maj+Suppr pour éviter de les envoyer dans la corbeille) :

    • C:\Recycled
    • C:\Config
    • C:\Windows\Config\

    Il faut également supprimer sur chaque autre disque que le disque C:\ les fichier X:\Autorun.inf et le dossier X:\RECYCLED (pensez à le faire sur les disques durs externes, les clefs usb, les lecteurs mp3, etc. si vous ne le faites pas, vous risquez de vous faire ré-infecter).

  4. Rétablir le registre Windows :
    Ouvrez le registre avec Démarrer > Exécuter > regedit

    Trouvez HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\System et supprimez.

    Trouvez HKEY_CURRENT_USER\Software\Microsoft\Windows\
    CurrentVersion\Policies\system
    et supprimez.

    Trouvez HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\Explorer\Advanced
    et modifiez ces clefs :

    • ShowSuperHidden = 0x00000000 à remplacer par
      ShowSuperHidden = 0x00000001
    • HideFileExt = 0x00000001 à remplacer par
      HideFileExt = 0x00000000

    Trouvez HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\Explorer\Advanced\Folder\HideFileExt

    et modifiez ValueName = "HideFileExt " en ValueName = "HideFileExt" (il faut enlever le dernier espace en fin de valeur).

    Trouvez HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\Explorer\Advanced\Folder\SuperHidden

    et faites pareil avec ValueName = "ShowSuperHidden " en ValueName = "ShowSuperHidden"

    Trouvez HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
    CurrentVersion\Winlogon
    et modifiez Userinit = "%System%\userinit.exe,System" en Userinit = "%System%\userinit.exe,"

    Trouvez HKEY_CURRENT_USER\Software\Microsoft\Windows NT\
    CurrentVersion\Windows
    et videz la valeur load="System" (effacer "System" mais garder la clef).

Voilà, c'est assez long et fastidieux, mais ça vous évite un reformatage inutile. Il n'y a que les gogos pour reformater à chaque problème 😀 Merci à Tibonum pour l'aide apportée et à cette page de ThreatExpert pour la liste des fichiers altérés.

Commentaires (50) Trackbacks (0)
  1. En un mot, merci!!!

  2. En deux mots, de rien !

  3. en trois mots, un grand Merci !!!, pour pour ce travail de décontamination

  4. mon ordinateur a tous les symptômes décrits ici et il contient aussi le fichier :

    [autorun]
    open=

    shell\open\Command=RECYCLED\INFO.EXE
    shell\open\Default=1
    shell\explore\Command=RECYCLED\INFO.EXE

    mais lorsque j’essai de désactiver le virus dans le gestionnaire des tâches (puis onglet processus) il ne montre pas le System.exe.
    Comment je peux faire donc pour le désactiver et puis pour l’enlever?
    Merci !!!

  5. Si System.exe n’est pas lancé, il est possible que le virus ai déjà été érradiqué par un anti-virus. Le problème n’est donc plus là, mais les dégâts oui.. donc tu continues la procédure.

  6. Merci et encore merci Nicolas, j’essaierai ça alors!!!

  7. J’ai un souci avec un des fichiers \Recycled sur un disk dur externe.
    A chaque tentative de le suprimer windows refuse car un programme est lance a partir de ce fichier. toute tentative de suprimer le contenu a l’interieur est futile car ce qui est supprimer
    (ex: Dj101)est immediatement remplacer par un meme fichier (Dj102).
    je vois pas comment faire 🙁

  8. Merci beaucoup pour ce dépannage efficace!
    Moi qui ne comprenais plus où étaient donc passées mes extensions de fichier, tout est nickel et je peux réaccéder à mon disque dur!
    La classe ultime! Merci encore!

  9. Comme beaucoup de gens ici, un énorme merci pour cette manipulation !
    Beaucoup de sites parlent de l’infection en question, mais peu donnent autant de manipulations avec précision et qui fonctionnent surtout 🙂

  10. Bonjour, j’ai appliqué plusieurs méthode pour tenter d’eradiquer ce lombric avant de trouver ce blog…
    Resultat, j’ai du m’empatouiller dans la boue wormesque car même si je n’ai plus de virus (apparemment), il m’est toujours impossible d’ouvrir un seul de mes disc dur par double clic!
    Il m’ouvre automatiquement une fenetre MSDOS, ou la fonction « rechercher »…
    J’ai essayé de changer ca à travers les « options des dossiers » sans succès.

    Quand j’ai appliqué votre solution, je n’ai pas trouvé certains fichiers (system.exe, svchost.exe) qui doivent avoir été enlenvé par les methodes appliquées avant…
    Mais je n’ai pas trouvé non plus les clés :
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\System
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion\Explorer\Advanced\ShowSuperHidden = 0x00000000 (ou HideFileExt = 0x00000001)

    Alors que presque toutes les modifications à faire semblaient déjà avoir été faites par les precedents moyens utilisés.

    Dois-je réinstaller ces clés manquantes avec leur bonne valeur, ou sont elles inutiles?
    Et que faire pour retrouver mon bon vieux double clic d’ouverture pour mes disques?

    Merci,
    Christophe

  11. votre patch a réparé les disques avec un nom inférieur à « P » (C,D,E,..) mais n’a pas réparé les noms de disques local supérieur ou égale à Q(Q,R,S,T,U)(quand je clique dessus ,avast déclare un virus dans le disque/recycled/info.exe ,je lui dis de le supprimer,puis ensuite quand je clique sur le disque,windows dit « accés refusé »

    pourriez vous me donner un nouveau patch qui gere tout les noms de disque de l’alphabet? ou me dire comment faire?

    un grand merci pour votre patch

  12. j’ai surement infecté mon ordi avec une clé usb et infecté par la meme la carte SD de mon appareil photo.
    lorsque vous faites la procédure et
    pour ne pas etre réinfecté par la suite ,faut il laisser les clés usb
    branché ou il faut refaire une procedure a part ?
    merci a Nicolas et tous ceux qui se donne de la peine pour aider les autres !!!

  13. Merci pour cette manip, simple mais bien détaillée..
    je fais partie de ces gens qui en géneral utilisent leur cervelle à la place d’un antivirus, et c’est assez desarmant de se trouver avec des bâtons dans les roues (plus de fichiers cachés, plus d’extension), lorsqu’on veut comprendre d’ou vient le problème, et comme l’eradiquer..
    Ces virus qui transitent par clef usb ( en l’occurence celle de ma femme, ah les femmes..) sont de plus en plus vicelards ( j’ai noté les blagues d’espace derriere les clefs de registre)
    J’ai aussi noté la nouveauté d’aller cacher un second exe, derrière userinit.exe, ça fera un point de plus à verfiier dans le regsitre après les traditionnelle clefs run.
    En toutcas, bien content d’avoir pu vier cette merde juste à la main, ça fait touours plaisir !!

    Merci encore

  14. Sniffff je suis si content !!!
    Merci pour cette manip !!!
    Je me voyais déja formater…
    A noter que dans ma base de registre la partie :

    Trouvez HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
    CurrentVersion\Winlogon et modifiez Userinit = « %System%\userinit.exe,System » en Userinit = « %System%\userinit.exe, »

    Trouvez HKEY_CURRENT_USER\Software\Microsoft\Windows NT\
    CurrentVersion\Windows et videz la valeur load= »System » (effacer « System » mais garder la clef).

    était différente donc je n’ai pas modifié les valeurs (j’ai osé le faire avec mon portable et j’ai tout cassé mdr !!! )

    Sinon un grd merci a vs pour tt !!!
    Bye bye 🙂

  15. Merci!

  16. Bravo !!!! et merci pour la procédure. J’avais détecté ce worm mais je n’arrivais pas à l’éradiquer. Les manips décrites sont excellentes (sauf peut être sur un point : je n’arrive pas à restaurer les extension de mes fichiers). Mais le reste : Nickel.
    Le truc notepad.exe « c:\autorun.inf » est génial : trouvé en 10 secondes la machine infectée.

    Merci 10 ^10
    Scapa, Of Paris
    http://www.scapa.com.fr

  17. Bravo, bravo et bravo!
    Heureusement que nous avons des gens comme vous pour nous aider.
    Continuer comme çà=)

    Lionel

  18. Merci !
    Mais ça me réinfecte a répétition cette saloperie !

    Donc pour résoudre ça j'utilise flash_disinfector (logiciel qui vire les autorun.inf), filezilla pour les dossiers et fichiers. Et j'ai créé un fichier .reg (patch le registre automatiquement donc pour ceux qui ne veulent pas changer manuellement les clefs) :

    Ouvrez le bloc note et copiez ça :
    REGEDIT4

    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\System\System]

    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\System]

    [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
    "ShowSuperHidden"=0x00000000
    "HideFileExt"=0x00000001

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt]
    "ValueName"="HideFileExt"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
    "ValueName"="ShowSuperHidden"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="%System%\userinit.exe,"

    [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    load=""

    Ensuite faites fichier->enregistrer sous->
    – A type sélectionnez "Tous les fichiers"
    – Mettez comme nom cequevousvoulez.reg

    Ouvrez le fichier cequevousvoulez.reg (sauf que l'extention ne sera pas affichée… forcement !) et cliquez sur oui. Toutes les modifications du virus ont disparu du registre 😉

    ———–

    Mon problème c'est que malgré tout ça, tout le nettoyage de mes tous mes disques, clefs usb, même ma psp.. et bien il reviens régulièrement et je vois pas comment :/

  19. Oufffffffffffffff

    Merci pour le tuyau, ça fait 2 mois que j’étais infecté par cette saloperie.

    Moi, j’avais désactivé un truc suspect « load : system » dans MSCONFIG.EXE vu que j’avais ce dossier qui s’ouvrait à chaque démarrage.
    Après un redémarrage, j’en ai profité pour le supprimé de la base de registre :
    HKLM ou HKCU (je sais plus)/software/microsoft/windows/currentversion/run et supprimer le truc suspect

    En suite, mon antivirus « pack sécurité de neuf » avait réussi à supprimé le virus/vers.

    Mais j’avais toujours ce problème d’extensions des fichiers et d’accès aux disques durs.

    Avec la manip donnée, j’ai récupéré mes extensions.

    A noté que l’accès à mes disques dur à été rétrouvé APRES un ARRET puis un DEMARRAGE (et non un redemarrage !)

    Encore merci pour la manip !!!

  20. et je voudrais rajouter: vous êtes trop fort. Je suis réellement impressionné.
    Stéphane

  21. Mille merci. J’ai lancé ensuite mon anti-virus et il a détecté 4 virus (il en détectait aucun avant) et il continue à chercher. j’ai un PC sous vista. Le fichier autorun.inf n’y est pas. Ca veut dire que ce PC est safe même si je passais régulièrement dessus une clé usb infecté? Ou le processus d’infection est différent?
    Mille fois merci. Sans vous, je n’y serais jamais arrivé.
    Stéphane

  22. Après avoir réalisé l’ensemble de vos opérations, j’ai lancé mon anti-virus qui a détecté et nettoyé 4 virus :
    Worm.Win32.AutoRun.aha (virus)
    C:\RECYCLER\S-1-5-21-746137067-1682526488-725345543-1004\Dc28.EXE Action : supprimé
    C:\WINDOWS\System.exe Action : supprimé
    Worm.Win32.AutoRun.lk (virus)
    C:\RECYCLER\S-1-5-21-746137067-1682526488-725345543-1004\Dc18.exe Action : supprimé
    C:\RECYCLER\S-1-5-21-746137067-1682526488-725345543-1004\Dc17.exe Action : supprimé

    Si je peux faire quelque chose pour vous aider à mon tour.
    Stéphane

  23. bonjour, avec quel logiciel puis-je enlever les virus :\Autorun.inf :\RECYCLED une bonne fois pour toute sur mes disques dure externes?

    au début je n’arrivais plus a ouvrir mes disques dures externe après une désinfection avec avast j’ai réussit a les réouvrir puis le virus a réapparut.
    j’ai suivit les infos pour désinfecter et réparer le disque dure de mon ordinateur, ce qui a marché.
    alors i vous auriez une façon d’éradiquer ces virus de mes disques dures externes des nons de logiciels pour trouver les dossiers et les fichiers caché ou des antivirus performant peut importe du moment que je parviens a les effacer je vous remercie d’avance.

  24. Slt, j’ai le meme probléme que vous sauf que quand je suis les opérations a faire il n’existe pas par exemple de fichier « system » dans les fichiers de la regedit, ou avec FileZilla je ne vois pas autorun.inf et dans le fichier WINDOWS/Config/ il n’y a pas les 2 fichiers que je suis censé supprimé :s

    Quelqu’un peut m’aider please 🙂

  25. OK, en quatre mots: un énorme méga merci! Tout s'est bien passé quand j'ai appliqué la procédure, sauf que les extensions n'apparaissaient toujours pas, il a fallu que je retourne dans le registre modifier aussi la valeur… euh ben je me souviens plus de son nom, mais sous la même clef que HideFileExt, il fallait aussi modifier la valeur qui indique quelle case n'est pas cochée. Et hop, les extensions ont réapparu! 😀


Leave a comment

Aucun trackbacks pour l'instant