Le ver Virut infecte tous les fichiers exécutables qui se trouvent sur la machine .
Il attaque même les fichiers système ; . Il n'arrive jamais seul et permet l'installation d'une porte dérobée en plus d'un rootkit coriace.
Tenter une désinfection via les forums est une partie quasiment perdue d'avance à moins que l'infectionsoit récente.
La solution la plus rapide et la plus raisonnable:
Sauvegardez vos données et formatez.
Lors des sauvegardes, vous ne devez surtout pas conserver les programmes, les fichiers .exe et .scr, les archives pouvant contenir des exécutables ou programmes ainsi que les fichiers .htm, .html et .php.
Conserver les documents perso et autres fichiers de suites bureautiques (Office, open office), les photos, la musique, les clips perso (pas téléchargés), les mails, les favoris
Si vous préférez tenter une désinfection, il vous faut savoir que cela sera assez long , minutieux et sans garantie de succès.
Un accès internet est nécessaire, au moins par un pc sain, et le cd Windows sera un plus.
il est nécessaire de déconnecter les ordinateurs infectés du réseau local et/ou d’Internet, de désactiver le service Restauration du système
Vous devez désactiver la protection en temps réel de votre Antivirus qui peut considérer certains composants de ce logiciel comme néfastes.
Vous devez désactiver vos protections et ne savez pas comment faire
Sur Bleeping Computers en Anglais:
Sur PCA,En Français
Désinstallez la Restauration Système.
Poste de Travail->Propriétés->Restauration Système.
Cocher la case "Désactiver la Restauration sur tous les lecteurs".
Vous la décocherez par la suite, après désinfection.
Un nouveau point de restauration sera créé au redémarrage.
L'idéal est de Télécharger CureIt ! sur un ordinateur "sain" pour le sauvegarder ensuite sur un support amovible qui sera ouvert en lecture seule sur le poste infecté.
Sinon:
Attention, par défaut, Firefox ne permet pas le renommage avant sauvegarde, utiliser plutôt IE
Pour le renommer:
Téléchargez Dr.Web CureIt sur le Bureau:
Clic droit sur
Choisir "Enregistrer la cible du lien..sous....
Choisir le bureau, à gauche
En bas, à Nom du Fichier:
launch.com
Cliquez enfin sur -> Enregistrer
Redémarrez en mode sans échec.
Pour cela: Au redémarrage de l'ordinateur,Tapotez en alternance les touches [F8] et[F5] jusqu'à l'affichage du menu des options avancées de Windows.
* Sélectionnez "Mode sans échec" et validez].
* Choisir votre compte usuel,.
* Double cliquez launch.compuis sur Analyse ;
* Cliquez Ok à l'invite de l'analyse rapide.
Ce scan analyse les processus chargés en mémoire ;
Si des processus infectés sont trouvés, cliquez sur Oui pour tout".
une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" ; quitter en cliquant le "X"
* Lorsque le scan rapide est terminé, Cliquez sur le menu Options ->Changer la configuration ;
* Choisissez l'onglet Scanner, et décochez Analyse heuristique Cliquez "Ok"
* De retour à la fenêtre principale : cliquez pour activer Analyse complète;
* Cliquez le bouton avec flèche vertesur la droite,:le scan débutera.
* A l'invite "Désinfecter ?" lorsqu'un fichier est détecté,Cliquez Oui pour tout puis cliquez Désinfecter.
* Lorsque le scan sera complété, cliquez sur cette icône, à côté des fichiersdétectés:http://users.telenet.be/bluepatchy/miekiemoes/images/check.gif
* puis sur l'icône "Suivant", au dessous, et choisissez Déplacer en quarantaine l'objet indésirable
* Au menu principal de l'outil, au haut à gauche, cliquez sur le menu Fichier et choisissez Enregistrer le rapport qui se nommera DrWeb.csv
* Sauvegardez le rapport sur le Bureau.
* Fermez Dr.Web CureIt
* Redémarrez impérativement, car certains fichiers peuvent être déplacés/réparés au redémarrage.
* Copiez/Collez le contenu du rapport de Dr.Web dans la prochaine réponse.
Vous allez télécharger Combofix.
Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.
Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous allez charger sera obsolète dans quelques jours.
Attention, par défaut, Firefox ne permet pas le renommage avant sauvegarde, utiliser plutôt IE
Pour renommer:
Clic droit sur Télécharger combofix.exe de sUBs
Choisir "Enregistrer la cible du lien..sous....bitruc.com
Choisir le bureau
En bas, à Nom du Fichier:
Vous devez obtenir ->bitruc.com
Cliquez enfin sur -> Enregistrer
Lancez bitruc.com et sauvegardez le sur le bureau
La console de Récupération
Tout d'abord, Combofix vérifie si la Console de récupération est installée et vous propose de le faire dans le cas contraire.
Certaines infections comme braviax empêcheront son installation.
La Console de récupération Windows vous permettra de démarrer dans un mode spécial de récupération (réparation).
Elle peut être nécessaire si votre ordinateur rencontre un problème après une tentative de nettoyage
C'est une procédure simple, qui ne vous prendra que peu de temps et pourra peut-être un jour vous sauver la mise.
Certaines infections (Rootkit en Mbr)ne peuvent être traitées qu'en utilisant la Console de Récupération,
D'importantes procédures que Combofix est susceptible de lancer ne fonctionneront qu'à la condition que la console de récupération(Sous Xp) soit installée
C'est pourquoi il vous est vivement conseillé d' installer d'abord la Console de Récupération sur le pc .
Les utilisateurs de Windows Vista peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Environnement de réparation Vista)
Cela permettra de réparer le système au cas ou le pc ne redémarrerait plus suite à la désinfection.
* Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:
cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau:
Ne modifiez pas le nom du fichier
Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2
* Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe
* Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.
* Après installation,vous devriez voir ce message:
The Recovery Console was successfully installed. puis un rapport nommé CF_RC.txt va s'afficher:
postez en le contenu .
Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil
Vous devez désactiver vos protections et ne savez pas comment faire
Sur Bleeping Computers en Anglais:
Sur PCA,En Français
Cela est absolument nécessaire au succès de la procédure.
Bien évidemment, vous les rétablirez ensuite.
Vous avez téléchargé Combofix.
*Double cliquer sur bitruc.com pour le lancer.
Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!
Pour lancer le scan
Connecter tous les disques amovibles (disque dur externe, clé USB…).
* Taper sur la touche 1 pour démarrer le scan.
Si pour une raison quelconque, Vista par exemple, combofix ne se lançait pas,
Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix
Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.
* Le scan pourrait prendre un certain temps:
Patientez au moins 30 minutes pendant l'analyse. Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.
A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.
* Si le rapport est trop long, postez le en deux fois.
Il se trouve à c:\combofix.txt
Le rapport Combofix va dévoiler un certain nombre de fichiers patchés, ou ayant échoué au sigcheck( -)= échec, (7)=succès
Ils peuvent être remplacés grâce à Winreplace de Loup Blanc.
Télécharger WinReplace de Loup Blanc
Si vous utilisez Spybot
Désactiver TeaTimer qui ne sert à rien et peut faire échouer une désinfection:!
Afficher d'abord le Mode Avancé dans Spybot->Options Avancées :- >menu Mode, Mode Avancé.
Une colonne de menus apparaît dans la partie gauche :
- >cliquer sur Outils,- >cliquer sur Résident,
Dans Résident :
- >décocher Résident "TeaTimer" pour le désactiver.
Fermez tous les programmes et double-cliquez sur l'icône WinFileReplace
Dans le menu qui apparaît , choisissez la langue du programme. soit F puis Entrée pour mettre le programme en Français.
Le programme se lance et vérifie votre version de Windows.
Le bloc-note s'ouvre et vous devez indiquer le ou les fichiers à restaurer,sous forme de liste..
explorer.exe
userinit.exe
wscntfy.exe
ctfmon.exe
Fermez le bloc-note et enregistrez les changements.
Le service pack correspondant à votre système va être alors téléchargé.
Ceci peut prendre plusieurs minutes selon la vitesse de connexion (le % d'avancement du téléchargement apparaît en haut de la fenêtre).
Vous devez ensuite accepter le contrat d'utilisateur de Microsoft
Confirmez la restauration du fichier en appuyant sur la touche o et Entrée
Une fois le remplacement effectué, vous devrezRedémarrer l'ordinateur en appuyant sur la touche o puis Entrée.
Au redémarrage, un rapport s'ouvre qui vérifie et vous indique si la restauration a réussi.
Si vous vous faites aider sur un forum, vous pouvez copier/coller ce rapport.
Relancer Combofix.
Vous verrez que Winreplace ne fait pas tout.
Il ne s'occupe pas de Vista ni des fichiers absents et il peut aussi échouer avec tel ou tel autre.
Demeure le problème des fichiers absents dont Winreplace ne s'occupe pas et des fichiers Vista(incompatible).
Solution sous Xp:
Copier les fichiers à partir de C:\FR-files, que Winreplace a créé.
Les fichiers absents seront téléchargés d'un pc sain de même OS, vers un dossier C:\repar
Cela se fait dans un script combofix:
exemple:
FCopy::
C:\repar\AGP440.SYS | C:\WINDOWS\system32\dllcache\AGP440.SYS
C:\repar\lsass.exe | C:\WINDOWS\system32\dllcache\lsass.exe
C:\FR-files\services.exe | C:\WINDOWS\system32\dllcache\services.exe
C:\FR-files\winlogon.exe | C:\WINDOWS\system32\dllcache\winlogon.exe
C:\FR-files\svchost.exe | C:\WINDOWS\system32\dllcache\svchost.exe
C:\FR-files\spoolsv.exe | C:\WINDOWS\system32\dllcache\spoolsv.exe
C:\FR-files\Explorer.EXE | C:\WINDOWS\system32\dllcache\Explorer.EXE
C:\FR-files\tcpip.sys | C:\WINDOWS\system32\dllcache\tcpip.sys
C:\FR-files\sfcfiles.dll | C:\WINDOWS\system32\dllcache\sfcfiles.dll
* Copiez le texte sélectionné (CTRL+C).
* Ouvre zle Bloc-notes(Démarrer / Tous les Programmes>Accessoires >bloc-notes).
* Collez le texte copié dans ce Bloc-notes (CTRL+V).
* Sauvegardez sur le Bureau ce fichier sous le nom de CFScript.txt
Si tout va bien , vous verrez ce message dans combofix
Une copie infectée de c:\windows\system32\lsass.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\system32\dllcache\lsass.exe etc.. etc..
A défaut, il faudra recommencer la même manoeuvre pour copier de dllcache vers system32
Fcopy::
c:\windows\system32\dllcache\wscntfy.exe | c:\windows\system32\wscntfy.exe
c:\windows\system32\dllcache\tcpip.sys | c:\windows\system32\drivers\tcpip.sys
c:\windows\system32\dllcache\sfcfiles.dll | C:\WINDOWS\system32\sfcfiles.dll
Enfin scan en ligne pour voir si tout va bien, mais tout cela est sans garantie de succès.
J'ai eu un sujet ou Winreplace n'a pas fonctionné.
L'internaute, heureusement avait un cd Windows et a fait , avec succès, une réparation sans perte.
C'est aussi la solution pour Vista puisque Winreplace n'est pas compatible,
Infection Virut
