|
Bas de page | |
---|---|
Auteur | Sujet : Sequelles virus : Assos de fichiers (lecteur c), Fichiers cachés HELP |
Publicité | Posté le 02-08-2009 à 16:36:49 |
felix158 glop glop | Après avoir lu ça : J'ai aussi essayé à tout hasard de supprimer "Option des dossiers" et de le remettre, au cas où ça pouvait remettre les paramètres à zéro : executer - "gpedit.msc" / Stratégie ordinateur local / Configuration utilisateur / Modèles d'administration / Explorateur Windows / "Supprimer l'élément de menu Option des dossiers du menu Outil" (Activer, désactiver, ...). Message édité par felix158 le 02-08-2009 à 18:13:01 |
felix158 glop glop | Sinon je viens de penser à un truc : j'ai gardé le virus dans un coin (au cas où). C'est ce virus qui a modifié la base de registre ou autre chose. Pour savoir exactement ce que le virus a fait, il faudrait que je le lance sur une machine cobaye, ou une machine virtuelle, avec sauvegarde de la base de registre avant et après l'infection... Edit : je vais utiliser Regshot Bon je me lance dans l'install d'une machine virtuelle. Au cas où certains auraient le même problème, ce virus est répertorié comme suit : Les autres antivirus ne le détectent pas (à savoir ArcaVir, Avast, bitdefender, ClamAV, CPSecure, DrWeb, F-SECURE, G DATA, Kaspersky, NOD32, NORMAN, Panda, Quick Heal, SOPHOS, VBA32, VirusBuster) Message édité par felix158 le 02-08-2009 à 18:33:57 |
felix158 glop glop | Bon ben échec.. Le virus ne veut pas se lancer. Je suis un peu déçu... Vous savez où je peux le re-chopper ce virus ? Message édité par felix158 le 02-08-2009 à 19:36:20 |
felix158 glop glop | Bon j'ai pas vraiment l'impression de déchainer les foules... Message édité par felix158 le 02-08-2009 à 20:23:35 |
felix158 glop glop | Je viens de tomber là dessus : Apparemment il y a un reg pour restaurer l'association de fichier des lecteurs ( http://www.dougknox.com/xp/fileass [...] on_fix.zip ) Edit : testé sur la machine virtuelle, ça marche nickel ! Il ne me reste plus que le problèmes des extensions de fichiers toujours masquées, des fichiers cachés et fichiers systèmes toujours cachés. Message édité par felix158 le 02-08-2009 à 21:05:05 |
felix158 glop glop | Bon, petit retour en arrière : j'ai finalement réussi à mettre la main sur le virus (sur une image disque de la machine infectée faite juste après l'infection). Le fichier récupéré se nomme olhrwef.exe. Il se trouvait dans Temp.
Je fais un instantané de la base de registre avec RegShot, ensuite j'execute ce fichier (olhrwef.exe). Je le vois aussitôt disparaitre. Je fais un autre instantané de la base de registre. Je vais voir dans le C: (en faisant exécuter / "c:" ) je vois bien tous les fichiers, et là je vois qu'il y a autorun.inf et 8dtyjjf.exe. Ils ont été mis là par le premier fichier. Je sors de c et j'entre en faisait ouvrir et là tous les fichiers cachés disparaissent. Impossible de les retrouver en cochant/décochant dans "Option des dossiers" . Je refais donc un troisième instantané de la base de registre. Maintenant je vais comparer ces différents instantanés pour voir ce qu'il s'est passé en détail. Message édité par felix158 le 02-08-2009 à 21:58:00 |
felix158 glop glop | Pour commencer le programme copie dans à la racine de C : Il copie dans Temp : Il crée les clés suivantes : HKLM\SYSTEM\ControlSet001\Services\AVPsys Qu'il rempli de trucs (je vais pas donner tout le détail, je vais virer tout ça de toute façon). Il crée ces trois valeurs : HKU\S-1-5-21-448539723-1078145449-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU:P:\Qbphzragf naq Frggvatf\sryvk158\Ohernh\nn\byuejrs.rkr: 01 00 00 00 06 00 00 00 90 1A E0 0D A6 13 CA 01 Et enfin modifie ces 6 valeurs (valeur originale en NOIR, valeur modifiée en ROUGE) : HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed: C1 E9 79 D5 6C FA 6A A4 64 1B A9 77 08 C0 B6 0F 81 AD 77 5E B6 A9 9A B4 5A 49 A4 4F 03 51 AC 62 74 E7 B5 E3 34 19 47 CB 49 F4 BA 5B 70 CE 4A 4A 05 B1 6E 57 90 13 E2 6D 35 14 77 B0 85 8F 99 6A C7 6A A0 37 28 F6 D3 02 7F 6F 27 D8 FA A8 E4 AF
HKU\S-1-5-21-448539723-1078145449-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden: 0x00000001 HKU\S-1-5-21-448539723-1078145449-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden: 0x00000001 HKU\S-1-5-21-448539723-1078145449-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU: 01 00 00 00 1B 00 00 00 50 59 01 F8 A5 13 CA 01 HKU\S-1-5-21-448539723-1078145449-1343024091-1003\Software\Microsoft\Windows\ShellNoRoam\BagMRU\MRUListEx: 04 00 00 00 01 00 00 00 00 00 00 00 02 00 00 00 06 00 00 00 05 00 00 00 03 00 00 00 FF FF FF FF Message édité par felix158 le 02-08-2009 à 23:27:21 |
felix158 glop glop | Alors j'ai supprimé les fichiers infectés, et modifié les clés (sauf HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed.... vu que la valeur avait encore changé. et aussi les S-1-5-21-448539723-1078145449-1343024091-1003 que je n'arrive pas a trouver. Sinon, tout remarche nickel, la machine virtuelle est bien désinfectée, et les fichiers cachés sont de nouveau visibles, on peut ouvrir les lecteurs normalement. Merci à tous pour votre aide précieuse ! Message cité 1 fois Message édité par felix158 le 03-08-2009 à 00:20:35 |
Publicité | Posté le 03-08-2009 à 00:10:46 |
glenton papalawa |
|
Sujets relatifs | |
---|---|
Perte de la fonction "connecté a un lecteur réseau" | Désactiver la fonction d'extraction des fichiers .ZIP |
[help] perte partitionnement - comment récuperer disque ? | Virus qui detraque la souris |
virus aide et support windows vista ? | virus HackTool.GSQ |
virus aide et support windows vista ??? | HELP ! Mon petit problème (Windows.old) |
[help] explorer ne se lance plus au demarage | Help recup vista |
Plus de sujets relatifs à : Sequelles virus : Assos de fichiers (lecteur c), Fichiers cachés HELP |