Sequelles virus : Assos de fichiers (lecteur c), Fichiers cachés HELP

Sequelles virus : Assos de fichiers (lecteur c), Fichiers cachés HELP - Win NT/2K/XP - Windows & Software

Marsh Posté le 02-08-2009 à 16:36:49    

Bonjour à tous !
Après avoir bêtement chopé un virus par clé usb, j'ai un problème d'association de fichiers. Quand j'ouvre le lecteur C, ça lance une une recherche.

 

De plus, dans Option des dossiers/Types de fichier, impossible de mettre une autre action par défaut, le bouton "défaut" est grisé. (ça marche sur un ordi sans le virus).
Au passage, quelle est cette action "find" par défaut lors de l'ouverture d'un lecteur ? Je pense que c'est elle qui a été modifiée, mais comment la remettre dans son état initial ?

 

Impossible aussi de modifier les options pour voir ou non les fichiers cachés, des fichiers systèmes, des extensions de fichiers connus (je peux cocher ou décocher, mais ça n'a aucun résultat)

 

Comment remettre tout ça en ordre ? C'est possible de remettre tout ça par défaut ? Je précise que je ne peux pas formater, c'est un ordi de travail qui ne m'appartient pas :D

 

Merci d'avance pour votre aide, j'en ai bien besoin !


Message édité par felix158 le 02-08-2009 à 18:34:13
Reply

Marsh Posté le 02-08-2009 à 16:36:49   

Reply

Marsh Posté le 02-08-2009 à 17:09:20    

Le plus gros problème, c'est l'ouverture de lecteur qui ne marche pas par défaut. J'ai aucune piste pour régler ça pour l'instant
 
Pour le problèmes des fichiers cachés, j'ai essayé de voir la base de registre :

Citation :

Tu dois modifier ta base de registre : (tape regedit dans executer et suie les chemins çi-dessous puis modifie les valeurs CheckedValue et DefaultValue)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Explorer\Advanced\Folder\ Hidden\SHOWALL
CheckedValue = 1
DefaultValue = 2
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Explorer\Advanced\Folder\ Hidden\NOHIDDEN
CheckedValue = 2
DefaultValue = 2


Ca change rien, je pense que cocher ou décocher les cases dans "Options des dossiers" change cette valeur en fait, mais elle n'a aucune influence sur l'affichage des fichiers cachés.

Reply

Marsh Posté le 02-08-2009 à 17:17:37    

Après avoir lu ça :
http://forum.zebulon.fr/index.php? [...] wentry=617
j'ai également bien vérifié, et j'ai pas d'autorun.inf sur le C (vérifié avec un live CD ubuntu). Le virus semble bien avoir disparu.

 

J'ai aussi essayé à tout hasard de supprimer "Option des dossiers" et de le remettre, au cas où ça pouvait remettre les paramètres à zéro :

 

executer - "gpedit.msc" / Stratégie ordinateur local / Configuration utilisateur / Modèles d'administration / Explorateur Windows / "Supprimer l'élément de menu Option des dossiers du menu Outil" (Activer, désactiver, ...).
Ça ne marche pas, c'est juste le raccourcis qui part et qui revient, mais le problème reste le même.


Message édité par felix158 le 02-08-2009 à 18:13:01
Reply

Marsh Posté le 02-08-2009 à 18:04:29    

Sinon je viens de penser à un truc : j'ai gardé le virus dans un coin (au cas où). C'est ce virus qui a modifié la base de registre ou autre chose.

 

Pour savoir exactement ce que le virus a fait, il faudrait que je le lance sur une machine cobaye, ou une machine virtuelle, avec sauvegarde de la base de registre avant et après l'infection...
Question : il existe quoi comme logiciel pour comparer deux versions de la base de registre ?

 

Edit : je vais utiliser Regshot

 

Bon je me lance dans l'install d'une machine virtuelle.

 

Au cas où certains auraient le même problème, ce virus est répertorié comme suit :
A-Squared le nomme Trojan.Crypt!IK
AntiVir le nomme Tr/Crypt.XPACK.Gen
F-PROT le nomme W32/SuspPack.AA.gen!Eldorado
IKARUS le nomme Trojan.Crypt

 

Les autres antivirus ne le détectent pas (à savoir ArcaVir, Avast, bitdefender, ClamAV, CPSecure, DrWeb, F-SECURE, G DATA, Kaspersky, NOD32, NORMAN, Panda, Quick Heal, SOPHOS, VBA32, VirusBuster)


Message édité par felix158 le 02-08-2009 à 18:33:57
Reply

Marsh Posté le 02-08-2009 à 19:31:42    

Bon ben échec.. Le virus ne veut pas se lancer.
J'ai peut être pas pris le bon fichier : celui par lequel l'infection est arrivée (dur externe) a été supprimé directement.
Le fichier que j'ai gardé se trouvait à la racine du C de l'ordi infecté (autorun.inf et 8dtyjjf.exe). Apparemment, il ne veut pas se lancer le bougre...
http://felix158.free.fr/temp/virus2.jpg

 

Je suis un peu déçu...

 

Vous savez où je peux le re-chopper ce virus ? :D


Message édité par felix158 le 02-08-2009 à 19:36:20
Reply

Marsh Posté le 02-08-2009 à 20:22:53    

Bon j'ai pas vraiment l'impression de déchainer les foules...
Je vais essayer de me concentrer sur un éventuel moyen de restaurer toutes les associations de fichier par défaut.


Message édité par felix158 le 02-08-2009 à 20:23:35
Reply

Marsh Posté le 02-08-2009 à 20:56:54    

Je viens de tomber là dessus :
http://www.dougknox.com/xp/file_assoc.htm

 

Apparemment il y a un reg pour restaurer l'association de fichier des lecteurs ( http://www.dougknox.com/xp/fileass [...] on_fix.zip )

 

Edit : testé sur la machine virtuelle, ça marche nickel !

 

Il ne me reste plus que le problèmes des extensions de fichiers toujours masquées, des fichiers cachés et fichiers systèmes toujours cachés.


Message édité par felix158 le 02-08-2009 à 21:05:05
Reply

Marsh Posté le 02-08-2009 à 21:52:35    

Bon, petit retour en arrière : j'ai finalement réussi à mettre la main sur le virus (sur une image disque de la machine infectée faite juste après l'infection).

 

Le fichier récupéré se nomme olhrwef.exe. Il se trouvait dans Temp.
Scan de ce fichier :

Citation :

ArcaVir le nomme Trojan.Gamethief.Magania.Bpcj
A-Squared le nomme Trojan-Downloader.Win32.Frethog!IK
Avast le nomme Win32:Kamso
AntiVir le nomme TR/Crypt.ZPACK.Gen
bitdefender le nomme Trojan.PWS.Onlinegames.KCOW
CP Secure le nomme Troj.GameThief.W32.Magania.bpcj
Dr.Web le nomme Trojan.Packed.191
F-SECURE le nomme Trojan-GameThief.Win32.Magania.bpcj
G DATA le nomme Trojan.PWS.Onlinegames.KCOW
IKARUS le nomme Trojan-Downloader.Win32.Frethog
Kaspersky le nomme Trojan-GameThief.Win32.Magania.bpcj
NOD32 le nomme Win32/PSW.OnLineGames.NNU
Panda le nomme Trj/Lineage.BZE
Quick Heal le nomme TrojanGameThief.Magania.bpcj
SOPHOS le nomme Mal/Frethog-B
VBA32 le nomme Trojan-GameThief.Win32.Magania.bpcj
VirusBuster le nomme Trojan.PWS.Magania.QRH

 

Je fais un instantané de la base de registre avec RegShot, ensuite j'execute ce fichier (olhrwef.exe). Je le vois aussitôt disparaitre. Je fais un autre instantané de la base de registre. Je vais voir dans le C: (en faisant exécuter / "c:" ) je vois bien tous les fichiers, et là je vois qu'il y a autorun.inf et 8dtyjjf.exe. Ils ont été mis là par le premier fichier. Je sors de c et j'entre en faisait ouvrir et là tous les fichiers cachés disparaissent. Impossible de les retrouver en cochant/décochant dans "Option des dossiers" . Je refais donc un troisième instantané de la base de registre.

 

Maintenant je vais comparer ces différents instantanés pour voir ce qu'il s'est passé en détail.


Message édité par felix158 le 02-08-2009 à 21:58:00
Reply

Marsh Posté le 02-08-2009 à 23:22:41    

Pour commencer le programme copie dans à la racine de C :
Autorun.inf
xxx.exe

 

Il copie dans Temp :
olhrwef.exe

 

Il crée les clés suivantes :

 

HKLM\SYSTEM\ControlSet001\Services\AVPsys
HKLM\SYSTEM\ControlSet001\Services\AVPsys\Security
HKLM\SYSTEM\ControlSet001\Services\AVPsys\Enum
HKLM\SYSTEM\CurrentControlSet\Services\AVPsys
HKLM\SYSTEM\CurrentControlSet\Services\AVPsys\Security
HKLM\SYSTEM\CurrentControlSet\Services\AVPsys\Enum

 

Qu'il rempli de trucs (je vais pas donner tout le détail, je vais virer tout ça de toute façon).

 

Il crée ces trois valeurs :

 

HKU\S-1-5-21-448539723-1078145449-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU:P:\Qbphzragf naq Frggvatf\sryvk158\Ohernh\nn\byuejrs.rkr: 01 00 00 00 06 00 00 00 90 1A E0 0D A6 13 CA 01
HKU\S-1-5-21-448539723-1078145449-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Run\cdoosoft: "C:\DOCUME~1\felix158\LOCALS~1\Temp\olhrwef.exe"
HKU\S-1-5-21-448539723-1078145449-1343024091-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Documents and Settings\felix158\Bureau\aa\olhrwef.exe: "olhrwef"

 

Et enfin modifie ces 6 valeurs (valeur originale en NOIR, valeur modifiée en ROUGE) :

 

HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed: C1 E9 79 D5 6C FA 6A A4 64 1B A9 77 08 C0 B6 0F 81 AD 77 5E B6 A9 9A B4 5A 49 A4 4F 03 51 AC 62 74 E7 B5 E3 34 19 47 CB 49 F4 BA 5B 70 CE 4A 4A 05 B1 6E 57 90 13 E2 6D 35 14 77 B0 85 8F 99 6A C7 6A A0 37 28 F6 D3 02 7F 6F 27 D8 FA A8 E4 AF
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed: 3D 14 7B 49 38 FD 63 11 6F 2D 63 63 48 8F 83 B8 63 B5 87 0A 91 9F 15 93 95 F2 D9 A8 52 1A F0 EF 31 03 A3 D9 34 BF 98 26 4B 48 7B FB 8D 74 99 32 D9 C3 B6 A6 B1 98 3F 29 81 B4 8B 14 E5 CD 64 35 82 41 C9 44 97 4F E2 34 61 2C A8 A2 B3 A4 FA F6

 


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000001
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000000

 

HKU\S-1-5-21-448539723-1078145449-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden: 0x00000001
HKU\S-1-5-21-448539723-1078145449-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden: 0x00000002

 

HKU\S-1-5-21-448539723-1078145449-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden: 0x00000001
HKU\S-1-5-21-448539723-1078145449-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden: 0x00000000

 

HKU\S-1-5-21-448539723-1078145449-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU: 01 00 00 00 1B 00 00 00 50 59 01 F8 A5 13 CA 01
HKU\S-1-5-21-448539723-1078145449-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU: 01 00 00 00 1C 00 00 00 90 1A E0 0D A6 13 CA 01

 

HKU\S-1-5-21-448539723-1078145449-1343024091-1003\Software\Microsoft\Windows\ShellNoRoam\BagMRU\MRUListEx: 04 00 00 00 01 00 00 00 00 00 00 00 02 00 00 00 06 00 00 00 05 00 00 00 03 00 00 00 FF FF FF FF
HKU\S-1-5-21-448539723-1078145449-1343024091-1003\Software\Microsoft\Windows\ShellNoRoam\BagMRU\MRUListEx: 06 00 00 00 04 00 00 00 01 00 00 00 00 00

 


Message édité par felix158 le 02-08-2009 à 23:27:21
Reply

Marsh Posté le 03-08-2009 à 00:10:46    

Alors j'ai supprimé les fichiers infectés, et modifié les clés (sauf HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed.... vu que la valeur avait encore changé.

 

et aussi les S-1-5-21-448539723-1078145449-1343024091-1003 que je n'arrive pas a trouver.

 

Sinon, tout remarche nickel, la machine virtuelle est bien désinfectée, et les fichiers cachés sont de nouveau visibles, on peut ouvrir les lecteurs normalement.
J'ai plus qu'à suivre cette procédure demain sur l'ordi qui a été infecté

 

Merci à tous pour votre aide précieuse :D !

Message cité 1 fois
Message édité par felix158 le 03-08-2009 à 00:20:35
Reply

Marsh Posté le 03-08-2009 à 00:10:46   

Reply

Marsh Posté le 02-09-2009 à 05:53:51    

felix158 a écrit :


Merci à tous pour votre aide précieuse :D !


 
Merci à toi, j'ai choppé ce machin et je viens de comprendre d'où (moi qui croyais que l'admin avait bloqué la possibilité d'afficher les fichiers cachés [:cerveau manust]) et en prime tu files clef en main la méthode pour le dézinguer, si c'est pas beau...  :jap:  
 

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed