Bonjour tout le monde,
après bien des péripéties, j’ai enfin réussi à me débarasser de ce cheval de troie particulièrement retors… je choisis donc d’exposer mes constatations et ma méthode d’éradication très différente des habituels postages de rapports de HijackThis.
Sommaire :
1 - Constat
2 - Logiciels nécessaires
3 - Nettoyage du PC et des supports amovibles (clés/disques USB)
1 - CONSTAT
Comment ai-je détecté la présence de ce virus ?
Très simple : en branchant une de mes clés USB, je remarque une icone de dossier jaune classique en lieu et place de l’habituelle icone de lecteur amovible grise !
De plus depuis le poste de travail, en double-cliquant sur l’icone, une nouvelle fenêtre du poste de travail s’ouvre, alors que mon Windows est paramétré pour afficher le contenu directement dans la même fenêtre… Il y a anguille sous roche, c’est clair !
Ce cheval de troie est capable d’infecter :
- des supports amovibles tels que les clés USB
- des machines en réseau local (dans mon cas : un réseau filaire)
Le nettoyage va donc nécessiter quelques précautions, sinon on va vite tourner en rond.
2 - LOGICIELS NECESSAIRES
J’ai fait appel aux logiciels suivants :
- AVIRA Antivir version gratuite installé en local sur chaque machine avec mise à jour de la base de données
- ULTRAISO en version d’essai
- l’éditeur de registre de Windows
3 - Nettoyage du PC
Premièrement : faire un scanner intégral de tous les disques durs internes et externes, et clés USB susceptibles d’avoir servi sur le(s) PC infecté(s).
Logiquement, AVIRA va détecter dans le dossier Windows/System32 un fichier de type DLL (par 3 fois dans mon cas sur 3 PC différents, mais ça peut aussi être un EXE) contenant le virus : pas de quartier, choisissez l’option SUPPRIMER et validez.
Pour ma part, le virus s’était également installé dans un sous-dossier du dossier système RECYCLER, c’est-à-dire la CORBEILLE !
Inutile de chercher à vider la corbeille, ce sous-dossier et son occupant gênant ne seront pas évacués par Windows, ce serait trop simple…
En théorie, AVIRA détecte cette copie cachée du virus et vous lui intimez l’ordre de l’effacer : mais comme je n’ai aucune confiance, je me suis assuré personnellement que le sous-dossier et le virus avaient bien dégagé, pour cela j’ai pris ULTRAISO qui affiche sans complexe des dossiers cachés (genre les FOUND.xxx contenant les récupérations de fragments de fichiers suite à un scandisk ou autres…)
- j’ai lancé ULTRAISO (la version d’essai suffit largement)
- dans la section Local en bas à gauche, j’ai cliqué sur la lettre de lecteur de ma clé USB
- dans la section en bas à droite, apparait le contenu de ma clé, dont le dossier RECYCLER
2 possiiblités :
- soit AVIRA a bien fait son boulot et il ne reste que le sous-dossier sans la moindre trace de fichier suspect à l’intérieur,
- soit il reste un sous-dossier ET le fichier incriminé : ce cas m’est arrivé, j’ai donc sélectionné ce fameux sous-dossier, un clic droit et supprimer.
Je croyais en avoir fini, grossière erreur.
Je débranche ma clé, puis la rebranche, et là horreur et damnation : ma clé est toujours affichée comme un simple dossier (icone jaune).
Pire, en double-cliquant dessus, j’obtiens une fenêtre d’erreur avec le message suivant :
En clair : le virus a ajouté une ligne de commande pour se placer en intermédiaire entre l’utilisateur (qui double-clique) et Windows (qui affiche le contenu du lecteur). Malin !
Je lance l’éditeur du registre (rappel pour ceux qui ne connaissent pas : démarrer / exécuter / regedit puis valider avec entrée)
Cette dernière trace du virus doit être débusquée dans la base de registre, dans la clé qui stocke les informations sur les points de montage des lecteurs amovibles :
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
Après plusieurs essais pour effacer juste la bonne clé de registre représentant ma clé USB, j’avais toujours le message d’erreur… J’ai pris le parti d’effacer toutes les clés de type {xxxxxxxx-xxxx-…} qui désignent les lecteurs amovibles et contiennent les options d’exécution automatique au branchement, et j’ai enfin pu faire disparaitre la fausse liaison sur ma clé USB.
A titre d’information : après études de ces clés du registre, celle représentant ma clé USB contient une sous-clé qui appelle le programme RUNDLL32.EXE (pour lancer le virus) et remplace l’icone par l’icone jaune : ce petit détail qui m’a mis la puce à l’oreille sur la présence du virus se révélait donc exact.
ET LA PARTIE RESEAU ?
Autre détail frappant : le pare-feu de chaque bécane recevait depuis quelques jours un appel en provenance de la machine voisine de la part du processus SYSTEM sur le port 445, sans que je n’engage de transfert de fichier ou autre, et hors connexion internet : c’est tout simplement le virus qui tentait de se propager au voisinage le plus proche.
J’espère que mes explications sont suffisamment claires, au besoin je pourrai ajouter des captures d’écran.
Edité le 04/07/2009 à 23:43
