Virus

  Se débarrasser d' un virus sans anti-virus
Virus W32.Sircam.Worm@mm
Procédure d' éradication du virus KAK
Eradiquez le virus Badtrans
Supprimer le virus Matrix


 
 
Se débarraser d' un virus sans anti-virus :
Bon, il est toujours plus efficace d' aller vite en acheter ou de voir sur les sites des differents éditeurs si une version de démonstration ou un patch spécialisé dans l' éradication de tel virus n' est pas gratuitement mis à votre disposition. Mais il se peut que parfois vous soyez dans l' urgence ou que vous n' ayez pas le choix. Shématiquement, il existe deux types de virus : Ceux que vous pouvez éliminer en lançant votre programme d' anti-virus à partir de Windows et ceux qui nécessite de démarrer à partir d' une disquette de secours ( protégée en écriture ! ) ( Tous les anti-virus vous proposent lors de l' installation de créer ce type de disquette ) ou d' un CD-ROM bootable afin de lancer de là votre programme de nettoyage. Dans ce second cas de figure, il se peut que l' installation de votre anti-virus plante ou que ce dernier refuse de s' installer. Le virus est dans la zone amorce de votre système est se charge avant même votre anti-virus. Il est de ce fait inaccessible. Vous avez toujours la possibilité de l' installer provisoirement sur un autre ordinateur et de là créer les fameuses disquettes qui vont vous sauver la mise. Pour les téméraires, voici une procédure d' élimination de la grande majorité des virus ( mais cela ne sera pas toujours vrai ! Et suppose que vous perdiez toutes vos données ) :
Après avoir paramétrer la séquence de démarrage dans le BIOS, démarrez à partir du CD-ROM d' installation Windows 98 ou ME. Quittez le processus d' installation du système de telle façon que vous allez vous retrouvez en mode MS-DOS. A partir de votre ligne de commande. Si vous êtes sur A:\, il est plus simple de retrouver votre lettre de lecteur du CD-ROM ( D : ou E : etc. ) et de vous placer dans le répertoire contenant les fichiers cabs. ( win98 ou win9x si votre système est Windows Millenium ). A partir de D:\win98 ( ou win9x). Tapez : fdisk /mbr
Windows ne dit rien de spécial. Si le secteur d' amorçage a été correctement recréé vous vous retrouvez sur votre commande précédente ( D:\win98 ou win9x ).
Tapez ensuite : format c : /q
De telle façon que le nomde volume de votre partition sera lui aussi écrasé.
Enfin, supprimez puis recréer toutes les partitions présentes sur votre disque dur.
Il vous suffit enfin de procéder à la réinstallation complète de votre système d' exploitation.
Note importante : N' oubliez pas que toutes vos disquettes et CD-ROM gravés risquent d' être infectés.

- Virus W32.Sircam.Worm@mm :
Nous allons pas nous étendre sur son pedigree mais plutôt vous proposer la solution afin de refouler le terrible envahisseur…
A l' adresse suivante téléchargez le patch vous permettant de nettoyer votre disque dur :
http://www.sarc.com/avcenter/venc/data/w32.sircam.worm@mm.html
Sur la page qui se lance il vous suffit de cliquer sur :
" To obtain the W32.Sircam.Worm@mm removal tool, please click here. "
Une fois que vous avez enregistré ce fichier sur votre disque dur, supprimez tout d' abord tous vos emails. Pour cela faites un clic droit sur l' icône " Poste de travail " et choisissez " explorer ". Vous êtes dans l' " Explorateur Windows "… Double-cliquez sur le répertoire " Windows " puis sur " ApplicationData ". Enfin faites un clic droit sur " Identities " et choisissez " supprimer ". Redémarrez en mode Msdos et, après avoir désactiver les attributs " fichier caché " et " lecture seule " des fichiers, supprimez le contenu de votre corbeille. Redémarrez en mode sans échec ... Une fois sur le bureau faites un clic droit sur la corbeille et choisissez " propriétés ". Cochez l' option " ne pas déplacer les fichiers vers la corbeille ". Lancez alors le fichier " fixsirc.com ". Cliquez sur " start " et validez toutes les propositions qu' il vous fait et, en cas de fichiers infectés, choisissez l' option " delete the file ". Pour finir cliquez sur " démarrer" - " exécuter " et, dans la boîte de dialogue qui s' ouvre, tapez : " sysedit ". Supprimez, dans le premier fichier ouvert : " autoexec.bat ", toutes les lignes facilement reconnaissables qui font référence au virus
( sirc32.exe). Redémarrez normalement et lancez quelques programmes. Si vous avez un message d' erreur vous parlant d' un rundll32.exe ou notepad.exe manquant il vous suffira alors d' extraire le fichier.


- Procédure d' éradication du virus KAK :
Retrouvez les manches, il y a du pain sur la planche !
Tout d' abord, ouvrez Outook Express et supprimez tous vos e-mail ( éléments envoyés, reçus, boîte d' envoi, de réception et brouillons ) ainsi que vos signatures. Lancez l' Editeur de registre système et ouvrez dans :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion
toutes les clés commençant par " Run " ( Run, RunOnce, RunServices, etc. )
Dans chacune d' elle supprimez les lignes contenant le mot " Cagou " ( ou similaire )
Ouvrez l' Explorateur Windows, activez l' affichage de tous les fichiers et lancez une recherche sur : *.hta puis sur kak*.*
Supprimez l' ensemble des fichiers trouvés …
Toujours dans l' Explorateur Windows, vérifiez si, à la racine de votre disque dur C :, vous n' avez pas un dossier dont le nom rappellerai celui de l' abominable virus.
Cliquez sur " démarrer " - " exécuter " et tapez " sysedit ". Dans la première fenêtre " Autoexec.bat ", supprimez toutes les lignes contenant les termes kak, cagou ou approchants
Enfin, videz votre corbeille qui doit être remplie à ras bord …
Redémarrez Windows.

- Eradiquez le virus Badtrans :
Le topo complet sur ce virus se trouve à l' adresse suivante : http://yves.marsal.free.fr et une procédure complète est disponible sur : http://www.europe.f-secure.com/v-descs/badtrans.shtml
Voici un rapide résumé :
Faites un clic droit sur l' icone " Poste de travail " et choisissez " Explorer ". faites une recherche et supprimez les fichiers suivants : cp_25389.nls hkk32.exe et inetd.exe
Dans le cas de la version Trojan, supprimez également : kern32.exe, hksdll.dll et cp_23421.nls
Cliquez sur " Démarrer " - " Exécuter " et tapez : Regedit. Ouvrez :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
Faites un clic droit sur la valeur : kernel32
puis choisissez " Supprimer "
Sous WinNT/2000, recommencez l' opération en effaçant dans :
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\run
la commande : C:\WINDOWS\INETD.EXE
Redémarrez l' ordinateur … Refaites un clic droit sur " Poste de travail " et ouvrez :
C:\WINDOWS\SYSTEM
Supprimez le fichier : kernel32.exe puis, éventuellement, les fichiers protocol.dll et kdll.dll
Note : Si vous n' avez pas décochez la commande " Masquer les extensions dont le type est connu ", les extensions ne seront pas visibles.

- Supprimer le virus Matrix :
Cliquez sur " Démarrer " - " Exécuter " et tapez " msonfig ". Dans l' onglet " Général ", sélectionnez la ligne " Démarrage sélectif " puis désactivez la commande " Charger les rubriques du groupe démarrage ". Sans redémarrer, cliquez à nouveau sur " Démarrer " - " Exécuter " et tapez " regedit ". Ouvrez :
HKEY_LOCAL_MACHINE\SOFTWARE\matrix
Faites un clic droit sur cette dernière clé et choisissez " Supprimer "
Ouvrez par la suite :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SystemBackup
Faites un clic droit sur cette dernière clé et choisissez " Supprimer "
Cliquez sur " Démarrer " - " Programmes " puis " Commandes MS-DOS ".
A partir de C:\windows
Tapez :
deltree MTX_.EXE
deltree IE_PACK.EXE
deltree WIN32.DLL
( Il faut à chaque fois valider par Entrée )
Redémarrez en mode sans échec et procédez à l' extraction de :
wsock32.dll
rundll32.exe
explorer.exe
Redémarrez en mode normal et lancez votre connexion Internet ( qui cette fois-ci fonctionnera ) afin d' effectuer une mise à jour de votre anti-virus ou de télécharger l' outil proposé, par exemple, sur le site " Symantec.fr " : fixmtx
Vous devrez le lancer à partir du fenêtre MS-Dos et en utilisant le paramètre /a
En admettant que vous l' avez téléchargé sur votre bureau, il vous faudra taper à partir de C:\windows\desktop
fixmtx /a