Instructions de désinfection

Dernière mise à jour : 16/10/2006
Auteur : Hélène Michaud

Sommaire

Utilitaires génériques
Listes d'utilitaires de désinfection

Note de l'auteur : La liste de virus ci-dessous n'est plus maintenue, et évolue tout doucement vers la curiosité archéologique. Reportez-vous de préférence aux deux liens ci-dessus, bien plus utiles actuellement en cas d'infection.
Badtrans.B
Bugbear/Tanatos
Hybris ("Blanche-Neige")
JS.Exception
JS.Noclose
Klez
Loveletter (ILoveYou)
Lovsan/Blaster/MSBlast
Magistr.B (Magistr.39921)
Nimda (Code Rainbow)
Opaserv/Opasoft
Sircam
Sobig
Yaha/Lentin

Utilitaires génériques

En cas d'urgence, ces utilitaires gratuits recherchent et éliminent bon nombre de virus. Assurez-vous de télécharger la dernière version, et lisez soigneusement le mode d'emploi fourni pour une utilisation optimale.

Clrav (Kaspersky) :

Liste de virus détectés :
http://www.kaspersky.com/faq?qid=169065921

Téléchargement direct :
ftp://ftp.kaspersky.com/utils/clrav/clrav.zip

Stinger (McAfee) :

Page sur le site de l'éditeur, mode d'emploi et liste de virus détectés (en anglais) :
http://vil.nai.com/vil/stinger/

Téléchargement direct :
http://download.nai.com/products/mcafee-avert/stinger.exe

Damage Cleanup Engine/Template (Trend Micro) :

Page sur le site de l'éditeur (en anglais) :
http://www.trendmicro.com/download/tsc.asp

Mode d'emploi (en anglais) :
http://www.trendmicro.com/ftp/products/tsc/readme.txt

Téléchargement direct :
http://www.trendmicro.com/ftp/products/tsc/sysclean.com

Dernier fichier de définitions :
http://www.trendmicro.com/download/pattern.asp

Listes d'utilitaires de désinfection

Pour vous débarrasser rapidement des intrus identifiés, des utilitaires spécifiques.

Sur Secuser.com :

http://www.secuser.com/telechargement/index.htm

La compil' de Djehuti :

http://djehutiii.free.fr/index.php?rub=9&choix=1

Les liens de la « FAQ Virus » :

http://www.chez.com/faqvirus/div_fix.html

Instructions de désinfection par virus

Badtrans.B

Description :

http://www.aspirine.org/encyclo/b.htm#BadtransB
http://www.secuser.com/alertes/2001/badtransb.htm

Manifestations visibles :

• Apparition de "Kernel32.exe" (le ver, à ne pas confondre avec "Kernel32.dll"), "KDLL.DLL" (le trojan)et "CP_25389.NLS" (les informations volées) dans le répertoire système de Windows (c:\winnt\system32 ou c:\windows\system, selon les versions).
• Dysfonctionnement de la touche "^" : on obtient "^e" ou "^^e" à la place de "ê". Idem avec "¨".

Identifier et prévenir la personne infectée :

Il suffit de retirer le "_" que le virus ajoute au début de l'adresse e-mail de l'expéditeur du message infecté. Attention cependant, le virus détectera probablement votre mail, et vous re-répondra !

Se désinfecter :

1. Si le virus s'est installé automatiquement, il faut patcher votre Internet Explorer pour ne plus être infecté de la sorte : téléchargez toutes les mises à jour de sécurité disponibles.
2. Effacer le message infecté, vider la corbeille, puis compresser les dossiers dans son logiciel de messagerie.
3. Lancer l'un des outils de désinfection existants, par exemple celui de Symantec :
   http://www.secuser.com/telechargement/index.htm#BadtransB
   ou
   Désinfection manuelle : Dans la base de registre, supprimez l'entrée [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunOnce\kernel32="kernel32.exe"]. Redémarrez l'ordinateur en mode DOS. Supprimez les fichiers CP_25389.NLS, Kernel32.exe (attention à ne pas effacer Kernel32.dll par erreur !) et Kdll.dll du répertoire système.

Retour au sommaire

Bugbear/Tanatos

Description :

Bugbear / Tanatos
http://www.secuser.com/alertes/2002/bugbear.htm
http://aspirine.org/frame.html?encyclo?b#Bugbear

Bugbear.B / Tanatos.B
http://www.secuser.com/alertes/2003/bugbearb.htm

Manifestations visibles :

Votre antivirus et votre firewall personnel ne fonctionnent plus.

Et, au moins pour la première variante :
Votre touche ^ fonctionne mal : vous obtenez ^^e au lieu de ê.
L'imprimante partagée "devient folle" et imprime toute seule.

Identifier et prévenir la personne infectée :

Les champs "from" et "return-path" des e-mails infectés pouvant être falsifiés, seule l'adresse IP reste fiable pour essayer de retrouver la personne infectée. Essayez de prévenir son FAI en lui envoyant les entêtes complets de l'e-mail, il pourra peut-être l'identifier et le prévenir.

Se désinfecter (démarche à effectuer sur tous les ordinateurs d'un réseau infecté, après les en avoir déconnectés pour éviter les réinfections par un ordinateur non encore traité) :

1. Si le virus s'est installé automatiquement, il faut patcher votre Internet Explorer pour ne plus être infecté de la sorte : téléchargez toutes les mises à jour de sécurité disponibles.
2. Effacer le message infecté, vider la corbeille, puis compresser les dossiers dans son logiciel de messagerie.
3. Lancer l'un des outils de désinfection existants :
   Bugbear / Tanatos
   http://www.secuser.com/telechargement/index.htm#BugBear
   Bugbear.B / Tanatos.B
   http://www.secuser.com/telechargement/index.htm#BugbearB

Retour au sommaire

Hybris ("Blanche-Neige")

Description :

http://aspirine.org/encyclo/h.htm#Hybris

Manifestations visibles :

Une spirale tourbillonnante noire et blanche au milieu de l'écran.

Identifier et prévenir la personne infectée :

Le champ "from" des e-mails infectés étant falsifié, seule l'adresse IP peut donner un indice sur l'identité de la personne infectée. Essayez de prévenir son FAI en lui envoyant les entêtes complets de l'e-mail, il pourra peut-être l'identifier.

Se désinfecter :

Lancer l'un des outils de désinfection existants, par exemple :
http://www.secuser.com/telechargement/index.htm#Hybris

Retour au sommaire

JS.Exception

Description :

http://aspirine.org/encyclo/j.htm#Exception

Il ne s'agit pas vraiment d'un virus, mais d'une tentative d'exploitation d'une faille de sécurité d'Internet Explorer, par exemple pour changer la page de démarrage.
Assurez-vous que vous êtes à jour de vos correctifs de sécurité.

Retour au sommaire

JS.Noclose

Description :

http://www.secuser.com/alertes/2002/noclose.htm

Il ne s'agit pas vraiment d'un virus mais d'un code Javascript malicieux sans réel danger pour votre ordinateur, mais qui est cependant parfois détecté par les antivirus. Videz le cache de votre logiciel de navigation.

Retour au sommaire

Klez

Description :

Klez.E
http://aspirine.org/encyclo/k.htm#Klez
http://www.secuser.com/alertes/2002/klez.htm

Klez.H
http://aspirine.org/encyclo/k.htm#KlezH
http://www.secuser.com/alertes/2002/klezh.htm

Manifestations visibles :

Votre antivirus ne fonctionne plus.

Identifier et prévenir la personne infectée :

Les champs "from" et "return-path" des e-mails infectés pouvant être falsifiés, seule l'adresse IP reste fiable pour essayer de retrouver la personne infectée. Essayez de prévenir son FAI en lui envoyant les entêtes complets de l'e-mail, il pourra peut-être l'identifier et le prévenir.

Se désinfecter :

1. Si le virus s'est installé automatiquement, il faut patcher votre Internet Explorer pour ne plus être infecté de la sorte : téléchargez toutes les mises à jour de sécurité disponibles.
2. Effacer le message infecté, vider la corbeille, puis compresser les dossiers dans son logiciel de messagerie.
3. Lancer l'un des outils de désinfection existants, par exemple celui de Symantec :
   http://www.secuser.com/telechargement/index.htm#Klez

Retour au sommaire

Loveletter (ILoveYou)

Description :

http://aspirine.org/encyclo/l.htm#Love
http://www.secuser.com/alertes/2000/iloveyou.htm

Note : le virus s'attaquant aux mp3 et aux images, il n'est pas rare de le trouver offert au téléchargement dans les logiciels peer-to-peer type Kazaa.

Manifestations visibles :

Les images jpeg et les mp3 ont tous la même taille, et une seconde extension .vbs. Attention, cette seconde extension est très souvent masquée par défaut dans Windows !

Identifier et prévenir la personne infectée :

Si le virus vous est parvenu par mail, l'expéditeur apparent est bien la personne infectée.

Se désinfecter :

• Lancer un utilitaire de désinfection, par exemple antilove.exe de Panda Software :
  http://www.secuser.com/telechargement/index.htm#AntiLove
• Vous pouvez récupérer vos mp3, et avec un peu de chance une partie de vos images, en suivant les instructions données sur ce site :
  http://www.claymania.com/resq-fr.html

Retour au sommaire

Lovsan/Blaster/MSBlast

Description :

http://www.secuser.com/alertes/2003/lovsan.htm

Manifestations visibles :

• Redémarrage de la machine après un message d'erreur mentionnant le service RPC (Remote Procedure Call, Appel de procédure distante)
• Présence d'un fichier msblast.exe dans le répertoire system32 de Windows

Se désinfecter :

Voir aussi http://www.3dchips-fr.com/News/actualites/200308121.html pour des instructions de désinfection manuelle.

1. Le cas échéant (Windows XP), désactiver provisoirement la restauration système.
2. Arrêter le processus «msblast.exe» à l'aide de Ctrl+Alt+Suppr ou redémarrer en mode sans échec.
3. Lancez Windows Update ou appliquez directement le correctif de Microsoft, pour empêcher une réinfection :
   http://www.secuser.com/communiques/2003/030717_winrpc.htm
   Il peut être prudent d'installer le correctif en mode sans échec.
4. Lancer l'un des outils de désinfection existants, par exemple celui de Symantec :
   http://www.secuser.com/telechargement/index.htm#Lovsan
5. Envisagez l'installation d'un firewall personnel (vous pourrez vous renseigner sur le forum fr.comp.securite, notamment en y lisant le document intitulé "[FAQ] fr.comp.securite : Les Firewalls").

Retour au sommaire

Magistr.B (Magistr.39921)

Description :

http://www.aspirine.org/encyclo/m.htm#Magistr
http://www.secuser.com/alertes/2001/magistrb.htm

Manifestations visibles :

• Les icônes du bureau "fuient" devant le curseur de la souris.
• Si la charge destructrice s'active, un message "Another haughty bloodsucker....... YOU THINK YOU ARE GOD, BUT YOU ARE ONLY A CHUNK OF SHIT" s'affiche, et le contenu des fichiers écrasés est remplacé par les mots "You are shit" répétés.
  Les fichiers sont irrémédiablement détruits.

Identifier et prévenir la personne infectée :

Le nom de l'expéditeur n'est pas modifié. Cependant, le virus falsifie le champ "return-path" pour que la victime ne puisse être alertée par les "bounces" éventuels.

Se désinfecter :

1. Si vous n'êtes pas sous XP ou en NTFS : téléchargez F-Prot pour DOS de http://www.f-prot.com, démarrez votre ordinateur en mode DOS et lancez F-Prot ; si possible remplacez les fichiers infectés par des sauvegardes ; si vous n'en avez pas, laissez F-Prot essayer de désinfecter ces fichiers.
2. Supprimez la référence à l'un des fichiers infectés de la base de registre dans la clé: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

ou

1. Lancer l'un des outils de désinfection existants, par exemple celui de Trend Micro :
   http://www.secuser.com/telechargement/index.htm#MagistrB

Retour au sommaire

Nimda (Code Rainbow)

Description :

http://www.aspirine.org/encyclo/n.htm#Nimda
http://www.secuser.com/alertes/2001/nimda.htm

Identifier et prévenir la personne infectée :

Retrouvez l'adresse IP de la personne infectée (dans les entêtes de l'e-mail si c'est ainsi que vous avez reçu le virus, ou dans les logs de votre serveur web), et essayez de prévenir son FAI en lui envoyant les entêtes complets de l'e-mail ou les extraits de vos logs, il pourra peut-être l'identifier et le prévenir.
Vous pouvez aussi essayer de retrouver vous-même legestionnaire d'un site infecté, en tapant "http://adresse.ip" dans votre navigateur, et en cherchant le lien ou l'adresse e-mail permettant de le contacter, mais uniquement si votre système est à jour !

Se désinfecter (démarche à effectuer sur tous les ordinateurs d'un réseau infecté, après les en avoir déconnectés pour éviter tout retour du virus) :

1. Si le virus est arrivé par mail, effacer le message infecté, vider la corbeille, puis compresser les dossiers dans son logiciel de messagerie.
2. Lisez les instructions de désinfection fournies avec l'un des outils de désinfection existants, par exemple celui de Symantec.
   Faites attention à la variante du virus, et n'omettez aucune étape :
   Nimda.A
   http://www.secuser.com/telechargement/index.htm#Nimda
   Nimda.E
   http://www.secuser.com/telechargement/index.htm#Nimda.E
   Puis, si vous ne l'avez pas déjà fait lors de l'étape précédente :
3. Si le virus s'est installé automatiquement, il faut patcher votre Internet Explorer pour ne plus être infecté de la sorte : téléchargez toutes les mises à jour de sécurité disponibles.
4. Appliquez si besoin le patch Miscrosoft pour IIS (4.0 et 5.0)
   http://www.microsoft.com/technet/security/bulletin/ms00-078.asp
5. Rétablissez votre système à l'état antérieur à l'infection : pages web modifiées, partages altérés, droits de l'utilisateur "Guest"...

Retour au sommaire

Opaserv/Opasoft

Description :

http://www.secuser.com/alertes/2002/opaserv.htm

Note : Ce ver s'introduit sur les ordinateurs connectés à un réseau ou à Internet directement via des dossiers partagés non protégés, sans autre intervention d'un logiciel de messagerie ou de navigation. Il recherche les ordinateurs vulnérables en scannant les ports 137 et 139, d'où un nombre accru d'alertes des firewalls sur ces ports.

Se désinfecter (démarche à effectuer sur tous les ordinateurs d'un réseau infecté, après les en avoir déconnectés pour éviter tout retour du virus) :

1. Si vous n'êtes pas connecté à un réseau autre qu'Internet, désactivez le partage de fichiers et d'imprimantes dans le Panneau de Configuration.
   Si cependant vous devez partager vos fichiers, respectez les consignes suivantes :
   • Partagez uniquement les dossiers qui doivent être partagés. Evitez de partager les dossiers sensibles tels que celui où réside Windows.
     Ne partagez jamais des disques entiers.
   • Ne permettez pas l'accès en écriture sauf en cas de besoin.
   • Protégez tous les dossiers partagés par des mots de passe aussi longs que possible. Un mot de passe "pro forma" constitué d'un ou deux caractères ne sert pas à grand chose.
2. Appliquez le correctif de Microsoft :
   http://www.microsoft.com/technet/security/bulletin/MS00-072.asp
3. Lancer l'un des outils de désinfection existants, par exemple celui de Symantec :
   http://www.secuser.com/telechargement/index.htm#Opaserv
4. Envisagez l'installation d'un firewall personnel (vous pourrez vous renseigner sur le forum fr.comp.securite, notamment en y lisant le document intitulé "[FAQ] fr.comp.securite : Les Firewalls").

Retour au sommaire

Sircam

Description :

http://www.aspirine.org/encyclo/s.htm#Sircam
http://www.secuser.com/alertes/2001/sircam.htm

Manifestations visibles :

Un message d'erreur demandant le fichier sirc32.exe pour lancer une application peut apparaître.

Identifier et prévenir la personne infectée :

La personne infectée est bien celle indiquée comme expéditeur du mail.

Se désinfecter :

Lancer l'un des outils de désinfection existants, par exemple celui de Symantec :
http://www.secuser.com/telechargement/index.htm#Sircam

Retour au sommaire

Sobig

Description (attention à la variante !) :

Sobig.A : http://www.secuser.com/alertes/2003/sobig.htm

Sobig.B : http://www.secuser.com/alertes/2003/sobigb.htm

Sobig.C : http://www.secuser.com/alertes/2003/sobigc.htm

Sobig.E : http://www.secuser.com/alertes/2003/sobige.htm

Sobig.F : http://www.secuser.com/alertes/2003/sobigf.htm

Identifier et prévenir la personne infectée :

Les champs "from" et "return-path" des e-mails infectés étant falsifiés, seule l'adresse IP reste fiable pour essayer de retrouver la personne infectée. Essayez de prévenir son FAI en lui envoyant les entêtes complets de l'e-mail, il pourra peut-être l'identifier et le prévenir.

Se désinfecter :

Lancer l'un des outils de désinfection existants :
Sobig.A
http://www.secuser.com/telechargement/index.htm#Sobig
Sobig.B
http://www.secuser.com/telechargement/index.htm#SobigB
Sobig.C
http://www.secuser.com/telechargement/index.htm#SobigC
Sobig.E
http://www.secuser.com/telechargement/index.htm#SobigE
Sobig.F
http://www.secuser.com/telechargement/index.htm#SobigF

Retour au sommaire

Yaha/Lentin

Description :

http://www.secuser.com/alertes/2002/yahae.htm

Identifier et prévenir la personne infectée :

Les champs "from" et "return-path" des e-mails infectés pouvant être falsifiés, seule l'adresse IP reste fiable pour essayer de retrouver la personne infectée. Essayez de prévenir son FAI en lui envoyant les entêtes complets de l'e-mail, il pourra peut-être l'identifier et le prévenir.

Se désinfecter :

1. Si le virus s'est installé automatiquement, il faut patcher votre Internet Explorer pour ne plus être infecté de la sorte : téléchargez toutes les mises à jour de sécurité disponibles.
2. Effacer le message infecté, vider la corbeille, puis compresser les dossiers dans son logiciel de messagerie.
3. Lancer l'un des outils de désinfection existants, par exemple celui de BitDefender :
   http://www.secuser.com/telechargement/index.htm#YahaE

Retour au sommaire

La page des ressources