jeudi 19 juillet 2007

Win32.AutoRun ou comment éradiquer un virus têtu

Les virus applicatifs comptent parmi les virus informatiques les plus nombreux. Ces virus infectent les programmes exécutables et s'activent lorsque certaines applications sont chargées en mémoire. Le fichier étant ouvert, il ne peut pas toujours être refermé et le virus supprimé de force. De ce fait, même les meilleurs logiciels anti-virus ne parviennent pas toujours à déloger et supprimer les virus associés à ces programmes.
Suppression du virus Win32.Autorun.g
Certains virus sont très malins et têtus. C'est notamment le cas du virus applicatif "Win32.AutoRun.g" qui existe sous différentes variantes, y compris sous forme de ver. Il est malgré tout possible de s'en débarrasser en suivant la procédure suivante.
Ceci pour vous démontrer, d'une part que ce ne sont pas des bêtes noires invulnérables et dont il faut avoir peur, et d'autre part qu'avec un peu d'intelligence, on peut toujours battre un virus, qui n'est finalement qu'un logiciel informatique plus ou moins bien programmé. A malin mali et demi !
Bien qu'assez rare, le virus "Win32.AutoRun.g" à la fâcheuse manie de proliférer sur tous les disques où la commande "autorun" est active. Celle-ci permet par exemple de lancer automatiquement un CD audio ou l'exécutable d'un logiciel à installer sans aller manuellement chercher le fichier sur le disque. Comme beaucoup de virus, il affiche également des messages d'erreurs intempestifs vous empêchant de travailler.
Si vous êtes confronté à cette situation, il existe plusieurs parades pour l'empêcher de s'activer, ce qui vous permettra de le supprimer ultérieurement.
1°. Redémarrer en mode sans échec
Confronté à un problème qui touche le système, la première chose à faire est de relancer Windows en "Safe mode" ou mode sans échec. Cette procédure va vous permettre de lancer les fonctions minimales de Windows avec les pilotes de base (souris, écran, clavier, disque dur, carte vidéo de base), le minimum de services système et aucune connexion réseau. L'image ne sera peut-être pas très belle, mais au moins vous allez pouvoir travailler sans être ennuyé par le virus. En effet, ne trouvant pas les process dont il a besoin, le virus ou le programme malicieux en général ne s'activera pas. En principe, cette solution de dépannage fonctionne dans tous les cas.
Pour cela, il suffit de relancer Windows et de taper sur F8 au démarrage et de choisir éventuellement le système d'exploitation avec les flèches et de valider. Vous pouvez également utiliser le programme msconfig.exe et activer l'option /safeboot dans le fichier boot.ini juste avant de rebooter. Voici la procédure pour Windows XP.
Accessoirement vous pouvez également supprimer tous les fichiers qui s'auto-exécutent tels que les "autorun.inf" que vous trouverez sur tous les disques de votre ordinateur, mais leur suppression n'est pas indispensable.
2°. Réactiver le gestionnaire de tâches
Le virus a sans doute désactivé le "Task Manager" (gestionnaire de tâches) qui permet justement de terminer des process et des applications, qu'ils bloquent ou non le système. Pour vous en assurer, tapez sur Alt + Ctrl + Del simultanément. Si la fenêtre du Task Manager s'ouvre au bout de quelques secondes, tout va bien. Sinon comme l'on dit, vous avez un problème ! Vous devez alors le réactiver.
Nous allons utiliser le programme Regedit sous DOS pour le remettre en état. Pour ce faire, allez dans le menu de Windows, Start, Run et collez-y la commande suivante : REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f et appuyer sur Enter.
Une fenêtre DOS va s'ouvrir et exécuter la ligne de commande. Si vous avez un anti-virus actif, il va penser qu'il s'agit de l'action d'un virus. Acceptez évidemment la mise à jour.
3°. Réactiver l'édition de la Registry
On peut imaginer que ce virus a évidemment bloqué la possibilité de mettre à jour la registry. Pour la réactiver, nous allons également utiliser la commande Regedit sous DOS. Allez dans le menu de Windows, Start, Run et collez-y la commande suivante : REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f et appuyer sur Enter.
4°. Désactiver la fonction Autorun
Enfin, pour éviter que le virus ne s'attaque aux autres disques, y compris aux disques externes et aux cartes flashes ainsi qu'à tout logiciel d'installation, nous allons également déactiver le mode "autorun".
Vous pouvez effectuer cette modification via l'Explorer et les propriétés de chaque disque, mais la procédure est assez fastidieuse. Le plus simple est de télécharger l'utilitaire gratuit TweakUI. Il s'installe en une minute sous le répertoire "Powertoys for XP".
Lancez ensuite TweakUI. Ouvrez le répertoire "'My Computer" et la branche "AutoPlay". Choisissez ensuite "Drives". Par défaut, le mode Autorun est activé sur tous les disques. Désactivez-le sur chacun d'eux, y compris sur le disque C. Quittez et relancez votre ordinateur. Par sécurité, relancez Windows en mode sans échec. Ensuite, lancez votre anti-virus. Cette fois, il va le détecter et le mettre en quarantaine ou le supprimer pour de bon.
Si le programme ne démarre pas, il faudra relancer Windows en mode normal afin de charger tous les services nécessaires à l'application. Ensuite relancez l'anti-virus. Cette fois, il devrait supprimer l'intrus et toutes ses copies éventuelles. Ca en fera autant de moins !
En cas de difficultés, vous pouvez contacter Kaspersky par exemple, qui vend d'excellentes solutions anti-virus, ou déposer un message sur leur forum en leur précisant bien tous les détails de votre configuration (logiciels, versions, symptômes, messages, opérations effectuées, etc).

2 commentaires :

  1. merci j'ai enfin retrouvé ma bdr

    RépondreSupprimer
  2. c'est un virus qui nous vient de la chine

    un dossier sur une variante de ce virus:
    http://blog.abuse.ma/?p=45

    RépondreSupprimer