LE NEWSMAGAZINE Nº1 DES NOUVELLES TECHNOLOGIES

Fiches pratiques

Hors série

Forums

Contacts

01net.

181 utilisateurs connectés

Forum de Micro Hebdo / Questions techniques diverses / Sécurité/ Virus sur clé USB (information)

Virus sur clé USB (information)

th48 le 20 mars 2008 à 23h40

Une infection par clé USB est en cours sur des machines et des clés USB de mon lycée. Les anti-virus ne détectent rien.

Voici la solution:

Détection et nettoyage d’un PC

Les postes XP infectés analysés affichent une erreur au démarrage, à propos d’un programme nommé ravfree.exe.

Pour supprimer le virus d’un PC :

- renommer le fichier C :\Windows\svchost.exe en C :\Windows\svchost-bad.exe
- supprimer le fichier C :\Windows\ravfree.exe
- modifier la base de registre (avec le programme regedit) :
dans [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon], modifier la valeur Shell qui ne doit contenir que Explorer.exe
- redémarrer l'ordinateur
- supprimer le fichier C :\Windows\svchost-bad.exe

Détection et nettoyage d’une clé

Attention, avant de vérifier si une clé USB est infectée, soyez certains que vous avez désactivé la fonction autorun (voir ci-dessous) ou utilisez un autre système (Mac, Linux ...)

Si les fichiers suivants sont sur la clé, elle est infectée. Supprimez-les pour la nettoyer :
- Autorun.inf
- Recycler.exe

Comment se protéger des clés USB ?

La meilleure protection consiste à désactiver l’exécution des « autorun ». Il y a pour cela plusieurs méthodes. Attention, une manipulation erronée du registre peut conduire à des dysfonctionnements graves.

Par le registre :

- ouvrir l’éditeur de registre (Menu démarrer, Exécuter, regedit)
- aller dans la branche [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
- vérifier que « NoDriveTypeAutoRun » contient 0x95 (autorun est désactivé pour les périphériques de stockage amovible, mais pas pour les CD-ROMS ; mettre 0xFF pour le désactiver partout)
- faites la même modification dans la branche [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

Par une stratégie de groupe : (méthode pour les administrateurs de parc)

Dans une stratégie de groupe (locale ou Active Directory), aller dans configuration ordinateur, Modèle d’administration, Système, désactiver le lecteur automatique.

PS: J'ai trouvé cette solution sur : http://www.unilim.fr/sci/article113.html

-->Message édité par th48 le 21/03/2008 00:11:01<--

-------

répondre

kmisol le 21 mars 2008 à 16h29

...

En tête de gondole comme dans les supermarchés

...

-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !"

Jules Renard / La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/ - http://www.malampe.org/

répondre

herisson41 le 22 mars 2008 à 11h52

th48

Je viens de rajouter ce topic dans le répertoire des tutoriels

-->Message édité par herisson41 le 18/04/2008 13:17:27<--

-------

Ivan Roux (alias Superdupond) pour toutes tes années passées au service de MH et de ce forum. Réussite dans ta nouvelle destination
[:fml:9]

Index en ligne de Micro Hebdo et Quoi d'neuf chez Micro Hebdo ?
[:juju07:2]

Liste des anniversaires à souhaiter

Association qui s'est donnée pour mission de permettre à des enfants atteints d’une maladie dont le pronostic est réservé, de réaliser leurs rêves les plus chers.

répondre

th48 le 22 mars 2008 à 13h05

Merci, j'apprécie, car je sens qu'on va le voir passer quelques fois ce bestiau :lol:

-------

répondre

jean-chretien1 le 22 mars 2008 à 13h13

Salut,

il y a aussi l'outil Flash Disinfector qui est assez efficace dans le genre http://experi3nc3.wordpress.com/2007/05/10/flash-disinfector-by-subs/

Merci pour le how-to

-------
Marre de devoir rendre des comptes à Microsoft, des logiciels vérouillés, des spywares ?

répondre

dj QUIOU le 22 mars 2008 à 13h39

Apparement cette infection nous viendrait de corée du nord, vu les sites qui traitent du fichier C :\Windows\ravfree.exe :chepa:

-------
-lorsque ton topic est résolu indique le comme ceci [résolu] dans ton titre en cliquant sur [:dj QUIOU:1]

de ton premier message.
- Astuces informatique, Sécurité, Optimisation windows XP et Vista, Programmation, Tutoriaux => http://pc-system.fr

répondre

Labbaipierre le 22 mars 2008 à 18h14

On a eu 3 virus "USB" cette année dans mon lycée. :hello:

Les autres années : rien.

-------
ASSEZ DE SE MOQUER DE NOUS AVEC CE FORUM ! STOP
On doit dire Windows Sept et pas Windows Seven ! Nous sommes en France…
N'oubliez pas mon blog-euh !

répondre

th48 le 23 mars 2008 à 09h36

Labbaipierre a écrit :

On a eu 3 virus "USB" cette année dans mon lycée. :hello:

Les autres années : rien.

Eh, j'suis pas derrière les portables de mes lycéen(ne)s :lol:

Il y a 2 ans, j'exigeais de voir le portable avant de l'autoriser à se connecter sur le wifi du bahut (filtre mac), cette année, vu mon état de santé, j'ai laissé l'accès libre, grosse erreur

-------

répondre

dj QUIOU le 23 mars 2008 à 10h37

nous au lycée les 80 ordinateurs du réseau sont aussi infects par une infection USB. j'en ai parlé a l'informaticien en lui demandant si je pouvais désinfecter moyennant une petite somme durant mes vacances, il m'a répondu que je n'avais pas a lui apprendre son métier. Avec des abru*** pareils, la planete entière sera infectée dans quelques années.

-------
-lorsque ton topic est résolu indique le comme ceci [résolu] dans ton titre en cliquant sur [:dj QUIOU:1]

de ton premier message.
- Astuces informatique, Sécurité, Optimisation windows XP et Vista, Programmation, Tutoriaux => http://pc-system.fr

répondre

jean-chretien1 le 23 mars 2008 à 10h41

c'est normal que les ordinateurs du réseau autorisent l'accès en écriture dans des répertoires tels que system32 ou dans le registre :??:

-------
Marre de devoir rendre des comptes à Microsoft, des logiciels vérouillés, des spywares ?

répondre

dj QUIOU le 23 mars 2008 à 10h48

disons que les ordinateurs du lycée sont équipés d'un logiciel (rembo) qui n'autorise la cration de fichiers que sur un serveur commun avec une partie réservée a chaque étudiant. mais les virus ayant infecté les ordis avant l'installation de ce programme et les modifs du registre étant interdites à long terme, alors ni les mises a jour antivirus, ni les suppressions de fichiers ne seront conservées au prochain redémarrage (rembo crée une srte de mini resto du système). Il faut donc désactiver ce fameux rembo le temps de l désinfection sur chaque machine (travail de titan), mais seul l'informaticien dispose du mot de passe.

-------
-lorsque ton topic est résolu indique le comme ceci [résolu] dans ton titre en cliquant sur [:dj QUIOU:1]

de ton premier message.
- Astuces informatique, Sécurité, Optimisation windows XP et Vista, Programmation, Tutoriaux => http://pc-system.fr

répondre

th48 le 23 mars 2008 à 13h07

Il n'a plus qu'à se mettre au boulot :lol:

si j'étais à sa place, je ne refuserai pas un coup de main

Bon, de mon côté, j'ai désactivé le lancement automatique dans les stratégies de groupe

-------

répondre

danny170691 le 13 avril 2008 à 12h35

Bonjour à tous voilà j'ai se virus mais le fichier C :\Windows\svchost.exe n'est pas là. Comment faire ??

répondre

Labbaipierre le 15 avril 2008 à 23h07

Salut danny170691

Ton problème n'a — semble-t-il — pas de rapport avec un virus sur clé USB.

Merci de créer un sujet dans la partie "Sécurité" en y expliquant ton problème.

-------
ASSEZ DE SE MOQUER DE NOUS AVEC CE FORUM ! STOP
On doit dire Windows Sept et pas Windows Seven ! Nous sommes en France…
N'oubliez pas mon blog-euh !

répondre