Tuto pour Supprimer le ver adobeR RavMonLog

TYR__19 le 15 mars 2007 à 00h23

Bonjour tout le monde, je vous fait part de mes découvertes sur AdobeR.exe après une nuit blanche. (je l’ai supprimé de mon ordi et de tous les périphériques.)

C'est un TUTO pour supprimer ravmonlog adober et tout le reste.

Alors pour supprimer le vers :

- Brancher tous les périphériques infectés sur l’ordinateur infecté.

- Ouvrir chaque périphérique en faisant clic droit explorer et garder une fénêtre ouverte pour chaque périphérique.(SUPER IMPORTANT)

- aller dans Outils / Options des dossiers / Affichage
Décocher "masquer les fichiers protégés du système d'exploitation" et « afficher les fichiers et dossiers cachés »

- Dans l’invite de commande, démarrer / exécuter

- Taper dans la fenêtre « msconfig » et aller dans l’onglet démarrage.

- Décocher pour les applications AdobR et iexp1ore
(attention ce n’est pas un « L »minuscule mais le chiffre un (1). Appliquer et OK

- Faire ctrl+alt+suppr aller dans l’ onglet « processus » terminer les processus AdobeR.exe et iexp1ore.exe (ATTENTION de ne pas supprimer IEXPLORE.EXE c’est le navigateur internet. De plus je répète ce n’est pas un « L »minuscule mais le chiffre un (1).

- les applications ne sont plus en cours d’exécution donc on peut les supprimer.

- Aller dans un des périphériques infectés (DD ou Clé) et supprimer les fichiers :
RavMonLog
AdobeR.exe
ie.exe
msvcr71.dll

- De plus sur le fichier Autorun.inf il faut faire clic droit propriétés et décocher lecture seule si c’est pas déjà fait.

- Toujours sur le fichier Autorun.inf faire clic droit ouvrir avec, et le faire avec le bloc note.

- supprimer les 5 lignes du fichier et les remplacer par

[autorun]
open=explorer.exe

Enregistrer puis fermer.

Recommencer pour chaque périphérique infecté. (au passage si une clé ou un DD à été branché à un ordi infecté le périphérique est infecté.)

- Dernière étape l’ordinateur.

- Aller dans C:\WINDOWS et supprimer AdobeR.exe

- Aller dans C:\Documents and Settings\Bobby et supprimer RavMonLog (Bobby c’est le nom de la session)

- Dernier exe aller dans C:\Program Files\Internet Explorer et supprimer iexp1ore.exe (je re répète ATTENTION de ne pas supprimer IEXPLORE.EXE c’est le navigateur internet. De plus ce n’est pas un « L »minuscule mais le chiffre un (1).

- Il est possible d’avoir sur le bureau un raccourci iexp1ore qui a le même icône que Internet exploreur regardez le chemin du raccourci si c’est "C:\Program Files\Internet Explorer\iexp1ore.exe" supprimez le raccourci.

- Enfin j’ai trouvé 4 autres fichiers infectés dans C:\WINDOWS\Prefetch
EXPLORER.EXE-082F38A9.pf
ACRORD32.EXE-13285B88.pf
DUMPREP.EXE-1B46F901.pf
AcrobR.**

Voila j’ai fait tout ça sur mon ordinateur et j’ ai redémarré et croyez le ou non ça a marché. Il est possible qu'il faille faire une fois toute la procédure après le démarrage mais ça devrait marcher.

Breve explication :

Le vers se transmet par les clé USB et Disque amovibles. L’exe ie.exe qui est sur le fichier se lance quand on branche la clé, il génère plusieurs choses, l’application AdobR.exe et l’application iexp1ore.exe qu’il met dans le dossier internet exploreur et AdobR.exe lui, doit changer les lignes de commande de l’autorun et créer le fichier RavMonLog.

Voilà voilà pour les explications

Ps c’est ce que je pense alors c’est pas forcément comme ça que le vers agis.

++
Et bon courage parce qu’il vous en faudra.

- Faire ctrl+alt+suppr aller dans l’onglé « processus » terminer les processus AdobeR.exe et iexp1ore.exe (ATTENTION de ne pas supprimer IEXPLORE.EXE c’est le navigateur internet. De plus je répète ce n’est pas un « L »minuscule mais le chiffre un (1).

- les applications ne sont plus en cour d’exécution donc on peut les supprimer.

- Aller dans un des périphérique infecté (DD ou Clé) et supprimer les fichiers :
RavMonLog
AdobeR.exe
ie.exe
msvcr71.dll

- De plus sur le fichier Autorun.inf il faut faire clic droit propriété et décocher lecture seul si c’est pas déjà fait.

- Toujours sur le fichier Autorun.inf faire clic droit ouvrir avec, et le faire avec le bloc note.

- supprimer les 5 lignes du fichier et les remplacer par

[autorun]
open=explorer.exe

Enregistrer puis fermer.

Recommencer pour chaque périphérique infecté. (au passage si une clé ou un DD à été branché à un ordi infecté le périphérique est infecté.)

- Dernière étape l’ordinateur.

- Aller dans C:\WINDOWS et supprimer AdobeR.exe

- Aller dans C:\Documents and Settings\Bobby et supprimer RavMonLog (Bobby c’est le nom de la session)

- Dernier exe aller dans C:\Program Files\Internet Explorer et supprimer iexp1ore.exe (je re répète ATTENTION de ne pas supprimer IEXPLORE.EXE c’est le navigateur internet. De plus ce n’est pas un « L »minuscule mais le chiffre un (1).

- Il est possible d’avoir sur le bureau un raccourci iexp1ore qui à le même icône que Internet exploreur regarder le chemin du raccourci si c’est "C:\Program Files\Internet Explorer\iexp1ore.exe" supprimer le raccourci.

- Enfin j’ais trouvé 4 autre fichier infecté dans C:\WINDOWS\Prefetch
EXPLORER.EXE-082F38A9.pf
ACRORD32.EXE-13285B88.pf
DUMPREP.EXE-1B46F901.pf
AcrobR.**

Voila j’ai fait tout ça sur mon ordinateur et j’ais redémarré et croyez le ou non sa a marché. Il est possible qu'il faille faire une fois toute la procédure après le démarrage mais ça devrai marcher.

Bref explication :

Le vers se transmet par les clé USB et DD. L’exe ie.exe qui est sur le fichier ce lance quand on branche la clé, il généré plusieurs chose, l’application AdobeR.exe et l’application iexp1ore.exe qu’il met dans le dossier internetexploreur et AdobeR.exe lui doit changer les ligne de commande de l’autorun et créer le fichier RavMonLog.

Voila voila pour les explication

Ps c’est ce que je pense alors c pas forcément comme sa que le vers agis.

++
Et bon courage parce qu’il vous en faudra.

-->Message édité par TYR__19 le 16/03/2007 00:16:15<--

répondre