vive SMALL.A.- et aussi des conseils pour le supprimer :)
tout est dans le titre : vive SMALL.A.
Pour les googlemaniac, pas de traduction nécessaire :p.
Mais pour faire simple, il s'agit d'un vers sous la forme de fichiers autorun (.vbs, .exe, .inf pour les extensions importantes et sinon l'éternel .ico :D)
1- comment il s'est installé sur mon PC
Alors là, je suis quasiment sûr, du moins j'espère :
1- crack, ... je n'en télécharge pas
2- Internet ... vue la config réseau local, il aurait du mal sans une intervention (bon, en gros, hein) de ma part
3- mon école (clé USB) ... 99% de chance ! Il faut dire aussi que vue le niveau en sécurité de certains étudiants, on comprend comment les virus arrivent sur les réseaux internes partagés !
2- ce qu'il fait
tout simplement, il s'installe sur tous les lecteurs et ce mais aussi dans le register (userinit) pour être executé lors de l'accès au lecteur (c:, et autres).
Ce qu'il fait ensuite, je ne sais pas : je n'ai pas eu le temps de le désassembler ou de l'executer sur vmware (power) et je n'ai pas trop eu envie de le faire en direct (:D).
Merci a AVAST, même si il a été un peu long à la détente cette fois-ci.
3- des petits conseils.
un grand conseil : faites attention ! Par exemple, ne suivez pas tête baissée des conseils sur le web, même s'ils sont sont de "sources sûres". Je citerais par exemple ce lien-ci comme problématique : http://www.kaspersky.com/support/viruses/computers?qid=208279343
Bien sûr, je l'ai essayé. Mais heureusement, j'ai fait une copie du registre (cf. image 1) avant.

Alors, le problème après fait ces instructions de kaspersky (référence du domaine, tout de même), je ne pouvais plus ouvrir de session : mot de passe -> ouverture de session et aussitôt fermeture de session (ie. seulement les messages, mais on reste toujours sur l'écran d'accueil). Et ce, peu importe la session, peut importe si on reboot en mode sans échec avec le compte administrateur !
Alors en petite solution tout de même que je tiens à remercier :
http://www.commentcamarche.net/forum/affich-2642093-restauration-base-de-registre-xp-sous-dos
avec notamment :
faites "réparer" puis mettez généralement 1 pour le numéro du disque sur lequel lancer la console de récupération. (attention au NUM LOCK !)
Sinon, le mdp administrateur par défaut sous windows, si je ne me trompe est : rien du tout
(pour LSD (III) : rockmyroot !)
mkdir tmp>>entrée
ensuite taper ça en appuyant sur entrée entre chaque lignes:
copy C:windowssystem32configsystem C:windowstempsystem.bak
copy C:windowssystem32configsoftware C:windowstempsoftware.bak
copy C:windowssystem32configsam C:windowstempsam.bak
copy C:windowssystem32configsecurity C:windowstempsecurity.bak
copy C:windowssystem32configdefault C:windowstempdefault.bak
ensuite taper ça en appuyant encore sur entrée entre chaque lignes:
del C:windowssystem32configsystem
del C:windowssystem32configsoftware
del C:windowssystem32configsam
del C:windowssystem32configsecurity
del C:windowssystem32configdefault
puis ça:
copy C:windowsrepairsystem C:windowssystem32configsystem
copy C:windowsrepairsoftware C:windowssystem32configsoftware
copy C:windowsrepairsam C:windowssystem32configsam
copy C:windowsrepairsecurity C:windowssystem32configsecurity
copy C:windowsrepairdefault C:windowssystem32configdefault
Là, vous pouvez déjà récupérer une vielle (très vieille, en l'occurence) version du registre.
Ensuite, il suffit de restaurer le register (fichier -> importer) modulo quelques petits problèmes tels que :
- rebooter plusieurs fois pour que ce soit ok (sic !)
- réinstaller quelques drivers de base (SM, PCI, carte graphique) et hops, c'est repartis !
Pour les googlemaniac, pas de traduction nécessaire :p.
Mais pour faire simple, il s'agit d'un vers sous la forme de fichiers autorun (.vbs, .exe, .inf pour les extensions importantes et sinon l'éternel .ico :D)
exemple de log avast :
SYSTEM 1092 Sign of "VBS:Small" has been found in "J:autorun.vbs" file.
SYSTEM 1092 Sign of "VBS:Small" has been found in "J:autorun.vbs" file.
1- comment il s'est installé sur mon PC
Alors là, je suis quasiment sûr, du moins j'espère :
1- crack, ... je n'en télécharge pas
2- Internet ... vue la config réseau local, il aurait du mal sans une intervention (bon, en gros, hein) de ma part
3- mon école (clé USB) ... 99% de chance ! Il faut dire aussi que vue le niveau en sécurité de certains étudiants, on comprend comment les virus arrivent sur les réseaux internes partagés !
2- ce qu'il fait
tout simplement, il s'installe sur tous les lecteurs et ce mais aussi dans le register (userinit) pour être executé lors de l'accès au lecteur (c:, et autres).
Ce qu'il fait ensuite, je ne sais pas : je n'ai pas eu le temps de le désassembler ou de l'executer sur vmware (power) et je n'ai pas trop eu envie de le faire en direct (:D).
Merci a AVAST, même si il a été un peu long à la détente cette fois-ci.
3- des petits conseils.
un grand conseil : faites attention ! Par exemple, ne suivez pas tête baissée des conseils sur le web, même s'ils sont sont de "sources sûres". Je citerais par exemple ce lien-ci comme problématique : http://www.kaspersky.com/support/viruses/computers?qid=208279343
Bien sûr, je l'ai essayé. Mais heureusement, j'ai fait une copie du registre (cf. image 1) avant.

image 1 - pas très claire mais posez des comments si nécessaire :)
Alors, le problème après fait ces instructions de kaspersky (référence du domaine, tout de même), je ne pouvais plus ouvrir de session : mot de passe -> ouverture de session et aussitôt fermeture de session (ie. seulement les messages, mais on reste toujours sur l'écran d'accueil). Et ce, peu importe la session, peut importe si on reboot en mode sans échec avec le compte administrateur !
Alors en petite solution tout de même que je tiens à remercier :
http://www.commentcamarche.net/forum/affich-2642093-restauration-base-de-registre-xp-sous-dos
avec notamment :
1)Console de récup'
Pour se faire, mettez le CD d'XP et rebootez dessus.faites "réparer" puis mettez généralement 1 pour le numéro du disque sur lequel lancer la console de récupération. (attention au NUM LOCK !)
Sinon, le mdp administrateur par défaut sous windows, si je ne me trompe est : rien du tout
(pour LSD (III) : rockmyroot !)
mkdir tmp>>entrée
ensuite taper ça en appuyant sur entrée entre chaque lignes:
copy C:windowssystem32configsystem C:windowstempsystem.bak
copy C:windowssystem32configsoftware C:windowstempsoftware.bak
copy C:windowssystem32configsam C:windowstempsam.bak
copy C:windowssystem32configsecurity C:windowstempsecurity.bak
copy C:windowssystem32configdefault C:windowstempdefault.bak
ensuite taper ça en appuyant encore sur entrée entre chaque lignes:
del C:windowssystem32configsystem
del C:windowssystem32configsoftware
del C:windowssystem32configsam
del C:windowssystem32configsecurity
del C:windowssystem32configdefault
puis ça:
copy C:windowsrepairsystem C:windowssystem32configsystem
copy C:windowsrepairsoftware C:windowssystem32configsoftware
copy C:windowsrepairsam C:windowssystem32configsam
copy C:windowsrepairsecurity C:windowssystem32configsecurity
copy C:windowsrepairdefault C:windowssystem32configdefault
Là, vous pouvez déjà récupérer une vielle (très vieille, en l'occurence) version du registre.
Ensuite, il suffit de restaurer le register (fichier -> importer) modulo quelques petits problèmes tels que :
- rebooter plusieurs fois pour que ce soit ok (sic !)
- réinstaller quelques drivers de base (SM, PCI, carte graphique) et hops, c'est repartis !
heureusement, car j'avais une conférence à finir pour le lendemain !!! célèbre exemple du "vilain problème juste avant la conférence"
Publicité