Sous les Toits

Ça fait 2 fois dans la semaine que des copains m’appellent en me disant « Heuuuu… cassé ! ». À y regarder de plus près, ils ont chopé un virus pas mal foutu de la famille des rogues. Ces petites bêtes vous font croire qu’un vilain virus vous a infecté (ce qui en soit est juste du coup) afin de vous soutirer un petit numéro de carte bleue en vous incitant à mettre à jour un faux antivirus. Pendant ce temps-là, bien entendu, l’ordinateur fait une journée portes ouvertes ! On joue sur la peur, il faut aller vite, et je mettrai ma main à couper que ça doit rapporter gros.
Perso, ça m’a surtout coûté gros de temps pour réparer tout ça, mais c’est à ça que ça sert les copains non ? Et comme on dit souvent « jamais deux sans trois », cette fois, je me note la marche à suivre, qui j’en suis sûr, vous sera bien utile aussi 😉

Attention, ce billet nécessite un minimum de connaissances informatique (ou bidouilleur agile).

Le matériel nécessaire :

• un second ordinateur sur lequel monter le disque dur infecté,
• ou un portable avec un connecteur IDE / SATA externe,
• ou un LiveCD sous Windows
• le CD-ROM de Windows (ça peut être utile dans certains cas)

Revue de détails :

Restauration des partitions si le disque dur n’est plus reconnu

Dans l’un des deux cas que j’ai eus à traiter, la journée porte ouverte a joué avec un invité surprise qui a stupidement effacé l’ensemble du disque dur (suppression de la table de partitions). Je dis stupidement parce que ça faisait très longtemps que je n’avais pas vu un virus agir de la sorte. C’est très con, plus personne ne peut profiter de l’ordinateur : ni le virus, ni le propriétaire.

• Qu’à cela ne tienne, la table des partitions a été récupérée grâce à TestDisk (très efficace).
• Ensuite, on démarre sur le CD-ROM de Windows et on lance la console de récupération en cliquant sur R
• à l’invite de commande, on sélectionne la partition sur laquelle on veut travailler (généralement 1 : C:\windows)
• On fixe le MBR en tapant fixmbr c: puis Entrée
• On fixe ensuite le secteur de démarrage en entrant fixboot c: et on valide

Zou… Théoriquement, là, on est bon pour pouvoir redémarrer (et se replonger le nez dans le nid à virus, donc on s’abstient pour l’heure). On va donc pouvoir s’atteler à nettoyer Security Essentials 2010.
Pour ça, on connecte le disque dur de l’ordinateur contaminé sur une autre machine ou on lance un CD-ROM bootable avec un Windows embarqué.

Suppression des fichiers du virus

Voici la liste des fichiers du virus qu’il faut supprimer :
c:\Program Files\Securityessentials2010\SE2010.exe
c:\WINDOWS\system32\41.exe
c:\WINDOWS\system32\smss32.exe
c:\WINDOWS\system32\warnings.html
c:\WINDOWS\system32\winlogon32.exe
Il restera une DLL que l’on supprimera plus tard, après l’avoir désinscrite.

Suppression des liens vers les fichiers que l’on vient de supprimer

c:\Documents and Settings\NomDeLaSession\Application Data\Microsoft\Internet Explorer\Quick Launch\Security essentials 2010.lnk
c:\Documents and Settings\NomDeLaSession\Desktop\Security essentials 2010.lnk
c:\Documents and Settings\NomDeLaSession\Start Menu\Security essentials 2010.lnk

Rétablissement de la session

Oui… Security Essentials 2010 renvoi automatiquement l’ouverture de la session vers un fichier à lui : winlogon32.exe. Or, nous venons de le supprimer. Pour l’heure il est impossible d’ouvrir une session, il affiche « Connexion » mais revient systématiquement à l’écran de choix de l’utilisateur. Pour régler ce problème, on va lancer l’éditeur de registre depuis l’ordinateur hôte (ou le LiveCD).

• On va sur Démarrer, Executer et on tape Regedit
• Dérouler la clef HKEY_LOCAL_MACHINE et la sélectionner.
• Dans le menu Fichier on clique sur Charger la ruche
• On va chercher la base de registre de l’ordinateur infecté dans LettreDuLecteur:/windows/system32/config/software
• On donne nomme la ruche (sans grande importance, juste s’en souvenir), genre RucheTemp.
• On recherche la clef HKEY_LOCAL_MACHINE\RucheTemp\Microsoft\WindowsNT\CurrentVersion\Winlogon dans la ruche fraîchement montée
• On change la valeur de la clef Userinit en double-cliquant dessus par c:\windows\system32\userinit.exe, (attention, la dernière virgule est volontaire, ne pas la supprimer)
• Selectionner ensuite la ruche RucheTemp aller de nouveau dans le menu Fichier puis Décharger la ruche. Valider si nécessaire.

Les modifications nécessaires au redémarrage de l’ordinateur ont été apportées.

Retrait de la DLL douteuse

On rebranche le disque dur dans son ordinateur d’origine, ou on redémarre sans le LiveCD. La théorie voudrait que tout se passe bien (la pratique m’a appris que c’est pas toujours le cas… bah, les commentaires sont là pour ça).

• On va supprimer la DLL dont je vous parlais tout à l’heure : Démarrer, Tous les programmes, Accessoires, Invite de commande
• Dans l’invite de commande, on rentre regsvr32 /u helpers32.dll puis on valide
• On supprime le fichier helpers32.dll s’il existe toujours dans c:\windows\system32

Nettoyage de printemps

• On relance Regedit : Démarrer, Executer et on tape regedit puis on valide.
• Et on supprime les entrées suivantes qui servent à placer le fond d’écran, interdire sa modification, empêcher de lancer le gestionnaire de tâches, interdire le lancement de Regedit, lancer les petits trojans au démarrage, etc. Pour chaque clef, on la sélectionne et on supprime (clic droit : supprimer).

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\buy-security-essentials.com
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-soft-package.com
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-software-package.com
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\get-key-se10.com
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\is-software-download.com
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop “NoChangingWallpaper” = “1″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer “NoActiveDesktopChanges” = “1″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer “NoSetActiveDesktop” = “1″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System “DisableTaskMgr” = “1″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “Security essentials 2010″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “smss32.exe”
HKEY_CURRENT_USER\Software\SE2010
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\buy-security-essentials.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\get-key-se10.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop “NoChangingWallpaper” = “1″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer “NoActiveDesktopChanges” = “1″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer “NoSetActiveDesktop” = “1″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “smss32.exe”

Life is beautiful

Un petit redémarrage pour tout remettre dans l’ordre (plus par principe qu’autre chose) et un bon gros coup d’antivirus pour déceler les autres invités de la journée portes ouvertes permettront que tout rentre dans l’ordre. Pour éviter que ça ne se reproduise : utiliser un navigateur récent (et heu… de préférence pas Internet Explorer), avoir un antivirus à jour (il en existe des gratuits), et pour éviter qu’un virus ne puisse atteindre le MBR, souvent, une option du BIOS est présente pour interdire l’accès à la racine du disque.

En espérant que cette petite note en aidera plus d’un… Bon courage !