no save
Identification
Assistance
Achat
News

Forum | virus/sécurité
Suppression de Antinul.vbe
Abennor, le mer. 29 oct. 2008 à 17:38:04
Bonjour à tous,

Voilà, j'ai été "contaminé" par ceci:

Au travail !!
---------------------------

Il est maintenant XX:XX:XX
il est temps de se mettre au travail,au lieu de rester à ne rien faire d'important!!
Ce n'est pas un mabraze ici !!

A priori, c'est du au fichier:

C:\Windows\system32\antinul.vbe

Grâce à un pc sous Ubuntu, j'ai pu le voir présent aussi sur mes clés etc...

Donc, il se copie sur votre PC, interdit les modif de la base de registre :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools=dword:1

empêche certaines options d'affichage et emmerde le monde avec des messages vous rappelant de bosser...

J'ai d'abord essayé de le supprimer avec Hijackthis mais rien à faire et il n'est pas reconnu par les antivirus (J'ai Antivir et il ne bronche pas). Donc j'ai opté pour une solution un plus bourrine.

Là voici décrite pas à pas...
Si vous remarquez des fichiers liés à ce virus que j'ai zappé n'oubliez pas de m'informer en tout cas, il n'est plus actif sur mes bécanes.

Suppression du fichier antinul.vbe => généralement C:\WINDOWS\system32\antinul.vbe

Prérequis
- Avoir installé Hijackthis ou connaître les lignes de la base de registre à modifier (perso, je préfère Hijackthis, car ce « virus » bloque l'accès à la base et on est obligé d'utiliser un autre logiciel pour l'atteindre.)
- Télécharger un live CD Knoppix ftp://ftp.free.fr/pub/Distributions_Linux/knoppix/KNOPPIX_V5.1.1CD-2007-01-04-EN.iso

Mettre la galette de Knoppix
Redémarrer le PC en le bootant sur le CD

Ecran de titre : taper => knoppix lang=fr

Laisser charger…

Arrivée sur le bureau, repérer le DD où se trouve le fichier system32
Normalement hda1 ou hdc1 etc…
Clic gauche, Changer le mode ecriture/lecture, OK (si le DD est indiqué non monté – unmounted – patienter le temps que le syst. finisse de charger).

Aller dans le hdc1 afin de contrôler le chemin du fichier à supprimer (Patienter le temps que tous les fichiers apparaissent). Notez la.
Normalement, le chemin est du type : /media/hdc1/Windows/system32/antinul.vbe

Fermer la fenêtre.

Alt+F2, taper : xterm

Ouverture console, taper : rm –rf /chemin du fichier
Attention, contrôler toujours votre commande !!!!
Valider

AVANT DE QUITTER KNOPPIX PENSEZ A NETTOYER VOS CLES USB AVEC :
Clic droit sur la clé : démonter
Puis dans la console (Alt+F2, xterm): mkfs.vfat –F 32 /dev/nom de la clé

Pour quitter Knoppix, redémarrer le PC. Attendez qu'il vous soit demandé de retirer le CD, et regarder Windows se lancer.

Un message d'erreur Wscript.exe vous accueillera….

Lancer Hijackthis :

Cocher :

R0 – HKCU\Sofware\Microsoft\Internet Explore\Main,Sart Page = Travaillez plus.com

R1 – HKCU\Sofware\Microsoft\Internet Explore\Main,Window Title = Au travail ! arrêtez de surfer !

F2 – Reg :system.ini : user …………C:\WINDOWS\system32\antinul.vbe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 (ca permettra d'avoir accés à nouveau à la base de registre)

Fix Checked

Redémarrer

Un coup d'Hijackthis pour vérifier que les modifs ont été apportées et normalement c'est OK
Plus de message « Au Travail » ^^
Si j'ai oublié qqchose, n'hésitez pas !!!!

Et si vous pouviez donner votre avis sur la méthode....Configuration: Windows XP
Firefox 3.0.3


Noraj
oct. 08
Suivant
REPONSES
Noraj
oct. 08
Noraj
oct. 08
Abennor
oct. 08
Abennor
oct. 08
Noraj
oct. 08
Abennor
oct. 08
Abennor
oct. 08
Noraj
oct. 08
Noraj
oct. 08
Abennor
oct. 08
Version Web
Mentions légales (c)2009
Réalisé par RedShift
no save