Voila comment j'ai pu désinfecté mon ordinateur d'un "Downadup". J'ai passé beaucoup de temps avant de trouvé la solution donc je met ici le lien en espérant qu'il soit utile à une autre personne. Ce tuto est issu de http://lanceyien.info/Forum/index.php?topic=386.0 je le met ici en cas ou la page va disparaitre.
Introduction:
Les alias:
Une fois installé, Downadup/ Conficker se copie lui-même dans le dossier C:\Windows\System32 comme une DLL aléatoire. S'il rencontre des difficultés pour se copier dans le dossier System32, il essaie dans les dossiers C:\Program Files\Internet Explorer ou C:\Program Files\Movie Maker.
Il crée, alors un Service qui lance automatiquement la DLL via svchost.exe. (Attention: Ce dernier est un fichier légitime.
Il effectuera, alors des modifications dans les paramètres de Windows qui lui permettront d'infecter d'autres PCs via votre Réseau ou Internet.
Il procède, ensuite, aux actions suivantes:
Les symptômes:
- Difficultés d'accès à certains sites comme Microsoft.com ou d'Anti-virus et autres utilitaires de protection/détection de telle façon que vous ne pouvez pas faire des Mises à jour ou télécharger des programmes de suppression de malwares.
Résultat:
- Alertes vous signalant une infections par l'un de ces fichiers:
- Des erreurs aléatoires pour "svchost.exe".
Suppression:
Vous aurez besoin d'utiliser un autre PC sain pour télécharger les fichiers nécessaires et un média quelconque (clé USB...) pour les transférer vers le PC infecté.
Introduction:
Les alias:
- Symantec: W32.Downadup.B
- Kaspersky: Net-Worm.Win32.Kido.fw
- F-Secure: Worm:W32/Downadup.gen!A
- Sophos: Mal/Conficker-A
- Panda: Trj/Downloader.MDW
- Grisoft: I-Worm/Generic.CJY
- Eset: a variant of Win32/Conficker.AE worm
- Bitdefender: Win32.Worm.Downadup.Gen
Une fois installé, Downadup/ Conficker se copie lui-même dans le dossier C:\Windows\System32 comme une DLL aléatoire. S'il rencontre des difficultés pour se copier dans le dossier System32, il essaie dans les dossiers C:\Program Files\Internet Explorer ou C:\Program Files\Movie Maker.
Il crée, alors un Service qui lance automatiquement la DLL via svchost.exe. (Attention: Ce dernier est un fichier légitime.
Il effectuera, alors des modifications dans les paramètres de Windows qui lui permettront d'infecter d'autres PCs via votre Réseau ou Internet.
Il procède, ensuite, aux actions suivantes:
- Réinitialiser le Système de Restauration pour vous empêcher de revenir à un point de restauration antérieur.
- Essayer de se connecter à Internet en essayant des sites comme: aol.com ; cnn.com ; ebay.com ; msn.com ; myspace.com.
- Essayer de déterminer l'adresse IP du PC infecté en visitant un des sites comme: getmyip.org ; getmyip.co.uk ; checkip.dyndns.org ; whatismyip.com
- Télécharger d'autres fichiers qui pourront être utilisés si nécessaire.
- Utiliser toute les vulnérabilités de chaque PC pour se propager et infecter tout le réseau.
Les symptômes:
- Difficultés d'accès à certains sites comme Microsoft.com ou d'Anti-virus et autres utilitaires de protection/détection de telle façon que vous ne pouvez pas faire des Mises à jour ou télécharger des programmes de suppression de malwares.
Résultat:
- Mise à jour automatique de Windows inopérante.
- Anti-virus incapable d'accéder aux MAJ.
- Impossibilité d'accéder à certains sites sécurisés.
- Alertes vous signalant une infections par l'un de ces fichiers:
- Mal/Conficker
- Net-Worm.Win32.Kido
- W32/Confick-A
- Win32/Conficker.A
- Worm:Win32/Conficker.B
- W32/Conficker.worm.gen
- Worm.Conficker
- W32.Downadup
- W32/Downadup.AL
- Win32.Worm.Downadup.Gen
- Des erreurs aléatoires pour "svchost.exe".
Suppression:
Vous aurez besoin d'utiliser un autre PC sain pour télécharger les fichiers nécessaires et un média quelconque (clé USB...) pour les transférer vers le PC infecté.
- Imprimer ou enregistrer, sur le bureau les instructions suivantes.
- Télécharger, sur le Bureau du PC sain, "anti-Downadup-EN.zip" et la KB958644/ MS08-067 correspondant à la version de votre Windows depuis cette adresse
- Copier les 2 fichiers téléchargés sur le média choisi et les transférer sur le Bureau du PC infecté.
- Installer EN PREMIER le patch KB958644/ MS08-067 en cliquant sur son fichier. Suivre les indications. Ceci empêchera la RÉ-infection du PC après le nettoyage.
- Ensuite, faire un clic-droit sur le Bureau => Nouveau => Dossier (le nommer downadup par exemple). Glisser le fichier anti-Downadup-EN.zip dans ce nouveau dossier et ouvrir ce dernier.
Dézipper anti-Downadup-EN.zip (clic-droit => Extraire ici). - Cliquer sur Anti-Downadup-graphics.exe" pour lancer le programme.
Cliquer sur "Exécuter" ou "Run" si un message concernant l'authenticité s'affiche. - Cliquer sur "Start" et suivre les indications. Patienter jusqu'à la fin.
Génial !
RépondreSupprimerHeureux pour toi :)
RépondreSupprimerMerci !
RépondreSupprimer