3. Comment s’en protéger, comment s’en débarrasser ?
Se protéger des vers MyDoom /Novarg
MyDoom/Novarg est un virus du type ver existant sous différentes variantes. Il
se propage par les messageries ou les logiciels de peer to peer comme Kazaa.
La meilleure façon de se protéger est de ne pas ouvrir de pièces jointes provenant
d’un courriel dont l’objet, l’expéditeur ou le corps du message sont douteux.
De : L'adresse de l'expéditeur peut être usurpée
Objet : (L'un des suivants)
- test
- hi
- hello
- Mail Delivery System
- Mail Transaction Failed
- Server Report Status Error
Message : (L'un des suivants)
- Mail transaction failed. Partial message is available.
- The message contains Unicode characters and has been sent as a binary attachment.
- The message cannot be represented in 7-bit ASCII encoding and has been sent
as a binary attachment.
Comment savoir si votre ordinateur est infecté par Mydoom.B ?
Pour savoir si votre ordinateur est infecté, suivez la procédure suivante :
Pour Windows 9x/NT 4.0/2000/XP/2003
- Cliquez sur Démarrer puis sur Exécuter.
- Saisissez cmd puis cliquez sur OK.
- Saisissez la commande suivante :dir ctfmon.dll /a /s et appuyez
sur Entrée.
- Si le résultat est Aucun fichier trouvé, votre ordinateur n’est pas
infecté par Mydoom.B
- Si le résultat est Fichier trouvé et qu’un fichier apparaît avec sa
taille (Voir image ci-contre), votre ordinateur est infecté. Suivez
alors la procédure de suppresion.
Suppression manuelle du virus MyDoom
Pour les utilisateurs de Windows Me & Windows XP, il est fortement
conseillé de désactiver la restauration système.
Sous Windows XP :
- Faites un clic droit sur Poste de travail
- Cliquez sur Propriétés.
- Cliquez ensuite sur l’onglet Restauration système
- Cochez la case Désactiver la restauration système sur tous les lecteurs.
- Cliquez ensuite sur OK
- Windows vous demande alors de confirmer la désactivation de la restauration système, cliquer sur Oui.
Sous Windows Me (Millenium Edition) /
- Cliquez sur Paramètres, puis cliquez sur Panneau de configuration.
- Faites un double clic sur Système
- Cliquez sur l’onglet Dépannage
- Cliquez ensuite sur Désactiver la restauration système.
- Cliquez sur OK, puis Fermer. Cliquez sur OK lorsque vous êtes invité à redémarrer.
Désactiver le ver MyDoom sous Windows 9x /NT/2000/XP/2003:
Pour désactiver le ver MyDoom sous Windows 9x /NT/2000/XP/2003: il vous faudra
éditer le registre système.
- Lancez l’éditeur de registre : Démarrer, Exécuter, taper regedit
- Cherchez la clé suivante : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Dans le volet de droite :
- Supprimez la valeur suivante : "Taskmon"="%System%\taskmon.exe" (apparaît
avec MyDoom.A)
- Supprimez la valeur suivante : "Explorer"="%System%\explorer.exe
(apparaît avec MyDoom.B)
- Puis cherchez la clé suivante : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Dans le volet de droite :
- Supprimez la valeur suivante : "Taskmon"="%System%\taskmon.exe" (apparaît
avec MyDoom.A)
- Supprimez la valeur suivante : "Explorer"="%System%\explorer.exe
(apparaît avec MyDoom.B)
Ceci désactive le virus au démarrage de la machine.
%System% représente l’emplacement du dossier System :
- Sous Windows 9x il s’agit de C:\Windows\system
- Sous Windows NT/2000 il s’agit de C:\Winnt\System32
- Sous Windows XP/2003 il s’agit de C:\Windows\System32
- Supprimez la clé suivante : (Apparaît avec MyDoom.A) : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version
- Faites un clic droit sur Version et choisissez Supprimer
- Supprimez la clé suivante: (Apparaît avec MyDoom.A): HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version
- Faites un clic droit sur Version et choisissez Supprimer
- Cherchez la clé suivante : (Apparaît avec MyDoom.A et MyDoom.B):
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
Remarque: afin de trouver rapidement cette clé, il est recommandé
d’utiliser la fonction Recherche.
- Sélectionnez la ruche suivante : HKEY_CLASSES_ROOT
- Cliquez sur Edition puis Rechercher
- Tapez le texte suivant : E6FB5E20
- Cliquez sur Suivant
- Faites un double clic sur la clé trouvée puis sélectionnez InProcServer32
Si vous avez Windows NT/2000/XP/2003
- Dans le volet de droite, cliquez deux fois sur (par défaut)
- Dans le champ Données de la valeur, remplacez le texte par celui-ci
:%SystemRoot%\System32\webcheck.dll
- Cliquez sur OK.
Si vous avez Windows 95/98/Me
- Dans le volet de droite, cliquez deux fois sur (par défaut)
- Dans le champ Données de la valeur, remplacez le texte par celui-ci:Windows\System\webcheck.dll
- Cliquez sur OK.
- Quittez l’Editeur du Registre.
Restauration du fichier hosts (Avec MyDoom.B)
Le fichier hosts contient la liste des sites web mis en cache manuellement.
Lorsque que vous naviguez sur un site, l’ordinateur vérifie que l’adresse du site web est enregistrée dans le fichier hosts puis se connecte au site web avec les informations trouvées.
Le ver MyDoom.B ajoute au fichier hosts des adresses invalides.
- Ouvrir le bloc-notes : Démarrer Exécuter taper notepad
- Cliquez sur Ouvrir
Et sélectionnez le fichier hosts
- Si vous avez Windows 9x : Le fichier hosts se trouve dans C:\Windows
- Si vous avez Windows NT/2000: le fichier hosts se trouve dans C:\WinNT\System32\Drivers\Etc
- Si vous avez Windows XP/2003 : le fichier hosts se trouve dans C:\Windows\System32\Drivers\Etc
- Supprimez ensuite toutes les lignes contenant une entrée commençant par
l’adresse IP suivante 0.0.0.0.
Exemple :
0.0.0.0 www.microsoft.com
0.0.0.0 download.microsoft.com
- Cliquez sur Fichier puis Enregistrer, puis quitter le bloc-notes.
Suppression des fichiers infectés
Les éditeurs d’antivirus ont publié des outils de réparation afin d’éliminer les
différentes versions de MyDoom :
Symantec
F-Secure
Supprimer MyDoom C :
1. Utilisez le gestionnaire des tâches pour terminer le processus intranet.exe qui tourne sur votre machine.
2. Supprimez le fichier intranet.exe du dossier %windir%\system32 (pour Windows NT, Windows 2000, Windows XP) ou %windir%\system (Windows 95/98/ME).
3. Avec l'éditeur de registre, supprimez les clés suivantes : HKey_Local_Machine\gremlin HKey_Current_User, Key\gremlin.
4. Supprimez le fichier sync-src-1.00.tbz à la racine de chacun des disques ainsi qu'à la racine du profil de l'utilisateur.
 1. Qu’est ce que Mydoom ?
2. Les infections de Mydoom.
3. Comment s’en protéger, comment s’en débarrasser ?
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
Comment éliminer le ver MYDOOM
