Avez-vous déjà rencontré la situation suivante : lors de l'ouverture d'un programme tel que le task manager ou le registry editor ou bien même votre antivirus préféré, le message d'erreur suivant apparait
ou
Le message d'erreur vous apparait illogique car vous avez l'habitude d'ouvrir le même programme (avec peut être la même commande) sans aucun problème.
Votre PC est alors infecté par un virus ou bien il vient juste d'être désinfecté par un anti virus qui n'a pas bien fait tout son travail
II. Explication du problème
L'astuce utilisée par le virus pour provoquer cet erreur est d'obliger quelque application à tourné en mode débogage en ajoutant une clé dans la base de registre à l'emplacement
Qui porte le nom de l'application à lancer en mode débogage et qui contient une valeur nommée debugger ayant comme contenu le chemin de l'application qui va jouer le rôle de débuggeur.
Le premier virus qui a utilisé cette technique mettait son chemin dans la valeur débuggeur pour qu'à chaque fois qu'on lance l'application (regedit par exemple) c'est le virus lui-même qui se lance.
Ceci a facilité un petit peu la tâche pour désinfecter la base de registre car il suffit de chercher le nom du virus dans la base de registre puis de supprimer les résultats
Mais ce n'ai pas toujours le cas parce que les virus/vers actuels choisissent un service windows comme débuggeur comme
%windir%\system32\dllcache\spoolsv.exe
Ce qui complique un peu plus la situation
III. Solution proposée
Alors comment doit-on réagir ?
Voici la procédure a suivre :
-Créer un fichier .reg qui contient le suivant :
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\REGEDIT.EXE]
Remarqué bien le - avant le HKEY
Sauvegarder le fichier (par exemple ClrRE.reg)
Ajouter le contenu de ce fichier a la base de registre (vous me diriez qu'on ne peut pas parce que le registry est déjà désactiver..) mais en utilisant la commande reg de la manière suivant :
Reg import CleRE.reg
Maintenant on peut accéder a la base de registre en tapant regedit dans la fenêtre exécuter (démarrer->exécuter ou bien win+R)
On vois bien qu'il existe des dizaines de clé a désinfecter mais ça prend beaucoup de temps
a les désinfecter une à une , pour cela on va automatiser la tache :
Exporter la ruche
Ouvrir cette ruche avec notepad puis copier une des lignes qui commence par debugger (par exemple « debugger »= « c:\\windows\\system32\\dllcache\\spoolsv.exe»)
Aller dans édition->remplacer (ctrl+H)
Mettre dans la première case la ligne déjà copier et laisser la deuxième case vide puis cliquez sur « remplacer tout »
Sauvegarder le fichier
Retourner dans la base de registre et supprimez la ruche déjà exporté
Ajouter le contenu du fichier qu'on vient de modifier a la base de registre (on double cliquant dessus).
L'opération est terminer (essayer de lancer une application qui ne se lançait pas avant et remarqué que tout est dans l'ordre)
vidéo qui explique les mêmes étapes
