Developpez.com

Une très vaste base de connaissances en informatique avec
plus de 100 FAQ et 10 000 réponses à vos questions

Developpez.com - Sécurité
X

Choisissez d'abord la catégorieensuite la rubrique :


Résolution du problème des exécutables systèmes (ou autre) non trouvés provoqué par quelques malwares

Date de publication : 24 mars 2009

Par Youghourta BENALI (site de Djug)
 


            

I. Présentation du problème
II. Explication du problème
III. Solution proposée
IV. La vidéo


I. Présentation du problème

Avez-vous déjà rencontré la situation suivante : lors de l'ouverture d'un programme tel que le task manager ou le registry editor ou bien même votre antivirus préféré, le message d'erreur suivant apparait





ou





Le message d'erreur vous apparait illogique car vous avez l'habitude d'ouvrir le même programme (avec peut être la même commande) sans aucun problème. Votre PC est alors infecté par un virus ou bien il vient juste d'être désinfecté par un anti virus qui n'a pas bien fait tout son travail


II. Explication du problème

L'astuce utilisée par le virus pour provoquer cet erreur est d'obliger quelque application à tourné en mode débogage en ajoutant une clé dans la base de registre à l'emplacement

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Qui porte le nom de l'application à lancer en mode débogage et qui contient une valeur nommée debugger ayant comme contenu le chemin de l'application qui va jouer le rôle de débuggeur. Le premier virus qui a utilisé cette technique mettait son chemin dans la valeur débuggeur pour qu'à chaque fois qu'on lance l'application (regedit par exemple) c'est le virus lui-même qui se lance. Ceci a facilité un petit peu la tâche pour désinfecter la base de registre car il suffit de chercher le nom du virus dans la base de registre puis de supprimer les résultats Mais ce n'ai pas toujours le cas parce que les virus/vers actuels choisissent un service windows comme débuggeur comme

%windir%\system32\dllcache\spoolsv.exe
Ce qui complique un peu plus la situation


III. Solution proposée

Alors comment doit-on réagir ? Voici la procédure a suivre :


			Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\REGEDIT.EXE]

Remarqué bien le - avant le HKEY Sauvegarder le fichier (par exemple ClrRE.reg)



Reg import CleRE.reg







On vois bien qu'il existe des dizaines de clé a désinfecter mais ça prend beaucoup de temps a les désinfecter une à une , pour cela on va automatiser la tache : Exporter la ruche

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 











IV. La vidéo

Voici une fr vidéo qui explique les mêmes étapes



            

Valid XHTML 1.1!Valid CSS!

Copyright © 2009 djug. Aucune reproduction, même partielle, ne peut être faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation expresse de l'auteur. Sinon vous encourez selon la loi jusqu'à trois ans de prison et jusqu'à 300 000 € de dommages et intérêts.

Contacter le responsable de la rubrique Sécurité