Décontamination du virus tchernobyl

Fermé
Mat - 22 nov. 2002 à 17:22
 Mathieu - 15 déc. 2002 à 01:31
Bonjour,
Je reposte un nouveau message parce que le précédent a ete supprimé je ne sais pour quelle raison.
J'essais de désinfecter les fichiers contaminés avec f-prot comme on me l'a conseillé, mais certains fichiers ne peuvent pas etre decontaminés car f-prot refuse de les nettoyer parce qu'il sont en cours d'éxécution.
Je ne peux donc pas me débarrasser du virus puisqu'il reste présent sur certains fichiers (surtout des fichiers de windows, qui sont utilisés en permanence : donc accès écriture refusé )

Si quelqu'un avait la solution...

Merci d'avance
Mat
A voir également:

27 réponses

ipl Messages postés 5723 Date d'inscription lundi 8 octobre 2001 Statut Contributeur sécurité Dernière intervention 14 avril 2012 585
22 nov. 2002 à 18:22
Bonsoir Mat, bonsoir à tous,

As-tu exécuté F-Prot en vrai Dos ? (c'est à dire redémarre ; appuie sur F8 avant apparition de démarrage Windows puis choisis l'option Ligne MS-Dos)

@12C4
Ipl
0
ofournier.cbd Messages postés 5862 Date d'inscription jeudi 10 janvier 2002 Statut Membre Dernière intervention 18 janvier 2003 84
22 nov. 2002 à 18:32
Bonjour,

es-tu sûr que ton post a été effacé ou bien il est passé en 2è ou 3è pages ?

essaies donc de redémarrer par disquette en DOS "pur" et au prompt A:> entres au clavier c:\FPROT\FPROT si tu as installé les fichiers f-prot dans ce répertoire (dossier). Comme cela Windows ne sera pas chargé et ne t'empêchera pas d'accéder aux fichiers partagés.

Lis le fichier COMMAND.TXT de f-prot pour les commutateurs (options) que tu peux entrer dans ta ligne de commande, genre

C:\F-PROT\F-PROT /HARD /DISINF /DELETE /PACKED /...
Attention à l'ordre dans lequel ces commutateurs sont placés.

Olivier Fournier
0
ofournier.cbd Messages postés 5862 Date d'inscription jeudi 10 janvier 2002 Statut Membre Dernière intervention 18 janvier 2003 84
22 nov. 2002 à 18:35
OUAH, Gérard !

Pas le temps d'écrire que tu as déjà posté !

N.B. : notre disquette manque vraiment ! Elle arrive...

Olivier Fournier
0
Pour l'effacement du message, j'en suis pratiquement sur car j'avais mis la page dans les favoris et maintenant ce me dit que la page demandée n'existe plus.

Pour la desinfection du virus, oui vous avez surement raison, il faut le faire sous dos avant de rentrer dans windows. Je vais essayé mais je sais pas si je vais réussir car je ne suis encore jamais allé sous dos au démarrage de mon ordi. Mais je croise les doigts.

Seul hic : la disquette ne peut contenir que 1.44 Mo et f prot fait 2.33 Mo quand il est dézippé.
Comment faire ?
Faut il utiliser 2 disquettes, si oui comment faire après pour la désinfection. Est il possible de mettre f prot sur cd et de demarrer en dos avec le cd ? si oui, il me faudra un peu de temps car Nero refuse de marcher sur mon ordi à cause du virus qui a modifier son fichier.

Merci
0
Eaulive Messages postés 27064 Date d'inscription jeudi 18 avril 2002 Statut Modérateur Dernière intervention 23 juin 2015 290
22 nov. 2002 à 21:02
Ton message a du passer dans le tordeur pendant le crash de Didier ;-)

Eaulive... Rien n'est vraiment cuit
tant que tout n'est pas entièrement brûlé.
--T.S.C--
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
ofournier.cbd Messages postés 5862 Date d'inscription jeudi 10 janvier 2002 Statut Membre Dernière intervention 18 janvier 2003 84
22 nov. 2002 à 19:41
Re -

Pas la peine de copier quoi que ce soit sur disquette, la solution que je t'ai donnée fait appel à f-prot installé sur ton disque dur c:\ directement dans un répertoire (C:\F-PROT dans ton cas ?).

Donc simplement redémarres avec la disquette de démarrage (tu la protège en écriture en ouvrant la petite fenêtre au volet mobile en face de celle déjà ouverte), tu choisis DOS (sans CD) et tu attends.
Tu te retrouves avec un écran noir et juste un A:> et le curseur clignotant. Tu est sous DOS et tu va lancer F-PROT. EXE en entrant seulement au clavier la ligne de commande
c:\(dossier où sont les fichiers f-prot sur ton disque dur C:)\F-PROT (pas la peine d'écrire .EXE C:\ (disque à examiner décontaminer).

Attention : les fichiers mis à jour sont SIGN.DEF du 21/11/02, SIGN2.DEF du 21/11/02 et MACRO.DEF du 15/11/02.

Olivier Fournier
0
merci ofournier mais quand je démarre avec une disquette de démarrage et que j'appuie sur F8, on me propose de démarrer en mode sans échec, en mode normal... que dois-je faire?
0
ofournier.cbd Messages postés 5862 Date d'inscription jeudi 10 janvier 2002 Statut Membre Dernière intervention 18 janvier 2003 84
22 nov. 2002 à 20:34
Re-

cool ! Je regarde la télé (chronique banale d'une catastrophe annoncée : Nième marée noire ! Et allez le business fou !!!!!),
on prépare le diner,

et hop mon ordi me sonne : réponse de Mat !

Me v'là pour 1 minute : quand tu redémarres avec la disquette ne touches pas au clavier sauf pour le choix (sans CD, DOS pur) sur le menu déroulant proposé par la disquette. Aprés, attends le prompt A:>.

Ipl/Gérard te donnais une autre solution pour aller en DOS pur par F8 mais en restant sur le disque dur, sans disquette ! Tu peux faire aussi mais c'est moins sûr si ton disque est gravement contaminé.

Olivier Fournier
0
ipl Messages postés 5723 Date d'inscription lundi 8 octobre 2001 Statut Contributeur sécurité Dernière intervention 14 avril 2012 585
23 nov. 2002 à 00:05
Bonsoir Olivier, bonsoir à tous,

Je confirme qu'en cas de contamination (virus de boot), disons en cas de doute, la solution d'Olivier est préférable : démarrer avec une disquette saine et protégée !

@12C4
Ipl
0
Merci pour toutes vos réponses, j'ai pas pu vous répondre plus tot car mon ordi à passer touten la soirée à désinfecter sous dos, apparemment ca a marché :) et je vous en remercie encore.

J'espère que ce n'est pas qu'une illusion.
Je vais tout rescanner pour voir si il y a quelques traces (c'est juste au cas où).

Donc maintenant, je suis sauvé, c'est ca ? ;)

mat
0
ipl Messages postés 5723 Date d'inscription lundi 8 octobre 2001 Statut Contributeur sécurité Dernière intervention 14 avril 2012 585
23 nov. 2002 à 11:26
Bonjour Mat, bonjour à tous,

>Donc maintenant, je suis sauvé, c'est ca ? ;)
Je te le souhaite Mat ! ;-)
F-Prot est un excellent AntiVirus et l'exécuter sous Dos est des plus efficace car les virus les plus méchants sont capables de démolir les défenses AntiVirus et pare-feu... alors, laisser Windows prendre la main, c'est laisser le virus controler l'ordinateur.



Petite info additionnelle :
- les virus récents sont des virus 32 bits et ceci signifie qu'en Dos, ils sont inopérants !
- des virus dits "de boot" (alias de "secteur de démarrage") prennent la main dès le démarrage du système (Dos compris si on démarre sur le disque)... pour les contrer, il faut démarrer avec une disquette de démarrage saine et prendre toutes les précautions pour ne pas récolter le virus dans la mémoire !
Un virus de boot n'est pas éliminé par reformatage mais seulement par remplacement du MBR (FDISK /MBR ou réfection des partitions ie FDISK puis reformatage).

@12C4
Ipl
0
merci pour ces petites précisions.
0
ofournier.cbd Messages postés 5862 Date d'inscription jeudi 10 janvier 2002 Statut Membre Dernière intervention 18 janvier 2003 84
23 nov. 2002 à 13:20
Bonjour tous,

j'arrive aprés la bataille, appremment gagnée. Excellent !

On est en train d'automatiser tout ça et bien d'autres choses dans notre disquette ... J'y ai travaillé une bonne partie de ce matin.

Olivier Fournier
0
marguerite Messages postés 228 Date d'inscription lundi 19 novembre 2001 Statut Membre Dernière intervention 25 janvier 2003 25
14 déc. 2002 à 11:03
bonjour à tous,

ah ben cette disquette ça va être notre cadeau de Noël alors :-)) ?je l'attends de souris ferme...

Marguerite
CCM, c'est bien!
0
ipl Messages postés 5723 Date d'inscription lundi 8 octobre 2001 Statut Contributeur sécurité Dernière intervention 14 avril 2012 585
23 nov. 2002 à 13:35
Génial Olivier !

Cette disquette va permettre de gagner du temps et avoir les outils nécessaires sous la main pour :
...
Je viens d'effacer ce que j'avais écrit car je laisse Olivier en dévoiler les fonctionnalités !

Good job Olivier !

@12C4
Ipl
0
re-bonjour,
Juste une petite question : est-il possible que l'antivirus qui désinfecte les fichiers contaminés par tchernobyl ne ramène pas le fichier contaminé à l'état complètement normal. Je m'explique : Néro refusait de démarrer quand le virus l'a infecté (ceci parait normal), mais après décontamination, il refuse encore car le checksum effectué sur son fichier n'est tjs pas valide. J'ai l'impression que l'antivirus enlève le virus mais que quelques octets du virus restent dans le fichier original (le virus ne peut plus marcher car il est pratiquement effacé du fichier mais si le logiciel en question vérifie l'intégrité de son fichier, comme Néro, il refuse de démarrer).
Je voudrait juste savoir si c'est normal. De toute façon je peux réinstaller Néro et comme ca il marchera.
Encore une fois : merci pour votre aide, heureusement que vous étiez là :)

PS : Olivier, tu fais parti de l'équipe de développeurs de f-prot ?
0
ofournier.cbd Messages postés 5862 Date d'inscription jeudi 10 janvier 2002 Statut Membre Dernière intervention 18 janvier 2003 84
23 nov. 2002 à 17:43
Bonsoir,

1) Rugby : France-Canada 35 - 3. Message pour ceux qui me connaissent : mon fauteuil est mal !

2) Si aprés désinfection totale (suivant configuration de l'anti-virus) des logiciels atteints tournent mal mieux vaut les désinstaller complètement et les réinstaller. Penser à sauvegarder les données qui y sont liées.

3) F-PROT est un antivirus islandais d'une petite Entreprise sympa et très communicante, spécialisée dans les anti-virus et qui donne gratos son F-PROT pour DOS (produit d'appel).

Je ne fais pas partie de la petite équipe de Frisk Software International. Ils sont bien trop forts pour moi et ... en Islande.

Je fais partie des utilisateurs qui veulent bien connaître les quelques logiciels efficaces et fort utiles à tout le monde.

Donc je ne je ne suis qu'un "développeur amateur" de solutions quand elles n'existent pas, sont inadaptées ou trop compliquées.

Et pas seulement dans le domaine de l'informatique.

Olivier Fournier
0
Bravo quand même ;) .

Sinon, je vais désinstaller les logiciels qui refusent de marcher.

@+ sur le forum peut etre

mat
0
ipl Messages postés 5723 Date d'inscription lundi 8 octobre 2001 Statut Contributeur sécurité Dernière intervention 14 avril 2012 585
23 nov. 2002 à 19:11
Mat,

Quelques explications (simplifiées)...

Evolution des virus :
- au début, les virus venaient s'adjoindre à un programme .exe/.com et donc faisait grossir sa taille... erreur de conception, les progr. contaminés se contaminaient encore si bien que la taille grossissait sans cesse et ainsi, on les repérait à l'oeil, par la taille
- deuxième temps, rectification de la programmation pour ne pas contaminer de manière multiple.
- les virus-programmeurs ont ensuite écrasé une partie du programme -si possible des parties sans importance pour ne pas être repérés trop vite- de manière à garder la taille inchangée. Il a alors fallu trouver d'autres combines pour les repérer... checksum !
- repérage ultérieur... signature !

Tout çà pour te dire que maintenant, les fichiers/programmes ne changent pas la taille, en général, mais écrasent une partie si bien que l'antivirus ne peut plus réparer et donc, ton programme Nero ne contient plus le code d'origine ; le virus a été effacé mais Nero n'est pas comme neuf !

Lorsqu'on le peut, il vaut mieux employer un antidote qui travaille spécifiquement sur un virus et un nombre limité de fichiers contaminé et peut mieux réparer. Un antivirus généraliste lui, doit être capable de repérer les milliers de virus contaminant des millions de fichiers...

J'espère ne pas t'avoir barbé avec mes explications mais au contraire, t'avoir expliqué le pourquoi de ce que tu as constaté...

Réinstalle Nero.

Merci à Frisk Software !
Merci à Olivier pour son expertise en le matière !

@12C4
Ipl
0
tout à fait d'accord avec toi ipl, mais j'ai lu je ne sais plus où que ce virus repèrait grande suite de 00 00 00 00 00 00 pour s'insérer. Il n'écrase pas des données existantes sur le fichier, il en rajoute seulemetnau endroits où il y a de la place.
Enfin, je peux aussi me tromper mais en tout cas, c'est ce que je pense.
0
ipl Messages postés 5723 Date d'inscription lundi 8 octobre 2001 Statut Contributeur sécurité Dernière intervention 14 avril 2012 585
23 nov. 2002 à 21:23
D'accord Mat ! mais si tu as tout ce qu'il faut pour réinstaller, réinstalle !

@12C4
Ipl
0
j'ai un pb à peu près similaire à celui de Mat:
F-Prot me dit: Virus-infected files in Archives cannot be deleted
ben je les vire comment alors?..
J'utilise Win Me, et j'ai suivi toutes les étapes pour lancer F-Prot sous Dos
(le virus qui affecte les fichiers ds les Archives est W3/Nimda.A@mm ... dire que je pensis m'en être débarassé :/ )

Merci d'avance
Mathieu
0