[TUTORIEL] Aide contre HLDRRR.EXE

Bonjour à tous

Tous d'abord je voudrais vous dire qu'après recherche sur le forum virus/securité aucun topic ne repondait au probleme que je vais citer. Si par hasard je n'ai pas vu qu'un topic en parlais je m'en excuse.

Alors voila : Depuis quelques temps je remarque que Symantec Antivirus me detecte pas mal de Trojans dans le répertoire Temporary Internet Files de Local Settings. En effet il y avait bien une saleté de ce genre et pas des moindres. Trojan W32 Beagle s'était instalé dans mes fichiers temporaires. Apres plusieurs tentatives de nettoyage, il était encore pésent et j'ai donc supprimé le contenu de Temporary Internet Files. En vain, il revient tout le temps.
Quelques jours plus tard, ce Trojan est de plus en plus déclaré par Symantec. Je fait donc un scan avec Avast! qui ne le met ni en quarantaine, ni ne le supprime, ni ne le nettoie. Le pire, c'est qu'il m'indique bien que la menace est sérieuse.
Hier je jette un oeil à mes processus voir si tous va bien et qu'est-ce que je trouve ? HLDRRR.EXE qui m'a parru bien étrange. J'effectu donc une recherche sur ce processus et il s'agit bien d'un virus. Un virus qui se propage soit pas P2P, soit par piece jointe format .exe, soit apres etre infecté par moultes Trojans d'après ce que j'ai entendu dire.
Je jette donc un oeil à mes antivirus mais... il ont disparus de ma barre de notification et impossible de les lancer via mes raccourcis ?????
Je comprend que je ne suis plus protégé et je coupe donc internet, je débranche mon modem, mes clé usb, mes cartes sd, mon disque dur externe, bref tous mes péripheriques de stockage amovibles, je remet l'antivirus du SP2 de Windows en route.
Maintenant que je suis dans un orddinateur ''clos'' je peux m'attaquer à cette menace.




Voila comment s'en débarrasser :




Tout d'abord des informations sur ce virus :
HDLRRR.EXE est un virus qui se propage par messagerie ou par p2p ou bien apres un Trojan en visitant une page web infectée (comme les 10% des pages web recensées sur Google par Google Himself)
Ce virus n'atteint pas lui meme vos données personnelles ni votre systeme mais il s'attaque à votre ou vos antivirus, antimalwares, antispywares... Il se presente sous la forme d'une application .exe autoexecutable qui une fois sur votre disque dur s'installe dans divers endroit (Les plus chanceux le trouveront sur leur bureau, d'autre dans Systeme32, et les moins chanceux mais moins courant dans des répertoires innaccessibles aux utilisateurs.)
Son effet est non des moindres, puisqu'une fois déclaré, il étendra vos antivirus et autres systemes de défenses automatiquement et très rapidement. C'est donc pour ça qu'on ne se rend pas compte de sa présence par ses antivirus, puisqu'ils ne sont plus opperationnels. De plus, il ne les éteind pas proprement, mais il detruit leur processus en cours. Ainsi on n'a meme pas l'impression qu'ils s'éteingnent (Pas de messages de confirmation d'extinction, pas de ruisselement du disque dur, pas de leger ralentissement)
Une fois éteind, vous n'etes plus protegés et vos antivirus en eux meme non plus. C'est le prochain role du virus : Supprimer les setup des antivirus ainsi que les dll qui servent à leur démarrage. Plus moyen de lancer un antivirus.
On ne peut meme pas réinstaller d'antivirus. Meme en terminant le processus HLDRRR.EXE le virus est toujours oppérationel.
On peut chercher le fichier HLDRRR.EXE avec la recherche Windows mais la plupart des recherches seront neutres.
On se trouve maintanant dans une galere pas possible car on risque son systeme en allant sur internet. Il faut donc faire vite. Voila comment proceder.




Preparation






Tout d'abord il faut savoir qu'il est bien de s'habituer aux noms des processus de son ordinateur. Faites CTRL+ALT+SUPPR pour ouvrir le gestionnaire des taches. Cliquer sur l'onglet processus. On tombe sur une liste de programmes actifs, du systeme et de l'utilisateur. Leurs noms sont en apparence difficiles mais ce ne sont que des contractions :
par exemble svchost.exe = Service Host
iexlorer = Internet Explorer ...
D'autres sont explicites :
par exemple Explorer.exe = Explorer Windows qui permet la navigation par interface
Notepad.exe = Vous devez etre en train d'utiliser Notepad
On remarque aussi le nom d'utilisateur du processus. Si un processus étrange est utilisé par SYSTEME, il serai temps de se preoccuper de ce que c'est.
Habituez vous donc à ces processus. Voici quelques processus courants de Windows :
Cftmon = (Windows) gerre les peripherique qui se rapproche du clavier (Genre tactile...)
Services.exe = (Windows) Gerre le materiel automatiquement
Spoolsv.exe = (Windows) Gerre les taches d'impressions
Svchost.exe = (Windows) Habituellement au nombre de 6
System = (Windows) Fait le yoyo avec l'utilisation du CPU
Taskmgr.exe = (Windows) Le gestionnaire des taches lui même
Winlogon.exe = (Windows) Gerre ouverture/fermeture des sessions
Voici donc un court apperçu des processus de Windows. Ces processus penvent etre infectés mais il ne faut pas s'inquieter de les voir. Il y a aussi des processus utilisateurs :
Mspaint.exe = (Windows) Paint
MsWord.exe = (Office) Microsoft Office Word
Wordpad.exe = (Windows) Word Pad
Iexplorer.exe = (Windows) Internet explorer
ashDisp.exe = (Avast!) Avast! Antivirus
Entre autres. Une fois ces noms dans votre memoire, vous les assignerez directement à un logiciel ou une application. Ainsi vous detecterez facilement les processus pouvant etre des virus.
Par exemple si vous croisez un processus apelé WIN32SASSERB.exe vous vous demanderez surement ce que c'est car vous ne l'avez jamais vu ...
Enfin si un nouveau processus arrive ne vous inquitez pas de suite allez d'abord sur Goolge et tappez le nom exact du processus (ex: iexplorer.exe) puis vous tombrez rapidement sur commentçamarche.com qui vous expliquera la fonction du processus.
Verifiez donc souvent vos processus et vous augmentez vos chances de vous en sortir en cas d'intrusion furtive.



Si votre antivirus disparait, c'est donc HLDRRR.exe qui en est la cause. Voici les mesures de premieres urgences :

- Dans internet explorer, cliquez sur Fichier puis Travailler Hors Connexion. Ca vous evitera ainsi de retourner malencontreusement sur Internet et ainsi de risquer son systeme vu que vous n'avez plus d'antivirus.
- Debranchez votre modem de la prise ethernet de votre ordinateur, ou alors débranchez le du secteur si c'est un modem wifi.
- Si vous etes en reseau domestique, déconnecté votre ordinateur de ce reseau. Attention débranchez le cable ethernet qui vous relie à l'autre ordinateur ou au switch. Si c'est un switch Wifi dévranchez le du secteur.
- Deconnectez vos périphériques de stockage amovibles :
Clés Usb, Cartes mémoires, Disques Durs externes ...
- Activez l'antivirus Windows si ce n'est pas déja fait : Celui ci n'est pas touché.
- Desactivez la Restauration Systeme :
Clic droit sur Poste de Travail - Propriétés
Onglet restauration
Decochez activer la Restauration systeme
- Allez sur un autre ordinateur et téléchargez KillBox.exe qui va vous permettre d'erradiquer vous même la menace. Il est preferable qu'au prealable cette page soit imprimée car il faut à tous prit restreindre internet sur le PC infecté :

http://www.downloads.subratam.org/KillBox.exe

- Mettez le sur disquette ou clé USB ( De preference sur disquette car une disquette fait 1.44Mo et le virus 2.8Mo Attention ce virus se propage !
- Inserez la disquette ou la clé dans le PC infecté et copié le fichier sur votre bureau.
- Ejectez la disquette ou la clé USB
- Demarrez KillBox.exe qui n'a pas besoin d'installation ni d'inscription dans le registre.
- Cochez la case DELET ON REBOOT, qui permettra au soft de le supprimer au demarrage.
- Dans "Full Path of File to Delete" tappez :
C:\WINDOWS\system32\hldrrr.exe
Si votre disque dur ne s'appele pas C: changé la lettre C par la lettre de votre disque dur.
- Cliquez sur la croix rouge
- Un decompte avant le redemarrage.
- Au redemarrage relancez KillBox
- Cochez la case DELET ON REBOOT
- Dans "Full Path of File to Delete" tappez :
c:\Documents and Settings\NOM DU COMPTE\Application Data\hidires\hidr.exe
- Cliquez sur la croix rouge
- Un decompte avant le redemarrage
- Au redemarrage relancez KillBox
- Cochez la case DELET ON REBOOT
- Dans "Full Path of File to Delete" tappez :
c:\Documents and Settings\NOM DU COMPTE\Application Data\hidires\m_hook.sys
- Si KillBox ne dit pas que la manipulation a déja été effectuée, l'ordinateur redemarre quand aux deux manipulation précédentes. Si KillBox affirme avoir déja erradiqué le fichier passez à l'étape suivante :
- Même manipulation que les deux precedentes, cochez la case et tappez :
c:\WINDOWS\system32\wintems.exe
- Cliquez sur la croix rouge
- un decompte avant redemarrage.
ATTENTION SI L'ORDINATEUR NE REDEMARRE PAS TOUT SEUL AU MOMENTS OU JE L'AI INDIQUE REDEMARREZ MANUELEMENT !


A partir de ce moment, les menaces sont regroupés dans un seul répertoire mais pas érradiqués. Le virus fait toujours effet. Ne tentez pas de réinstaller un antivirus maintenant sinon il faudra recommencer à zéro. Supprimer la menace deffinitivement :

- Allez à la racine du votre disque dur. (Demarrer, Poste de Travail, C:\)
- Vous devez voir un dossier nommé !KillBox
- SUPPRIMEZ CE DOSSIER !!!!!
- Videz la corbeille
- Redemmarez manuellement



Vous voila avec un PC nettoyé de cette peste de HLDRRR.exe !


Par contre vos antivirus en ont pris un sacré coup ! Ils ne marche plus car il manque pas mal de Dll et de setup necesseire au demarrage de ceux-ci. Deux solutions :

*****Vous n'avez pas sous la main les cd d'installation de vos antivirus*****
= Vous en avez confiance en Microsoft ?
- éteignez votre ordinateur.
- Rebranchez Modems, Switchs, Peripheriques ...
- Allumez votre ordinateur
- Allez dans Internet Explorer
- Cliquez sur Fichier, Travailler Hors Connexion
ATTENTION VOUS NE TRAVAILLEZ QU'AVEC L'ANTIVIRUS WINDOWS


*****Vous avez vos CD d'installation d'antivirus*****
= Vous devez imperativement les remettre si vous n'avez pas confiance en Microsoft ^^
- Laissez votre ordinateur allumé sans ne rien rebrancher
- Reinstallez vos antivirus et activez leur demarrage avec Windows.
- Redemarez votre ordinateur
- Verifiez les parrametres de votre antivirus
- Si tout va bien éteignez votre ordinateur.
- Rebranchez Modems, Switchs, Peripheriques ...
- Allumez votre ordinateur
- Allez dans Internet Explorer
- Cliquez sur Fichier, Travailler Hors Connexion
VOTRE ORDINATEUR N'AYANT SUBIT AUCUN AUTRE DOMMAGES, IL EST COMME AVANT L'INFECTION !



Enfin dernieres mesures importantes :


- Reactivez la Restauration Systeme :
Clic droit sur Poste de Travail - Propriétés
Onglet Restauration
Cocher la case Activer la Restauration Systeme
- Aller dans Tous les Programmes,
Accessoires
Outils d'administration
Restauration du systeme
- Selectionnez Creer un point de restauration
- Donnez lui un nom comme ''VIRUS ERRADIQUE''
- Validez puis cliquez sur Fin.



Voila c'est finit vous n'avez plus à craindre cette menace jusqu'au moment ou il revienne.

J'espere avoir été utile pour certains car j'ai eu beau cherché sur Internet je n'ai pas trouvé de Toturiel précis et détaillé à ce sujet.
Si j'ai fait une erreur dites le moi que je la corrige Merci^^




Bon surf à tous !

Yochi376

Yochi376@hotmail.com