Discussion :

[apokrif]

Bonjour,

Un antivirus installé sur un PC (sous Vista) détecte régulièrement le virus Win32.Worm.Agent.PZK quand on insère une certaine clef USB (laquelle est également utilisée sur d'autres ordis), et cet antivirus précise que le problème est lié au fichier autorun.inf de cette clef. Il n'est pas nouveau que des virus soient liés à autorun.inf, cependant, ce qui m'étonne:
- apparemment, l'antivirus ne nettoie pas la clef
-

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

del autorun.inf

répond que ce fichier n'existe pas
- la commande attrib ne fonctionne pas:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

G:\>attrib autorun.inf
A  SH        G:\autorun.inf

G:\>attrib autorun.inf -s -h
Accès refusé - G:\autorun.inf

G:\>attrib autorun.inf -r -s -h
Accès refusé - G:\autorun.inf

G:\>attrib autorun.inf -r
Fichier caché non remis à zéro - G:\autorun.inf

G:\>attrib autorun.inf -s
Fichier caché non remis à zéro - G:\autorun.inf

G:\>attrib autorun.inf -h
Fichier système non remis à zéro - G:\autorun.inf

- les commandes type, xcopy, notepad... ne permettent pas d'afficher le contenu du fichier
- un clic droit sur le fichier, puis l'onglet "Détails", l'option "supprimer les propriétés et les informations personnelles", puis "sélectionner tout" ou "attributs HSA" ne permet pas de faire avancer le schmilblick (le fichier est toujours "intouchable")

Quelle est donc la protection, apparemment plus forte que les attributs "fichier caché" et "fichier système", qui protègent ce fichier ?

[spawntux]

Bonsoir,

Démarre ta clé en lecture seule sur un linux et logiquement tu pourras voir les fichiers correctement.

Bien cordialement

[apokrif]

Merci, mais j'aimerais savoir si on peut le faire sous Windows (ou, sinon, quelle faille est exploitée par le virus pour protéger ce fichier).

EDIT : pour l'effacer, il fallait faire

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

del /a:h autorun.inf

. Je ne sais toujours pas comment faire pour l'afficher ou le modifier (puisqu'il a été supprimé), fallait-il utiliser takeown et cacls ?

[spawntux]

Mais non tu boots tranquil sur linux, en read only et tu lis le code source de l'autorun ou tu le paste ici et je te dirais.

[0x44-0x43-0x53-0x43]

Formate ta clef USB tout simplement !
fait une copie des fichiers que tu connais

[Invité]

Formate ta clef USB tout simplement !
fait une copie des fichiers que tu connais

Ça me semble en effet, être la meilleure solution si tu veux t'en débarrasser.

Moi, j'aurais bien regardé la source historie de voir comment c'est fait

Les malwares se propageant par périphériques amovibles utilisent en majorité les fichiers autorun.inf. Il est judicieux de s'assurer que l'exécution automatique sur les périphériques amovibles USB est désactivée. Voir l'article KB971029 sur la base de connaissance Microsoft.

Il existe aussi des outils dédiés tel qu'UsbFix, qui patchent les clefs et offrent des systèmes de scans ciblés pour ce type de malware.

[apokrif]

Il n'est pas possible d'afficher ou modifier ce genre de fichier avec les outils standard de Vista ?

[FillPCA]

Salut,

* Télécharge UsbFix de Chiquitine29 sur ton Bureau : http://pagesperso-orange.fr/NosTools...e29/UsbFix.exe
* L'outil peut faire réagir l'antivirus. Dans ce cas, tu ignores les alertes ou tu désactives temporairement ton antivirus.
* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.
* Double-clique sur UsbFix sur ton Bureau (Pour Vista, le programme doit être lancé via un clic droit, et il faut choisir d'exécuter en tant qu'administrateur). Choisis la langue (Français) puis l'option 1.
* Poste le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.
(Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)

Fill

[spawntux]

Non mais au risque de me repeter boot sur un live cd linux, met ta clé en read only et analyse. et fait tourner le contenu de l'autorun voila tout

[FillPCA]

Salut,

C'est possible, mais on peut parfaitement désinfecter un système sans être obligé de passer sous Linux.

FillPCA

[Invité]

Il n'est pas possible d'afficher ou modifier ce genre de fichier avec les outils standard de Vista ? .

As-tu essayé avec Unlocker, de Cedrick Collomb ?

FillPCA t'as donné la marche à suivre pour UsbFix, je te conseille de faire ce qu'il te dit.