Infections par supports amovibles

[Gof]

Bonjour tout le monde,

 

MBAM qui détectait depuis quelques mises à jour les répertoires vaccins comme infectieux a traité ces détections à compter de la version 1.38.

 

* (FIXED) Minor issue with updating.

* (FIXED) Certain types of freezing during full and quick scans.

* (FIXED) Problem with Estonian language and installer.

* (FIXED) Certain folders showing up as files in results list.

* (FIXED) Scan time improperly displayed if Abort Scan clicked after Pause Scan.

* (FIXED) Error during loading log files after database update.

* (FIXED) Issues with freezing in protection mode. Certain conflicts with anti-virus software.

* (ADDED) Some proxy support, please see /proxy command line parameter.

* (ADDED) New command line parameters: /logtofolder, /logtofile (see help file).

 

Les répertoires vaccins, ainsi, ne seront plus déclarés illégitimement infectieux Merci à Falkra pour son relais

[Invité khiflo]

Bonjour JEANFRNCOIS

(...)

Je constate que même quand je fais "Outils > Option des dossiers > Affichage > Masquer ... " , les dossiers vaccins sont encore visibles dans la partie gauche de l'explorateur mais pas dans la partie droite.

Etant novice, j'aurai tendance à penser que ce n'est pas normal.

Oui, c'est normal qu'ils apparaissent dans la partie gauche de l'explorateur, pas de soucis

(...)

Bonjour, c'est mon premier message sur ce forum. Et je pense que ce ne sera pas le dernier

Bravo pour la qualité et la clarté des interventions!

 

J'aurais deux petites questions du même ordre :

 

1- Moi aussi dans un premier temps, les nouveaux dossiers apparaissaient dans la partie gauche de l'explorateur. Je trouvais ça très dérangeant. J'ai même cherché (en vain) à les effacer, préférant le danger d'infection à la gêne du désordre occasionné (je n'avais pas encore lu tout le fil, notamment delVaccinUSB). Et puis je ne sais pas par quel miracle, ils ont cessé d'apparaitre, sans même que j'aie eu besoin de redémarrer. J'ai vérifié en branchant mon DD sur un autre ordinateur (sous Linux), tous les dossiers créés par VaccinUSB sont toujours là... Que se passe-t-il?

 

2- Paradoxalement, le dossier autorun.inf est réapparu, en dossier caché (alors que les autres, vraiment bien cachés, n'apparaissent pas, même quand j'active l'affichage des dossiers/fichiers cachés). Pourquoi? Que faire pour qu'il redevienne complètement invisible?

Modifié le 21 juillet 2009 par khiflo

[Invité khiflo]

Encore une question (j'espère qu'on ne prendra pas ça pour du spam...)

 

Est-il possible de créer un fichier autorun.inf protégé (non écrasable)? Car même en protégeant mon fichier autorun.inf en lecture seule, il est toujours remplaçable par écrasement. Mon but est d'avoir (en toute sécurité) mon propre autorun.inf qui me permette d'afficher une icône personnalisée pour chacun de mes disques. Le problème est qu'en vaccinant mon DD, j'ai un dossier autorun.inf qui empêche l'existence de mon propre autorun.

 

Avez-vous une solution à ce problème?

[Invité khiflo]

up...

 

Encore une question (j'espère qu'on ne prendra pas ça pour du spam...)

 

Est-il possible de créer un fichier autorun.inf protégé (non écrasable)? Car même en protégeant mon fichier autorun.inf en lecture seule, il est toujours remplaçable par écrasement. Mon but est d'avoir (en toute sécurité) mon propre autorun.inf qui me permette d'afficher une icône personnalisée pour chacun de mes disques. Le problème est qu'en vaccinant mon DD, j'ai un dossier autorun.inf qui empêche l'existence de mon propre autorun.

 

Avez-vous une solution à ce problème?

[francoiisp]

Bonjour tout le monde

 

apres avoir lu attentivement tous vos messages et apres avoir essayé d'activer tous ces fichiers sur mon pc, j'ai toujours des soucis avec mon disque dur externe. N'étant pas un grand spécialiste de l'informatique, je n'ai peut etre pas tout fait correctement.

Voilà le problème tel qu'il apparait :

- je ne pense pas avoir de fichier autorun infecté dans mes disques dur C et D puisque ces fichiers cachés n'apparaissent pas dans ces disques lorsque je les développe.

- Cependant lorsque j'ajoute mon disque dur externe (que j'ai pris soin de formater sur un autre pc), il apparait des fichiers douteux dont un autorun caché.

 

J'ai fait un rapport avec usbFix pour voir. voici un extrait :

 

############################## | Processus actifs |

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Logitech\Video\LogiTray.exe

C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifSvc.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe

C:\Program Files\Messenger\MSMSGS.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Winsudate\gibusr.exe

C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

C:\PROGRA~1\Wanadoo\ComComp.exe

C:\WINDOWS\system32\44C574\CF9B2D.EXE

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\Wanadoo\Toaster.exe

C:\PROGRA~1\Wanadoo\Inactivity.exe

C:\PROGRA~1\Wanadoo\PollingModule.exe

C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

C:\WINDOWS\system32\LVComS.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifSvc.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Winsudate\gibsvc.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\alg.exe

C:\PROGRA~1\Wanadoo\Watch.exe

C:\Program Files\Windows Live\Contacts\wlcomm.exe

C:\Program Files\Java\jre6\bin\jucheck.exe

C:\Program Files\eMule\emule.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

################## | Fichiers # Dossiers infectieux |

 

Présent ! G:\Recycle.exe

 

################## | Other | http://www.virustotal.com |

 

 

################## | Registre # Clés Run infectieuses |

 

 

################## | Registre # Mountpoints2 |

 

HKCU\..\..\Explorer\MountPoints2\{1d2a47f5-87a4-11dc-8f57-4d6564696130}

Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs

 

HKCU\..\..\Explorer\MountPoints2\{49dce6db-5d27-11dc-8f23-4d6564696130}

Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs

 

HKCU\..\..\Explorer\MountPoints2\{9019fb30-5a0d-11dc-8f1b-4d6564696130}

Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs

 

################## | Cracks / Keygens / Serials |

 

 

################## | ! Fin du rapport # UsbFix V6.014 ! |

 

 

Pouvez vous m'aider please, je ne sais plus quoi faire !!!!!

 

 

MERCI BEAUCOUP D'AVANCE

[Falkra]

francoiisp, ouvre plutôt un sujet dans la section désinfection.

[fuchsine]

Ok, j'ai fait ce "vaccin".

Cependant, quelques questions :

1) la liste des répertoires collés ont du évoluer car, est-ce normal

Ne se sont pas créés : Found.000, desktop.ini et autorun.rar

Par contre, j'ai "en plus" : comment.hht, info.exe, sqlserv.exe, temp.exe, temp1.exe, temp2.exe, zPharaoh.exe

Il est donc certainement conseillé de vacciner régulièrement en téléchargeant régulièrement vaccinUB.exe

2) Doit-on exécuter aussi ce "vaccin" à la racine de C, c'est à dire sur le Disque dur du PC ?

 

Merci et a+

Bonjour

Après avoir vacciné une clef USB et donc entre autre créé un fichier autorun.inf ,le double clic permet-il d'ouvrir la clef avec l'explorateur? (même si l'on n'a pas mis l'autorun de windows sur off)

Comment exécuter le vaccin uniquement sur une clef et pas sur le disque dur qui contient le système d'exploitation?

[oGu]

Salut!

 

Oui, tu peux toujours ouvrir la clé avec un double-clic dans le poste de travail. Et pour effectuer le vaccin uniquement sur la clé, il suffit de placer puis exécuter VaccinUSB à la racine de la clé (si la clé s'appelle H:\, placer VaccinUSB comme ceci: H:\VaccinUSB).

[Gof]

Bonsoir tout le monde,

 

Je reprends de vieilles questions, pour les lecteurs qui s'en interrogeraient.

 

Est-il possible de créer un fichier autorun.inf protégé (non écrasable)? Car même en protégeant mon fichier autorun.inf en lecture seule, il est toujours remplaçable par écrasement. Mon but est d'avoir (en toute sécurité) mon propre autorun.inf qui me permette d'afficher une icône personnalisée pour chacun de mes disques. Le problème est qu'en vaccinant mon DD, j'ai un dossier autorun.inf qui empêche l'existence de mon propre autorun. (...) Avez-vous une solution à ce problème?

Pas vraiment. Les vaccins (ici, ou ceux d'autres outils) ne sont que des répertoires ou des fichiers vides, non écrasables par l'infection, mais également non interprétables par le système. Il n'est pas possible de concilier un fichier opérant, interprétable, avec un fichier non écrasable insupprimable.

 

 

Comment exécuter le vaccin uniquement sur une clef et pas sur le disque dur qui contient le système d'exploitation?

Comme le vaccin a été changé, cela n'est plus possible en l'état avec celui proposé. Celui qui est en ligne va vacciner toutes les partitions et lecteurs détectés directement. Si cela est nécessaire, je peux mettre à disposition un petit vacccin qui reprendra l'ancienne manipulation, ne vaccinant que le support sur lequel il se trouve.

[Gof]

Bonjour tout le monde,

 

 

Ce billet commence à être obsolète, je vous invite à consulter la mise à jour disponible sur ce lien.