virus sur clé usb et sur pc (Résolu - Merci Gof)

[Arnipoul]

OK. Pour l'autre clé USB, le disque dur multimédia et le pc (sans connection internet) (que je soupçonne d'être eux aussi infectés), que dois-je faire ?

[Gof]

Pour la clé USB et le disque dur multimédia, tu peux à présent les brancher sur le PC que nous venons de traiter.

 

Tu les branches, les allumes si nécessaire. Mais sans ouvrir les lecteurs.

Tu exécutes à nouveau le VaccinUSB.

Si une infection était présence sur ces deux supports, leur système de propagation aura été neutralisé.

Ensuite, une fois le rapport généré, tu les analyses avec ton Antivirus.

Tout simplement.

 

Ces supports seront propres et non contaminants à l'issue.

 

Pour le deuxième PC, de quel type de système Windows s'agit-il ?

[Arnipoul]

Le deuxième pc est sous xp (professionnel)

 

Je viens de tester une des clés USB que nous venons de vacciner et avast détecte toujours le virus. Dois-je supprimer un ou plusieurs fichiers des disques que nous venons de traîter ?

Modifié le 27 juin 2009 par Arnipoul

[Gof]

Je viens de tester une des clés USB que nous venons de vacciner et avast détecte toujours le virus. Dois-je supprimer un ou plusieurs fichiers des disques que nous venons de traîter ?

Cette fois-ci, Avast doit pouvoir le traiter. Veux tu essayer et confirmer ?

[Arnipoul]

Visiblement, c'est ok avec Avast qui a repéré le virus, que j'ai mis en quarantaine. J'ai ensuite débrancher et rebrancher l'USB et analyse ok avec Avast. D'ailleurs, est-il préférable de mettre le virus en quarantaine (Action recommandée par Avast) ou vaut-il mieux le supprimer? Pour tous les autres fichiers qui n'existaient pas avant sur l'USB (adober.exe, autorun.inf, comment.htt...), faut-il les supprimer ?

[Gof]

En l'occurence, ici, supprimer aurait été le plus approprié. Mais un fichier un quarantaine n'est plus dangereux, et peut être restauré en cas de doutes si jamais c'était une fausse alerte.

 

Si cela devait arriver à nouveau et que tu ne sais pas s'il s'agit réellement d'un fichier dangereux, privilégie donc la "quarantaine" dans le doute, ce qui te permettra d'avoir une option de restauration du fichier en cas de disfonctionnements quelque part.

 

Pour tous les autres fichiers qui n'existaient pas avant sur l'USB (adober.exe, autorun.inf, comment.htt...), faut-il les supprimer ?

Non, il s'agit de répertoires vaccins. Tu les vois parce que nous avions modifié les options d'affichage ; mais lorsque nous les rétablirons à l'état d'origine, tu ne les verras plus.

 

D'ailleurs, tu t'en rendras compte si tu essaies de les supprimer par toi-même, tu ne pourras pas les supprimer facilement. C'est fait exprès afin qu'ils résistent aux infections.

 

Pour le PC sous Vista, les soucis semblent être résolus. Si tu me confirmes, je te fais désinstaller les outils utilisés sur ce PC. Il va falloir songer aussi à ne garder qu'un seul antivirus.

 

-------------------------------

 

A présent pour le PC sous Windows XP, non connecté, qui est vraisemblablement infecté. Télécharge à nouveau RSIT.EXE et copie-colle le sur une de tes clés vaccinées de sorte de pouvoir l'exécuter sur l'autre PC.

 

Lorsque tu copieras-colleras les rapports sur la clé USB afin de me les poster de ton Pc sous vista qui est connecté, prends soin d'analyser à nouveau la clé avec l'antivirus, afin de voir si la clé a été contaminée à l'insertion sur le pc sous XP.

 

J'attends donc les rapports du PC sous XP

[Arnipoul]

Une chose me trouble : c'est ok pour les USB f et g mais quand j'explore le h (qui est en fait un disque dur externe de 320Go dont l'analyse est en cours), l'autorun.inf est sous forme d'icône (bloc-notes avec une petite roue) contrairement aux 2 USB saines dont l'autorun.inf est sous forme de dossier.

 

Et dans le rapport généré par Vaccin USB, on trouve :

 

f:\autorun.inf Present

f:\autorun.inf - Vaccin Ok

g:\autorun.inf Present

g:\autorun.inf - Vaccin Ok

h:\autorun.inf Present

[Gof]

Tu as encore SystemLook de présent sur ton Bureau. Nous allons l'utiliser.

• Fais un clic-droit afin de l'exécuter en tant qu'administrateur
  
• L'outil va s'ouvrir.
  
• Assure toi que tes périphériques amovibles soient branchés, et allumés si nécessaire.
  
• Copie-colle ce qui suit (en rouge dans mon post) dans la fenêtre de saisie de l'outil :
  

• • :file
    h:\autorun.inf
    :contents
    h:\autorun.inf
    :folderfind
    autorun.inf
    
    

• Puis, clique sur Look
  
• L'outil va travailler, et va ouvrir le Bloc-Notes contenant son rapport
  
• Poste le contenu complet du rapport à la suite
  

[Arnipoul]

Le rapport de System Look

 

SystemLook v1.0 by jpshortstuff (22.05.09)

Log created at 23:41 on 27/06/2009 by Arnaud (Administrator - Elevation successful)

 

========== file ==========

 

h:\autorun.inf - File found and opened.

MD5: 7B4C77736F74E48EB2B16C2E1F4A86A9

Created at 16:55 on 27/06/2009

Modified at 16:55 on 27/06/2009

Size: 144 bytes

Attributes: -r-hs-

No version information available.

 

========== contents ==========

 

h:\autorun.inf - Opened succesfully.

 

[autoRUN]

action=Ouvrir le dossier pour afficher les fichiers

sHEllEXeCuTe=SanQueR.EXe

ICON=sYstemroOt%\SyStem32\SHeLL32.DLl,4

uSeaUTOPLay=1

 

========== folderfind ==========

 

Searching for "autorun.inf"

C:\autorun.inf drahs- [20:03 27/06/2009]

 

-=End Of File=-

[Gof]

En effet, il ne s'agit pas du vaccin, mais d'un autorun.inf fonctionnel.

 

Comme nous avons désactivé la fonction autorun sur ton PC, il n'a pas été interprété par le système et ne t'a pas infecté. Supprime ce fichier, et supprime le fichier SanQueR.EXe si tu le vois présent sur H.

 

Puis, relance à nouveau le vaccinUSB, et assure toi qu'il y a bien le répertoire vaccin à la place.