Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

  • Modérateurs
Posté(e)

Pour la clé USB et le disque dur multimédia, tu peux à présent les brancher sur le PC que nous venons de traiter. :P

 

Tu les branches, les allumes si nécessaire. Mais sans ouvrir les lecteurs.

Tu exécutes à nouveau le VaccinUSB.

Si une infection était présence sur ces deux supports, leur système de propagation aura été neutralisé.

Ensuite, une fois le rapport généré, tu les analyses avec ton Antivirus.

Tout simplement.

 

Ces supports seront propres et non contaminants à l'issue.

 

Pour le deuxième PC, de quel type de système Windows s'agit-il ?

Posté(e) (modifié)

Le deuxième pc est sous xp (professionnel)

 

Je viens de tester une des clés USB que nous venons de vacciner et avast détecte toujours le virus. Dois-je supprimer un ou plusieurs fichiers des disques que nous venons de traîter ?

Modifié par Arnipoul
  • Modérateurs
Posté(e)
Je viens de tester une des clés USB que nous venons de vacciner et avast détecte toujours le virus. Dois-je supprimer un ou plusieurs fichiers des disques que nous venons de traîter ?
Cette fois-ci, Avast doit pouvoir le traiter. Veux tu essayer et confirmer ?
Posté(e)

Visiblement, c'est ok avec Avast qui a repéré le virus, que j'ai mis en quarantaine. J'ai ensuite débrancher et rebrancher l'USB et analyse ok avec Avast. D'ailleurs, est-il préférable de mettre le virus en quarantaine (Action recommandée par Avast) ou vaut-il mieux le supprimer? Pour tous les autres fichiers qui n'existaient pas avant sur l'USB (adober.exe, autorun.inf, comment.htt...), faut-il les supprimer ?

  • Modérateurs
Posté(e)

En l'occurence, ici, supprimer aurait été le plus approprié. Mais un fichier un quarantaine n'est plus dangereux, et peut être restauré en cas de doutes si jamais c'était une fausse alerte.

 

Si cela devait arriver à nouveau et que tu ne sais pas s'il s'agit réellement d'un fichier dangereux, privilégie donc la "quarantaine" dans le doute, ce qui te permettra d'avoir une option de restauration du fichier en cas de disfonctionnements quelque part.

 

Pour tous les autres fichiers qui n'existaient pas avant sur l'USB (adober.exe, autorun.inf, comment.htt...), faut-il les supprimer ?
Non, il s'agit de répertoires vaccins. Tu les vois parce que nous avions modifié les options d'affichage ; mais lorsque nous les rétablirons à l'état d'origine, tu ne les verras plus.

 

D'ailleurs, tu t'en rendras compte si tu essaies de les supprimer par toi-même, tu ne pourras pas les supprimer facilement. C'est fait exprès afin qu'ils résistent aux infections.

 

Pour le PC sous Vista, les soucis semblent être résolus. Si tu me confirmes, je te fais désinstaller les outils utilisés sur ce PC. Il va falloir songer aussi à ne garder qu'un seul antivirus.

 

-------------------------------

 

A présent pour le PC sous Windows XP, non connecté, qui est vraisemblablement infecté. Télécharge à nouveau RSIT.EXE et copie-colle le sur une de tes clés vaccinées de sorte de pouvoir l'exécuter sur l'autre PC.

 

Lorsque tu copieras-colleras les rapports sur la clé USB afin de me les poster de ton Pc sous vista qui est connecté, prends soin d'analyser à nouveau la clé avec l'antivirus, afin de voir si la clé a été contaminée à l'insertion sur le pc sous XP.

 

J'attends donc les rapports du PC sous XP :P

Posté(e)

Une chose me trouble : c'est ok pour les USB f et g mais quand j'explore le h (qui est en fait un disque dur externe de 320Go dont l'analyse est en cours), l'autorun.inf est sous forme d'icône (bloc-notes avec une petite roue) contrairement aux 2 USB saines dont l'autorun.inf est sous forme de dossier.

 

Et dans le rapport généré par Vaccin USB, on trouve :

 

f:\autorun.inf Present

f:\autorun.inf - Vaccin Ok

g:\autorun.inf Present

g:\autorun.inf - Vaccin Ok

h:\autorun.inf Present

  • Modérateurs
Posté(e)

Tu as encore SystemLook de présent sur ton Bureau. Nous allons l'utiliser.

  • Fais un clic-droit afin de l'exécuter en tant qu'administrateur
  • L'outil va s'ouvrir.
  • Assure toi que tes périphériques amovibles soient branchés, et allumés si nécessaire.
  • Copie-colle ce qui suit (en rouge dans mon post) dans la fenêtre de saisie de l'outil :

    • :file
      h:\autorun.inf
      :contents
      h:\autorun.inf
      :folderfind
      autorun.inf

  • Puis, clique sur Look
  • L'outil va travailler, et va ouvrir le Bloc-Notes contenant son rapport
  • Poste le contenu complet du rapport à la suite

Posté(e)

Le rapport de System Look

 

SystemLook v1.0 by jpshortstuff (22.05.09)

Log created at 23:41 on 27/06/2009 by Arnaud (Administrator - Elevation successful)

 

========== file ==========

 

h:\autorun.inf - File found and opened.

MD5: 7B4C77736F74E48EB2B16C2E1F4A86A9

Created at 16:55 on 27/06/2009

Modified at 16:55 on 27/06/2009

Size: 144 bytes

Attributes: -r-hs-

No version information available.

 

========== contents ==========

 

h:\autorun.inf - Opened succesfully.

 

[autoRUN]

action=Ouvrir le dossier pour afficher les fichiers

sHEllEXeCuTe=SanQueR.EXe

ICON=sYstemroOt%\SyStem32\SHeLL32.DLl,4

uSeaUTOPLay=1

 

========== folderfind ==========

 

Searching for "autorun.inf"

C:\autorun.inf drahs- [20:03 27/06/2009]

 

-=End Of File=-

  • Modérateurs
Posté(e)

En effet, il ne s'agit pas du vaccin, mais d'un autorun.inf fonctionnel.

 

Comme nous avons désactivé la fonction autorun sur ton PC, il n'a pas été interprété par le système et ne t'a pas infecté. Supprime ce fichier, et supprime le fichier SanQueR.EXe si tu le vois présent sur H.

 

Puis, relance à nouveau le vaccinUSB, et assure toi qu'il y a bien le répertoire vaccin à la place.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...