Partage
  • Partager sur Facebook
  • Partager sur Twitter

Autorun.inf

coriace le fichier

Sujet résolu
    13 octobre 2009 à 20:55:08

    Bonsoir,

    J'ai prété ma clé usb a un de mes profs et lorsque je l'est mis chez moi j'ai remarqué qu'un autorun est apparu, il avait la fonction de lancé un trojan dés le boot de la clé...
    Le trojan se régle facilement avec un antivirus mais le fichier autorun m'a laissé sur le cul.
    Impossible a enlevé ou modifier. Deja il été en caché, pour le voir je me suis servis de winrar en créant une archive de la clé car windows meme en affichant les fichiers cachés, bref j'ai tenté d'abord d'ecraser le fichier avec un autre autorun.inf, impossible car 'lecture seule', j'ai tenté aprés un "erase /s /q chemind'acces\autorun.inf" impossible fichier introuvable, je l'ai enlevé aprés un formatage.
    J'aimerais qu'on m'explique comment il s'est debrouiller pour faire un fichier si 'résistant'.
    Merci
    • Partager sur Facebook
    • Partager sur Twitter
      14 octobre 2009 à 4:42:12

      Le fichier a du être placé avec les droits systèmes or si tu es sous windows XP home, il ne me semble pas qu'il soit possible de de changer les droits du fichier pour reprendre la main dessus.

      En théorie, malwarebytes parvient quand même à se débarrasser de ces trucs.
      • Partager sur Facebook
      • Partager sur Twitter
        14 octobre 2009 à 8:58:59

        Ou au pire un ptit tour sous Linux via un LiveCd (aucune installation nécessaire) peut te permettre d'avoir l'esprit tranquille :)
        • Partager sur Facebook
        • Partager sur Twitter
        Si y'a pas d'accents dans mes messages c'est parce que je suis sur un clavier norvegien :)
          14 octobre 2009 à 13:43:39

          Citation : mrjay42

          Ou au pire un ptit tour sous Linux via un LiveCd (aucune installation nécessaire) peut te permettre d'avoir l'esprit tranquille :)



          +1
          • Partager sur Facebook
          • Partager sur Twitter
            14 octobre 2009 à 14:08:05

            Salut !

            Citation

            J'aimerais qu'on m'explique comment il s'est debrouiller pour faire un fichier si 'résistant'.
            Merci


            Dommage pour le reformatage, on aurait pu éviter, je vais t'expliquer comment faire.
            En ce qui concerne le fichier Autorun.inf :
            • Il est issu d'une infection X ou Y qui crée un fichier Autorun.inf à la racine de tous tes disques locaux. Donc quand ton prof a inséré sa clé dans son PC infecté : elle est reconnue dans le poste de travail, et au moment où il a double-cliqué dessus pour l'ouvrir, le fichier Autorun.inf entre jeu et infecte ta clé, en y propageant des fichiers infectieux comme AdobeR.exe et d'autres ... Le fichier est corrompu :

            Image utilisateur

            A l'avenir, pour éviter ce genre d'infection, je te propose une petite configuration :
            • Ne jamais ouvrir les périphériques USB par un double-clique (= intervention du fichier Autorun.inf), mais par un clic droit sur l'amovible en choisissant ensuite Explorer.
            • Sinon, tu peux désactiver l'autorun (l'exécution automatique) par une petite fusion dans le registre. Dans un fichier .txt (bloc-notes), copie le script caché, enregistre-le sous l'extension .reg, et double-clique sur le fichier pour effectuer la modification.
            REGEDIT4

            [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
            "NoDriveTypeAutoRun"=dword:000000ff

            [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
            "NoDriveTypeAutoRun"=dword:000000ff
            Pour finir, vaccine ta clé en créant des fichiers sains du même nom, que ceux infectieux, en lecture seule. Ces derniers ne pourront alors pas se propager sur ta clé puisqu'ils des fichiers du même nom seront déjà présents ! Pour se faire, utilise ce programme crée par Gof : VaccinUSB </ul>

            Maintenant, tu te demandais pourquoi le fichier en question avait été aussi résistant à la suppression. Comme tu l'as dit, il était en lecture seule, et pour se rendre plus furtif, il était considéré comme un fichier du système. En fait, il suffisait via l'invite de commande (cmd) de modifier les attributs du fichier (commande attrib), pour ensuite le supprimer en toute facilité !
            Affiche ou modifie des attributs de fichier.

            ATTRIB [+R | -R] [+A | -A ] [+S | -S] [+H | -H] [[lect:] [chemin] fichier]
            [/S [/D]]

            + Définit un attribut.
            - Efface un attribut.
            R Attribut de fichier en lecture seule.
            A Attribut de fichier archive.
            S Attribut de fichier système.
            H Attribut de fichier caché.
            [Lecteur:][Chemin][NomFichier]
            Spécifie le ou les fichiers que ATTRIB doit traiter.
            /S Traite les fichiers dans le dossier courant
            et dans tous les sous-dossiers.
            /D Traite aussi les dossiers.


            @+ ;)
            • Partager sur Facebook
            • Partager sur Twitter
              16 octobre 2009 à 19:47:18

              Merci bien pour ces explications trés détaillées ^^, c'est etudié qand meme un virus 0o, sur ce bonne soirée.
              • Partager sur Facebook
              • Partager sur Twitter

              Autorun.inf

              × Après avoir cliqué sur "Répondre" vous serez invité à vous connecter pour que votre message soit publié.
              × Attention, ce sujet est très ancien. Le déterrer n'est pas forcément approprié. Nous te conseillons de créer un nouveau sujet pour poser ta question.
              • Editeur
              • Markdown