PDA

Afficher la version complète : cle usb :virus win 32 : kavos



thot
08/10/2009, 12h08
Bonjour à tous

J'ai du utiliser window avec ma clé usb. :huh:

Elle a deux fichiers, avec konqueror je vois
un autorun.ini
un fichier : eyt.exe

Je l'ai vu avec antivirus avast.

c'est un trojan WIN/KAVOS
j'ai essayé de la formater avec xp.
j'ai essayé de la formater avec la suse.

pas moyen dela formater.
j'ai essayer plusieurs anti-troyen
que faire?

Ps ma clé est visible sur le bureau de suse mais je ne peux rien écrire ni effacer .

Burn2
08/10/2009, 12h24
Bonjour :D
Alors nous allons pouvoir nous faire plaisir!!! :D

Première solution "bourine":
On ouvre un terminal, ensuite on se place dans le répertoire de la clef.
cd /media/
ensuite on fait un petit coup de ls pour voir et on fait un cd nom_clef.

on se logue en root via la commande "su"

Et là on fait un joli rm *
puis rm -r *

Attention cela va supprimer toutes les données de la clef et elle ne se montera plus, placez vous bien dans le répertoire de votre clef sans quoi ce sont toutes vos données qui seront effacées et non celle de la clef...

En suite vous pouvez depuis windows ou openSuse (via yast) par exemple supprimer la partition puis la recréer pour qu'elle soit toute propre et bien formatée.

jluce
08/10/2009, 13h16
Attention cela va supprimer toutes les données de la clef et elle ne se montera plus, placez vous bien dans le répertoire de votre clef sans quoi ce sont toutes vos données qui seront effacées et non celle de la clef...[/b]

bonne remarque !!!!!!!!!!!!!

a+

Nuke-Refugee
08/10/2009, 13h50
A ce compte-la pas la peine de supprimer les fichiers ;)
Autant virer la partition d'office...

Burn2
08/10/2009, 14h39
Si tu supprimes uniquement la partition ça ne fait rien. Quand tu las recréais (sans formatage) tu récupères les données. Une table des partitions ça n'est qu'un index, donc quand tu supprimes la partition tu ne fais que supprimer cet index. (j'ai déjà testé)

Nuke-Refugee
08/10/2009, 14h56
Je partais du principe qu'après avoir créé une partition, on la formatte direct... Donc pas besoin de supprimer les fichiers au préalable.
D'ailleurs je ne vois pas ce qui pourrait empêcher le formattage... Sous win encore je peux imaginer que le virus bloque la chose d'une manière ou d'une autre, mais avec une distribution Linux quelle qu'elle soit, il n'y a aucune raison, le problème doit être ailleurs.

Burn2
08/10/2009, 15h17
Oui sous linux c'est pas faux, c'est pour ça que je pense qu'un mkfs.vfat /dev/sbX correspondant à la partition de sa clef suffira.
(pour savoir la partition de sa clef, on fait un fdis -l avant de brancher sa clef, puis après l'avoir branchée.

xiloa
08/10/2009, 17h19
Bonjour à tous

J'ai du utiliser window avec ma clé usb. :huh:
...
Ps ma clé est visible sur le bureau de suse mais je ne peux rien écrire ni effacer .[/b]

je n'ose suggérer de bien placer le petit cliquet que l'on trouve sur certaine clef usb sur "déverrouillé"

thot
11/10/2009, 19h08
je n'ose suggérer de bien placer le petit cliquet que l'on trouve sur certaine clef usb sur "déverrouillé"[/b]



rien ne marche il considere ma clé comme un fichier en lecture seul

donc je peux utiliser la commande
cd nomdemaclé


rien ne marche il considere ma cle comme un fichier en lecture seul

Ps je n'ai pas de verrou sur ma clé :rolleyes:

ahlner
12/10/2009, 07h39
thot,

Dans Yast, vérifie si Gparted est bien installé, version 0.4X.
Dans ce cas, branche la clef sur le système, démarre GParted, et cherche ton périphérique USB comme /dev/sdx, formate la ou les partiton(s).
Pour trouver GParted, cela dépend de ton bureau, mais de préférence dans un souis-dossier de Système, sans toutefois aller dans Yast.
Quand un support est infecté, je le formate dans différents systèmes de fichier : ext3, swap, etc., pour revenir à la fin au système de fichiers originel.
Tiens-nous au courant.

alhner

thot
12/10/2009, 18h15
thot,

Dans Yast, vérifie si Gparted est bien installé, version 0.4X.
Dans ce cas, branche la clef sur le système, démarre GParted, et cherche ton périphérique USB comme /dev/sdx, formate la ou les partiton(s).
Pour trouver GParted, cela dépend de ton bureau, mais de préférence dans un souis-dossier de Système, sans toutefois aller dans Yast.
Quand un support est infecté, je le formate dans différents systèmes de fichier : ext3, swap, etc., pour revenir à la fin au système de fichiers originel.
Tiens-nous au courant.

alhner[/b]

je n'avais pas ce petit logiciel pour gnome
mais il ne veut rien y faire.
:unsure:

ahlner
12/10/2009, 21h38
je n'avais pas ce petit logiciel pour gnome
mais il ne veut rien y faire.
:unsure:[/b]


thot,

Donc, tu l'as installé par Yast?
As-tu essayé de supprimer la/les partitions avec GParted?

alhner

guigui
14/10/2009, 16h55
hum, as-tu essayé de la formater depuis un live-cd ou un autre linux ? car je sait que chez moi l'utilitaire de yast bug avec les clé usb, et je ne peut pas lancer gparted, donc quand je me retrouve devant ce genre de problème soit je démarre sur un live-cd avec gparted, soit je passe sur mon second systeme linux ( gos ) ;)

jluce
14/10/2009, 17h09
hum, as-tu essayé de la formater depuis un live-cd ou un autre linux ? car je sait que chez moi l'utilitaire de yast bug avec les clé usb, et je ne peut pas lancer gparted, donc quand je me retrouve devant ce genre de problème soit je démarre sur un live-cd avec gparted, soit je passe sur mon second systeme linux ( gos ) ;)[/b]


quel droit as tu sur cette clef ?????

as tu essayer de les changers via chmod en root ?????

chmod -R 777 du repertoire

a+

thot
14/10/2009, 19h02
quel droit as tu sur cette clef ?????

as tu essayer de les changers via chmod en root ?????

chmod -R 777 du repertoire

a+[/b]


j'ai bien un probleme avec mon micro

j'ai une autre clé...
je peux la formater mais ...
mes deux programmes reviennent
le trojan
auto exe
dans les deux secondes.

j'essais de les virer avec Dr web live...
si vous connaissez?

xiloa
14/10/2009, 20h27
j'ai bien un probleme avec mon micro

j'ai une autre clé...
je peux la formater mais ...
mes deux programmes reviennent
le trojan
auto exe
dans les deux secondes.

j'essais de les virer avec Dr web live...
si vous connaissez?[/b]

Pas bien compris :
tu formates sous quel OS ?
ils reviennent sous quel OS ?

ahlner
14/10/2009, 22h33
thot,

Ma femme ramène de son travail des docs sur clefs USB : elles contiennent toujours un autorun.inf, fichier texte souvent contenu dans les CD/DVD de données. Ce fichier contient le chemin de l'exécutable Windows.
Le fichier est dfangereux s'il est ouvert comme une application, mais pas par un éditeur.
Il faut "éditer" pour voir quel .exe il lance. Ils sont souvent dans les dossiers systèmes de Windows. Exemple : system32.
Il arrive qu'ils usurpent l'identité d'un fichier Windows, comme "spoolsrv.exe", le serveur d'impression des Win NTX .
En supprimant l'autorun.inf, le chemin de l'exe est perdu.
Avast et Clamwin savent traiter ces codes malveillants.
Avast renommera autorun.inf en autorun.inf.vir, de même les exe. Mais je ne m'aviserai pas de rnommer un exécutable infecté. Les antivirus savent le faire.

alhner

thot
15/10/2009, 06h53
j'ai reformaté ma nouvelle clé sous xp au boulot sur un portable. :huh:
les deux fichiers reviennent automatiquement.

j'ai installé le logiciel FreeCommander : l'explorateur de fichiers
ils voient les fichiers cachés.
le gestionnaire de fichier de xp ne voient pas .

j'ai ces deux fichiers sur chaques partitions du disque dur.
les deux fichiers corrompus sont tous les deux en lecture seul.

quand je les éfface en enlevant ou non la propriété lecture seule.
ils reviennent sur le disque dur comme par magie.
:unsure:

que faire?

ahlner
15/10/2009, 07h59
j'ai reformaté ma nouvelle clé sous xp au boulot sur un portable. :huh:
les deux fichiers reviennent automatiquement.

j'ai installé le logiciel FreeCommander : l'explorateur de fichiers
ils voient les fichiers cachés.
le gestionnaire de fichier de xp ne voient pas .

j'ai ces deux fichiers sur chaques partitions du disque dur.
les deux fichiers corrompus sont tous les deux en lecture seul.

quand je les éfface en enlevant ou non la propriété lecture seule.
ils reviennent sur le disque dur comme par magie.
:unsure:

que faire?[/b]


Salut,

Cela se passe t-il bien dans XP?
Quelquechose me manque : l'ordi du travail est-il sain?
Ce que je ne comprends pas, c'est que cela revienne sur ton disque dur. Et à quel endroit?
Panda offre un service limité et gratuit pour scanner en ligne, sans obligation d'utiliser Internet Explorer.
liens :
http://www.zebulon.fr/outils/antivirus/ant...us-en-ligne.php (http://www.zebulon.fr/outils/antivirus/antivirus-en-ligne.php)
Choisis Activescan de Panda, enregistre toi enligne. avec tonn adresse e-mail et un mot de passe que tu définis, tu pourras te connecter sur le site et lancer l'analyse en ligne.si mes souvenirs sont exacts, il faut que Java soit à jour. Tu peux faire cela avec firefox, moyennant l'installation de deuxmodules, dont un au moment du scan.
A bientôt,

alhner

Burn2
15/10/2009, 09h59
J'ai donné une procédure pour formater correctement depuis linux:

su pour être en root
fdisk -l avant de brancher la clef
On branche et on refais fdisk -l ça va nous donner la partition de la clef.
on la démonte: umount /dev/sdXY (donné par le fdisk -l du dessus)
mkfs.vfat -F 32 de_la_partition_de_la_clef

Avec ça ça doit marcher.
TU débranches et tu rebranches sur ton pc sous linux. Si le fichier est toujours présent il va faloir dégager la partition via fdisk.
Le problème c'est que tu testes depuis une machine sous windows xp qui est sans doute infectée si le fichier revient à chaque fois après avoir formaté...

xiloa
15/10/2009, 11h00
....
que faire?[/b]

Grande question :D

Perso, ne faisait que très peu confiance aux antivirus windauze, je lancerais liverescueCD, et regarderais les pages consacrées à l'antivirus, et tenterais de netoyer ton PC prisonnier sous windauze. tant que l'infection perdure sur ce poste, tu auras ce probleme.

thot
16/10/2009, 20h07
J'ai donné une procédure pour formater correctement depuis linux:

su pour être en root
fdisk -l avant de brancher la clef
On branche et on refais fdisk -l ça va nous donner la partition de la clef.
on la démonte: umount /dev/sdXY (donné par le fdisk -l du dessus)
mkfs.vfat -F 32 de_la_partition_de_la_clef

Avec ça ça doit marcher.
TU débranches et tu rebranches sur ton pc sous linux. Si le fichier est toujours présent il va faloir dégager la partition via fdisk.
Le problème c'est que tu testes depuis une machine sous windows xp qui est sans doute infectée si le fichier revient à chaque fois après avoir formaté...[/b]

j'ai fait ce que tu m'as dit...
ça fonctionne bien...
merci

ahlner
17/10/2009, 17h54
J'ai donné une procédure pour formater correctement depuis linux:

su pour être en root
fdisk -l avant de brancher la clef
On branche et on refais fdisk -l ça va nous donner la partition de la clef.
on la démonte: umount /dev/sdXY (donné par le fdisk -l du dessus)
mkfs.vfat -F 32 de_la_partition_de_la_clef

Avec ça ça doit marcher.
TU débranches et tu rebranches sur ton pc sous linux. Si le fichier est toujours présent il va faloir dégager la partition via fdisk.
Le problème c'est que tu testes depuis une machine sous windows xp qui est sans doute infectée si le fichier revient à chaque fois après avoir formaté...[/b]


Salut Burn2,

Merci pour la leçon sur la ligne de commande (la championne des interfaces).

alhner

Burn2
17/10/2009, 22h51
Bah de rien, pourtant i am a console neewbe :D

Mais c'est sûr qu'elle est souvent utile, et surtout elle est précise et on peut pas cliquer ailleurs que ce qu'on a dit. c'est pour ça qu'en général on repasse par là. :D

thot
18/10/2009, 18h09
Bah de rien, pourtant i am a console neewbe :D

Mais c'est sûr qu'elle est souvent utile, et surtout elle est précise et on peut pas cliquer ailleurs que ce qu'on a dit. c'est pour ça qu'en général on repasse par là. :D[/b]


merci à vous

je ne savais que faire