autorun.inf protégé après infection par Win32.Worm.Agent.PZK

autorun.inf protégé après infection par Win32.Worm.Agent.PZK - Win Vista - Windows & Software

Marsh Posté le 12-09-2010 à 00:11:29    

Bonjour,  
 
Un antivirus installé sur un PC (sous Vista) détecte régulièrement le virus Win32.Worm.Agent.PZK quand on insère une certaine clef USB (laquelle est également utilisée sur d'autres ordis), et cet antivirus précise que le problème est lié au fichier autorun.inf de cette clef. Il n'est pas nouveau que des virus soient liés à autorun.inf, cependant, ce qui m'étonne:
- apparemment, l'antivirus ne nettoie pas la clef
-

Code :
  1. del autorun.inf

répond que ce fichier n'existe pas
- la commande attrib ne fonctionne pas pour déprotéger le fichier:

Code :
  1. G:\>attrib autorun.inf
  2. A  SH        G:\autorun.inf
  3. G:\>attrib autorun.inf -s -h
  4. Accès refusé - G:\autorun.inf
  5. G:\>attrib autorun.inf -r -s -h
  6. Accès refusé - G:\autorun.inf
  7. G:\>attrib autorun.inf -r
  8. Fichier caché non remis à zéro - G:\autorun.inf
  9. G:\>attrib autorun.inf -s
  10. Fichier caché non remis à zéro - G:\autorun.inf
  11. G:\>attrib autorun.inf -h
  12. Fichier système non remis à zéro - G:\autorun.inf


- les commandes type, xcopy, notepad... ne permettent pas d'afficher le contenu du fichier
- un clic droit sur le fichier, puis l'onglet "Détails", l'option "supprimer les propriétés et les informations personnelles", puis "sélectionner tout" ou "attributs HSA" ne permet pas de faire avancer le schmilblick (le fichier est toujours "intouchable" )
 
Quelle est donc la protection, apparemment plus forte que les attributs "fichier caché" et "fichier système", qui protègent ce fichier ?
 
 
EDIT : pour l'effacer, il fallait faire

Code :
  1. del /a:h autorun.inf

. Je ne sais toujours pas comment faire pour l'afficher ou le modifier (puisqu'il a été supprimé), fallait-il utiliser takeown et cacls ?


Message édité par Apokrif le 12-09-2010 à 01:46:02
Reply

Marsh Posté le 12-09-2010 à 00:11:29   

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed