Bonjour à vous.
Je suis nul, je ne trouve pas le moyen d'envoyer un message à la communauté. (Résolu.Merci à debitan)
Voilà mon problème.
Je suis en train d'analyser un disque dur externe windows d'un téra, sur lequel il y a un ransomware.
Via Clam, j'ai fait une recherche et mis plusieurs fichiers en quarantaine.
En fait, j'ai des .DS_Store dans plusieurs dossiers et je ne réussi pas à les supprimer via rm -rf dans le terminal. Ils sont toujours sur le dde.
J'ai virer tous les .dll, .exe et autres de sauvegarde windows.
Merci de votre réponse
Philippe
ransomware
-
arghlub
- Administrateur du site
- Messages : 10376
- Enregistré le : dim. 21 mai 2017 08:19
- Localisation : Provence
Re: ransomware
Salut,
j'suis pas expert de window$ mais si tu mets un "sudo" devant ta commande ça devrait passer :
j'suis pas expert de window$ mais si tu mets un "sudo" devant ta commande ça devrait passer :
Code : Tout sélectionner
sudo rm -rf NOM_DU_DOSSIERTour1 (custom) • CM MSI Z270 M3 | CPU Intel I7-7700K | CG Nvidia GTX 1080 | RAM 16Go | tripleBoot : Debian 11 | MXlinux 21 | LMint 19.3 | XFCE
Tour2 (custom) • CM Gigabyte | CPU AMD Athlon 5200+ | CG Nvidia GTX 560 | RAM 6Go | FreeBSD 12.1 XFCE
Portable1 • MSI GF75 Thin 9SC | CPU Intel I7-9750H | CG Nvidia GTX 1650 | RAM 32Go | dualBoot : LMint 20.2 | MXlinux 21 | XFCE
Portable2 • MacBook Air A1466 (2015) | CPU Intel I5-5250U | CG Intel HD Graphics 6000 | RAM 8Go | dualBoot : macOS Sierra | MXlinux 21 XFCE
─────( pour une informatique libre ! -membre de l' April.org────────────────
Tour2 (custom) • CM Gigabyte | CPU AMD Athlon 5200+ | CG Nvidia GTX 560 | RAM 6Go | FreeBSD 12.1 XFCE
Portable1 • MSI GF75 Thin 9SC | CPU Intel I7-9750H | CG Nvidia GTX 1650 | RAM 32Go | dualBoot : LMint 20.2 | MXlinux 21 | XFCE
Portable2 • MacBook Air A1466 (2015) | CPU Intel I5-5250U | CG Intel HD Graphics 6000 | RAM 8Go | dualBoot : macOS Sierra | MXlinux 21 XFCE
─────( pour une informatique libre ! -membre de l' April.org────────────────
Re: ransomware
Ben oui d'accord mais le .DS_Store est un fichier d'applicationarghlub a écrit : ↑jeu. 2 juin 2022 16:14Salut,
j'suis pas expert de window$ mais si tu mets un "sudo" devant ta commande ça devrait passer :Code : Tout sélectionner
sudo rm -rf NOM_DU_DOSSIER
Et cela ne le supprime pas
-
cyrille
- Administrateur du site
- Messages : 13037
- Enregistré le : mar. 19 sept. 2017 08:49
- Localisation : Nowhere
- Contact :
Re: ransomware
Tu peux te mettre dans un de ces dossiers et faire un afin qu'on voit les droits de ce dossier
ainsi qu'un
Pas de raison de ne pas pouvoir supprimer un dossier ou fichier avec les droits admin
Ensuite tu dis ne pas savoir les effacer. La commande rm -rf /chemin/jsq/dossier te retourne t elle une erreur ? Si oui laquelle ?
Suivi d'un ls , vois tu encore ce dossier ?
Ou ce dossier réapparait il quand tu rebranches le disque sur un win$ ?
Code : Tout sélectionner
ls -lainsi qu'un
Code : Tout sélectionner
whoamiEnsuite tu dis ne pas savoir les effacer. La commande rm -rf /chemin/jsq/dossier te retourne t elle une erreur ? Si oui laquelle ?
Suivi d'un ls , vois tu encore ce dossier ?
Ou ce dossier réapparait il quand tu rebranches le disque sur un win$ ?
-
thyam
- modérateur
- Messages : 8136
- Enregistré le : mar. 14 juil. 2015 10:33
- Localisation : Lille - Hauts de France
Re: ransomware
'Soir,
au fait, le post n'est pas trop à sa place dans 'actu et bug du forum'
un p'tit déplacement
au fait, le post n'est pas trop à sa place dans 'actu et bug du forum'
un p'tit déplacement
pc principal : hp pavilion dv6 - core i5 - 8go ram - dd 1 to - CG dual Intel HD graphics 3000 / Amd Radeon HD 7400m
dual boot W$ (taf oblige) / LMDE 6 'Faye' et Cinnamon
« Seul, on va plus vite... Ensemble, on va plus loin »
dual boot W$ (taf oblige) / LMDE 6 'Faye' et Cinnamon
« Seul, on va plus vite... Ensemble, on va plus loin
»Re: ransomware
Bonjour, après une période de sommeil digestive, (mon estomac me bouffe, enfin la bactérie bouffe l'estomac). Je commencecyrille a écrit : ↑jeu. 2 juin 2022 17:22Tu peux te mettre dans un de ces dossiers et faire unafin qu'on voit les droits de ce dossierCode : Tout sélectionner
ls -l
ainsi qu'unPas de raison de ne pas pouvoir supprimer un dossier ou fichier avec les droits adminCode : Tout sélectionner
whoami
Ensuite tu dis ne pas savoir les effacer. La commande rm -rf /chemin/jsq/dossier te retourne t elle une erreur ? Si oui laquelle ?
Suivi d'un ls , vois tu encore ce dossier ?
Ou ce dossier réapparait il quand tu rebranches le disque sur un win$ ?
1 je n'ai pas fait le -l
2 un chmod 777 suffit (en super-user)
3 je vais tester ta commande, la semaine prochaine (j'avais cru voir à un moment erreur d'entrée/sortie)
4 je n'ai pas de win$ disponible donc j'installerai vista en dual via Ventoy
5 À plus, je reviens vers vous quand j'ai tout fait
Re: ransomware
D'après Wikipédia :
Donc tu peux les virer sans état d'âme..DS_Store (Desktop Services Store)1 est un fichier caché créé sur les systèmes d'exploitation macOS.
Celui-ci permet de mémoriser des attributs personnalisés du répertoire comme la présentation d'affichage des fichiers ou l'image des dossiers. Il est l'équivalent du fichier Desktop.ini sur les systèmes Windows.
Par défaut, macOS crée automatiquement ce fichier dans chaque dossier auquel on a accès, y compris dans les dossiers à distance et clés USB. Après plusieurs critiques de la part des utilisateurs, la création de ces fichiers peut maintenant être désactivée pour les dossiers réseaux2. Pour éviter les .DS_Store, il existe un programme Ds store Remover qui peut aussi effacer les Thumbs.db.
LinuxMint Virginia Cinnamon et d'autres machines en MATE, XFCE... 20.x , 21.x ou 19.x
Tour : Asus F2A55 / AMD A8-5600K APU 3,6GHz / RAM 17Go / SSD 4To /Nvidia GeForce GT610 / LM21.3 Cinnamon
Portable : LDLC Mercure MH : Celeron N3450 /RAM 4Go / Intel HD graphics 500 i915 / biboot Win 10 (sur SSD) - LM21.3 MATE (sur HDD)
Tour : Asus F2A55 / AMD A8-5600K APU 3,6GHz / RAM 17Go / SSD 4To /Nvidia GeForce GT610 / LM21.3 Cinnamon
Portable : LDLC Mercure MH : Celeron N3450 /RAM 4Go / Intel HD graphics 500 i915 / biboot Win 10 (sur SSD) - LM21.3 MATE (sur HDD)
Re: ransomware
Bonjour à vous tous
1) je suis en -rwxrwxrwx pour chaque fichier et chaque dossier
2) après un sudo rm -rfR le terminal me renvoie erreur d'entrée/sortie et le dossier n'est pas vide
je comprends plus rien
D'après moi, le virus est partagé dans les 8 DS Store, ce qui fait que dès que j'en vire un dans un dossier les autres 'viennent à son secours' en le réinstallant
Voili voilou
Philippe
1) je suis en -rwxrwxrwx pour chaque fichier et chaque dossier
2) après un sudo rm -rfR le terminal me renvoie erreur d'entrée/sortie et le dossier n'est pas vide
je comprends plus rien
D'après moi, le virus est partagé dans les 8 DS Store, ce qui fait que dès que j'en vire un dans un dossier les autres 'viennent à son secours' en le réinstallant
Voili voilou
Philippe
Re: ransomware
Je suis utilisateur Mac et quand je trouve des .DS_Store dans un disque, une recherche pour ".DS_Store" permet de les afficher tous et de les supprimer tous d'un seul coup. S'ils se régénèrent, c'est qu'autre chose les crée, mais théoriquement ce n'est pas eux.
HP EliteDesk 800 G1Twr | CPU Intel I7-4770 64 - 3400 Mhz | NVIDIA GF106GL [Quadro 2000] | RAM 32Go | SSD 250 Go - HDD 1 To - HDD 2 To | Linux Mint 21.1 | Kernel 5.15.0-XX-generic | Cinnamon 5.6.x
-
cyrille
- Administrateur du site
- Messages : 13037
- Enregistré le : mar. 19 sept. 2017 08:49
- Localisation : Nowhere
- Contact :
Re: ransomware
Solution radicale : reformate ton disque