Références Avast : VPS: 0616-3, 20/04/2006
Je ne l'ai détecté que par une (vieille) [b:59f6d5a1f7]petite astuce que je vous signale[/b:59f6d5a1f7] :
Au démarrage du Windows ( AUTOEXEC.BAT ), je zippe C:\WINDOWS\WIN386.SWP, càd le fichier cache, avec un vieux PKZIP.EXE sûr dans un fichier SWP.ZIP, que j'examine ensuite avec Avast ( qui, sinon, ne peut pas examiner le fichier d'échange ).
N.B. : Ce ver semble persistant ( il faut carrément détruire le cache pour qu'au démarrage suivant il n'y soit plus, et ensuite il revient - sans jamais aller sur le Net -, alors que je ne le détecte nulle part sur aucun disque en détection normale ! )

[b:59f6d5a1f7]Je trouve très peu d'infos sur ce ver ! Qui en a ?[/b:59f6d5a1f7]

Quelques compléments :
. McAfee à jour ne voit rien
. Pour la petite méthode d'examen des fichiers système bloqués via PKZIP :
  . valable seulement sous Windows 9x
  Dans AUTOEXEC.BAT :
  . mettre le répertoire où est logé PKZIP.EXE en PATH avant
  . mettre : PKZIP -a -Jahrs -whs SWP.ZIP C:\WINDOWS\WIN386.SWP

Vois pas l'intérêt de faire ça via autoexec.bat, il suffit de taper la commande depuis le mode DOS (avec ou) sans échec.
Et le -Jahrs ne me paraît pas indispensable, sauf bien-sûr si l'anti-virus est assez mal fait pour ignorer les fichiers avec ces attributs dans les archives ^^

La méthode doit d'ailleurs être applicable aussi sous XP, à part que part défaut le fichier de pagination est PageFile.sys au lieu de Win386.SWP ...

Et note quand même que tout le monde n'a pas PKZip ...

Salut,
ce que je ne pige pas c'est l'intérêt de faire trouver un virus à un antivirus qui ne vois pas de virus...
il s'ennuie ton AV ? désinstalle le...
@+
--
Pierre

Sous XP il est tout a fait possible de vider le fichier d'échange lors de chaque arrêt / redémarrage.

Le plus simple est d'utiliser XP AntiSpy et dans la section Paramètres divers cocher la case "Purger le fichier d'échange à chaque arrêt de Windows".
Ce paramètre ne prendra effet qu'après avoir rebooté.

Toutefois, selon la taille du fichier d'échange, la vitesse du processeur et du disque dur, la purge du fichier d'échange peut durer plusieurs minutes!
A n'utiliser qu'en cas de nécessité donc, ou comme mesure de sécurité sur un PC partagé.

Bonsoir,

Pour répondre à la question "Ver "Volage-G" : qui connaît ça ?" - C'est un nommage de l'antivirus Norman et, semble t'il, d'Avast.

Famille W32/Volage

Alias et variantes : PE_DREFIR.DAM; W32.Dreffort; W32 : Volage-D[Wrm](Avast!)
W32/Volage.D(Norman); W32/Volage.E(Norman); W32/Volage.F(Norman); W32/Volage.G(Norman); W32/Volage.H(Norman); W32/Volage.I(Norman)

Une variante de PE_DREFIR.B-O
Envoie des mailling en masse depuis la machine infectée (bien que certaines variantes semble ne pas fonctionner).
Risque de "complicité" de l'internaute infecté - voir
http://assiste.free.fr/p/spam/spam_029_complice.php

W32/Volage@MM
http://vil.nai.com/vil/content/v_127497.htm

W32/Volage.d
http://vil.nai.com/vil/content/v_135967.htm

W32/Volage.b@MM
http://vil.mcafeesecurity.com/vil/content/v_131649.htm

W32/Volage
http://www.trendmicro.com/vinfo/virus ... FDREFIR%2EDAM&VSect=P

W32/Volage.dam
http://vil.nai.com/vil/content/v_134542.htm

W32/Volage.c
http://vil.nai.com/vil/content/v_134543.htm

Nota : Mars 2006 - Avast! décèle ce vers, par erreur, dans le fichier ping.exe de la version française de Windows 98. C'est un faux positif. Je ne sais pas si c'est corrigé à ce jour.

Sous XP, il ne suffit pas de détruire le cache mais, également, tous les fichiers des points de restauration.
http://assiste.free.fr/p/comment/acti ... r_points_restauration.php

Cordialement

Et merci beaucoup !

Il semble bien qu'il s'agisse d'un "faux positif",
car il a disparu depuis environ une dizaine de redémarrages tests.