Autorun.inf / winfile.jpg

Nettoyage avec UsbFix :

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir !

*Double clique sur le raccourci UsbFix présent sur ton bureau.
* Choisis l’option 2 (Suppression)
* Ton bureau disparaîtra et le PC redémarrera.
* Au redémarrage, UsbFix scannera ton PC. Laisse travailler l’outil.
* Ensuite poste l’intégralité du rapport UsbFix.txt qui apparaitra avec le bureau .

Note :
Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt)

Normalement tu peut.

et comment cher antoine ? je te serai reconnaissant de m'aider à les supprimer!

et comment cher antoine? je te serai reconnaissant de m'aider!!!

Salut,

Tu es infecté par un ver qui se propage dans ton ordinateur par support amovibles (clé USB, disquettes, appareils photos numériques, disques durs externes, …)

Télécharge et installe UsbFix de C_XX & Chiquitine29 :
= = = = >>> En cliquant ici <<< = = = =

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir !

* Double clique sur le raccourci UsbFix présent sur ton bureau.
* Choisis l’option 1 (Recherche)
* Laisse travailler l’outil.
* Ensuite poste l’intégralité du rapport UsbFix.txt qui apparaîtra.

Notes :
- Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt)
(CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller sur le forum).
- "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

merci pour votre réponse crapoulou! voilà donc le rapport usbfix après analyse!
qu'est ce que je dois faire maintenent ?
et encore merci!!!!


############################## [ UsbFix V3.010 ]

# User : Lounis (Administrateurs) # SEBAA-EA020ADA4
# Update on 19/04/09 by C_XX & Chiquitine29
# Start at: 19:02:59 | 19/04/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

# Intel(R) Pentium(R) 4 CPU 3.20GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Enabled
# AV : AVG Anti-Virus Free 8.5 [ Enabled | Updated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 24,8 Go (20,77 Go free) # NTFS
# D:\ # Disque fixe local # 9,57 Go (5,09 Go free) # FAT32
# E:\ # Disque fixe local # 24,8 Go (22,67 Go free) # NTFS
# F:\ # Disque fixe local # 24,91 Go (22,35 Go free) # NTFS
# G:\ # Disque fixe local # 9,57 Go (8,77 Go free) # FAT32
# H:\ # Disque fixe local # 9,57 Go (8,74 Go free) # FAT32
# I:\ # Disque fixe local # 9,55 Go (7,45 Go free) # FAT32
# J:\ # Disque CD-ROM
# K:\ # Disque amovible # 494,5 Mo (494,05 Mo free) [AMOVIBLE] # FAT32

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscript.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\IObit\Advanced SystemCare 3\AWC.exe
C:\WINDOWS\system32\sistray.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Registre # Startup ]

HKCU_Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
HKCU_Main: "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
HKCU_Main: "Start Page"="http://search.speedbit.com/"
HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
HKLM_logon: "DefaultUserName"="Lounis"
HKLM_logon: "AltDefaultUserName"="Lounis"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""
HKLM_Run: SiSPower=Rundll32.exe SiSPower.dll,ModeAgent
HKLM_Run: RTHDCPL=RTHDCPL.EXE
HKLM_Run: SkyTel=SkyTel.EXE
HKLM_Run: Alcmtr=ALCMTR.EXE
HKLM_Run: Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
HKLM_Run: CTFMON=C:\WINDOWS\system32\wscript.exe /E:vbs C:\WINDOWS\system32\winjpg.jpg
HKLM_Run: SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
HKLM_Run: AVG8_TRAY=C:\PROGRA~1\AVG\AVG8\avgtray.exe
HKLM_Run: regdiit=C:\WINDOWS\system32\winxp.exe
HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKCU_Run: CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
HKCU_Run: Advanced SystemCare 3="C:\Program Files\IObit\Advanced SystemCare 3\AWC.exe" /startup

################## [ Informations ]

# Contenu de l'autorun C:\autorun.inf
[autorun]
shellexecute=Wscript.exe /e:vbs winfile.jpg

# Contenu de l'autorun D:\autorun.inf
[autorun]
shellexecute=Wscript.exe /e:vbs winfile.jpg

# Contenu de l'autorun E:\autorun.inf
[autorun]
shellexecute=Wscript.exe /e:vbs winfile.jpg

# Contenu de l'autorun F:\autorun.inf
[autorun]
shellexecute=Wscript.exe /e:vbs winfile.jpg

# Contenu de l'autorun G:\autorun.inf
[autorun]
shellexecute=Wscript.exe /e:vbs winfile.jpg

# Contenu de l'autorun H:\autorun.inf
[autorun]
shellexecute=Wscript.exe /e:vbs winfile.jpg

# Contenu de l'autorun I:\autorun.inf
[autorun]
shellexecute=Wscript.exe /e:vbs winfile.jpg

# Contenu de l'autorun K:\autorun.inf
[autorun]
shellexecute=Wscript.exe /e:vbs winfile.jpg


# -> ( Value | Good = 0x0 Bad = 0x1 )

# HKCU\SOFTWARE\...\Policies\System "DisableRegedit" = (0x0)
# HKCU\SOFTWARE\...\Policies\System "DisableRegistryTools" = (0x0)
# HKCU\SOFTWARE\...\Policies\System "DisableTaskMgr" = (0x0)
# HKLM\SOFTWARE\...\Policies\System "DisableRegedit" = (0x0)
# HKLM\SOFTWARE\...\Policies\System "DisableRegistryTools" = (0x0)
# HKLM\SOFTWARE\...\Policies\System "DisableTaskMgr" = (0x0)

################## [ Fichiers # Dossiers infectieux ]

Found ! C:\WINDOWS\system32\winjpg.jpg
Found ! C:\WINDOWS\system32\winxp.exe
Found ! C:\winfile.jpg
Found ! C:\autorun.inf
Found ! D:\winfile.jpg
Found ! D:\autorun.inf
Found ! E:\winfile.jpg
Found ! E:\autorun.inf
Found ! F:\winfile.jpg
Found ! F:\autorun.inf
Found ! G:\winfile.jpg
Found ! G:\autorun.inf
Found ! H:\winfile.jpg
Found ! H:\autorun.inf
Found ! I:\winfile.jpg
Found ! I:\autorun.inf
Found ! K:\winfile.jpg
Found ! K:\autorun.inf

################## [ Registre # Clés Run infectieuses ]

Found ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "CTFMON"
Found ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "regdiit"
Found ! HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
Found ! HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe
Found ! HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe

################## [ Registre # Mountpoints2 ]

HKCU\Software\Microsoft\....\MountPoints2\{82b0f41e-26bf-11de-a635-806d6172696f}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{82b0f41f-26bf-11de-a635-806d6172696f}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{82b0f420-26bf-11de-a635-806d6172696f}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{82b0f421-26bf-11de-a635-806d6172696f}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{82b0f423-26bf-11de-a635-806d6172696f}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{82b0f424-26bf-11de-a635-806d6172696f}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{82b0f426-26bf-11de-a635-806d6172696f}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{8bb5e8a6-2b8d-11de-8ed1-001e90032bd0}\Shell\AutoRun\command

################## [ ! Fin du rapport # UsbFix V3.010 ! ]

Très bien.

- Télécharge HijackThis Version 2.02 :
= = = = >>> En cliquant ici <<< = = = =

- Enregistre HJTInstall.exe sur ton bureau.
- Fais un double-clic (gauche) sur HJTInstall.exe afin de lancer l’installation
- Clique sur Install ensuite sur « I Accept »
- Clique sur « Do a scan system and save log file »
- Le bloc-notes s’ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse.

Pour une analyse plus en profondeur :
Télécharge Random’s System Information Tool (RSIT) de random/random et enregistre l’exécutable sur le Bureau.
= = = = >>> En cliquant ici <<< = = = =

* Double clique sur RSIT.exe pour le lancer.
* Une première fenêtre s’ouvre, clique alors sur Continue (Disclaimer).
* Si la dernière version de HijackThis n’est pas détectée sur ton PC, RSIT le téléchargera et te demandera d’accepter la licence.
* Lorsque l’analyse sera terminée, deux fichiers texte s’ouvriront (probablement avec le bloc-notes).
* Poste le contenu de log.txt.

Relance l'option 1 de USBFix stp.
Poste le rapport.

Pas de nouvelle, bonne nouvelle ? ou pas ?!

############################## | UsbFix V6.014 |

User : LIGHT SUD (Administrateurs) # LC-14CB6614D17C
Update on 04/08/09 by Chiquitine29 & C_XX
Start at: 21:14:19 | 05/08/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Intel(R) Pentium(R) Dual CPU E2200 @ 2.20GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 6.0.2900.5512
Windows Firewall Status : Disabled
AV : avast! antivirus 4.8.1201 [VPS 080611-1] 4.8.1201 [ Enabled | (!) Outdated ]
AV : Kaspersky Internet Security 8.0.0.506 [ Enabled | Updated ]
FW : Kaspersky Internet Security[ Enabled ]8.0.0.506

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 39,06 Go (29,93 Go free) [SYSTEM] # NTFS
D:\ -> Disque fixe local # 109,99 Go (91,02 Go free) [archive light] # NTFS
E:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\WINDOWS\system32\wscript.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
C:\WINDOWS\system32\Wscript.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

Présent ! C:\WINDOWS\system32\winjpg.jpg
Présent ! C:\winfile.jpg
Présent ! C:\autorun.inf
Présent ! D:\winfile.jpg
Présent ! D:\autorun.inf

################## | Other | http://www.virustotal.com |


################## | Registre # Clés Run infectieuses |

Présent ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "CTFMON"
Présent ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "regdiit"
Présent ! HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
Présent ! HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe
Présent ! HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
Présent ! HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
Présent ! HKLM\software\microsoft\windows nt\currentversion\image file execution options\drwtsn32.exe
Présent ! HKLM\software\microsoft\windows nt\currentversion\image file execution options\rstrui.exe
Présent ! HKLM\software\microsoft\windows nt\currentversion\image file execution options\dwwin.exe
Présent ! HKLM\software\microsoft\security center "AntiVirusDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center "AntiVirusOverride" ( 0x1 )
Présent ! HKLM\software\microsoft\security center "FirewallDisableNotify" ( 0x1 )
Présent ! HKLM\software\microsoft\security center "UpdatesDisableNotify" ( 0x1 )

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{0d6c820b-7ad5-11de-95bc-001bb9fc961b}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe /e:vbs winfile.jpg

HKCU\..\..\Explorer\MountPoints2\{2ee3681d-694b-11de-b094-001bb9fc961b}
Shell\AutoRun\command =F:\kdjulu.exe
Shell\explore\Command =F:\kdjulu.exe
Shell\open\Command =F:\kdjulu.exe

HKCU\..\..\Explorer\MountPoints2\{358ab771-6ad0-11de-b09a-001bb9fc961b}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe /e:vbs winfile.jpg

HKCU\..\..\Explorer\MountPoints2\{358ab772-6ad0-11de-b09a-001bb9fc961b}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe /e:vbs winfile.jpg

HKCU\..\..\Explorer\MountPoints2\{358ab773-6ad0-11de-b09a-001bb9fc961b}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe /e:vbs winfile.jpg

HKCU\..\..\Explorer\MountPoints2\{391ae1ee-7563-11de-8618-001bb9fc961b}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe /e:vbs winfile.jpg

HKCU\..\..\Explorer\MountPoints2\{391ae1ef-7563-11de-8618-001bb9fc961b}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe /e:vbs winfile.jpg

HKCU\..\..\Explorer\MountPoints2\{391ae1f0-7563-11de-8618-001bb9fc961b}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe /e:vbs winfile.jpg

HKCU\..\..\Explorer\MountPoints2\{5226bfdb-7cea-11de-95c0-001bb9fc961b}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe /e:vbs winfile.jpg

HKCU\..\..\Explorer\MountPoints2\{c75c4b2a-66ef-11de-9630-806d6172696f}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe /e:vbs winfile.jpg

HKCU\..\..\Explorer\MountPoints2\{c75c4b2b-66ef-11de-9630-806d6172696f}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe /e:vbs winfile.jpg

HKCU\..\..\Explorer\MountPoints2\{db115bc0-6f04-11de-984f-001bb9fc961b}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe /e:vbs winfile.jpg

HKCU\..\..\Explorer\MountPoints2\{e05767e3-697f-11de-b095-001bb9fc961b}
Shell\AutoRun\command =kdjulu.exe
Shell\explore\Command =kdjulu.exe
Shell\open\Command =kdjulu.exe

HKCU\..\..\Explorer\MountPoints2\{f9eac8aa-7160-11de-a19e-806d6172696f}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe /e:vbs winfile.jpg

HKCU\..\..\Explorer\MountPoints2\{f9eac8ab-7160-11de-a19e-806d6172696f}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe /e:vbs winfile.jpg

HKCU\..\..\Explorer\MountPoints2\{f9eac8ac-7160-11de-a19e-806d6172696f}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe /e:vbs winfile.jpg

HKCU\..\..\Explorer\MountPoints2\{f9eac8ad-7160-11de-a19e-806d6172696f}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Wscript.exe /e:vbs winfile.jpg

################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.014 ! |

Salut mm,
Crée ton propre sujet sur le forum en expliquant tes soucis et en joignant ce rapport.
Tu es bel ET BIEN infecté.
Je viendrais jeter un œil, ou quelqu'un d'autre... pas de souci.
Envoie tout ça ici :
http://www.commentcamarche.net/forum/forum-7-virus-securite#ecrire
Merci de ta compréhension.
Bonne soirée.
Crapoulou.