Posez votre question Format imprimable Liste des forums Aidez-les Statistiques Rechercher Charte Forum Virus-Sécurité

W32.Downadup autorun.inf

Dernière réponse le 23 jui 2009 à 11:51:30 Scalp44, le 7 jui 2009 à 12:53:32

Signaler ce message aux modérateurs

Bonjour,

J'ai visiblement mon disque dur externe d'infecté par ConFicker...

Symantec détecte 2 fichiers infecté sur mon DD externe, mais rien sur mon PC, j'ai du passer mon DD a une personne qui avait son PC infecté.

Bref Symantec arrive pas à les supprimé malgré les nombreux scan et reboot qu'il m'impose. J'ai essayé aussi avec FindyKill (anciennement UsbFix), il m'a bien détecté les 2 fichiers infecté mais la suppression n'a pas fonctionné...

Je vous copie le rapport de FindyKill après la "suppression" :

############################## | FindyKill V6.002 |

# User : Sebastien (Administrateurs) # ASUS-IC2D
# Update on 03/07/09 by Chiquitine29 & C_XX
# Start at: 12:16:06 | 07/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

# Intel(R) Core(TM)2 Duo CPU     T5450  @ 1.66GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : Symantec AntiVirus Corporate Edition 10.0.1.1000 [ Enabled | Updated ]

# C:\ # Disque fixe local # 107,87 Go (62,17 Go free) # NTFS
# D:\ # Disque fixe local # 298,09 Go (107,32 Go free) [Wynn] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque amovible
# Z:\ # Connexion réseau # 64,8 Go (58,41 Go free) [dev-share] # NTFS

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Java\jre6\bin\jqs.exe
c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
c:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\StkCSrv.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\vmnat.exe
C:\Program Files\VMware\VMware Server\tomcat\bin\Tomcat6.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Program Files\VMware\VMware Server\vmware-authd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |


################## | C:\Documents and Settings\Sebastien\Temporary Internet Files |


################## | All Drives ... |

(!) Non supprimé ! D:\autorun.inf   
(!) Non supprimé ! D:\recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx   

################## | Autres ... |


################## | Registre # Clés Run infectieuses |

Supprimé ! HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe    

################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{233a53a9-d2aa-11dd-baab-005056c00008}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{56e3d508-92c4-11dd-ba0a-001e8c52c00b}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{e9ce263c-7b23-11dd-b9ce-001e8c52c00b}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[30/08/2008 01:26|--a------|0] - C:\AUTOEXEC.BAT
[18/03/2009 11:28|-r-hs----|391] - C:\boot.ini
[05/08/2004 14:00|-rahs----|4952] - C:\Bootfont.bin
[07/07/2009 11:46|--a------|379] - C:\colorbox.log
[30/08/2008 01:26|--a------|0] - C:\CONFIG.SYS
[31/08/2008 16:46|--a------|286720] - C:\Debug.txt
[07/07/2009 12:34|--a------|3464] - C:\FindyKill.txt
[30/08/2008 01:26|-rahs----|0] - C:\IO.SYS
[30/08/2008 01:26|-rahs----|0] - C:\MSDOS.SYS
[05/08/2004 14:00|-rahs----|47564] - C:\NTDETECT.COM
[31/08/2008 15:05|-rahs----|252240] - C:\ntldr
[||] - C:\pagefile.sys
[30/08/2008 14:14|--a------|398] - C:\RHDSetup.log
[31/08/2008 16:50|--a------|161] - C:\setup.log
[05/08/2004 14:00|-rahs----|95034] - D:\autorun.inf

################## | Vaccination |

# C:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.  

################## | Etat / Services / Informations |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 ) 
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 

################## | PEH ... |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # FindyKill V6.002 ! |

Si quelqu'un a une solution... Merci d'avance !

Sébastien

Configuration: Windows XP
Firefox 3.0.10

Meilleures réponses pour « W32.Downadup autorun.inf » dans :

Créer un fichier Autorun.inf Voir Création de fichier autorun Autoriser l'exécution automatique Création du fichier autorun.inf Personnaliser l'icône Personnaliser le texte Personnaliser le menu Autoriser l'exécution automatique Une fonctionnalité de Windows...

Autorun.inf et desktop.ini a la racine du dd (Résolu) Voir

Autorun.inf ne marche pas correctement (Résolu) Voir

[Windows] Une icône custom pour votre clé USB VoirIl est possible d'avoir une icône customizée pour votre clé USB (et même un nom). Pour cela, il suffit de placer un fichier .ICO (ou une image .BMP) à la racine de votre clé USB et de créer un fichier autorun.inf, par...

Avast et Autorun.inf (Résolu) Voir

Supprimer Autorun.inf a la racine... Voir

Autorun.inf / trojan / worm Voir

Télécharger APO USB Autorun VoirAPO USB Autorun vous permet d'ajouter la fonction de lancement automatique à votre clé USB. Il cherche automatiquement l'extension autorun.inf comme sur les CDs pour l'exécuter. Cette fonction toute simple et pourtant indispensable vous permet...

Télécharger Autorun Flash Voir

Autorun - autorun.exe Voirautorun - autorun.exe Le processus autorun.exe (autorun) est un processus générique de Windows 98/NT/Me/2000/XP servant à exécuter automatiquement un programme lors de l'insertion d'un CD-ROM dans le lecteur. Le processus autorun n'est en aucun...

Posez votre question Répondre

gen-hackman, le 7 jui 2009 à 14:38:29

Bonjour :

Télécharge OTL de OLDTimer

et enregistre le sur ton Bureau.

Double clic sur OTL.exe pour le lancer.

Coche les 2 cases Lop et Purity

Coche la case devant scan all users

Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

Clique sur Parcourir et cherche le fichier ci-dessus.

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Tu feras la meme chose avec le "Extra.txt" s'il t'est demandé
♦G3и-н@¢км@и™©®♦

Répondre à gen-hackman

Scalp44, le 7 jui 2009 à 21:01:38

Voilà les deux fichiers :

OTL.txt
http://www.cijoint.fr/cjlink.php?file=cj200907/cijJ86Bsmx.txt

Extras.txt
http://www.cijoint.fr/cjlink.php?file=cj200907/cijiCAIGSF.txt

Hélas, j'ai l'impression qu'il n'a pas scan le DD externe, malgré qu'il soit allumé lors du "RUN SCAN".

Si vous avez besoin d'autres informations n'hésitez pas.

Merci d'avance.

Répondre à Scalp44

gen-hackman, le 7 jui 2009 à 23:37:24

Relance findykill , desinstaller ,ensuite suis la procedure pour relancer findykill avec les dernieres mises a jour incluses

*****************************************************
************** Option 1 (Recherche) **************
*****************************************************

Télécharge FindyKill (de Chiquitine29 , C_XX , et Chimay8) sur ton bureau :

! Déconnecte toi et ferme toutes applications en cours !

* Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'instalation par défaut .

* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

* Double-clique sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil .

* Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

* Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

Laisse travailler l'outil et ne touche à rien ...

--> Poste le rapport qui apparait à la fin , sur le forum ...

( le rapport est sauvegardé aussi sous C:\FindyKill.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

♦G3и-н@¢км@и™©®♦

Répondre à gen-hackman

Scalp44, le 8 jui 2009 à 12:42:45

Salut gen-hackman,

Voilà mon rapport FindyKill en ayant suivi ta méthode :

http://www.cijoint.fr/cjlink.php?file=cj200907/cijG9KkcVz.txt

Toujours ces mêmes fichiers infectés...

Merci pour ton aide,
Sébastien

Répondre à Scalp44

gen-hackman, le 8 jui 2009 à 13:25:41

Hello

*****************************************************
************* Option 2 (Suppression) *************
*****************************************************

! Déconnecte toi et ferme toutes application en cours ( navigateur compris ) .

* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

* Relance "FindyKill" : au menu principal choisis l'option " F " pour français et tape sur [entrée] .

* Au second menu choisis l'option 2 (suppression) et tape sur [entrée]

* Le pc va redémarrer automatiquement ...

--> le programme va travailler , ne touche à rien ... , ton bureau ne sera pas accessible c est normal !

* Poste le rapport qui apparait à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt )

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide
♦G3и-н@¢км@и™©®♦

Répondre à gen-hackman

Scalp44, le 8 jui 2009 à 14:31:34

Voilà le rapport de suppression FindyKill :

http://www.cijoint.fr/cjlink.php?file=cj200907/cijXiQ32da.txt

Il arrive visiblement pas à les supprimer... :(

Merci de ton aide,
Sébastien

Répondre à Scalp44

gen-hackman, le 8 jui 2009 à 16:53:50

/!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\

_________________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Avant d'utiliser ComboFix :
______________________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

!!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

>> Reviens sur le forum, et

copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

--
♦G3и-н@¢км@и™©®♦

Répondre à gen-hackman

Scalp44, le 8 jui 2009 à 20:30:13

Salut,

voilà le résultat du log de ComboFix :
http://www.cijoint.fr/cjlink.php?file=cj200907/cijO60sBhC.txt

Je n'arrive pas à voir si la méthode à réussi ?

Merci de ton aide,
Sebastien

Répondre à Scalp44

gen-hackman, le 8 jui 2009 à 21:25:10

*****************************************************
************** Option 1 (Recherche) **************
*****************************************************

Télécharge FindyKill (de Chiquitine29 , C_XX , et Chimay8) sur ton bureau :

! Déconnecte toi et ferme toutes applications en cours !

* Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'instalation par défaut .

* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

* Double-clique sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil .

* Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

* Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

Laisse travailler l'outil et ne touche à rien ...

--> Poste le rapport qui apparait à la fin , sur le forum ...

( le rapport est sauvegardé aussi sous C:\FindyKill.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

♦G3и-н@¢км@и™©®♦

Répondre à gen-hackman

Scalp44, le 9 jui 2009 à 12:24:02

Salut gen-hackman,

Voilà le rapport :

http://www.cijoint.fr/cjlink.php?file=cj200907/cijwvlaQcT.txt

Le autorun.inf est supprimé visiblement mais l'autre fichier persiste visiblement !

Merci.

Sébastien

Répondre à Scalp44

gen-hackman, le 9 jui 2009 à 14:07:24

Salut :

Il s'agit de Bagle et cette infection arrive lorsque tu télécharges des cracks ou keygens, je te conseille donc de les supprimer si tu en as encore et eviter dorénavant d'en telecharger pour eviter que cette infection ne se réïtère.

*****************************************************
************* Option 2 (Suppression) *************
*****************************************************

! Déconnecte toi et ferme toutes application en cours ( navigateur compris ) .

* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

* Relance "FindyKill" : au menu principal choisis l'option " F " pour français et tape sur [entrée] .

* Au second menu choisis l'option 2 (suppression) et tape sur [entrée]

* Le pc va redémarrer automatiquement ...

--> le programme va travailler , ne touche à rien ... , ton bureau ne sera pas accessible c est normal !

* Poste le rapport qui apparait à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt )

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide

Aides en images ( Suppression )
♦G3и-н@¢км@и™©®♦

Répondre à gen-hackman

Scalp44, le 9 jui 2009 à 18:01:11

Salut gen-hackman,

Voici le rapport :
http://www.cijoint.fr/cjlink.php?file=cj200907/cijWdlkAJU.txt

Il résiste visiblement... :(

Merci,
Sébastien.

Répondre à Scalp44

gen-hackman, le 9 jui 2009 à 18:13:54

Répondre à gen-hackman

Scalp44, le 9 jui 2009 à 21:21:00

Voilà le rapport OTL :

http://www.cijoint.fr/cjlink.php?file=cj200907/cijCD3AluW.txt

Encore merci de ta patience.. :)

Sébastien

Répondre à Scalp44

gen-hackman, le 9 jui 2009 à 21:31:19

Télécharge HostXpert sur ton Bureau :

---> Décompresse-le (Clic droit >> Extraire ici)

---> Double-clique sur HostsXpert pour le lancer

---> clique sur le bouton "Restore MS Hosts File" puis ferme le programme

PS : Avant de cliquer sur le bouton "Restore MS Hosts File", vérifie que le cadenas en haut à gauche est ouvert sinon tu vas avoir un message d'erreur.

s'il est fermé , clique dessus :)

ensuite :

Double clic sur OTL.exe pour le lancer.

Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans la zone sous Customs Scans/Fixes

:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
TeaTimer.exe

:services

:OTL
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19_Classes\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20_Classes\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-602162358-823518204-682003330-1003\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-602162358-823518204-682003330-1003_Classes\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O18 - Protocol\Handler\ipp - No CLSID value found
O18 - Protocol\Handler\msdaipp - No CLSID value found
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UIHost - (C:\Documents) - File not found
O20 - HKLM Winlogon: UIHost - (and) - File not found
O20 - HKLM Winlogon: UIHost - (Settings\All) - File not found
O20 - HKLM Winlogon: UIHost - (Users\Application) - File not found
O20 - HKLM Winlogon: UIHost - (Data\TuneUp) - File not found
O20 - HKLM Winlogon: UIHost - (Software\TuneUp) - File not found
O20 - HKLM Winlogon: UIHost - (Utilities\WinStyler\tu_logonui.exe) - File not found

:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"QuickTime Task"=-
"RTHDCPL"=-
"TkBellExe"=-

:files
C:\Documents and Settings\All Users\Application Data\{55A29068-F2CE-456C-9148-C869879E2357}
C:\Documents and Settings\Sebastien\Application Data\com.adobe.ExMan
C:\Documents and Settings\Sebastien\Application Data\com.supinfo.spr.SPRonAIR.C523422EC30F635A877E2E9305C1687BC207C0A6.1
C:\Documents and Settings\Sebastien\Application Data\inject32

:commands
[emptytemp]
[start explorer]
[reboot]

Clique sur RunFix pour lancer la suppression.

Poste le rapport.

==========
♦G3и-н@¢км@и™©®♦

Répondre à gen-hackman

Scalp44, le 10 jui 2009 à 01:39:56

La dernière manip m'a tout fait crashé... :/

Mon disque dur n'a rien, mais lorsque je redémarre (et je tappe mon mdp), rien ne démarre j'ai juste la souris (sans clic droit) et le fond d'écran...

Pour venir poster ici j'ai du faire ctrl alt sup, nouvelle tâche, firefox.exe et je peux venir sur internet...

J'ai essayé de faire nouvelle tâche : explorer.exe, mais ça ne me lance que l'explorateur windows... :/

J'avais prévu de formaté dans peu de temps mais là c'est un peu radical ^^

Sébastien.

Répondre à Scalp44

gen-hackman, le 10 jui 2009 à 07:30:16

Bonjour

telecharge ceci,dezippe-le,double-clic sur la clé obtenue , accepte l'entrée dans le registre,

http://sd-1.archive-host.com/membres/up/829108531491024/shell.zip

ensuite supprime l'archive et la clé

puis redemarre ton pc ♦G3и-н@¢км@и™©®♦

Répondre à gen-hackman

Scalp44, le 10 jui 2009 à 10:59:09

Salut,

J'ai fais tout ce que tu m'a dit, mon antivirus ne détecte plus rien, par contre le rapport OTL qui s'est affiché, je l'ai fermé en pensant le retrouvé dans Mes documents ou C: mais je ne le trouve pas...

Sébastien

Répondre à Scalp44

gen-hackman, le 10 jui 2009 à 11:33:42

Salut donc deja ce probleme est réglé ?

Mon disque dur n'a rien, mais lorsque je redémarre (et je tappe mon mdp), rien ne démarre j'ai juste la souris (sans clic droit) et le fond d'écran... ♦G3и-н@¢км@и™©®♦

Répondre à gen-hackman

27 réponses 12 Suivant

Posez votre question Répondre