Téléchargement
illégal
Posez votre question Signaler

Virus Autorun.inf [Résolu]

èb - Dernière réponse le 17 août 2009 à 12:39
Bonjour,
Après m1eqos3.exe, que malwaerebytes a réussi à éradiquer ce matin, c'est maintenant autorun.inf qui semble une source de problème. Sa présence est détectée comme un virus et par malwarebytes et pas par avast. Malaware a réussi à le supprimer de C: mais ne le voit pas sur d'autres partitions comme un disque dur externer et sur la D:
Lorsqu'il était présent sur C:, il semble que sa présence empêche, entre autre d'avoir accès aux fichiers cachés. Le fait de l'avoir supprimé de C: redonne en tout cas accès aux fichiers cachés sauf bien entendu celui : autorun.inf
Une idée pour s'en débarasser sur les autres partitions ?
Merci
Ann
Lire la suite 

Virus Autorun.inf »

Suggestions
Plus
24 réponses
Réponse
+2
moins plus
verni29 6524Messages postés 6 juillet 2008Date d'inscription 27 janvier 2012Dernière intervention 16 août 2009 à 15:58
Bonjour,


• Télécharge et install UsbFix par Chiquitine29

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

• Double clic sur le raccourci UsbFix présent sur ton bureau .

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

• Laisse travailler l'outil.

• Ensuite post le rapport UsbFix.txt qui apparaitra.

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

A+

Ajouter un commentaire
èb - 16 août 2009 à 16:21
Salut verni,

Voilà ce que raconte USB fix. ça a l'air super ce truc, encore faut il savoir lire le résultat ;-)
Merci

############################## | UsbFix V6.017 |

User : Anna (Administrateurs) # ANNABEL
Update on 12/08/09 by Chiquitine29 & C_XX
Start at: 16:07:10 | 16/08/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Intel(R) Core(TM)2 CPU T5500 @ 1.66GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1335 [VPS 090815-0] 4.8.1335 [ Enabled | Updated ]

C:\ -> Disque fixe local # 46,57 Go (21,53 Go free) [VAIO] # NTFS
D:\ -> Disque fixe local # 38,67 Go (27,15 Go free) [VAIO] # NTFS
E:\ -> Disque amovible
F:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Apoint\Apoint.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Apoint\Apntex.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\ICO.EXE
C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
C:\Program Files\Sony\ISB Utility\ISBMgr.exe
C:\Program Files\Sony\Wireless Switch Setting Utility\Switcher.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopDisplay.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\Program Files\Hercules\Deluxe Optical Glass\Camservice.exe
C:\Program Files\Sony\VAIO Update 4\VAIOUpdt.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

D:\autorun.inf # -> fichier appelé : "D:\m1eqos3.exe" ( Absent ! )
Présent ! D:\autorun.inf
G:\autorun.inf # -> fichier appelé : "G:\m1eqos3.exe" ( Absent ! )
Présent ! G:\autorun.inf

################## | Suspect ! ... | http://www.virustotal.com |

C:\ApprentiClavier\ApprentiClavier.exe

################## | Registre # Clés Run infectieuses |

Présent ! HKLM\SYSTEM\CurrentControlSet\Services\AVPsys
Présent ! HKLM\SYSTEM\ControlSet001\Services\AVPsys
Présent ! HKLM\SYSTEM\ControlSet002\Services\AVPsys
Présent ! HKLM\SYSTEM\ControlSet003\Services\AVPsys

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\G
Shell\AutoRun\command =G:\LaunchU3.exe

HKCU\..\..\Explorer\MountPoints2\{03afa268-7ab1-11dd-99b9-0018de5ca9ef}
Shell\AutoRun\command =m1eqos3.exe
Shell\open\Command =m1eqos3.exe

HKCU\..\..\Explorer\MountPoints2\{13189c12-85c5-11de-9b6f-8958522c2ef9}
Shell\AutoRun\command =
Shell\open\Command =

HKCU\..\..\Explorer\MountPoints2\{146d6e83-894c-11dd-99d1-0018de5ca9ef}
Shell\AutoRun\command =G:\ReadMe.exe

HKCU\..\..\Explorer\MountPoints2\{be9dde47-a0f1-11dd-9a05-0018de5ca9ef}
Shell\AutoRun\command =G:\w9hw8.exe
Shell\open\Command =G:\w9hw8.exe

HKCU\..\..\Explorer\MountPoints2\{fad6ee50-eddc-11dc-985e-0018de5ca9ef}
Shell\1\Command =G:\RECYCLER\RECYCLER\autorun.exe
Shell\2\Command =G:\RECYCLER\RECYCLER\autorun.exe
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\RECYCLER\autorun.exe

################## |


################## | ! Fin du rapport # UsbFix V6.017 ! |
Ajouter un commentaire
Réponse
+0
moins plus
verni29 6524Messages postés 6 juillet 2008Date d'inscription 27 janvier 2012Dernière intervention 16 août 2009 à 16:28
USBFix est un excellent outil pour traiter entre autre les infections se propageant par support amovible.

1/ (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptiblse d avoir été infectées sans les ouvrir

• Double clic sur le raccourci UsbFix présent sur ton bureau

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

• Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]

• Ton bureau disparaitra et le pc redémarrera .

• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

• Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )


2/ Utilise ensuite cet outil de diagnostic.

Télécharge Random's System Information Tool (RSIT) de random/random et enregistre le sur ton Bureau.
http://images.malwareremoval.com/random/RSIT.exe

# Double-clique sur " RSIT.exe " pour le lancer .
# dans la fenêtre qui va s’ouvrir choisis 1 month pour l'option "List files/folders created ...".
# clique ensuite sur " Continue " pour lancer l'analyse ...

Si la dernière version de HijackThis n'est pas trouvée sur ton PC, RSIT la téléchargera et te demandera d'accepter la licence.

Attends jusqu’à la fin de l’analyse. deux rapports vont être crées.

# Poste en deux messages le contenu de " log.txt ", et de " info.txt " ( dans la barre des tâches).

Note : Si tu ne les trouves pas,les rapports sont sauvegardés dans le dossier C:\rsit.

A+

Ajouter un commentaire
èb - 16 août 2009 à 16:35
OK, je tente la première partie déjà avec USB fix. Mais ce que je ne saisi pas très bien c'est ce que je vais supprimer ;-) et c'est la raison pour laquelle je n'ai pas encore été plus loin avec USB fix.
Pourrais tu me dire ce qu'il va supprimer ??
Merci
Ann
Ajouter un commentaire
Réponse
+0
moins plus
verni29 6524Messages postés 6 juillet 2008Date d'inscription 27 janvier 2012Dernière intervention 16 août 2009 à 16:45
USBFix va supprimer ces fichiers autorun.inf infectieux.
Il va également nettoyer la base de regsitre.
Il reste le cas de ce fichier apprenticlavier qu'il a détecté comme suspect.
A mon avis, il ne doit pas être infectieux. On le vérifiera.

A+

Ajouter un commentaire
èb - 16 août 2009 à 17:25
Salut,

Voilà USB fix a fait le boulot de suppression.
Suis allée vérifier via l'invit de commande DOS qui est le seul endroit ou je voyais autorun.inf et tout a disparu pour ce qui est de autorun.inf
Reste un fichier que je trouve suspect, dans toutes les partitions (C: D: et sur mon disque dur externe): le répertoire Recycler sur C et D et un répertoire REcycled sur G: (disque dur externe) qui contient beaucoup d'éléments dont de nombreux éléments datant d'aujourd'hui et d'autres d'aout 2004... Curieux
Recycled sur G est accessible via l'invit de commande DOS (c'est à dire que je peux voir le contenu et le supprimer, mais je ne l'ai pas fait, car je ne sais pas ce que c'est).
Les autre Recycler sur C et D ne sont pas accessible, je n'arrive pas à voir leur contenu, "Fichier introuvable" à la commande dir /S d:\recycler
Un point un peu emm..., c'est que depuis le redémarrage, mon pavé numérique se comporte bizarement, je n'arrive pas à double cliquer, un double clique me donne le menu contextuel. Mais j'imagine que c'est un détail ;-)
Je passe à la phase RSIT !
Ann
Ajouter un commentaire
Réponse
+0
moins plus
verni29 6524Messages postés 6 juillet 2008Date d'inscription 27 janvier 2012Dernière intervention 16 août 2009 à 17:28
J'aurais aimé voir le rapport USBFix.
Il est sauvegardé a la racine du disque.( C:\UsbFix.txt )
Tu me le posteras après les rapports RSIT.

A+

Ajouter un commentaire
èb - 16 août 2009 à 17:35
Voici USB fix

############################## | UsbFix V6.017 |

User : Anna (Administrateurs) # ANNABEL
Update on 12/08/09 by Chiquitine29 & C_XX
Start at: 16:48:37 | 16/08/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Intel(R) Core(TM)2 CPU T5500 @ 1.66GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1335 [VPS 090815-0] 4.8.1335 [ Enabled | Updated ]

C:\ -> Disque fixe local # 46,57 Go (21,46 Go free) [VAIO] # NTFS
D:\ -> Disque fixe local # 38,67 Go (27,15 Go free) [VAIO] # NTFS
E:\ -> Disque amovible
F:\ -> Disque CD-ROM
G:\ -> Disque fixe local # 298,02 Go (228,7 Go free) [My Passport] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe

################## | Fichiers # Dossiers infectieux |

D:\autorun.inf # -> fichier appelé : "D:\m1eqos3.exe" ( Absent ! )
Supprimé ! D:\autorun.inf
G:\autorun.inf # -> fichier appelé : "G:\m1eqos3.exe" ( Absent ! )
Supprimé ! G:\autorun.inf

################## | Autres |


################## | Suspect ! ... | http://www.virustotal.com |

C:\ApprentiClavier\ApprentiClavier.exe

################## | Registre # Clés Run infectieuses |

Supprimé ! HKLM\SYSTEM\CurrentControlSet\Services\AVPsys
Supprimé ! HKLM\SYSTEM\ControlSet002\Services\AVPsys
Supprimé ! HKLM\SYSTEM\ControlSet003\Services\AVPsys

################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\G\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{03afa268-7ab1-11dd-99b9-0018de5ca9ef}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{13189c12-85c5-11de-9b6f-8958522c2ef9}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{146d6e83-894c-11dd-99d1-0018de5ca9ef}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{87c83419-f59a-11db-95ca-806d6172696f}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{be9dde47-a0f1-11dd-9a05-0018de5ca9ef}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{fad6ee50-eddc-11dc-985e-0018de5ca9ef}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[16/08/2009 13:51|--a------|444] -> C:\aaw7boot.log
[04/09/2006 13:09|--a------|0] -> C:\AUTOEXEC.BAT
[28/04/2007 17:18|-rahs----|209] -> C:\boot.ini
[10/08/2004 14:00|-rahs----|4952] -> C:\Bootfont.bin
[04/09/2006 13:09|--a------|0] -> C:\CONFIG.SYS
[?|?|?] -> C:\hiberfil.sys
[04/09/2006 13:09|-rahs----|0] -> C:\IO.SYS
[16/08/2009 16:43|--a------|54804] -> C:\log 090816 16h42.txt
[04/09/2006 13:09|-rahs----|0] -> C:\MSDOS.SYS
[10/08/2004 14:00|-rahs----|47564] -> C:\NTDETECT.COM
[16/08/2009 02:09|-rahs----|252240] -> C:\ntldr
[?|?|?] -> C:\pagefile.sys
[26/08/2008 16:26|--ah-----|280] -> C:\sqmdata00.sqm
[19/10/2008 10:57|--ah-----|232] -> C:\sqmdata01.sqm
[19/10/2008 10:59|--ah-----|232] -> C:\sqmdata02.sqm
[19/10/2008 10:59|--ah-----|232] -> C:\sqmdata03.sqm
[26/08/2008 16:26|--ah-----|244] -> C:\sqmnoopt00.sqm
[19/10/2008 10:57|--ah-----|244] -> C:\sqmnoopt01.sqm
[19/10/2008 10:59|--ah-----|244] -> C:\sqmnoopt02.sqm
[19/10/2008 10:59|--ah-----|244] -> C:\sqmnoopt03.sqm
[16/08/2009 16:54|--a------|5088] -> C:\UsbFix.txt
[08/07/2007 16:37|--ahs----|4096] -> C:\VSNAP.IDX
[01/07/2009 09:16|--a------|3164672] -> D:\gouts.pps
[23/01/2008 14:38|--ahs----|35328] -> D:\Thumbs.db
[31/07/2007 19:44|--ahs----|4096] -> D:\VSNAP.IDX
[13/10/2008 08:49|--ah-----|4096] -> G:\._.Trashes
[15/10/2008 12:46|--ah-----|12292] -> G:\.DS_Store
[10/07/2009 19:43|--a------|1726] -> G:\Nos mots de passe … la con.mm
[15/08/2009 18:00|--a------|37888] -> G:\Grimm.xls
[04/08/2009 11:04|--a------|1572529] -> G:\Guide H Macif V3_doc.zip
[04/08/2009 11:13|--a------|2482442] -> G:\Re_ guide macif.zip

################## |


################## | Upload |

Veuillez envoyer le fichier : C:\DOCUME~1\Anna\Bureau\UsbFix_Upload_Me_ANNABEL.zip : http://forum-aide-contre-virus.be/usbfix/choix_fichier.php
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.017 ! |
èb - 16 août 2009 à 17:57
Hello,
RSIT a fait le boulot. Je te poste tout ça ici ??
Ann
Ajouter un commentaire
Réponse
+0
moins plus
verni29 6524Messages postés 6 juillet 2008Date d'inscription 27 janvier 2012Dernière intervention 16 août 2009 à 18:00
Poste moi uniquement le rapport log.txt ( tu le trouveras en C:\RSIT )
Tu peux aussi le faire via le site http://cjoint.com et m'indiquer le lien crée.

A+

Ajouter un commentaire
èb - 16 août 2009 à 18:11
http://cjoint.com/?iqskQjD5PY

Merci
Ann
Ajouter un commentaire
Réponse
+0
moins plus
verni29 6524Messages postés 6 juillet 2008Date d'inscription 27 janvier 2012Dernière intervention 16 août 2009 à 18:19
èb,

- Pas d'autres infections visibles dans les rapports.
- Pour tes dossiers Recycled, ils sont normaux. Ils correspondent à la corbeille.
N'y touche pas.

1/ Pourrais-tu faire une remontée d'informations vers les concepteurs d'USBFix ?
Il faut pour cela envoyer le rapport USBFix.txt sur une site d'Upload.
A la fin du 2eme rapport d'USBFix, il est indiqué l'adresse suivante :
http://forum-aide-contre-virus.be/usbfix/choix_fichier.php

Va sur ce site et envoie le fichier zippé qui a été crée sur ton bureau :
C:\DOCUME~1\Anna\Bureau\UsbFix_Upload_Me_ANNABEL.zip

Merci d'avance.

2/ Tu vas vérifier pour le fichier apprenticlavier.exe
Tu vas sur le site de VirusTotal et tu vas pouvoir analyser un fichier.
http://www.virustotal.com/fr/

# Copiez le chemin indiqué ci-dessous et le coller dans la zone à analyser :

Chemin : C:\ApprentiClavier\ApprentiClavier.exe

# Tu cliques ensuite sur envoyer le fichier.
# Tu postes le rapport de l'analyse ( pour cela, tu sélectionnes la zone de résultat --> click droit --> copier )

A+

Ajouter un commentaire
èb - 16 août 2009 à 18:52
Salut,

Merci tout plein pour ton aide précieuse.
J'envoie à USB fix.

OK Pour recycled.
Je trouve quand même bien curieux d'avoir un fichier Recycled sur un disque dur externe !
Sur les autres partitions, C et D: c'est un fichier Recycler que j'ai et ils datent tous les 2 d'aujourd'hui (en tout cas la date quand on fait un dir /A dans une invit dos est la date du 16/08/09

Après un redémarrage j'ai récupéré un fonctionnement normal du tuch pad. Par contre le PC est trèèèèèèèèès long à se lancer... Bien plus long qu'avant !
èb - 16 août 2009 à 18:53
PS : apprenti clavier est un logiciel d'apprentissage du clavier que j'ai installé il y a longtemps et qui ne m'a jamais posé souci avant.
Ajouter un commentaire
Réponse
+0
moins plus
verni29 6524Messages postés 6 juillet 2008Date d'inscription 27 janvier 2012Dernière intervention 16 août 2009 à 18:59
OK, cela ne m'étonne pas pour le fichier apprentiClavier.exe.
Inutile d'aller sur le site de VirusTotal.

Pour la lenteur de ton PC, il faudrait optimiser le PC .
Il y a beaucoup de logiciels qui se chargent au démarrage.
Et les VAIO ont la fâcheuse tendance à installer beaucoup de services propriétaires.

1/ Lance Hijackthis et tu choisis " Do a system scan only ".
Tu sélectionnes les lignes suivantes :

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?

Tu choisis l'option " Fixchecked" en bas de la page.

2/ On va vérifier si le PC est propre.
Tu vas télécharger et installer un logiciel que je te conseille de garder et de lancer ensuite régulièrement.

Tu télécharges MalwareBytes.
http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Tu l'installes. Choisis les options par défaut.
# A la fin de l’installation, il te sera demandé de mettre à jour MalwareBytes et de l’éxecuter .
# Accepte. Après la, mise à jour, le logiciel va s’ouvrir.

# Dans l’onglet Recherche, sélectionne Exécuter un examen complet.
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l’ordinateur.
# Clique sur lancer l’examen.

# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection.
Tu postes le rapport dans ton prochain message.

Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l’onglet Rapport/logs. Il y est. Clique dessus et choisir ouvrir.

Le scan dure en moyenne 50 mn.

A+

Ajouter un commentaire
èb - 16 août 2009 à 19:11
OK. Merci. C'est vrai qu'il est long au démarrage depuis toujours mais là c'est le bouquet. J'ai le temps d'aller griller 3 clopes avant q'il démarre. Mais comme jene fume pas, ça m'énnerve ;-)

J'ai malware à jour que j'ai lancé il y a environ 10 minutes pour vérifier le tout. je te poste le rapport dès qe je l'ai mais ce matin, le scann complet a pris plus d'une heure et demi...
C'est malware qui m'a débarassée de m1eqos 3.exe et de autorun.inf sur le disque C:\
Mais sur les disques autres comme la partition D ou le disque externe, visiblement il ne les voyait pas.

Merci encore !
Ann
Ajouter un commentaire
Réponse
+0
moins plus
èb 16 août 2009 à 19:31
Et comme c'est jour de fête aujourd'hui, les autres PC de la maison sont aussi infectés.
Voici le rapport de USBfix sur un autre PC : http://cjoint.com/?iqtAPQ2Rcg
Si je saisi bien le rapport, je peux lancer la suppression avec USBfix ??
Le scan avec Malware sur l'autre pc est toujours en cours !
Merci
Ann

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
verni29 6524Messages postés 6 juillet 2008Date d'inscription 27 janvier 2012Dernière intervention 16 août 2009 à 19:40
Oui, tu peux lancer USBFix avec l'option 2.
Tu peux lancer USBFix sur les autres PC si il y en a et n'oublie pas toutes les clés USB disponibles.

A+

Ajouter un commentaire
èb - 16 août 2009 à 20:27
Après avoir lancé USB fix option 2, le pc a redémarré puis il reste bloqué sur le bureau vide depuis au moins 20 min... Le redémarrage avait pris du temps mais quand même pas 1/2 heure ! ça me parait bien longuet ??
Ajouter un commentaire
Réponse
+0
moins plus
verni29 6524Messages postés 6 juillet 2008Date d'inscription 27 janvier 2012Dernière intervention 16 août 2009 à 20:33
Cela arrive parfois que le logiciel se bloque.

Ouvre le gestionnaire de taches ( tape sur CTRL + ALT + SUPP )
Menu Fichier --> Nouvelle tache --> Tape Explorer puis valide.

Ceci devrait ouvrir le bureau et permettre à USBFix de terminer le scan et la suppression.

A+

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
èb 17 août 2009 à 00:53
Bon, voilà, tout semble rentré dans l'ordre.
rien avec le scan de Malware.
Que faire du fichier qui est dans C:\USBFix\Quarantine\autorun.inf.usbfix ??
plus rien (en tout cas plus rien de visible via la commande dir /A de l'invit de commande Dos) sur les clé ni sur aucun PC.
Merci
Ann

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
verni29 6524Messages postés 6 juillet 2008Date d'inscription 27 janvier 2012Dernière intervention 17 août 2009 à 09:37
Il reste à enlever les deux logiciels utilisés :
- Supprime le répertoire C:\RSIT et le raccourci du bureau correspondant.
- vérifie dans Ajout/Supp de programmes si Hijackthis est présent. Si oui, désinstalle-le.
- Lance USBFix puis choisis l'option F et l'option 5 pour désinstaller le logiciel. Supprime éventuellement C:\USBFix.

Si tu as des questions, n'hésite pas.

A+

Ajouter un commentaire
èb - 17 août 2009 à 12:28
Bonjour,
OK tout est fait.
Juste une question, pourquoi faut il les désinstaller ?
En tout cas je conserve les discussions en cas de besoin avec les procédures.
Et je vais maintenant éviter de passer 3 semaines de vacances sans faire les mises à jour de sécurité wds !

Grand merci pour ton aide. Je me demande comment des pro comme tu sembles l'être arrivent à prendre du temps pour dépatouiller des problèmes des autres. C'est sympa mais ça doit mobiliser beaucoup de temps !
Ann
Ajouter un commentaire
Réponse
+0
moins plus
verni29 6524Messages postés 6 juillet 2008Date d'inscription 27 janvier 2012Dernière intervention 17 août 2009 à 12:39
Pour répondre à tes questions :
- RSIT et Hijackthis ne te serviront à rien. Ce sont uniquement des outils de diagnostic qu'il faut savoir interpréter.
- USBFix a vacciné le PC et les supports amovibles. Inutile de le garder.

Au plaisir de t'avoir donné un coup de main pour régler ton problème.
Oui, cela prend du temps mais c'est également passionnant.

Bonne continuation.

@+

Ajouter un commentaire
Ajouter un commentaire
Posez votre question
Ce document intitulé « Virus Autorun.inf » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
Passage au tout numérique : quel coût pour les particuliers ?