W32.Downadup autorun.infRésolu/Fermé

Question

Bonjour,

J'ai visiblement mon disque dur externe d'infecté par ConFicker...

Symantec détecte 2 fichiers infecté sur mon DD externe, mais rien sur mon PC, j'ai du passer mon DD a une personne qui avait son PC infecté.

 Bref Symantec arrive pas à les supprimé malgré les nombreux scan et reboot qu'il m'impose. J'ai essayé aussi avec FindyKill (anciennement UsbFix), il m'a bien détecté les 2 fichiers infecté mais la suppression n'a pas fonctionné...

Je vous copie le rapport de FindyKill après la "suppression" :


############################## | FindyKill V6.002 |

# User : Sebastien (Administrateurs) # ASUS-IC2D
# Update on 03/07/09 by Chiquitine29 & C_XX
# Start at: 12:16:06 | 07/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

# Intel(R) Core(TM)2 Duo CPU     T5450  @ 1.66GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : Symantec AntiVirus Corporate Edition 10.0.1.1000 [ Enabled | Updated ]

# C:\ # Disque fixe local # 107,87 Go (62,17 Go free) # NTFS
# D:\ # Disque fixe local # 298,09 Go (107,32 Go free) [Wynn] # NTFS
# E:\ # Disque CD-ROM
# F:\ # Disque amovible
# Z:\ # Connexion réseau # 64,8 Go (58,41 Go free) [dev-share] # NTFS

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Java\jre6\bin\jqs.exe
c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
c:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\StkCSrv.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\vmnat.exe
C:\Program Files\VMware\VMware Server	omcat\bin\Tomcat6.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Program Files\VMware\VMware Server\vmware-authd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |


################## | C:\Documents and Settings\Sebastien\Temporary Internet Files |


################## | All Drives ... |

(!) Non supprimé ! D:\autorun.inf   
(!) Non supprimé ! D:ecycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx   

################## | Autres ... |


################## | Registre # Clés Run infectieuses |

Supprimé ! HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options	askmgr.exe    

################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{233a53a9-d2aa-11dd-baab-005056c00008}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{56e3d508-92c4-11dd-ba0a-001e8c52c00b}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{e9ce263c-7b23-11dd-b9ce-001e8c52c00b}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[30/08/2008 01:26|--a------|0] - C:\AUTOEXEC.BAT
[18/03/2009 11:28|-r-hs----|391] - C:\boot.ini
[05/08/2004 14:00|-rahs----|4952] - C:\Bootfont.bin
[07/07/2009 11:46|--a------|379] - C:\colorbox.log
[30/08/2008 01:26|--a------|0] - C:\CONFIG.SYS
[31/08/2008 16:46|--a------|286720] - C:\Debug.txt
[07/07/2009 12:34|--a------|3464] - C:\FindyKill.txt
[30/08/2008 01:26|-rahs----|0] - C:\IO.SYS
[30/08/2008 01:26|-rahs----|0] - C:\MSDOS.SYS
[05/08/2004 14:00|-rahs----|47564] - C:\NTDETECT.COM
[31/08/2008 15:05|-rahs----|252240] - C:
tldr
[||] - C:\pagefile.sys
[30/08/2008 14:14|--a------|398] - C:\RHDSetup.log
[31/08/2008 16:50|--a------|161] - C:\setup.log
[05/08/2004 14:00|-rahs----|95034] - D:\autorun.inf

################## | Vaccination |

# C:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.  

################## | Etat / Services / Informations |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 ) 
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 

################## | PEH ... |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # FindyKill V6.002 ! |



Si quelqu'un a une solution... Merci d'avance !

Sébastien

gen-hackman · Answer

bonjour :

Télécharge OTL de OLDTimer

et enregistre le sur ton Bureau.

Double clic sur OTL.exe pour le lancer.

Coche les 2 cases Lop et Purity

Coche la case devant scan all users

Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

Clique sur Parcourir et cherche le fichier ci-dessus.

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Tu feras la meme chose avec le "Extra.txt" s'il t'est demandé

Scalp44 · Answer

Voilà les deux fichiers :

OTL.txt
http://www.cijoint.fr/cjlink.php?file=cj200907/cijJ86Bsmx.txt

Extras.txt
http://www.cijoint.fr/cjlink.php?file=cj200907/cijiCAIGSF.txt

Hélas, j'ai l'impression qu'il n'a pas scan le DD externe, malgré qu'il soit allumé lors du "RUN SCAN".

Si vous avez besoin d'autres informations n'hésitez pas.

Merci d'avance.

gen-hackman · Answer

relance findykill , desinstaller ,ensuite suis la procedure pour relancer findykill avec les dernieres mises  a jour incluses

*****************************************************
************** Option 1  (Recherche) **************
*****************************************************


Télécharge FindyKill (de Chiquitine29 , C_XX , et Chimay8) sur ton bureau : 



! Déconnecte toi et ferme toutes applications en cours ! 

* Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'instalation par défaut . 

* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

* Double-clique sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil .
 
* Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

* Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 

Laisse travailler l'outil et ne touche à rien ... 

--> Poste le rapport qui apparait à la fin , sur le forum ...

( le rapport est sauvegardé aussi sous C:\FindyKill.txt ) 
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Scalp44 · Answer

Salut gen-hackman,

Voilà mon rapport FindyKill en ayant suivi ta méthode :

http://www.cijoint.fr/cjlink.php?file=cj200907/cijG9KkcVz.txt

Toujours ces mêmes fichiers infectés...

Merci pour ton aide,
Sébastien

gen-hackman · Answer

hello

*****************************************************
************* Option 2  (Suppression) *************
*****************************************************


! Déconnecte toi et ferme toutes application en cours ( navigateur compris ) . 

* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

* Relance "FindyKill" : au menu principal choisis l'option " F " pour français et tape sur [entrée] .

* Au second menu choisis l'option 2 (suppression) et tape sur [entrée] 

* Le pc va redémarrer automatiquement ...

--> le programme va travailler , ne touche à rien ... , ton bureau ne sera pas accessible c est normal !

* Poste le rapport qui apparait à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt ) 

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide

Scalp44 · Answer

Voilà le rapport de suppression FindyKill :

http://www.cijoint.fr/cjlink.php?file=cj200907/cijXiQ32da.txt

Il arrive visiblement pas à les supprimer... :(


Merci de ton aide,
Sébastien

gen-hackman · Answer

/!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\ _________________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil: https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix Avant d'utiliser ComboFix : ______________________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. >> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Scalp44 · Answer

Salut, 

voilà le résultat du log de ComboFix :
http://www.cijoint.fr/cjlink.php?file=cj200907/cijO60sBhC.txt

Je n'arrive pas à voir si la méthode à réussi ?

Merci de ton aide,
Sebastien

gen-hackman · Answer

*****************************************************
************** Option 1  (Recherche) **************
*****************************************************


Télécharge FindyKill (de Chiquitine29 , C_XX , et Chimay8) sur ton bureau : 



! Déconnecte toi et ferme toutes applications en cours ! 

* Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'instalation par défaut . 

* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

* Double-clique sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil .
 
* Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

* Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 

Laisse travailler l'outil et ne touche à rien ... 

--> Poste le rapport qui apparait à la fin , sur le forum ...

( le rapport est sauvegardé aussi sous C:\FindyKill.txt ) 
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Scalp44 · Answer

Salut gen-hackman,

Voilà le rapport :

http://www.cijoint.fr/cjlink.php?file=cj200907/cijwvlaQcT.txt

Le autorun.inf est supprimé visiblement mais l'autre fichier persiste visiblement !

Merci.

Sébastien

gen-hackman · Answer

salut :

Il s'agit de Bagle et cette infection arrive lorsque tu télécharges des cracks ou keygens, je te conseille donc de les supprimer si tu en as encore et eviter dorénavant d'en telecharger pour eviter que cette infection ne se réïtère.


*****************************************************
************* Option 2  (Suppression) *************
*****************************************************


! Déconnecte toi et ferme toutes application en cours ( navigateur compris ) . 

* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

* Relance "FindyKill" : au menu principal choisis l'option " F " pour français et tape sur [entrée] .

* Au second menu choisis l'option 2 (suppression) et tape sur [entrée] 

* Le pc va redémarrer automatiquement ...

--> le programme va travailler , ne touche à rien ... , ton bureau ne sera pas accessible c est normal !

* Poste le rapport qui apparait à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt ) 

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide 

Aides en images ( Suppression )

Scalp44 · Answer

Salut gen-hackman,


Voici le rapport :
http://www.cijoint.fr/cjlink.php?file=cj200907/cijWdlkAJU.txt

Il résiste visiblement... :(

Merci,
Sébastien.

gen-hackman · Answer

rhoôôôô^j'ai oublié d ' enlever le texte au debut :(

refais OTL stp

Scalp44 · Answer

Voilà le rapport OTL :

http://www.cijoint.fr/cjlink.php?file=cj200907/cijCD3AluW.txt


Encore merci de ta patience.. :)


Sébastien

gen-hackman · Answer

Télécharge HostXpert sur ton Bureau :

---> Décompresse-le (Clic droit >> Extraire ici) 

---> Double-clique sur HostsXpert pour le lancer 

---> clique sur le bouton "Restore MS Hosts File" puis ferme le programme 

PS : Avant de cliquer sur le bouton "Restore MS Hosts File", vérifie que le cadenas en haut à gauche est ouvert sinon tu vas avoir un message d'erreur. 

s'il est fermé , clique dessus  :)

ensuite :

Double clic sur OTL.exe pour le lancer.


Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans la zone sous Customs Scans/Fixes

:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
TeaTimer.exe

:services

:OTL
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19_Classes\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20_Classes\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-602162358-823518204-682003330-1003\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-602162358-823518204-682003330-1003_Classes\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O18 - Protocol\Handler\ipp - No CLSID value found
O18 - Protocol\Handler\msdaipp - No CLSID value found
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UIHost - (C:\Documents) -  File not found
O20 - HKLM Winlogon: UIHost - (and) -  File not found
O20 - HKLM Winlogon: UIHost - (Settings\All) -  File not found
O20 - HKLM Winlogon: UIHost - (Users\Application) -  File not found
O20 - HKLM Winlogon: UIHost - (Data\TuneUp) -  File not found
O20 - HKLM Winlogon: UIHost - (Software\TuneUp) -  File not found
O20 - HKLM Winlogon: UIHost - (Utilities\WinStyler	u_logonui.exe) -  File not found


:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"QuickTime Task"=-
"RTHDCPL"=-
"TkBellExe"=-


:files
C:\Documents and Settings\All Users\Application Data\{55A29068-F2CE-456C-9148-C869879E2357}
C:\Documents and Settings\Sebastien\Application Data\com.adobe.ExMan
C:\Documents and Settings\Sebastien\Application Data\com.supinfo.spr.SPRonAIR.C523422EC30F635A877E2E9305C1687BC207C0A6.1
C:\Documents and Settings\Sebastien\Application Data\inject32

:commands
[emptytemp]
[start explorer]
[reboot]


Clique sur RunFix pour lancer la suppression.


Poste le rapport.

==========

Scalp44 · Answer

La dernière manip m'a tout fait crashé... :/

Mon disque dur n'a rien, mais lorsque je redémarre (et je tappe mon mdp), rien ne démarre j'ai juste la souris (sans clic droit) et le fond d'écran...

Pour venir poster ici j'ai du faire ctrl alt sup, nouvelle tâche, firefox.exe et je peux venir sur internet...

J'ai essayé de faire nouvelle tâche : explorer.exe, mais ça ne me lance que l'explorateur windows... :/


J'avais prévu de formaté dans peu de temps mais là c'est un peu radical ^^

Sébastien.

gen-hackman · Answer

bonjour 

telecharge ceci,dezippe-le,double-clic sur la clé obtenue , accepte l'entrée dans le registre,

http://sd-1.archive-host.com/membres/up/829108531491024/shell.zip

ensuite supprime l'archive et la clé

puis redemarre ton pc

Scalp44 · Answer

Salut,

J'ai fais tout ce que tu m'a dit, mon antivirus ne détecte plus rien, par contre le rapport OTL qui s'est affiché, je l'ai fermé en pensant le retrouvé dans Mes documents ou C: mais je ne le trouve pas...

Sébastien

gen-hackman · Answer

salut donc deja ce probleme est réglé ?

Mon disque dur n'a rien, mais lorsque je redémarre (et je tappe mon mdp), rien ne démarre j'ai juste la souris (sans clic droit) et le fond d'écran...

Scalp44 · Answer

Oui oui, j'ai appliqué ta modif sur les clés du registre et ça a redémarré correctement.

gen-hackman · Answer

ok le txt de OTL se trouve dans C:\_OTL et c est le dernier en date

Scalp44 · Answer

Effectivement !

Voici le fichier :

http://www.cijoint.fr/cjlink.php?file=cj200907/cijcPE4E7z.txt


J'ai par contre du le renommer en ".txt" car cijoint n'accepte pas les ".log".

gen-hackman · Answer

Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.



Télécharges :

Malwarebytes  

ou  :

Malwarebytes

* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

* Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebyte's .

Fais un examen dit "Complet" .

Selectionne tous tes disques

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

Scalp44 · Answer

Salut,

Voici le rapport de Malwarebytes :

http://www.cijoint.fr/cjlink.php?file=cj200907/cijnFGG12l.txt

Le soucis c'est qu'après la recherche, j'ai pas eu la possibilité de cocher quoi que ce soit et "suppression", une fois la recherche terminée, le rapport m'a directement été rendu.



J'ai aussi fait une recherche FindyKill juste après pour voir, je te post le rapport :

http://www.cijoint.fr/cjlink.php?file=cj200907/cijSBGzaE0.txt

Donc visiblement ils est toujours là... :(

Merci,
Sébastien

gen-hackman · Answer

desinstalle Findykill , retelecharge-le puis reinstalle puis relances une recherche avec le logiciel mis à jour

Scalp44 · Answer

Salut gen-hackman !

Désolé pour le retard mais j'étais en vacances. :)

Bref, avant mes congés j'ai pu avoir l'occasion de sauvegardé ce que j'avais sur le DD puis de le formaté, et j'ai repassé les scans et je n'ai plus d'infection.

Merci pour ton aide en tout cas !

gen-hackman · Answer

ok bon surf !!  ^^ ;)

W32.Downadup autorun.inf

27 réponses

Discussions similaires

Newsletters