Sujet Précédent Sujet Suivant

Infection m1eqos3.exe et autorun.inf

Résolu/Fermé
phi - 16 août 2009 à 18:59
 phi - 16 août 2009 à 20:46
Bonjour,

J'ai été également infecté (via une clé USB) par m1eqos3.exe qui semble lié au fichier autorun.inf. Je n'arrive pas à m'en débarrasser complètement avec Malwarebytes (au niveau des clés, en particulier).
Suite aux discussions vue aujourd'hui sur le forum. J'ai fait le test UsbFix. Voici mon rapport ci-dessous.
Est-ce qu'un expert aurait l'obligeance de m'indiquer si je peux passer à l'étape 2 sans problème ?

Merci infiniment,
phi

############################## | UsbFix V6.018 |

User : Philippe (Administrateurs) # MALDOROR
Update on 16/08/09 by Chiquitine29 & C_XX
Start at: 18:46:46 | 16/08/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Intel(R) Core(TM)2 Duo CPU T7250 @ 2.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 148,83 Go (104,5 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible # 477,1 Mo (215,02 Mo free) [Qimonda] # FAT
F:\ -> Disque amovible # 244,66 Mo (10,02 Mo free) # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\DellTPad\Apoint.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Broadcom\ASFIPMon\AsfIpMon.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\stsystra.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\DellTPad\ApMsgFwd.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Wave Systems Corp\Services Manager\Docmgr\bin\WavXDocMgr.exe
C:\Program Files\Wave Systems Corp\SecureUpgrade.exe
C:\WINDOWS\system32\KADxMain.exe
C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\DellTPad\Apntex.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\DellTPad\HidFind.exe
C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\WINDOWS\system32\StacSV.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\NTRU Cryptosystems\NTRU TCG Software Stack\bin\tcsd_win32.exe
C:\Program Files\Wave Systems Corp\Trusted Drive Manager\TdmService.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\msdtc.exe
C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Java\jre1.6.0_07\bin\jucheck.exe
C:\WINDOWS\system32\wuauclt.exe

################## | Fichiers # Dossiers infectieux |

E:\autorun.inf # -> fichier appelé : "E:\m1eqos3.exe" ( Absent ! )
Présent ! E:\autorun.inf

################## | Suspect ! ... | https://www.virustotal.com/gui/ |


################## | Registre # Clés Run infectieuses |

Présent ! HKLM\software\microsoft\security center "AntiVirusOverride" ( 0x1 )

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{18c44752-9c12-11dd-93ad-001d09d40b6c}
Shell\AutoRun\command =m1eqos3.exe
Shell\open\Command =m1eqos3.exe

HKCU\..\..\Explorer\MountPoints2\{5e1b892a-7835-11de-95dc-001d09d40b6c}
Shell\AutoRun\command =
Shell\open\Command =

HKCU\..\..\Explorer\MountPoints2\{68a9d816-32f5-11de-9539-001d09d40b6c}
Shell\AutoRun\command =E:\LaunchU3.exe -a

################## | Cracks / Keygens / Serials |
A voir également:

2 réponses

Réponse 1 / 2
Narco!4 Messages postés 2385 Date d'inscription dimanche 25 janvier 2009 Statut Contributeur Dernière intervention 25 octobre 2012 467
16 août 2009 à 19:10
Bonjour,

télécharge GenProc http://www.genproc.com/GenProc.exe

double-clique sur GenProc.exe et poste le contenu du rapport qui s'ouvre
0
Réponse 2 / 2
phi
16 août 2009 à 20:46
Merci, mais j'ai continué d'utiliser UsbFix qui a apparemment bien fait le boulot. Je ne vois plus de trace nulle part des fichiers suspects.

Voici le rapport UsbFix après suppression :

phi


############################## | UsbFix V6.018 |

User : Philippe (Administrateurs) # MALDOROR
Update on 16/08/09 by Chiquitine29 & C_XX
Start at: 19:46:40 | 16/08/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Intel(R) Core(TM)2 Duo CPU T7250 @ 2.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 148,83 Go (104,46 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible # 477,1 Mo (215,02 Mo free) [Qimonda] # FAT
F:\ -> Disque amovible # 244,66 Mo (10,02 Mo free) # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\KB905474\wgasetup.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\KB905474\wgasetup.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Broadcom\ASFIPMon\AsfIpMon.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\StacSV.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\NTRU Cryptosystems\NTRU TCG Software Stack\bin\tcsd_win32.exe
C:\Program Files\Wave Systems Corp\Trusted Drive Manager\TdmService.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\msdtc.exe

################## | Fichiers # Dossiers infectieux |

E:\autorun.inf # -> fichier appelé : "E:\m1eqos3.exe" ( Absent ! )
Supprimé ! E:\autorun.inf

################## | Autres |


################## | Suspect ! ... | https://www.virustotal.com/gui/ |


################## | Registre # Clés Run infectieuses |

# HKLM\software\microsoft\security center "AntiVirusOverride" # -> Reset sucessfully !

################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{5e1b892a-7835-11de-95dc-001d09d40b6c}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{68a9d816-32f5-11de-9539-001d09d40b6c}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[19/08/2004 14:18|--a------|0] -> C:\AUTOEXEC.BAT
[19/08/2008 12:30|-rahs----|212] -> C:\boot.ini
[05/08/2004 13:00|-rahs----|4952] -> C:\Bootfont.bin
[19/08/2004 14:18|--a------|0] -> C:\CONFIG.SYS
[20/06/2008 16:50|-rah-----|7269] -> C:\dell.sdr
[?|?|?] -> C:\hiberfil.sys
[22/08/2008 11:51|--a------|4128] -> C:\INFCACHE.1
[19/08/2004 14:18|--ah-----|0] -> C:\IO.SYS
[19/08/2004 14:18|--ah-----|0] -> C:\MSDOS.SYS
[05/08/2004 13:00|-rahs----|47564] -> C:\NTDETECT.COM
[22/08/2008 16:40|-rahs----|252240] -> C:\ntldr
[?|?|?] -> C:\pagefile.sys
[16/10/2008 09:58|--a------|18520] -> C:\PkgClnup.log
[16/08/2009 19:51|--a------|3614] -> C:\UsbFix.txt
[16/08/2009 11:21|--a------|4149] -> C:\UsbFix_2009_08_16a.txt
[16/08/2009 14:02|--a------|4099] -> C:\UsbFix_2009_08_16b.txt
[16/10/2008 10:01|--ah-----|23967] -> C:\_NavCClt.Log
[19/07/2007 07:41|--a------|1597] -> E:\INSTALL.TXT
[27/07/2007 10:47|--a------|400] -> E:\ESS2007.pdx
[27/07/2007 08:53|--a------|2966170] -> E:\Help.pdf
[24/07/2007 16:33|--a------|2234] -> E:\README.TXT
[27/07/2007 08:52|--a------|934184] -> E:\Start.pdf
[11/08/2009 22:10|--a------|198203] -> E:\billet_phil.pdf
[11/08/2009 22:20|--a------|198312] -> E:\billet_Anna.pdf
[14/08/2009 21:36|--a------|276992] -> E:\Chapitre 1.doc
[27/04/2009 12:28|--ah-----|4096] -> F:\._.Trashes
[27/04/2009 12:29|--ah-----|6148] -> F:\.DS_Store
[22/04/2009 10:36|--a------|51098624] -> F:\antivirus_norton_windows_v11_0.exe
[17/05/2009 22:15|--a------|1241600] -> F:\Nha_IWCE_09-02.ppt
[02/07/2009 18:27|--a------|370176] -> F:\Article_JCE.doc
[08/07/2009 11:09|--a------|120832] -> F:\PES_J‚r“me_2009.doc
[10/07/2009 18:48|--a------|1475584] -> F:\Article_JCE3.doc
[16/07/2009 15:08|--a------|226304] -> F:\Paper_Fulvio_Edison_phi3.doc
[16/07/2009 15:58|--a------|2680] -> F:\data_fig5.qda
[16/07/2009 16:01|--a------|4072] -> F:\data_SPP.qda
[16/07/2009 16:02|--a------|4468] -> F:\data_POP.qda
[16/07/2009 16:03|--a------|4744] -> F:\data_AP.qda
[16/07/2009 16:03|--a------|4144] -> F:\data_SPP21.qda
[16/07/2009 16:04|--a------|3976] -> F:\data_SPP12.qda
[16/07/2009 16:05|--a------|4048] -> F:\data_SPP22.qda
[23/07/2009 18:48|--a------|3349504] -> F:\posterVersionFinal.ppt
[23/07/2009 18:09|--a------|766976] -> F:\PaperNanochina_V3.doc
[16/08/2009 18:39|--a------|316928] -> F:\Chapitre 1.doc

################## | Cracks / Keygens / Serials |
0

Discussions similaires

comment convertir un logiciel .exe en .dmg
omnisportdieng -
Utilisateur anonyme -

3 réponses
Supprimer Autorun.inf a la racine...
MattathYah -
mohamednjah -

35 réponses
fichier exe du scrabble
mfils -
mfils -

5 réponses
Comment mettre un autorun sur une clé USB Windows 10
Mr.leCpe -
Mr.leCpe -

2 réponses