Infection m1eqos3.exe et autorun.inf

Résolu
phi -  
 phi -
Bonjour,

J'ai été également infecté (via une clé USB) par m1eqos3.exe qui semble lié au fichier autorun.inf. Je n'arrive pas à m'en débarrasser complètement avec Malwarebytes (au niveau des clés, en particulier).
Suite aux discussions vue aujourd'hui sur le forum. J'ai fait le test UsbFix. Voici mon rapport ci-dessous.
Est-ce qu'un expert aurait l'obligeance de m'indiquer si je peux passer à l'étape 2 sans problème ?

Merci infiniment,
phi

############################## | UsbFix V6.018 |

User : Philippe (Administrateurs) # MALDOROR
Update on 16/08/09 by Chiquitine29 & C_XX
Start at: 18:46:46 | 16/08/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Intel(R) Core(TM)2 Duo CPU T7250 @ 2.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 148,83 Go (104,5 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible # 477,1 Mo (215,02 Mo free) [Qimonda] # FAT
F:\ -> Disque amovible # 244,66 Mo (10,02 Mo free) # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\DellTPad\Apoint.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Broadcom\ASFIPMon\AsfIpMon.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\stsystra.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\DellTPad\ApMsgFwd.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Wave Systems Corp\Services Manager\Docmgr\bin\WavXDocMgr.exe
C:\Program Files\Wave Systems Corp\SecureUpgrade.exe
C:\WINDOWS\system32\KADxMain.exe
C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\DellTPad\Apntex.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\DellTPad\HidFind.exe
C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\WINDOWS\system32\StacSV.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\NTRU Cryptosystems\NTRU TCG Software Stack\bin\tcsd_win32.exe
C:\Program Files\Wave Systems Corp\Trusted Drive Manager\TdmService.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\msdtc.exe
C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Java\jre1.6.0_07\bin\jucheck.exe
C:\WINDOWS\system32\wuauclt.exe

################## | Fichiers # Dossiers infectieux |

E:\autorun.inf # -> fichier appelé : "E:\m1eqos3.exe" ( Absent ! )
Présent ! E:\autorun.inf

################## | Suspect ! ... | https://www.virustotal.com/gui/ |

################## | Registre # Clés Run infectieuses |

Présent ! HKLM\software\microsoft\security center "AntiVirusOverride" ( 0x1 )

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{18c44752-9c12-11dd-93ad-001d09d40b6c}
Shell\AutoRun\command =m1eqos3.exe
Shell\open\Command =m1eqos3.exe

HKCU\..\..\Explorer\MountPoints2\{5e1b892a-7835-11de-95dc-001d09d40b6c}
Shell\AutoRun\command =
Shell\open\Command =

HKCU\..\..\Explorer\MountPoints2\{68a9d816-32f5-11de-9539-001d09d40b6c}
Shell\AutoRun\command =E:\LaunchU3.exe -a

################## | Cracks / Keygens / Serials |
Configuration: Windows XP Internet Explorer 7.0

2 réponses

  1. Narco!4 Messages postés 2446 Statut Contributeur 467
     
    Bonjour,

    télécharge GenProc http://www.genproc.com/GenProc.exe

    double-clique sur GenProc.exe et poste le contenu du rapport qui s'ouvre
    0
  2. phi
     
    Merci, mais j'ai continué d'utiliser UsbFix qui a apparemment bien fait le boulot. Je ne vois plus de trace nulle part des fichiers suspects.

    Voici le rapport UsbFix après suppression :

    phi

    ############################## | UsbFix V6.018 |

    User : Philippe (Administrateurs) # MALDOROR
    Update on 16/08/09 by Chiquitine29 & C_XX
    Start at: 19:46:40 | 16/08/2009
    Website : http://pagesperso-orange.fr/NosTools/index.html

    Intel(R) Core(TM)2 Duo CPU T7250 @ 2.00GHz
    Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
    Internet Explorer 7.0.5730.13
    Windows Firewall Status : Enabled

    C:\ -> Disque fixe local # 148,83 Go (104,46 Go free) # NTFS
    D:\ -> Disque CD-ROM
    E:\ -> Disque amovible # 477,1 Mo (215,02 Mo free) [Qimonda] # FAT
    F:\ -> Disque amovible # 244,66 Mo (10,02 Mo free) # FAT

    ############################## | Processus actifs |

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\logonui.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\SCardSvr.exe
    C:\WINDOWS\system32\KB905474\wgasetup.exe
    C:\WINDOWS\system32\WgaTray.exe
    C:\WINDOWS\system32\KB905474\wgasetup.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Broadcom\ASFIPMon\AsfIpMon.exe
    C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
    C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
    C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
    C:\WINDOWS\system32\StacSV.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\NTRU Cryptosystems\NTRU TCG Software Stack\bin\tcsd_win32.exe
    C:\Program Files\Wave Systems Corp\Trusted Drive Manager\TdmService.exe
    C:\WINDOWS\system32\dllhost.exe
    C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    C:\WINDOWS\system32\dllhost.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\msdtc.exe

    ################## | Fichiers # Dossiers infectieux |

    E:\autorun.inf # -> fichier appelé : "E:\m1eqos3.exe" ( Absent ! )
    Supprimé ! E:\autorun.inf

    ################## | Autres |

    ################## | Suspect ! ... | https://www.virustotal.com/gui/ |

    ################## | Registre # Clés Run infectieuses |

    # HKLM\software\microsoft\security center "AntiVirusOverride" # -> Reset sucessfully !

    ################## | Registre # Mountpoints2 |

    Supprimé ! HKCU\...\Explorer\MountPoints2\{5e1b892a-7835-11de-95dc-001d09d40b6c}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{68a9d816-32f5-11de-9539-001d09d40b6c}\Shell\AutoRun\Command

    ################## | Listing des fichiers présent |

    [19/08/2004 14:18|--a------|0] -> C:\AUTOEXEC.BAT
    [19/08/2008 12:30|-rahs----|212] -> C:\boot.ini
    [05/08/2004 13:00|-rahs----|4952] -> C:\Bootfont.bin
    [19/08/2004 14:18|--a------|0] -> C:\CONFIG.SYS
    [20/06/2008 16:50|-rah-----|7269] -> C:\dell.sdr
    [?|?|?] -> C:\hiberfil.sys
    [22/08/2008 11:51|--a------|4128] -> C:\INFCACHE.1
    [19/08/2004 14:18|--ah-----|0] -> C:\IO.SYS
    [19/08/2004 14:18|--ah-----|0] -> C:\MSDOS.SYS
    [05/08/2004 13:00|-rahs----|47564] -> C:\NTDETECT.COM
    [22/08/2008 16:40|-rahs----|252240] -> C:\ntldr
    [?|?|?] -> C:\pagefile.sys
    [16/10/2008 09:58|--a------|18520] -> C:\PkgClnup.log
    [16/08/2009 19:51|--a------|3614] -> C:\UsbFix.txt
    [16/08/2009 11:21|--a------|4149] -> C:\UsbFix_2009_08_16a.txt
    [16/08/2009 14:02|--a------|4099] -> C:\UsbFix_2009_08_16b.txt
    [16/10/2008 10:01|--ah-----|23967] -> C:\_NavCClt.Log
    [19/07/2007 07:41|--a------|1597] -> E:\INSTALL.TXT
    [27/07/2007 10:47|--a------|400] -> E:\ESS2007.pdx
    [27/07/2007 08:53|--a------|2966170] -> E:\Help.pdf
    [24/07/2007 16:33|--a------|2234] -> E:\README.TXT
    [27/07/2007 08:52|--a------|934184] -> E:\Start.pdf
    [11/08/2009 22:10|--a------|198203] -> E:\billet_phil.pdf
    [11/08/2009 22:20|--a------|198312] -> E:\billet_Anna.pdf
    [14/08/2009 21:36|--a------|276992] -> E:\Chapitre 1.doc
    [27/04/2009 12:28|--ah-----|4096] -> F:\._.Trashes
    [27/04/2009 12:29|--ah-----|6148] -> F:\.DS_Store
    [22/04/2009 10:36|--a------|51098624] -> F:\antivirus_norton_windows_v11_0.exe
    [17/05/2009 22:15|--a------|1241600] -> F:\Nha_IWCE_09-02.ppt
    [02/07/2009 18:27|--a------|370176] -> F:\Article_JCE.doc
    [08/07/2009 11:09|--a------|120832] -> F:\PES_J‚r“me_2009.doc
    [10/07/2009 18:48|--a------|1475584] -> F:\Article_JCE3.doc
    [16/07/2009 15:08|--a------|226304] -> F:\Paper_Fulvio_Edison_phi3.doc
    [16/07/2009 15:58|--a------|2680] -> F:\data_fig5.qda
    [16/07/2009 16:01|--a------|4072] -> F:\data_SPP.qda
    [16/07/2009 16:02|--a------|4468] -> F:\data_POP.qda
    [16/07/2009 16:03|--a------|4744] -> F:\data_AP.qda
    [16/07/2009 16:03|--a------|4144] -> F:\data_SPP21.qda
    [16/07/2009 16:04|--a------|3976] -> F:\data_SPP12.qda
    [16/07/2009 16:05|--a------|4048] -> F:\data_SPP22.qda
    [23/07/2009 18:48|--a------|3349504] -> F:\posterVersionFinal.ppt
    [23/07/2009 18:09|--a------|766976] -> F:\PaperNanochina_V3.doc
    [16/08/2009 18:39|--a------|316928] -> F:\Chapitre 1.doc

    ################## | Cracks / Keygens / Serials |
    0