Virus Autorun.inf sur clé USB [Résolu/Fermé]

Signaler
-
 Utilisateur anonyme -
Bonjour,

Je vous remercie par avance de m'aider car je commence à être déséspéré par ce qui m'arrive...

J'ai reçus un nouveau PC portable DELL Studio 1747 il y a une semaine.
Ce portable semble fontionner à merveille mais il est toucher par un virus étrange (que je ne detecte qu'a la vue, aucun logiciel antivirus comme Antivir, Malwarebytes, F-Secure online scanner ne semble le détécter):
Quand j'insere une clé USB (n'importe laquelle), le PC créé dessus en moins de 5 sc un fichier aUtORUN.inf et un dossier G:\vlsdgsdsafkjbsdgkjbsdgkjbsdkgjgweagi\sadhhregdfskxjansfkjnllaskjnags\ contenant un fichier autorun.exe (de 17.3 Mo) et desktop.ini. Ensuite, au bout de 10-20 de secondes, les fichiers autorun.exe et desktop.ini disparraissent de se répertoire (qui contient pourtant toujours 17.3 Mo d'après les propriétés) et le repértoire prend l'icone de la corbeille (et si je copie ce répertoire sur un PC avec XP, il fait un lien direct vers la corbeille).
Si je supprime aUtORUN.inf et le dossier G:\vlsdgsdsafkjbsdgkjbsdgkjbsdkgjgweagi de ma clé, ils réapparaissent au bout de 10-20 secondes et le process ci dessus recommence.

J'ai essayer d'utiliser USBFix mais quand j'essaye de le télécharger j'ai une erreur trés étrange: j'obtiens bien le fichier USBFix.exe mais celui ci n'a pas la bonne taille (il fait 1.14Mo au lieu de 1.44Mo) et il ne contient pas le fichier Go.exe (et donc je ne peux utiliser USBFix ensuite car le process plante avec 'fichier c:\USBFix\Go.exe introuvable').

Je me demande si cela n'est pas causer par une grosse bétise que j'ai fait sur Antivir et que je n'arrive plus a annuler: par erreur, lors de la notification d'un virus, j'ai choisi l'option 'supprimer' et j'ai cocher la case 'toujours effectuer l'opération séléctionnée pour ce type de fichier')... Depuis, je n'ai plus jamais de notifications, mais j'ai aussi des gros problèmes...

Je ne suis pas trés connaisseur (surtout sous Windows 7) et j'espère donc que quelqu'un pourra m'aider:
- Comment puis-je annuler la suppression automatique des virus sous Antivir ? Faut il le désintaller ?
- Comment puis-je détécté et supprimer le virus de mon PC qui infecte toutes les clé USB qu'on y connecte ?

Merci beaucoup (énormément même) par avance.
Gérard.

50 réponses

Pour l'intant je suis dans l'impossibilité d'utiliser USBFix... Quand je le télécharge il créé bien son arboréscence c:\USBFix mais ce dossier ne contient pas Go.exe (normal vu que ce fuchier n'est déja pas dans l'archive executable USBFix.exe si je l'ouvre sous WinRAR). Et si je lance USBFix.cmd (en mode administrateur biensur), je crois que ça marche à moitié, en tout cas, ça me plante Windows après le redémarrage...
4
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 60511 internautes nous ont dit merci ce mois-ci

Je ne suis pas trés chaud pour laisser quiconque controler mon PC à distance...

Si quelqun est d'accord pour m'aider via le forum, ce serait super gentil... Merci par avance ;-)

salut

▶ Telecharge UsbFix

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir


▶ Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" .

▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

▶ Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

▶ Laisse travailler l outil.

▶ Ensuite post le rapport UsbFix.txt qui apparaitra.

Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

Non c est Ok , t es guéri ^^

Pour les desktop.ini sur le bureau c est normal , ils sont légitimes .

Daileurs je te conseil de décocher l option afficher les fichiers dossiers caché .

+
Messages postés
155
Date d'inscription
vendredi 6 novembre 2009
Statut
Membre
Dernière intervention
12 octobre 2010
10
ton est assez courant mais di moi es ce ke cela fais la mm chose sur un autre pc
Messages postés
155
Date d'inscription
vendredi 6 novembre 2009
Statut
Membre
Dernière intervention
12 octobre 2010
10
ss informaticien et je vé t'aider à distance via par un programme par msn
voilà mon msn benjamin-du-13-le-fou@hotmail.fr
Cher Gen-Hackman,

Merci beaucoup...

Mais justement, comme indiqué dans mon message:
"
J'ai essayer d'utiliser USBFix mais quand j'essaye de le télécharger j'ai une erreur trés étrange: j'obtiens bien le fichier USBFix.exe mais celui ci n'a pas la bonne taille (il fait 1.14Mo au lieu de 1.44Mo) et il ne contient pas le fichier Go.exe (et donc je ne peux utiliser USBFix ensuite car le process plante avec 'fichier c:\USBFix\Go.exe introuvable').
"

Je pense que cela est du à Antivir qui efface automatiquement le fichier Go.exe (suite à une fausse manip de ma part qui le fait effacer automatiquement les virus... j'aimerais arreter cette automatisation mais je ne sais comment faire :()

pour desactiver antivir :

clic droit sur l icone dans la barre des taches et clique sur desactiver le Guard ca fermera le parapluie
Dans ce cas, ce n'est pas Antivir qui efface le fichier Go.exe de USBFix... Puisque j'ai déja essayé avec Parapluie fermé... Zut alors... C'est trop bizarre cette histoire.

Hello El Gerado ,

EDIT essai cette maj usbfix stp :

https://www.ionos.fr/?affiliate_id=77097

@+

Fais ce que te demande le createur de USBFix au post 9 stp
Pour l'instant je ne suis pas chez moi, mais j'ai fait essayer le lien à ma nana et effectivement cela semble marcher...

Donc j'ai une première question (je vous en supplie, je dois comprendre): pourquoi le fichier Go.exe ne s'efface pas avec cette version ? Cela veut il dire que l'effacement automatique que j'avais pécédemement n'était pas lié à Antivir ?

Sinon, j'ai fait faire une recherche à ma nana (elle est forte si briefé par téléphone) mais elle n'a pas pu le faire avec la clé dans el lecteur puisque cette clé est sur moi...
Voici le résultat:
############################## | UsbFix V6.090 |

User : Billie et Greg (Administrateurs) # BOB2
Update on 05/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 12:06:24 | 05/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM) i7 CPU Q 720 @ 1.60GHz
Microsoft Windows 7 Édition Familiale Premium (6.1.7600 64-bit) #
Internet Explorer 8.0.7600.16385
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 451,07 Go (120,53 Go free) [OS] # NTFS
D:\ -> Disque fixe local # 465,76 Go (311,12 Go free) [DATAPART1] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files (x86)\Application Updater\ApplicationUpdater.exe
C:\Program Files (x86)\Bonjour\mDNSResponder.exe
C:\Windows\system32\DRIVERS\o2flash.exe
C:\Program Files (x86)\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files (x86)\Dell DataSafe Local Backup\sftservice.EXE
C:\Program Files (x86)\TomTom HOME 2\TomTomHOMEService.exe
C:\Program Files (x86)\Dell DataSafe Local Backup\Toaster.exe
C:\Program Files (x86)\uTorrent\uTorrent.exe
C:\Program Files (x86)\Windows Sidebar\sidebar.exe
C:\Program Files (x86)\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe
C:\Users\Billie et Greg\AppData\Roaming\lssas.exe
C:\Program Files (x86)\CyberLink\PowerDVD DX\PDVDDXSrv.exe
C:\Program Files (x86)\Dell Webcam\Dell Webcam Central\WebcamDell2.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\iTunes\iTunesHelper.exe
C:\Program Files (x86)\PowerISO\PWRISOVM.EXE
C:\Program Files (x86)\Java\jre6\bin\jusched.exe
C:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files (x86)\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Program Files (x86)\Dell Support Center\bin\sprtsvc.exe
C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbarUser_32.exe
C:\Windows\SysWow64\Macromed\Flash\FlashUtil10d.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Electronic Arts\EADM\EACoreServer.exe
C:\Program Files (x86)\Electronic Arts\EADM\EADownloadManager\EADownloadManager.exe

################## | Elements infectieux |


################## | Registre |


################## | Mountpoints2 |


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné !

################## | ! Fin du rapport # UsbFix V6.090 ! |
Et pour info, j'ai fait parvenir un fichier Zip sur le site de Chiquitine hier soir suite à une éxectution partielle de USBFix par le fichiet USBFix.cmd (je sais je suis un vilain pas beau mais j'avais pas encore trouvé ce forum et j'essayé de m'en sortir comme je pouvais)...

Merci pour tout

et bien tu feras l option 2 avec ta clé branchée de maniere a la vacciner
Merci Gen-Hackman,

Je veux bien vacciner mes clés...
Mais ça ne solutionnera pas le problème comme je l'aurais souhaité je l'admet puisque mon PC continuera de créer des fichier aUtORUN.inf (+ le super repértoire G:\vlsdgsdsafkjbsdgkjbsdgkjbsdkgjgweagi) sur la clé de mes potes...
Le problème n'est pas que sur la clé, il est sur le PC également je pense...
Que puis-je faire contre ça ???
Je le sais car j'avais fait une petite vaccination hier soir (grace à USBFix.cmd) et pourtant si je prenais une clé vierge (qui n'avait jamais servi sur un PC infecté et que je savais juste formaté), il continuait de me mettre le virus sur cette nouvelle clé...

G:\vlsdgsdsafkjbsdgkjbsdgkjbsdkgjgweagi

envoie ce repertoire zippé sur le site de Chiquitine comme tu l as fait hier soir
Merci encore pour tes réponses Gen...

Je viens d'uploader le fichier 'vlsdgsdsafkjbsdgkjbsdgkjbsdkgjgweagi.zip' (contenant le dossier en question et l'autorun.inf) sur le site https://www.ionos.fr/?affiliate_id=77097 dans 'dossier 1'...

PS: l'avantage en zippant, c'est qu'on retrouve les fichier autorun.exe (de 17.3 Mo) et desktop.ini dans le repertoire G:\vlsdgsdsafkjbsdgkjbsdgkjbsdkgjgweagi\sadhhregdfskxjansfkj­nllaskjnags\ ... Car sinon, Windows affiche le sous dossier sadhhregdfskxjansfkj­nllaskjnags\ comme étant la corbeil (avec même un liens direct vers cette dernière sous XP).

En tout cas, merci beaucoup pour vos réponse à toi et El desaparecido... Je ne dormait plus bien les 2 dernières nuits et grace à vous je reprend espoir. :)

oui il faut...pour ma part , les autoruns et infections par supports amovibles je m'en occupe pas donc...:)

Re El Gerardo ,

J ai bien reçu ton upload , je regarde ça ;)

Merci énomément El desaparecido...

Tiens moi au courrant dès que possible... J'epère trouver une solution au problème, pour comprendre au moins...
Mais je dois reconnaitre que je pense de plus en plus à réinstaller mon système dès ce soir (car depuis que je sais que le virus qui me recréé des fichier sur toute clé USB insérée dans mon PC n'est vu pas aucun antivirus, je n'ai plus du tout confiance dans mon PC... Je me dis qu'il y a peut etre une 'backdoor' actuellement et peut etre que des gens peuvent récuperer mes infos perso, de navigation, etc).

Me conseillez vous d'appliquer le process suivant (qui va être long, c'est déprimant d'avance mais bon...):
(1) Copier toutes mes données (docs, vidéos, musique) sur mon 2eme dique dur physique (d:)
(2) Utiliser partition magic pour partitionner mon disque c: (une part. de 100 Go pour le système et une part. de 400 Go pour mes données).
(3) Formater le disque c: (part. de 100Go) et réinstaller Windows 7 depuis le CD fourni par DELL.
(4) réinstaller tous mes logiciels (et là, comme je n'ai pas que des autorisation complètement autorisées, je risque de recommencer à installer le même virus... Sachant qu'aucun Antivirus ne repère de problème dans mes fichiers d'installations... :().

j'aimerais mieux éviter de tout refaire mais c'est peut etre mieux quand même ? Qu'en pensez vous ?