Infection Win32.AutoRun.tmp

Fermé
Cédric69 - 29 avril 2010 à 09:06
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 - 20 mai 2010 à 21:59
Bonjour,

J'ai récupéré ce cheval de Troie il y a quelques jours et Spybot a beau le supprimer, ce fichier revient à chaque nouvelle vérification sans même que je reconnecte ma clé qui est elle aussi infectée (le virus vient de la clé je pense...).

J'ai fait une vérification du PC et de la clé avec USBFix, dont voici le rapport :



############################## | UsbFix V6.110 |

User : Cédric (Administrateurs) # CEDRIC
Update on 28/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 21:58:54 | 28/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU T7100 @ 1.80GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : avast! Antivirus 5.0.83886587 [ Enabled | Updated ]

C:\ -> Disque fixe local # 48,83 Go (35,28 Go free) [Windows] # NTFS
D:\ -> Disque fixe local # 62,85 Go (60,78 Go free) [Documents Personnels] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 3,71 Go (2 Go free) [CLÉ CÉDRIC] # FAT32
G:\ -> Disque CD-ROM

################## | Elements infectieux |

C:\Documents and Settings\C'dric\csrss.exe
F:\autorun.inf -> fichier appelé : "F:\SANJAM\\\\\\\\\\\\STOBOM.exe" ( Présent ! )
F:\autorun.inf -> fichier appelé : "F:\SANJAM\\\\\\\\\\\\STOBOM.exe" ( Présent ! )
F:\autorun.inf

################## | Registre |

[HKLM\software\microsoft\windows nt\currentversion\winlogon] "Taskman"

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{0a49f6e0-512a-11df-883a-001c2399ec6f}
Shell\AutoRun\command =F:\SANJAM\\\\\\\\\\\STOBOM.exe
Shell\explore\command =F:\SANJAM\\\\\\\\\\\\STOBOM.exe
Shell\open\command =F:\SANJAM\\\\\\\\\\\\STOBOM.exe

HKCU\..\..\Explorer\MountPoints2\{328f5996-511c-11df-8836-00073a416045}
Shell\AutoRun\command =F:\SANJAM\\\\\\\\\\\STOBOM.exe
Shell\explore\command =F:\SANJAM\\\\\\\\\\\\STOBOM.exe
Shell\open\command =F:\SANJAM\\\\\\\\\\\\STOBOM.exe

################## | Vaccin |


################## | ! Fin du rapport # UsbFix V6.110 ! |



Pouvez-vous m'aider à décripter ce message et ce que je dois faire en conséquence ?

Merci d'avance pour votre aide !

27 réponses

Re bonjour,

lors d'un mail que j'ai envoyé, la personne ayant reçu le mail m'a dit que j'avais un virus...

Je fais une scan USBFix :


############################## | UsbFix V6.114 |

User : Cédric (Administrateurs) # CEDRIC
Update on 17/05/2010 by El Desaparecido , C_XX & Chimay8
Start at: 16:56:12 | 19/05/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU T7100 @ 1.80GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : avast! Antivirus 5.0.83886625 [ Enabled | Updated ]

C:\ -> Disque fixe local # 48,83 Go (32,75 Go free) [Windows] # NTFS
D:\ -> Disque fixe local # 62,85 Go (58,43 Go free) [Documents Personnels] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque fixe local # 186,31 Go (40,19 Go free) [DDE Cédric] # NTFS
G:\ -> Disque CD-ROM
H:\ -> Disque amovible # 3,72 Go (3,72 Go free) [USB KEY] # FAT32

################## | Elements infectieux |

F:\SANJAM\desktop.ini
F:\SANJAM

################## | Registre |


################## | Mountpoints2 |


################## | Vaccin |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# F:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# H:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

################## | ! Fin du rapport # UsbFix V6.114 ! |



Il reste qqchose dans le DDE nan ???

Mais pourtant il n'y a rien sur le PC. De plus, j'ai lancé une analyse MBAM qui ne trouve rien mais lors de l'analyse, Avast a repéré un Win32 en lien ac MBAM... Je n'ai malheureusement plus le nom je l'ai tout de suite supprimé...

Dis moi juste comment nettoyer une bonne fois pour toute mes périphérique, et je vais reformater j'en ai marre !!...

Merci d'avance.
0
Voilà en plus le rapport MBAM (RAS a priori comme je t'ai dis) :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4063

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

19/05/2010 17:01:18
mbam-log-2010-05-19 (17-01-18).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 303918
Temps écoulé: 56 minute(s), 57 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
20 mai 2010 à 00:37
L'idéal : Sauvegarde tes données et formate tes périphériques.
Dans le dossier F, un dossier infectieux :

F:\SANJAM\desktop.ini
F:\SANJAM


Passe l'option de nettoyage d'USBFix.
0
J'ai passé le nettoyage de USBFix, et plus rien, a priori...

Tu crois que c'est bon ?

Le prob c'est que je n'ai rien pour stocker les données de mon DDE... Et ya pas mal de données importantes.

Pour l'histoire du win32 en lien ac MBAM, tu voit d'où ça peut venir ?
Avast aurait reconnu en lui un Virus ?

Je recommence une analyse MBAM pour voir si ça le refait...
0
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
20 mai 2010 à 10:00
Win32 cela ne veut pas dire grand chose.
En MBAM... Difficile à dire si le fichier n'est pas localisé.

Envoie le rapport d'USBFix stp.
(C:\Usbfix.txt).
0
voici le rapport :


############################## | UsbFix V6.114 |

User : Cédric (Administrateurs) # CEDRIC
Update on 17/05/2010 by El Desaparecido , C_XX & Chimay8
Start at: 17:46:10 | 19/05/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU T7100 @ 1.80GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : avast! Antivirus 5.0.83886625 [ Enabled | Updated ]

C:\ -> Disque fixe local # 48,83 Go (32,81 Go free) [Windows] # NTFS
D:\ -> Disque fixe local # 62,85 Go (58,48 Go free) [Documents Personnels] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque fixe local # 186,31 Go (41,26 Go free) [DDE Cédric] # NTFS
G:\ -> Disque CD-ROM
H:\ -> Disque amovible # 3,72 Go (3,72 Go free) [USB KEY] # FAT32

################## | Elements infectieux |

Supprimé ! C:\Recycler\S-1-5-21-1417001333-1788223648-725345543-1003
Supprimé ! D:\Recycler\S-1-5-21-1417001333-1788223648-725345543-1003
Supprimé ! F:\SANJAM\desktop.ini
Supprimé ! F:\SANJAM
Supprimé ! F:\Recycler\S-1-5-21-1417001333-1788223648-725345543-1003

################## | Registre |


################## | Mountpoints2 |


################## | Listing des fichiers présent |

[22/04/2010 15:12|--a------|0] C:\AUTOEXEC.BAT
[22/04/2010 15:04|---hs----|212] C:\boot.ini
[05/08/2004 05:00|-rahs----|4952] C:\Bootfont.bin
[22/04/2010 15:12|--a------|0] C:\CONFIG.SYS
[22/04/2010 15:12|-rahs----|0] C:\IO.SYS
[22/04/2010 15:12|-rahs----|0] C:\MSDOS.SYS
[05/08/2004 05:00|-rahs----|47564] C:\NTDETECT.COM
[05/08/2004 05:00|-rahs----|251712] C:\ntldr
[?|?|?] C:\pagefile.sys
[08/05/2010 19:38|--a------|1015] C:\TCleaner.txt
[19/05/2010 17:50|--a------|1786] C:\UsbFix.txt
[04/05/2010 12:39|--a------|23475475] C:\UsbFix_Upload_Me_CEDRIC.zip
[22/04/2010 16:09|--ahs----|68] D:\Copie de desktop.ini
[22/04/2010 16:09|--ahs----|146] D:\desktop.ini
[22/10/2009 02:46|--a------|64238] D:\Recherche Documentaire.pdf
[11/04/2010 11:18|--a------|1600] F:\A r'installer aprSs formatage.txt
[11/03/2008 09:54|--a------|65327] H:\ConditionsEN.txt
[15/11/2006 08:34|--a------|16216] H:\ConditionsFR.txt
[04/02/2009 16:15|--a------|2093] H:\Lisez-moi.txt
[04/02/2009 16:15|--a------|3774] H:\Nlm.ico

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# F:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# H:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

################## | Upload |

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_CEDRIC.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.114 ! |
0
De plus, j'ai vérifié mon DDE avec MBAM, et il y avait un trojan... Il l'a supprimé, j'ai plus rien mmaintenant. Voici qd même le rapport :

Avant :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4063

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

19/05/2010 20:00:42
mbam-log-2010-05-19 (20-00-42).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|)
Elément(s) analysé(s): 322071
Temps écoulé: 58 minute(s), 57 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
F:\Mes Documents\Logiciels crackés\Retouche images\Photoshop CS4\Adobe Photoshop CS4 KeyGen.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.


et après :
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4063

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

19/05/2010 20:11:32
mbam-log-2010-05-19 (20-11-32).txt

Type d'examen: Examen complet (F:\|G:\|H:\|)
Elément(s) analysé(s): 127108
Temps écoulé: 6 minute(s), 53 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
20 mai 2010 à 16:28
Ne t'étonne pas ! Tu crack des logiciels.
Ne t'en prends qu'à toi même !
0
Nan nan, sincèrement, je n'ai que 2 ou 3 logiciels crackés car j'en ai vraiment besoin. Vu le prix, je n'ai pas vraiment le choix...
Mais tu as raison, sur ce coup, c'était dedans... :$

C'est tout bon alors maintenant ?
0
De plus, après une mise à jour Windows hier soir, un dossier s'est créé dans mes Documents avec pour nom :

2c6d9c2b4cc2848a865120e099

Tu sais ce que c'est ???
Je n'ai jamais vu de dossier se créer comme cela dans mes Documents après une MaJ...

Je l'ai passé à Avast, MBAM et Virus Total, et RAS a priori, mais bon...


Merci d'avance.
0
crapoulou Messages postés 28160 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 21 mai 2024 7 998
20 mai 2010 à 21:59
De plus, après une mise à jour Windows hier soir, un dossier s'est créé dans mes Documents avec pour nom :

2c6d9c2b4cc2848a865120e099


La réponse est dans la question : cela provient de la mise à jour Windows, aucun souci.

Pour Photoshop qui est très cher, je suis d'accord mais des solutions alternatives gratuites existent pour ne pas se mettre dans l'illégalité !

https://www.commentcamarche.net/faq/6075-equivalent-de-photoshop-gratuit
0