Problème autorun.inf sur clé usb

Désolé, je t'ai dit une bétise je viens de voir que tu as la bonne version.
On va faire autrement et analyser ton PC
Télécharge ZHPDiag sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur la loupe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
- Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
- Sélectionne le fichier ZHPDiag.txt.
- Clique sur "Cliquez ici pour déposer le fichier".
- Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
- Copie ce lien dans ta réponse.

Smart

OK. Relance MBAM, vide la quarantaine, et redémarre ton PC.
Ensuite je voudrai que tu fasses ceci. Désinstalle USBFix
Et réinstalle depuis ce lien:
https://www.ionos.fr/?affiliate_id=77097 UsbFix
Lance -le et cliques sur suppression.

Si tu as toujours le même problème j'ai une autre suggestion

Smart

Bonjour,

Il faut faire le faire le nettoyage et la vaccination:
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
- Double clique sur le raccourci UsbFix sur ton Bureau
- Clique sur "Suppression"
- Laisse travailler l'outil
- Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

/!\UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !

Smart

Il faut supprimer autorun.inf (fichier qui met en route des éventuels virus) avec l'invite de commandes ms-dos.

Personellement, quand j'arrive pas a suprim des virus de ce genre, j'utlize toujour L'invite de commandes MS-DOS.

Mais "comme je ne suis pas une utilisatrice chevronnée" ,je ne sais pas si je vais pouvoir t'aider.

Sinon j'aurais proposé un procédure pour le supprimer, mais si l'autorun.inf c'est propagé, sa va être un peu dur... Mais la suppression est toujours possible.

Salutations !!!

L'autorun est peur être un fake (kaspersky le reconnais comme néfaste alors qu'il ne l'est pas.) Je vous conseil de faire un autre scan sans la clé, pour supprimer les fichiers de recycler (corbeille); puis contrôler le tout avec un autre antivirus, local ou réseau. Voici quelques liens:
- Drweb Cureit, à télécharger et lancer depuis le PC: https://free.drweb.fr/cureit/?lng=fr
- Birdefender :http://www.bitdefender.fr/scanner/online/free.html
- Trend : https://www.trendmicro.com/en_us/forHome/products/housecall.html

A vous de jouer (-^_^-)
Soyez autodidacte, n'attendez-pas que la vie vous donne des leçons.

J'ai lancé la suppression d'usbfix mais à 10%, écran bleu et redémarrage de mon PC. Deux fois de suite...

et si j'ai bien réussi à supprimer l'autorun avec cmd, il revient à chaque fois que je connecte ma clé...

Vérifie que tu as la dernière version de USBFix c'est la version 7
Si ce n'est pas le cas désinstalle ton ancienne version
Et réinstalle en allant ici : UsbFix (créé par El Desaparecido & C_XX)

Désactive temporairement ton antivirus et Relance USBFix et choisis Suppressions

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

voilà : http://www.cijoint.fr/cjlink.php?file=cj201006/cijNuo4YGo.txt

Désactive temporairement ton antivirus . branche ta clé sans l'ouvrir et Relance USBFix et choisis Suppressions.

Si tu as toujours le même problème on essayera autre chose

Smart

oui, j'ai toujours le même problème à 10%...

OK.

Fais ceci:
- Télécharge Malwarebytes
- Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
- Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation)
- Lance une analyse complète en cliquant sur "Exécuter un examen complet"
- Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
- L'analyse peut durer un bon moment.....
- Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
- Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
- Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum</list>

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

Smart

voilà le rapport, qui m'a l'air plutôt bon, non ?
j'ai fait le test et enlevé puis remis ma clé et plus d'autorun, ça c'est chic !

merci mille fois Smart :)

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4183

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

09/06/2010 18:32:45
mbam-log-2010-06-09 (18-32-45).txt

Type d'examen: Examen complet (C:\|D:\|F:\|)
Elément(s) analysé(s): 286019
Temps écoulé: 1 heure(s), 7 minute(s), 25 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\RECYCLER\S-1-5-21-6382727461-7101694550-167239561-3841\recycle.exe (Worm.Autorun.B) -> Delete on reboot.

oui, le problème persiste...

Tu vas utiliser cet outil:
- Télécharge l'outil [url=https://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe][u]Flash_Disinfector[/u][/url] (de sUBs) et enregistre le sur ton bureau
- Double clique sur Flash_Disinfector.exe pour l'exécuter.
- Quand le message : [Plug in yours flash drive & clic Ok to begin disinfection] apparaitra :
- Connecte au pc, clé USB, DD externes, susceptibles d'avoir été infectés.
- Puis clic sur Ok
- Les icônes sur le bureau vont disparaître jusqu'à l'apparition du message: [Done!!]
- Appuie ensuite sur OK, pour faire réapparaître le bureau.

Smart

merci, cette fois ça a marché

par contre, il y a une chose que je ne comprends pas : Malwarebytes me dit qu'il n'y a plus aucun élément infectieux sur mon pc et ma clé mais si je relance le mode recherche d'usbfix, il me dit :

################## | Éléments infectieux |

Présent! C:\Recycler\S-1-5-21-1957994488-299502267-682003330-1004
Présent! C:\Recycler\S-1-5-21-6382727461-7101694550-167239561-3841
Présent! F:\U3ROM

il me dit aussi :

################## | Vaccin |

C:\autorun.inf -> Dossier créé par Flash_Disinfector (sUBs)
F:\autorun.inf -> Dossier créé par Flash_Disinfector (sUBs)

mais je ne les vois pas

c'est normal ?

Je vais essayer de t'expliquer:

MBAM est un antivirus qui ne s'occupe pas des clé USB, mais qui détecte les infection USB sur le disque de ton PC. Dans ton cas il a trouvé et suppriomé deux infections dont qui une qui se trouve dans la poubelle et celle-ci: Taskman

Quand tu as passé flash disinfector, il a supprimé l'infection autorun.inf et vacciné ton PC et ta clé avec un autorun.if non malicieux.. Ce qui ve protégé ton PC et ta clé de ces infections USB.
Prenons cette exemple si tu utilises ta clé USB sur un autre PC infecté elle sera protégé.

Ensuite tu as fait un scan avec USBFix qui montre qu'il reste des infections qui sont dans la poubelle (dossier Recycler) et une autre infection sur la clé F:\U3ROM

Vide la poubelle de ton PC et reposte un rapport de scan de USBFix, car celui que tu m'as mis était incomplêt

Smart

ok, merci pour les explications.
Voici le nouveau rapport (j'ai bien vidé la poubelle du pc mais Recycler est toujours là) :

############################## | UsbFix 7.007 | [Recherche]

Utilisateur: françois (Administrateur) # FRAN-EEAA55D83E [ ]
Mis à jour le 10/06/10 par El Desaparecido / C_XX
Lancé à 15:38:00 | 10/06/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz
CPU 2: Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 6.0.2900.5512

Pare-feu Windows: Désactivé /!\
Antivirus: Kaspersky Internet Security 9.0.0.736 [Enabled | Updated]
Firewall: ActiveArmor Firewall 1.0 [(!) Disabled]
Firewall: Kaspersky Internet Security 9.0.0.736 [Enabled]

RAM -> 2046 Mo
C:\ (%systemdrive%) -> Disque fixe # 233 Go (184 Go libre(s) - 79%) [] # NTFS
D:\ -> CD-ROM
F:\ -> Disque amovible # 983 Mo (465 Mo libre(s) - 47%) [] # FAT

################## | Éléments infectieux |

Présent! C:\Recycler\S-1-5-21-1957994488-299502267-682003330-1004
Présent! C:\Recycler\S-1-5-21-6382727461-7101694550-167239561-3841
Présent! F:\U3ROM

################## | Registre |

################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{f1cbaa9f-196f-11df-a6be-001a925698b3}
Shell\AutoRun\Command = E:\SamsungSoftware\APPInst.exe

################## | Vaccin |

C:\autorun.inf -> Dossier créé par Flash_Disinfector (sUBs)
F:\autorun.inf -> Dossier créé par Flash_Disinfector (sUBs)

################## | E.O.F |

- Télécharge OTM (OldTimer) sur ton Bureau ==> http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
- Clique droit sur "OTMoveIt3.exe" et choisis "exécuter en tant qu'administrateur" afin de le lancer.
- Copie (Ctrl+C) le texte suivant en gras ci-dessous :

---------------------------------------------------------------------------------
:reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f1cbaa9f-196f-11df-a6be-001a925698b3}]

:commands
[purity]
[emptytemp]
[Reboot]

----------------------------------------------------------------------------------

- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved.

- Clique maintenant sur le bouton MoveIt!

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

Ensuite supprime le dossier F:\U3ROM sur ta clé

Et refais un sacn avec USBFix
Cela te fait deux rapports à poster

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

voilà le premier :

All processes killed
========== REGISTRY ==========
Registry delete failed. HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f1cbaa9f-196f-11df-a6be-001a925698b3}\ scheduled to be deleted on reboot.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f1cbaa9f-196f-11df-a6be-001a925698b3}\ not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: All Users.WINDOWS

User: Default User
->Temp folder emptied: 0 bytes
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User.WINDOWS
->Temp folder emptied: 0 bytes
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
->Temporary Internet Files folder emptied: 33170 bytes
Unable to create HKLM\Software\OldTimer Tools\OTM key.
->Flash cache emptied: 41 bytes

User: francois

User: françois

User: LocalService

User: LocalService.AUTORITE NT

User: NetworkService

User: NetworkService.AUTORITE NT

%systemdrive% .tmp files removed: 0 bytes
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
%systemroot% .tmp files removed: 2249787 bytes
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
%systemroot%\System32 .tmp files removed: 355385 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 3,00 mb

OTM by OldTimer - Version 3.1.12.2 log created on 06102010_232124

le dossier U3ROM n'est pas visible sur ma clé...donc mon rapport usbfix n'est pas très différent...

############################## | UsbFix 7.007 | [Recherche]

Utilisateur: françois (Administrateur) # FRAN-EEAA55D83E [ ]
Mis à jour le 10/06/10 par El Desaparecido / C_XX
Lancé à 23:41:16 | 10/06/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz
CPU 2: Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 6.0.2900.5512

Pare-feu Windows: Désactivé /!\
Antivirus: Kaspersky Internet Security 9.0.0.736 [Enabled | Updated]
Firewall: ActiveArmor Firewall 1.0 [(!) Disabled]
Firewall: Kaspersky Internet Security 9.0.0.736 [Enabled]

RAM -> 2046 Mo
C:\ (%systemdrive%) -> Disque fixe # 233 Go (184 Go libre(s) - 79%) [] # NTFS
D:\ -> CD-ROM
F:\ -> Disque amovible # 983 Mo (465 Mo libre(s) - 47%) [] # FAT

################## | Éléments infectieux |

Présent! C:\Recycler\S-1-5-21-1957994488-299502267-682003330-1004
Présent! C:\Recycler\S-1-5-21-6382727461-7101694550-167239561-3841
Présent! F:\U3ROM

################## | Registre |

################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{f1cbaa9f-196f-11df-a6be-001a925698b3}
Shell\AutoRun\Command = E:\SamsungSoftware\APPInst.exe

################## | Vaccin |

C:\autorun.inf -> Dossier créé par Flash_Disinfector (sUBs)
F:\autorun.inf -> Dossier créé par Flash_Disinfector (sUBs)

################## | E.O.F |

Est-ce que tu as redémarré le PC après OTMoveit
Est-ce que tu as vidé la poubelle
Va dans les options d'affichage de dossier et coche la case "afficher les dossier et fichiers caché".
Ensuite supprime sur ta clé le dossier U3ROM

Smart