Problème autorun.inf sur clé usb [Résolu/Fermé]

Signaler
-
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
-
Bonjour,
Un fichier autorun.inf est apparu sur ma clé usb. Lorsque j'ai connecté ma clé sur mon PC, Kaspersky a détecté un cheval de troie mais n'a pas pu le mettre en quarantaine.
J'ai utilisé usbfix mais, comme je ne suis pas une utilisatrice chevronnée, j'aimerais bien un avis avant de lancer l'option suppression. Je copie le rapport ci-dessous
Merci,
Vanessa.

############################## | UsbFix 7.006 | [Recherche]

Utilisateur: françois (Administrateur) # FRAN-EEAA55D83E [ ]
Mis à jour le 07/06/10 par El Desaparecido / C_XX
Lancé à 08:14:30 | 09/06/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz
CPU 2: Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 6.0.2900.5512

Pare-feu Windows: Désactivé /!\
Antivirus: Kaspersky Internet Security 9.0.0.736 [Enabled | Updated]
Firewall: ActiveArmor Firewall 1.0 [(!) Disabled]
Firewall: Kaspersky Internet Security 9.0.0.736 [Enabled]

RAM -> 2046 Mo
C:\ (%systemdrive%) -> Disque fixe # 233 Go (184 Go libre(s) - 79%) [] # NTFS
D:\ -> CD-ROM
F:\ -> Disque amovible # 983 Mo (465 Mo libre(s) - 47%) [] # FAT

################## | Éléments infectieux |

Présent! F:\Autorun.inf
Présent! C:\Recycler\S-1-5-21-1957994488-299502267-682003330-1004
Présent! C:\Recycler\S-1-5-21-6382727461-7101694550-167239561-3841
Présent! F:\U3ROM

################## | Registre |

Présent! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{f1cbaa9f-196f-11df-a6be-001a925698b3}
Shell\AutoRun\Command = E:\SamsungSoftware\APPInst.exe


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |



40 réponses

oui, j'ai redémarré, j'ai vidé la poubelle et l'option "afficher les dossiers et fichiers cachés" est activée... pourtant je ne vois pas ce dossier alors que quand j'analyse ma clé avec Malwarebytes, je vois bien U3ROM/flyhigh.exe qui défile (mais Malwarebytes ne le considère pas comme un élément infectieux)
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 236
Normalement USBFix doit supprimer ce fichier. Mais le pb c'est USBFix plante avec ton PC et je ne sais pas pourquoi donc j'essaie d'autres solutions
Branche ta clé

Relance OTM
- Copie (Ctrl+C) le texte suivant en gras ci-dessous :

---------------------------------------------------------------------------------
:files
F:\U3ROM\flyhigh.exe

:commands
[emptytemp]
[Reboot]

----------------------------------------------------------------------------------



- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved.

- Clique maintenant sur le bouton MoveIt!

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
d'accord, je fais ça ce soir. Merci !
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 236
OK.

Smart
voilà le rapport :

All processes killed
========== FILES ==========
F:\U3ROM\flyhigh.exe moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: All Users.WINDOWS

User: Default User
->Temp folder emptied: 0 bytes
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User.WINDOWS
->Temp folder emptied: 0 bytes
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
->Temporary Internet Files folder emptied: 33170 bytes
Unable to create HKLM\Software\OldTimer Tools\OTM key.
->Flash cache emptied: 41 bytes

User: francois

User: françois

User: LocalService

User: LocalService.AUTORITE NT

User: NetworkService

User: NetworkService.AUTORITE NT

%systemdrive% .tmp files removed: 0 bytes
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
%systemroot% .tmp files removed: 2249787 bytes
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
%systemroot%\System32 .tmp files removed: 355385 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 3,00 mb


OTM by OldTimer - Version 3.1.12.2 log created on 06112010_191344
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 236
Est-ce que kapersky détecte toujours le virus sur la clé ?

Smart
je vois F:U3ROM dans la liste des éléments analysés quand Kaspersky analyse ma clé mais il ne fait pas d'alerte
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 236
En fait je pense que Kapersky voit le dossier U3ROM mais pas le fichier qui se trouvait dans le dossier

Est-ce que tu peux refaire un scan ZHPDiag et poster le rapport

Smart
voilà le rapport : http://www.cijoint.fr/cjlink.php?file=cj201006/ciji86L9EZ.txt
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 236
Pour moi tout est OK maintenant.
Fais les mises à jour suivantes:
Mise à jour IE8
https://support.microsoft.com/fr-fr/help/17621/internet-explorer-downloads

Mise à jour Adobe
Désinstalle Adobe 8
Installe Adobe 9

La version 10.1.53.64 de Flash Player est disponible, elle corrige la vulnérabilité. Pour procéder à la mise à jour :

* Fermez tous vos navigateurs
* A partir du panneau de configuration de Windows, désinstallez Adobe FlashPlayer ActiveX (utilisé par IE) et Adobe FlashPlayer Plugin (utilisé par les autres navigateurs).
* Réinstallez l'ActiveX et le plugin.

1. Désinstallation des outils

Lance ZHPFix (pour ça, fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur ») --> clique sur le « A » rouge (Nettoyeur de Tools) --> clique sur « Nettoyer »
Tutoriel pour t'aide

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre).

3. Désactiver la restauration système et céer un point de restauration
Dans la barre des tâches de Windows, clique sur Démarrer.
Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.
Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"
Clique sur Appliquer.
Ensuite décoche "Désactiver la restauration du systeme"
Clique sur appliquer puis ok
Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides

Quelques conseils de Prévention

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement.

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) :
Prévention et Protection

Voilà si tu as des questions

Smart
ça y est, tout est fait
merci beaucoup pour ton aide précieuse
excellent weekend !
Vanessa.
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 236
Heureux de t'avoir aidé, mais j'ai oublié comment te dire pour supprimer le dossier F:U3ROM

Relance OTM
- Copie (Ctrl+C) le texte suivant en gras ci-dessous :

---------------------------------------------------------------------------------
:files
F:\U3ROM

:commands
[Reboot]


----------------------------------------------------------------------------------

- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved.

- Clique maintenant sur le bouton MoveIt!

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

Smart
voilà le rapport :

========== FILES ==========
F:\U3ROM folder moved successfully.
========== COMMANDS ==========

OTM by OldTimer - Version 3.1.12.2 log created on 06122010_145346
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 236
Voilà c'est bon.
Désinstalle OTM maintenant

Smart
c'est fait
merci !
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 236
Voilà tout est bon. Tu peux mettre la discussion en résolue
Et fais attention quand tu utilises les clés des copains ou de la famille
Je te donne deux dossiers à lire et très instructifs:
Infections par disques amovibles
Infections par disques amovibles 2

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
visiblement je ne peux pas signaler mon problème comme résolu parce que je suis intervenue sans être inscrite...

salut à vous ...c'est fait !
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 236
Merci gen @+
Messages postés
50
Date d'inscription
dimanche 20 novembre 2005
Statut
Membre
Dernière intervention
15 janvier 2018
22
Bonjour,

J'ai utilisé Malwares bytes et USBFIX pour enlever "autorum.inf"
Ca marche mais il m'a crée un DOSSIER
dans tout ces lecteurs
un dossier" Autorun.inf" avec un fichier "NUL.usbfix" impossible a enlever

Faut il passer par msdos pour l'enlever?
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 236
Bonjour,

Ceci est une discussion résolue. Tu devrais poster une nouvelle discussion pour cela clique sur le bouton "Poser votre question", en précisant bien ton problème.

Smart