problème autorun.inf sur clé usb Résolu/Fermé

Question

Bonjour, 
Un fichier autorun.inf est apparu sur ma clé usb. Lorsque j'ai connecté ma clé sur mon PC, Kaspersky a détecté un cheval de troie mais n'a pas pu le mettre en quarantaine.
J'ai utilisé usbfix mais, comme je ne suis pas une utilisatrice chevronnée, j'aimerais bien un avis avant de lancer l'option suppression. Je copie le rapport ci-dessous
Merci,
Vanessa.

############################## | UsbFix 7.006 | [Recherche]

Utilisateur: françois (Administrateur) # FRAN-EEAA55D83E [ ]
Mis à jour le 07/06/10 par El Desaparecido / C_XX
Lancé à 08:14:30 | 09/06/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz
CPU 2: Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 6.0.2900.5512

Pare-feu Windows: Désactivé /!\
Antivirus: Kaspersky Internet Security 9.0.0.736 [Enabled | Updated]
Firewall: ActiveArmor Firewall 1.0 [(!) Disabled]
Firewall: Kaspersky Internet Security 9.0.0.736 [Enabled]

RAM -> 2046 Mo 
C:\ (%systemdrive%) -> Disque fixe # 233 Go (184 Go libre(s) - 79%) [] # NTFS
D:\ -> CD-ROM
F:\ -> Disque amovible # 983 Mo (465 Mo libre(s) - 47%) [] # FAT

################## | Éléments infectieux |

Présent! F:\Autorun.inf
Présent! C:\Recycler\S-1-5-21-1957994488-299502267-682003330-1004
Présent! C:\Recycler\S-1-5-21-6382727461-7101694550-167239561-3841
Présent! F:\U3ROM

################## | Registre |

Présent! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{f1cbaa9f-196f-11df-a6be-001a925698b3}
Shell\AutoRun\Command = E:\SamsungSoftware\APPInst.exe


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |



Configuration: Windows XP / Firefox 3.6.3

Smart91 · Accepted Answer

Désolé, je t'ai dit une bétise je viens de voir que tu as la bonne version.
On va faire autrement et analyser ton PC
Télécharge ZHPDiag sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. 
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
-  Clique sur la loupe pour lancer l'analyse. 
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ 
-  Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 
-  Sélectionne le fichier ZHPDiag.txt. 
-  Clique sur "Cliquez ici pour déposer le fichier". 
-  Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page. 
-  Copie ce lien dans ta réponse.

Smart

Smart91 · Answer

Bonjour,

Il faut faire le faire le nettoyage et la vaccination:
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
-  Double clique sur le raccourci UsbFix sur ton Bureau
- Clique sur "Suppression"
- Laisse travailler l'outil
- Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

/!\UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !

Smart

ricardofr-200 · Answer

Il faut supprimer autorun.inf  (fichier qui met en route des éventuels virus) avec l'invite de commandes ms-dos.

Personellement, quand j'arrive pas a suprim des virus de ce genre, j'utlize toujour L'invite de commandes MS-DOS.

Mais "comme je ne suis pas une utilisatrice chevronnée" ,je ne sais pas si je vais pouvoir t'aider.

Sinon j'aurais proposé un procédure pour le supprimer, mais si l'autorun.inf c'est propagé, sa va être un peu dur... Mais la suppression est toujours possible.

gigaffeur · Answer

Salutations !!! 

L'autorun est peur être un fake (kaspersky le reconnais comme néfaste alors qu'il ne l'est pas.) Je vous conseil de faire un autre scan sans la clé, pour supprimer les fichiers de recycler (corbeille); puis contrôler le tout avec un autre antivirus, local ou réseau. Voici quelques liens: 
- Drweb Cureit, à télécharger et lancer depuis le PC: https://free.drweb.fr/cureit/?lng=fr 
- Birdefender :http://www.bitdefender.fr/scanner/online/free.html 
- Trend : https://www.trendmicro.com/en_us/forHome/products/housecall.html 

A vous de jouer (-^_^-) 
Soyez autodidacte, n'attendez-pas que la vie vous donne des leçons.

Vanessa · Answer

J'ai lancé la suppression d'usbfix mais à 10%, écran bleu et redémarrage de mon PC. Deux fois de suite...

et si j'ai bien réussi à supprimer l'autorun avec cmd, il revient à chaque fois que je connecte ma clé...

Smart91 · Answer

Vérifie que tu as la dernière version de USBFix c'est la version 7 
Si ce n'est pas le cas désinstalle ton ancienne version 
Et réinstalle en allant ici : UsbFix (créé par El Desaparecido & C_XX) 

Désactive temporairement ton antivirus et Relance USBFix et choisis Suppressions 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Vanessa · Answer

voilà : http://www.cijoint.fr/cjlink.php?file=cj201006/cijNuo4YGo.txt

Smart91 · Answer

Désactive temporairement ton antivirus . branche ta clé sans l'ouvrir et Relance USBFix et choisis Suppressions.

Si tu as toujours le même problème on essayera autre chose

Smart

Vanessa · Answer

oui, j'ai toujours le même problème à 10%...

Smart91 · Answer

OK. Fais ceci: - Télécharge Malwarebytes - Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement. - Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation) - Lance une analyse complète en cliquant sur "Exécuter un examen complet" - Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen" - L'analyse peut durer un bon moment..... - Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats" - Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK" - Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée Smart

Vanessa · Answer

voilà le rapport, qui m'a l'air plutôt bon, non ?
j'ai fait le test et enlevé puis remis ma clé et plus d'autorun, ça c'est chic !

merci mille fois Smart :)


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4183

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

09/06/2010 18:32:45
mbam-log-2010-06-09 (18-32-45).txt

Type d'examen: Examen complet (C:\|D:\|F:\|)
Elément(s) analysé(s): 286019
Temps écoulé: 1 heure(s), 7 minute(s), 25 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon	askman (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\RECYCLER\S-1-5-21-6382727461-7101694550-167239561-3841ecycle.exe (Worm.Autorun.B) -> Delete on reboot.

Smart91 · Answer

OK. Relance MBAM, vide la quarantaine, et redémarre ton PC.
Ensuite je voudrai que tu fasses ceci. Désinstalle USBFix
Et réinstalle depuis ce lien:
https://www.ionos.fr/?affiliate_id=77097 UsbFix
Lance -le et cliques sur suppression.

Si tu as toujours le même problème j'ai une autre suggestion

Smart

Vanessa · Answer

oui, le problème persiste...

Smart91 · Answer

Tu vas utiliser cet outil:
- Télécharge l'outil [url=https://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe][u]Flash_Disinfector[/u][/url] (de sUBs) et enregistre le sur ton bureau   
- Double clique sur Flash_Disinfector.exe pour l'exécuter. 
- Quand le message : [Plug in yours flash drive & clic Ok to begin disinfection] apparaitra : 
- Connecte au pc, clé USB, DD externes, susceptibles d'avoir été infectés. 
- Puis clic sur Ok 
- Les icônes sur le bureau vont disparaître jusqu'à l'apparition du message: [Done!!] 
- Appuie ensuite sur OK, pour faire réapparaître le bureau.


Smart

Vanessa · Answer

merci, cette fois ça a marché

par contre, il y a une chose que je ne comprends pas : Malwarebytes me dit qu'il n'y a plus aucun élément infectieux sur mon pc et ma clé mais si je relance le mode recherche d'usbfix, il me dit :

################## | Éléments infectieux |

Présent! C:\Recycler\S-1-5-21-1957994488-299502267-682003330-1004
Présent! C:\Recycler\S-1-5-21-6382727461-7101694550-167239561-3841
Présent! F:\U3ROM

il me dit aussi :

################## | Vaccin |

C:\autorun.inf -> Dossier créé par Flash_Disinfector (sUBs)
F:\autorun.inf -> Dossier créé par Flash_Disinfector (sUBs)

mais je ne les vois pas 

c'est normal ?

Smart91 · Answer

Je vais essayer de t'expliquer:

MBAM est un antivirus qui ne s'occupe pas des clé USB, mais qui détecte les infection USB sur le disque de ton PC. Dans ton cas il a trouvé et suppriomé deux infections dont qui une qui se trouve dans la poubelle et celle-ci: Taskman

Quand tu as passé flash disinfector, il a supprimé l'infection autorun.inf et vacciné ton PC et ta clé avec un autorun.if non malicieux.. Ce qui ve protégé ton PC et ta clé de ces infections USB. 
Prenons cette exemple si tu utilises ta clé USB sur un autre PC infecté elle sera protégé.

Ensuite tu as fait un scan avec USBFix qui montre qu'il reste des infections qui sont dans la poubelle (dossier Recycler) et une autre infection sur la clé F:\U3ROM

Vide la poubelle de ton PC et reposte un rapport de scan de USBFix, car celui que tu m'as mis était incomplêt

Smart

Vanessa · Answer

ok, merci pour les explications.
Voici le nouveau rapport (j'ai bien vidé la poubelle du pc mais Recycler est toujours là) :

############################## | UsbFix 7.007 | [Recherche]

Utilisateur: françois (Administrateur) # FRAN-EEAA55D83E [ ]
Mis à jour le 10/06/10 par El Desaparecido / C_XX
Lancé à 15:38:00 | 10/06/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz
CPU 2: Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 6.0.2900.5512

Pare-feu Windows: Désactivé /!\
Antivirus: Kaspersky Internet Security 9.0.0.736 [Enabled | Updated]
Firewall: ActiveArmor Firewall 1.0 [(!) Disabled]
Firewall: Kaspersky Internet Security 9.0.0.736 [Enabled]

RAM -> 2046 Mo 
C:\ (%systemdrive%) -> Disque fixe # 233 Go (184 Go libre(s) - 79%) [] # NTFS
D:\ -> CD-ROM
F:\ -> Disque amovible # 983 Mo (465 Mo libre(s) - 47%) [] # FAT

################## | Éléments infectieux |

Présent! C:\Recycler\S-1-5-21-1957994488-299502267-682003330-1004
Présent! C:\Recycler\S-1-5-21-6382727461-7101694550-167239561-3841
Présent! F:\U3ROM

################## | Registre |


################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{f1cbaa9f-196f-11df-a6be-001a925698b3}
Shell\AutoRun\Command = E:\SamsungSoftware\APPInst.exe


################## | Vaccin |

C:\autorun.inf -> Dossier créé par Flash_Disinfector (sUBs)
F:\autorun.inf -> Dossier créé par Flash_Disinfector (sUBs)

################## | E.O.F |

Smart91 · Answer

- Télécharge OTM (OldTimer) sur ton Bureau ==> http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/  
- Clique droit sur "OTMoveIt3.exe" et choisis "exécuter en tant qu'administrateur" afin de le lancer.  
- Copie (Ctrl+C) le texte suivant en gras ci-dessous :  

--------------------------------------------------------------------------------- 
:reg 
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f1cbaa9f-196f-11df-a6be-001a925698b3}] 

:commands  
[purity]  
[emptytemp]  
[Reboot]  

---------------------------------------------------------------------------------- 


- Colle (Ctrl+V) le texte précédemment copié dans le cadre:  Paste Instructions for Items to be Moved.  

- Clique maintenant sur le bouton MoveIt!  

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.  
Accepte en cliquant sur YES.  

- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\  
Le nom du rapport correspond au moment de sa création : date_heure.log 

Ensuite supprime le dossier F:\U3ROM sur ta clé 

Et refais un sacn avec USBFix 
Cela te fait deux rapports à poster  


Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Vanessa · Answer

voilà le premier :

All processes killed
========== REGISTRY ==========
Registry delete failed. HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f1cbaa9f-196f-11df-a6be-001a925698b3}\ scheduled to be deleted on reboot.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f1cbaa9f-196f-11df-a6be-001a925698b3}\ not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: All Users.WINDOWS
 
User: Default User
->Temp folder emptied: 0 bytes
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User.WINDOWS
->Temp folder emptied: 0 bytes
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
->Temporary Internet Files folder emptied: 33170 bytes
Unable to create HKLM\Software\OldTimer Tools\OTM key.
->Flash cache emptied: 41 bytes
 
User: francois
 
User: françois
 
User: LocalService
 
User: LocalService.AUTORITE NT
 
User: NetworkService
 
User: NetworkService.AUTORITE NT
 
%systemdrive% .tmp files removed: 0 bytes
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
%systemroot% .tmp files removed: 2249787 bytes
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
%systemroot%\System32 .tmp files removed: 355385 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 3,00 mb
 
 
OTM by OldTimer - Version 3.1.12.2 log created on 06102010_232124




le dossier U3ROM n'est pas visible sur ma clé...donc mon rapport usbfix n'est pas très différent...




############################## | UsbFix 7.007 | [Recherche]

Utilisateur: françois (Administrateur) # FRAN-EEAA55D83E [ ]
Mis à jour le 10/06/10 par El Desaparecido / C_XX
Lancé à 23:41:16 | 10/06/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz
CPU 2: Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 6.0.2900.5512

Pare-feu Windows: Désactivé /!\
Antivirus: Kaspersky Internet Security 9.0.0.736 [Enabled | Updated]
Firewall: ActiveArmor Firewall 1.0 [(!) Disabled]
Firewall: Kaspersky Internet Security 9.0.0.736 [Enabled]

RAM -> 2046 Mo 
C:\ (%systemdrive%) -> Disque fixe # 233 Go (184 Go libre(s) - 79%) [] # NTFS
D:\ -> CD-ROM
F:\ -> Disque amovible # 983 Mo (465 Mo libre(s) - 47%) [] # FAT

################## | Éléments infectieux |

Présent! C:\Recycler\S-1-5-21-1957994488-299502267-682003330-1004
Présent! C:\Recycler\S-1-5-21-6382727461-7101694550-167239561-3841
Présent! F:\U3ROM

################## | Registre |


################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{f1cbaa9f-196f-11df-a6be-001a925698b3}
Shell\AutoRun\Command = E:\SamsungSoftware\APPInst.exe


################## | Vaccin |

C:\autorun.inf -> Dossier créé par Flash_Disinfector (sUBs)
F:\autorun.inf -> Dossier créé par Flash_Disinfector (sUBs)

################## | E.O.F |

Smart91 · Answer

Est-ce que tu as redémarré le PC après OTMoveit
Est-ce que tu as vidé la poubelle
Va dans les options d'affichage de dossier et coche la case "afficher les dossier et fichiers caché". 
Ensuite supprime sur ta clé le dossier U3ROM

Smart

vanessa · Answer

oui, j'ai redémarré, j'ai vidé la poubelle et l'option "afficher les dossiers et fichiers cachés" est activée... pourtant je ne vois pas ce dossier alors que quand j'analyse ma clé avec Malwarebytes, je vois bien U3ROM/flyhigh.exe qui défile (mais Malwarebytes ne le considère pas comme un élément infectieux)

Smart91 · Answer

Normalement USBFix doit supprimer ce fichier. Mais le pb c'est USBFix plante avec ton PC et je ne sais pas pourquoi donc j'essaie d'autres solutions 
Branche ta clé 

Relance OTM 
- Copie (Ctrl+C) le texte suivant en gras ci-dessous :  

--------------------------------------------------------------------------------- 
:files 
F:\U3ROM\flyhigh.exe 

:commands  
[emptytemp]  
[Reboot]  

---------------------------------------------------------------------------------- 



- Colle (Ctrl+V) le texte précédemment copié dans le cadre:  Paste Instructions for Items to be Moved.  

- Clique maintenant sur le bouton MoveIt!  

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.  
Accepte en cliquant sur YES.  

- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\  
Le nom du rapport correspond au moment de sa création : date_heure.log 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

vanessa · Answer

d'accord, je fais ça ce soir. Merci !

Smart91 · Answer

OK.

Smart

Vanessa · Answer

voilà le rapport :

All processes killed
========== FILES ==========
F:\U3ROM\flyhigh.exe moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: All Users.WINDOWS
 
User: Default User
->Temp folder emptied: 0 bytes
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User.WINDOWS
->Temp folder emptied: 0 bytes
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
->Temporary Internet Files folder emptied: 33170 bytes
Unable to create HKLM\Software\OldTimer Tools\OTM key.
->Flash cache emptied: 41 bytes
 
User: francois
 
User: françois
 
User: LocalService
 
User: LocalService.AUTORITE NT
 
User: NetworkService
 
User: NetworkService.AUTORITE NT
 
%systemdrive% .tmp files removed: 0 bytes
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
%systemroot% .tmp files removed: 2249787 bytes
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
%systemroot%\System32 .tmp files removed: 355385 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 3,00 mb
 
 
OTM by OldTimer - Version 3.1.12.2 log created on 06112010_191344

Smart91 · Answer

Est-ce que kapersky détecte toujours le virus sur la clé ?

Smart

Vanessa · Answer

je vois F:U3ROM dans la liste des éléments analysés quand Kaspersky analyse ma clé mais il ne fait pas d'alerte

Smart91 · Answer

En fait je pense que Kapersky voit le dossier U3ROM mais pas le fichier qui se trouvait dans le dossier

Est-ce que tu peux refaire un scan ZHPDiag et poster le rapport

Smart

Vanessa · Answer

voilà le rapport : http://www.cijoint.fr/cjlink.php?file=cj201006/ciji86L9EZ.txt

Smart91 · Answer

Pour moi tout est OK maintenant.
Fais les mises à jour suivantes:
Mise à jour IE8
https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70

Mise à jour Adobe
Désinstalle Adobe 8
Installe Adobe 9

La version 10.1.53.64 de Flash Player est disponible, elle corrige la vulnérabilité. Pour procéder à la mise à jour :

* Fermez tous vos navigateurs
* A partir du panneau de configuration de Windows, désinstallez Adobe FlashPlayer ActiveX (utilisé par IE) et Adobe FlashPlayer Plugin (utilisé par les autres navigateurs).
* Réinstallez l'ActiveX et le plugin.

1. Désinstallation des outils

Lance ZHPFix (pour ça, fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur ») --> clique sur le « A » rouge (Nettoyeur de Tools) --> clique sur « Nettoyer » 
Tutoriel pour t'aide 

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : 
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre). 

3. Désactiver la restauration système et céer un point de restauration 
Dans la barre des tâches de Windows, clique sur Démarrer. 
Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés. 
Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système" 
Clique sur Appliquer. 
Ensuite décoche "Désactiver la restauration du systeme" 
Clique sur appliquer puis ok 
Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides

Quelques conseils de Prévention

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. 

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) : 
Prévention et Protection

Voilà si tu as des questions

Smart

Vanessa · Answer

ça y est, tout est fait
merci beaucoup pour ton aide précieuse
excellent weekend !
Vanessa.

Smart91 · Answer

Heureux de t'avoir aidé, mais j'ai oublié comment te dire pour supprimer le dossier F:U3ROM

Relance OTM 
- Copie (Ctrl+C) le texte suivant en gras ci-dessous : 

--------------------------------------------------------------------------------- 
:files 
F:\U3ROM

:commands 
[Reboot] 

---------------------------------------------------------------------------------- 

- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved. 

- Clique maintenant sur le bouton MoveIt! 

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. 

- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\ 
Le nom du rapport correspond au moment de sa création : date_heure.log

Smart

Vanessa · Answer

voilà le rapport :

========== FILES ==========
F:\U3ROM folder moved successfully.
========== COMMANDS ==========
 
OTM by OldTimer - Version 3.1.12.2 log created on 06122010_145346

Smart91 · Answer

Voilà c'est bon.
Désinstalle OTM maintenant

Smart

Vanessa · Answer

c'est fait
merci !

Smart91 · Answer

Voilà tout est bon. Tu peux mettre la discussion en résolue 
Et fais attention quand tu utilises les clés des copains ou de la famille 
Je te donne deux dossiers à lire et très instructifs: 
Infections par disques amovibles 
Infections par disques amovibles 2 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Vanessa · Answer

visiblement je ne peux pas signaler mon problème comme résolu parce que je suis intervenue sans être inscrite...

gen-hackman · Answer

salut à vous ...c'est fait !

Smart91 · Answer

Merci gen @+

mick38 · Answer

Bonjour, 

J'ai utilisé Malwares bytes et USBFIX pour enlever "autorum.inf"
Ca marche mais il m'a crée un DOSSIER
 dans tout ces lecteurs 
un dossier" Autorun.inf" avec un fichier "NUL.usbfix"  impossible a enlever

Faut il passer par msdos pour l'enlever?

Problème autorun.inf sur clé usb

40 réponses

Discussions similaires