Problème autorun.inf sur clé usb
Résolu
Vanessa
-
Smart91 Messages postés 29097 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Smart91 Messages postés 29097 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
Un fichier autorun.inf est apparu sur ma clé usb. Lorsque j'ai connecté ma clé sur mon PC, Kaspersky a détecté un cheval de troie mais n'a pas pu le mettre en quarantaine.
J'ai utilisé usbfix mais, comme je ne suis pas une utilisatrice chevronnée, j'aimerais bien un avis avant de lancer l'option suppression. Je copie le rapport ci-dessous
Merci,
Vanessa.
############################## | UsbFix 7.006 | [Recherche]
Utilisateur: françois (Administrateur) # FRAN-EEAA55D83E [ ]
Mis à jour le 07/06/10 par El Desaparecido / C_XX
Lancé à 08:14:30 | 09/06/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com
CPU: Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz
CPU 2: Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 6.0.2900.5512
Pare-feu Windows: Désactivé /!\
Antivirus: Kaspersky Internet Security 9.0.0.736 [Enabled | Updated]
Firewall: ActiveArmor Firewall 1.0 [(!) Disabled]
Firewall: Kaspersky Internet Security 9.0.0.736 [Enabled]
RAM -> 2046 Mo
C:\ (%systemdrive%) -> Disque fixe # 233 Go (184 Go libre(s) - 79%) [] # NTFS
D:\ -> CD-ROM
F:\ -> Disque amovible # 983 Mo (465 Mo libre(s) - 47%) [] # FAT
################## | Éléments infectieux |
Présent! F:\Autorun.inf
Présent! C:\Recycler\S-1-5-21-1957994488-299502267-682003330-1004
Présent! C:\Recycler\S-1-5-21-6382727461-7101694550-167239561-3841
Présent! F:\U3ROM
################## | Registre |
Présent! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman
################## | Mountpoints2 |
HKCU\.\.\.\.\Explorer\MountPoints2\{f1cbaa9f-196f-11df-a6be-001a925698b3}
Shell\AutoRun\Command = E:\SamsungSoftware\APPInst.exe
################## | Vaccin |
(!) Cet ordinateur n'est pas vacciné!
################## | E.O.F |
Un fichier autorun.inf est apparu sur ma clé usb. Lorsque j'ai connecté ma clé sur mon PC, Kaspersky a détecté un cheval de troie mais n'a pas pu le mettre en quarantaine.
J'ai utilisé usbfix mais, comme je ne suis pas une utilisatrice chevronnée, j'aimerais bien un avis avant de lancer l'option suppression. Je copie le rapport ci-dessous
Merci,
Vanessa.
############################## | UsbFix 7.006 | [Recherche]
Utilisateur: françois (Administrateur) # FRAN-EEAA55D83E [ ]
Mis à jour le 07/06/10 par El Desaparecido / C_XX
Lancé à 08:14:30 | 09/06/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com
CPU: Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz
CPU 2: Intel(R) Core(TM)2 CPU 6400 @ 2.13GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 6.0.2900.5512
Pare-feu Windows: Désactivé /!\
Antivirus: Kaspersky Internet Security 9.0.0.736 [Enabled | Updated]
Firewall: ActiveArmor Firewall 1.0 [(!) Disabled]
Firewall: Kaspersky Internet Security 9.0.0.736 [Enabled]
RAM -> 2046 Mo
C:\ (%systemdrive%) -> Disque fixe # 233 Go (184 Go libre(s) - 79%) [] # NTFS
D:\ -> CD-ROM
F:\ -> Disque amovible # 983 Mo (465 Mo libre(s) - 47%) [] # FAT
################## | Éléments infectieux |
Présent! F:\Autorun.inf
Présent! C:\Recycler\S-1-5-21-1957994488-299502267-682003330-1004
Présent! C:\Recycler\S-1-5-21-6382727461-7101694550-167239561-3841
Présent! F:\U3ROM
################## | Registre |
Présent! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman
################## | Mountpoints2 |
HKCU\.\.\.\.\Explorer\MountPoints2\{f1cbaa9f-196f-11df-a6be-001a925698b3}
Shell\AutoRun\Command = E:\SamsungSoftware\APPInst.exe
################## | Vaccin |
(!) Cet ordinateur n'est pas vacciné!
################## | E.O.F |
A voir également:
- Autorun clé usb windows 10
- Clé d'activation windows 10 - Guide
- Clé usb non détectée - Guide
- Creer cle usb windows 10 - Guide
- Formater clé usb - Guide
- Restauration systeme windows 10 - Guide
40 réponses
oui, j'ai redémarré, j'ai vidé la poubelle et l'option "afficher les dossiers et fichiers cachés" est activée... pourtant je ne vois pas ce dossier alors que quand j'analyse ma clé avec Malwarebytes, je vois bien U3ROM/flyhigh.exe qui défile (mais Malwarebytes ne le considère pas comme un élément infectieux)
Normalement USBFix doit supprimer ce fichier. Mais le pb c'est USBFix plante avec ton PC et je ne sais pas pourquoi donc j'essaie d'autres solutions
Branche ta clé
Relance OTM
- Copie (Ctrl+C) le texte suivant en gras ci-dessous :
---------------------------------------------------------------------------------
:files
F:\U3ROM\flyhigh.exe
:commands
[emptytemp]
[Reboot]
----------------------------------------------------------------------------------
- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved.
- Clique maintenant sur le bouton MoveIt!
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
Branche ta clé
Relance OTM
- Copie (Ctrl+C) le texte suivant en gras ci-dessous :
---------------------------------------------------------------------------------
:files
F:\U3ROM\flyhigh.exe
:commands
[emptytemp]
[Reboot]
----------------------------------------------------------------------------------
- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved.
- Clique maintenant sur le bouton MoveIt!
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
voilà le rapport :
All processes killed
========== FILES ==========
F:\U3ROM\flyhigh.exe moved successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: All Users.WINDOWS
User: Default User
->Temp folder emptied: 0 bytes
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
->Temporary Internet Files folder emptied: 33170 bytes
User: Default User.WINDOWS
->Temp folder emptied: 0 bytes
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
->Temporary Internet Files folder emptied: 33170 bytes
Unable to create HKLM\Software\OldTimer Tools\OTM key.
->Flash cache emptied: 41 bytes
User: francois
User: françois
User: LocalService
User: LocalService.AUTORITE NT
User: NetworkService
User: NetworkService.AUTORITE NT
%systemdrive% .tmp files removed: 0 bytes
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
%systemroot% .tmp files removed: 2249787 bytes
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
%systemroot%\System32 .tmp files removed: 355385 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 3,00 mb
OTM by OldTimer - Version 3.1.12.2 log created on 06112010_191344
All processes killed
========== FILES ==========
F:\U3ROM\flyhigh.exe moved successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: All Users.WINDOWS
User: Default User
->Temp folder emptied: 0 bytes
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
->Temporary Internet Files folder emptied: 33170 bytes
User: Default User.WINDOWS
->Temp folder emptied: 0 bytes
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
->Temporary Internet Files folder emptied: 33170 bytes
Unable to create HKLM\Software\OldTimer Tools\OTM key.
->Flash cache emptied: 41 bytes
User: francois
User: françois
User: LocalService
User: LocalService.AUTORITE NT
User: NetworkService
User: NetworkService.AUTORITE NT
%systemdrive% .tmp files removed: 0 bytes
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
%systemroot% .tmp files removed: 2249787 bytes
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
Unable to create HKLM\Software\OldTimer Tools\OTM key.
%systemroot%\System32 .tmp files removed: 355385 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 3,00 mb
OTM by OldTimer - Version 3.1.12.2 log created on 06112010_191344
je vois F:U3ROM dans la liste des éléments analysés quand Kaspersky analyse ma clé mais il ne fait pas d'alerte
En fait je pense que Kapersky voit le dossier U3ROM mais pas le fichier qui se trouvait dans le dossier
Est-ce que tu peux refaire un scan ZHPDiag et poster le rapport
Smart
Est-ce que tu peux refaire un scan ZHPDiag et poster le rapport
Smart
Pour moi tout est OK maintenant.
Fais les mises à jour suivantes:
Mise à jour IE8
https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70
Mise à jour Adobe
Désinstalle Adobe 8
Installe Adobe 9
La version 10.1.53.64 de Flash Player est disponible, elle corrige la vulnérabilité. Pour procéder à la mise à jour :
* Fermez tous vos navigateurs
* A partir du panneau de configuration de Windows, désinstallez Adobe FlashPlayer ActiveX (utilisé par IE) et Adobe FlashPlayer Plugin (utilisé par les autres navigateurs).
* Réinstallez l'ActiveX et le plugin.
1. Désinstallation des outils
Lance ZHPFix (pour ça, fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur ») --> clique sur le « A » rouge (Nettoyeur de Tools) --> clique sur « Nettoyer »
Tutoriel pour t'aide
2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre).
3. Désactiver la restauration système et céer un point de restauration
Dans la barre des tâches de Windows, clique sur Démarrer.
Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.
Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"
Clique sur Appliquer.
Ensuite décoche "Désactiver la restauration du systeme"
Clique sur appliquer puis ok
Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides
Quelques conseils de Prévention
- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement.
- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) :
Prévention et Protection
Voilà si tu as des questions
Smart
Fais les mises à jour suivantes:
Mise à jour IE8
https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70
Mise à jour Adobe
Désinstalle Adobe 8
Installe Adobe 9
La version 10.1.53.64 de Flash Player est disponible, elle corrige la vulnérabilité. Pour procéder à la mise à jour :
* Fermez tous vos navigateurs
* A partir du panneau de configuration de Windows, désinstallez Adobe FlashPlayer ActiveX (utilisé par IE) et Adobe FlashPlayer Plugin (utilisé par les autres navigateurs).
* Réinstallez l'ActiveX et le plugin.
1. Désinstallation des outils
Lance ZHPFix (pour ça, fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur ») --> clique sur le « A » rouge (Nettoyeur de Tools) --> clique sur « Nettoyer »
Tutoriel pour t'aide
2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre).
3. Désactiver la restauration système et céer un point de restauration
Dans la barre des tâches de Windows, clique sur Démarrer.
Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.
Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"
Clique sur Appliquer.
Ensuite décoche "Désactiver la restauration du systeme"
Clique sur appliquer puis ok
Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides
Quelques conseils de Prévention
- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement.
- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) :
Prévention et Protection
Voilà si tu as des questions
Smart
Heureux de t'avoir aidé, mais j'ai oublié comment te dire pour supprimer le dossier F:U3ROM
Relance OTM
- Copie (Ctrl+C) le texte suivant en gras ci-dessous :
---------------------------------------------------------------------------------
:files
F:\U3ROM
:commands
[Reboot]
----------------------------------------------------------------------------------
- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved.
- Clique maintenant sur le bouton MoveIt!
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
Smart
Relance OTM
- Copie (Ctrl+C) le texte suivant en gras ci-dessous :
---------------------------------------------------------------------------------
:files
F:\U3ROM
:commands
[Reboot]
----------------------------------------------------------------------------------
- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved.
- Clique maintenant sur le bouton MoveIt!
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
Smart
voilà le rapport :
========== FILES ==========
F:\U3ROM folder moved successfully.
========== COMMANDS ==========
OTM by OldTimer - Version 3.1.12.2 log created on 06122010_145346
========== FILES ==========
F:\U3ROM folder moved successfully.
========== COMMANDS ==========
OTM by OldTimer - Version 3.1.12.2 log created on 06122010_145346
Voilà tout est bon. Tu peux mettre la discussion en résolue
Et fais attention quand tu utilises les clés des copains ou de la famille
Je te donne deux dossiers à lire et très instructifs:
Infections par disques amovibles
Infections par disques amovibles 2
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
Et fais attention quand tu utilises les clés des copains ou de la famille
Je te donne deux dossiers à lire et très instructifs:
Infections par disques amovibles
Infections par disques amovibles 2
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
visiblement je ne peux pas signaler mon problème comme résolu parce que je suis intervenue sans être inscrite...