Virus qui se duplique via autorun.inf
haflit21
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Comme le sujet l'indique je pense être infecté par un virus malgré le fait que mes scans, à l'aide de mon antivirus, ne donne absolument rien. J'ai des problèmes depuis peut comme le ralentissement subite de mon ordinateur ou encore plus suspect, a chaque fois que je veut éteindre mon ordinateur celui se bloque un moment sur la page qui affiche "forcer l'arrêt de l'ordinateur". Et même depuis peu, j'ai des BlueScreen qui commence a m'inquiéter, voila pourquoi j'ai décidé de poster mon problème. Donc d'un point de vue technique, j'ai très peu de connaissance au niveau sécurité et virus, et de plus a priori je ne vois rien de suspect quand je consulte les différents processus lancés. Par ailleurs ce virus se manifeste notamment lorsque je branche un périphérique USB externe : par exemple a chaque fois que je branche ma clé mon antivirus détecte un fichier autorun.inf et le bloque de lui-même. J'ai donc pensé que le virus pouvais se trouver sur la clé en question c'est pourquoi je l'ai formaté a plusieurs reprises (histoire d'être sur ^^) et a chaque fois que je la rebranche il refait son apparition. Donc voici le script qui est affecté au fichier autorun.inf :
[autorun]
;open=RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\svchost.exe
icon=shell32.dll,4
shellexecute=RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\svchost.exe
label=PENDRIVE
action=Open folder to view files
shell\Open=Open
shell\Open\command=RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\svchost.exe
shell\Open\Default=1
j'aurais aimer savoir si effectivement c'est bien un virus et ce qu'il fait exactement.
De plus j'ai effectuer un scan a l'aide de HijackThis afin de vous permettre de m'aider voici le rapport obtenu que j'ai poster sur cijoint : http://www.cijoint.fr/cj201009/cijaE4LupT.txt
Au niveau de la config, je suis en windows 7 64 bits. Je vous remercie d'avance et j'espère que vous m'aiderez a régler ce problème.
P.S. : au niveau des réponses j'aimerais bien quelques explications supplémentaires sur le virus en question (si il y a virus bien entendu), à savoir le mode de fonctionnement, à quoi il s'attaque, et surtout ou est-ce qu'il est le plus possible d'attraper ce virus car mon ordinateur est utilisé par de nombreuses personnes qui ne savent pas toujours ce qu'il font sur le net.
Comme le sujet l'indique je pense être infecté par un virus malgré le fait que mes scans, à l'aide de mon antivirus, ne donne absolument rien. J'ai des problèmes depuis peut comme le ralentissement subite de mon ordinateur ou encore plus suspect, a chaque fois que je veut éteindre mon ordinateur celui se bloque un moment sur la page qui affiche "forcer l'arrêt de l'ordinateur". Et même depuis peu, j'ai des BlueScreen qui commence a m'inquiéter, voila pourquoi j'ai décidé de poster mon problème. Donc d'un point de vue technique, j'ai très peu de connaissance au niveau sécurité et virus, et de plus a priori je ne vois rien de suspect quand je consulte les différents processus lancés. Par ailleurs ce virus se manifeste notamment lorsque je branche un périphérique USB externe : par exemple a chaque fois que je branche ma clé mon antivirus détecte un fichier autorun.inf et le bloque de lui-même. J'ai donc pensé que le virus pouvais se trouver sur la clé en question c'est pourquoi je l'ai formaté a plusieurs reprises (histoire d'être sur ^^) et a chaque fois que je la rebranche il refait son apparition. Donc voici le script qui est affecté au fichier autorun.inf :
[autorun]
;open=RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\svchost.exe
icon=shell32.dll,4
shellexecute=RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\svchost.exe
label=PENDRIVE
action=Open folder to view files
shell\Open=Open
shell\Open\command=RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\svchost.exe
shell\Open\Default=1
j'aurais aimer savoir si effectivement c'est bien un virus et ce qu'il fait exactement.
De plus j'ai effectuer un scan a l'aide de HijackThis afin de vous permettre de m'aider voici le rapport obtenu que j'ai poster sur cijoint : http://www.cijoint.fr/cj201009/cijaE4LupT.txt
Au niveau de la config, je suis en windows 7 64 bits. Je vous remercie d'avance et j'espère que vous m'aiderez a régler ce problème.
P.S. : au niveau des réponses j'aimerais bien quelques explications supplémentaires sur le virus en question (si il y a virus bien entendu), à savoir le mode de fonctionnement, à quoi il s'attaque, et surtout ou est-ce qu'il est le plus possible d'attraper ce virus car mon ordinateur est utilisé par de nombreuses personnes qui ne savent pas toujours ce qu'il font sur le net.
A voir également:
- Virus qui se duplique via autorun.inf
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Via michelin carte - Télécharger - Transports & Cartes
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
31 réponses
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4594
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
11/09/2010 19:49:55
mbam-log-2010-09-11 (19-49-55).txt
Type d'examen: Examen complet (C:\|D:\|F:\|G:\|K:\|L:\|)
Elément(s) analysé(s): 379816
Temps écoulé: 55 minute(s), 6 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Program Files (x86)\Ad-Remover\Quarantine\C\Program Files (x86)\pdfforge Toolbar\WidgiHelper.exe.vir (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
C:\Program Files (x86)\Ad-Remover\Quarantine\C\Program Files (x86)\pdfforge Toolbar\FF\components\pdfforgeToolbarFF.dll.vir (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
C:\Program Files (x86)\Ad-Remover\Quarantine\C\Program Files (x86)\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll.vir (Adware.WidgiToolbar) -> Quarantined and deleted successfully.=4
C:\Users\XXX\AppData\Roaming\chrtmp (Malware.Trace) -> Quarantined and deleted successfully.
www.malwarebytes.org
Version de la base de données: 4594
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
11/09/2010 19:49:55
mbam-log-2010-09-11 (19-49-55).txt
Type d'examen: Examen complet (C:\|D:\|F:\|G:\|K:\|L:\|)
Elément(s) analysé(s): 379816
Temps écoulé: 55 minute(s), 6 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Program Files (x86)\Ad-Remover\Quarantine\C\Program Files (x86)\pdfforge Toolbar\WidgiHelper.exe.vir (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
C:\Program Files (x86)\Ad-Remover\Quarantine\C\Program Files (x86)\pdfforge Toolbar\FF\components\pdfforgeToolbarFF.dll.vir (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
C:\Program Files (x86)\Ad-Remover\Quarantine\C\Program Files (x86)\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll.vir (Adware.WidgiToolbar) -> Quarantined and deleted successfully.=4
C:\Users\XXX\AppData\Roaming\chrtmp (Malware.Trace) -> Quarantined and deleted successfully.
Voila le fichier log que j'obtiens après avoir lancé malwarebyte. Comme inscrit dans le tutorial j'ai procédé a la suppression des menaces quand est il maintenant ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Voila le rapport générer par OTL mais je n'ai pas de fichier qui se nomme Extra.txt : http://www.cijoint.fr/cj201009/cijwMG4Tcc.txt
je ne voit pas d'option qui se nomme output ??
voila mes options actuelles http://img835.imageshack.us/img835/215/captureco.jpg
voila mes options actuelles http://img835.imageshack.us/img835/215/captureco.jpg
j'ai comparé les rapports et c'est exactement le même que celui que j'ai poster ...
il y aurai-t-il quelque chose de pas normal ?
il y aurai-t-il quelque chose de pas normal ?
▶ Télécharge Dr Web CureIt sur ton Bureau :
▶ redemarre en mode sans échec
▶- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;
▶- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".
▶- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
▶- De retour à la fenêtre principale : clique pour activer <Analyse complète>
selectionne tous les disques
▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses
ensuite :
tu m'envoies l'archive comme ceci :
clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
▶- Ferme Dr.Web Cureit
▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
▶ redemarre en mode sans échec
▶- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;
▶- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".
▶- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
▶- De retour à la fenêtre principale : clique pour activer <Analyse complète>
selectionne tous les disques
▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses
ensuite :
tu m'envoies l'archive comme ceci :
clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
▶- Ferme Dr.Web Cureit
▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
