Win32 autorun.tmp

understanding83 -  
moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

Depuis quelques temps j'ai un trojan nommé Win32 autorun.tmp sur mon pc...

Après plusieurs scans avec Malwarebytes' Anti-Malware, Spybot - Search & Destroy, SUPERAntiSpyware Free Edition, avast 5, en mode normal et en mode sans échec; celui ci réapparait toujours au démarrage de l'ordi, et m'infecte le pc avec d'autres trojans/spywares.
J'ai parcouru plusieurs forums et aucune procédure de désinfection pour ce cheval de troie n'est vraiment claire.

Merci de m'aider pour le supprimer définitivement !

8 réponses

  1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    hello

    c'est vrai les garcons, pourriez faire un brin d'effort quand même !!

    pas rapides, pas clairs....

    je rêve, en plus dire ca de vous deux !

    @+
    1
  2. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    bonjour

    branche tous tes supports externes : clé usb, disque dur externe ...

    puis colle nous un rapport de recherche avec le logiciel usbfix

    http://www.teamxscript.org/usbfix.html
    0
  3. understanding83
     
    bonjour jlpjlp,

    merci de la réponse,

    voici le rapport généré par usbfix :


    ############################## | UsbFix 7.035 | [Recherche]

    Utilisateur: Arno (Administrateur) # ARNO-PC [System manufacturer System Product Name]
    Mis à jour le 05/12/10 par El Desaparecido / C_XX
    Lancé à 13:12:28 | 18/12/2010
    Site Web: http://www.teamxscript.org
    Contact: eldesaparecido@teamxscript.org

    CPU: Intel(R) Core(TM) i7 CPU 950 @ 3.07GHz
    CPU 2: Intel(R) Core(TM) i7 CPU 950 @ 3.07GHz
    Microsoft Windows 7 Édition Familiale Premium (6.1.7600 64-Bit) #
    Internet Explorer 8.0.7600.16385

    Pare-feu Windows: Activé
    RAM -> 6135 Mo
    C:\ (%systemdrive%) -> Disque fixe # 932 Go (783 Go libre(s) - 84%) [Windows] # NTFS
    D:\ -> CD-ROM
    E:\ -> Disque fixe # 932 Go (868 Go libre(s) - 93%) [Données] # NTFS
    F:\ -> CD-ROM
    G:\ -> CD-ROM
    H:\ -> Disque amovible # 964 Mo (957 Mo libre(s) - 99%) [] # FAT
    I:\ -> Disque fixe # 1397 Go (607 Go libre(s) - 43%) [Multimedia] # NTFS
    J:\ -> Disque amovible # 4 Go (3 Go libre(s) - 90%) [KINGSTON] # FAT32
    K:\ -> Disque amovible # 2 Go (1 Go libre(s) - 75%) [] # FAT

    ################## | Éléments infectieux |

    Présent! C:\Users\Arno\AppData\Local\Temp\MSN.abc
    Présent! C:\Users\Arno\AppData\Local\Temp\XxX.xXx
    Présent! C:\Users\Arno\AppData\Local\Temp\xxxyyyzzz.dat
    Présent! D:\autorun.inf
    Présent! F:\autorun.inf

    ################## | Registre |

    Présent! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman
    Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|HKCU

    ################## | Mountpoints2 |

    HKCU\.\.\.\.\Explorer\MountPoints2\{68473207-5acd-11df-ba9f-806e6f6e6963}
    Shell\AutoRun\Command = D:\BSAutoRun.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{b9cc312c-5ac5-11df-9f12-806e6f6e6963}
    Shell\AutoRun\Command = "F:\WD SmartWare.exe" autoplay=true

    HKCU\.\.\.\.\Explorer\MountPoints2\{c42f0eb1-b5e0-11df-a811-e0cb4e0bef7d}
    Shell\AutoRun\Command = "F:\WD SmartWare.exe" autoplay=true

    ################## | Vaccin |

    D:\Autorun.inf -> Dossier créé par Panda USB Vaccine
    F:\Autorun.inf -> Dossier créé par Panda USB Vaccine

    ################## | E.O.F |
    0
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    humm...: https://forums.commentcamarche.net/forum/affich-20184118-win32-autorun-tmp#p20184179

    C'est SpyBot qui détecte ce Win32 autorun.tmp ?

    tu peux montrer ce qu'il détecte en developpant ?
    Tu fais une capture et tu la poste sur http://cijoint.fr et tu donnes le lien ici stp.

    Proverbe Chinois : "Si tu sais mettre un bonnet sur la tete, tu sais mettre une capote"
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. understanding83
     
    bonjour Malekal,

    voici les liens, sachant qu'effectivement le trojan win32 autorun.tmp est détecté par spybot, je joins aussi une capture d'un scan malware's byte, ainsi que le rapport. Tous les trojans et spywares, je les ai scannés et effacés plusieurs fois, mais à chaque redémarrage, ils reviennent.


    scan spybot :
    http://www.cijoint.fr/cjlink.php?file=cj201012/cijRN7Rnqd.jpg

    scan malware's byte :
    http://www.cijoint.fr/cjlink.php?file=cj201012/cij2jAbIWF.jpg

    rapport MBAM :
    Malwarebytes' Anti-Malware 1.50
    www.malwarebytes.org

    Version de la base de données: 5343

    Windows 6.1.7600
    Internet Explorer 8.0.7600.16385

    18/12/2010 13:47:03
    mbam-log-2010-12-18 (13-46-57).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 155060
    Temps écoulé: 1 minute(s), 13 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 4

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKCU (Trojan.Backdoor) -> Value: HKCU -> No action taken.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\Users\Arno\AppData\Roaming\cglogs.dat (Malware.Trace) -> No action taken.
    c:\Users\Arno\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> No action taken.
    c:\Users\Arno\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> No action taken.
    c:\Users\Arno\AppData\Roaming\messenger\msnmsgr.exe (Trojan.Backdoor) -> No action taken.
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      merci, interressant.
      Je pensais que c'était un faux positif ces détections de spybot sur mon autre sujet et que t'avais la mm chose.
      Bref t'as Spyrat.

      Je te laisse continuer avec jlpjlp .

      @jlpjlp : désolé pour l'interruption :)
      0
  7. understanding83
     
    merci, pour avoir identifié le problème.
    donc j'ai vu sur google la définition de Spyrat, ça m'a gaché le week-end..

    quel est la procédure pour l'éradiquer ?
    0
  8. understanding83
     
    Problème apparemment résolu avec combofix.

    Juste une petite remarque, merci de votre "aide" mais je l'ai déjà remarqué sur d'autres forums, à part faire poster de multiples rapports et scans de différents logs aux personnes qui demandent de l'aide, personne ne donne de procédures concrètes pour résoudre les problèmes. C'est trés bien de dire à quelqu'un "bref t'as spyrat", aprés lui avoir fait poster plusieurs rapports. Mais si c'est juste pour ta culture personnelle et que tu ne donnes aucun moyen d'éradiquer le trojan, cela ne m'aide pas beaucoup.

    à bon entendeur,
    mais merci quand même.
    0
  9. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt . nous sommes bénévoles et donc pas toujours disponnibles! usbfix aurait viré l infection... on aide alors si cela te pose un probleme de patienter un peu et de coller des rapports pour t aider ce nest pas la peine de demander de l aide sinon tu as le rapport de combofix ? mak tu passe quand tu veux !
    0