Win32 autorun.tmp
Fermé
understanding83
-
18 déc. 2010 à 12:16
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 - 18 déc. 2010 à 23:51
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 - 18 déc. 2010 à 23:51
8 réponses
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
18 déc. 2010 à 23:51
18 déc. 2010 à 23:51
hello
c'est vrai les garcons, pourriez faire un brin d'effort quand même !!
pas rapides, pas clairs....
je rêve, en plus dire ca de vous deux !
@+
c'est vrai les garcons, pourriez faire un brin d'effort quand même !!
pas rapides, pas clairs....
je rêve, en plus dire ca de vous deux !
@+
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
18 déc. 2010 à 12:56
18 déc. 2010 à 12:56
bonjour
branche tous tes supports externes : clé usb, disque dur externe ...
puis colle nous un rapport de recherche avec le logiciel usbfix
http://www.teamxscript.org/usbfix.html
branche tous tes supports externes : clé usb, disque dur externe ...
puis colle nous un rapport de recherche avec le logiciel usbfix
http://www.teamxscript.org/usbfix.html
bonjour jlpjlp,
merci de la réponse,
voici le rapport généré par usbfix :
############################## | UsbFix 7.035 | [Recherche]
Utilisateur: Arno (Administrateur) # ARNO-PC [System manufacturer System Product Name]
Mis à jour le 05/12/10 par El Desaparecido / C_XX
Lancé à 13:12:28 | 18/12/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org
CPU: Intel(R) Core(TM) i7 CPU 950 @ 3.07GHz
CPU 2: Intel(R) Core(TM) i7 CPU 950 @ 3.07GHz
Microsoft Windows 7 Édition Familiale Premium (6.1.7600 64-Bit) #
Internet Explorer 8.0.7600.16385
Pare-feu Windows: Activé
RAM -> 6135 Mo
C:\ (%systemdrive%) -> Disque fixe # 932 Go (783 Go libre(s) - 84%) [Windows] # NTFS
D:\ -> CD-ROM
E:\ -> Disque fixe # 932 Go (868 Go libre(s) - 93%) [Données] # NTFS
F:\ -> CD-ROM
G:\ -> CD-ROM
H:\ -> Disque amovible # 964 Mo (957 Mo libre(s) - 99%) [] # FAT
I:\ -> Disque fixe # 1397 Go (607 Go libre(s) - 43%) [Multimedia] # NTFS
J:\ -> Disque amovible # 4 Go (3 Go libre(s) - 90%) [KINGSTON] # FAT32
K:\ -> Disque amovible # 2 Go (1 Go libre(s) - 75%) [] # FAT
################## | Éléments infectieux |
Présent! C:\Users\Arno\AppData\Local\Temp\MSN.abc
Présent! C:\Users\Arno\AppData\Local\Temp\XxX.xXx
Présent! C:\Users\Arno\AppData\Local\Temp\xxxyyyzzz.dat
Présent! D:\autorun.inf
Présent! F:\autorun.inf
################## | Registre |
Présent! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|HKCU
################## | Mountpoints2 |
HKCU\.\.\.\.\Explorer\MountPoints2\{68473207-5acd-11df-ba9f-806e6f6e6963}
Shell\AutoRun\Command = D:\BSAutoRun.exe
HKCU\.\.\.\.\Explorer\MountPoints2\{b9cc312c-5ac5-11df-9f12-806e6f6e6963}
Shell\AutoRun\Command = "F:\WD SmartWare.exe" autoplay=true
HKCU\.\.\.\.\Explorer\MountPoints2\{c42f0eb1-b5e0-11df-a811-e0cb4e0bef7d}
Shell\AutoRun\Command = "F:\WD SmartWare.exe" autoplay=true
################## | Vaccin |
D:\Autorun.inf -> Dossier créé par Panda USB Vaccine
F:\Autorun.inf -> Dossier créé par Panda USB Vaccine
################## | E.O.F |
merci de la réponse,
voici le rapport généré par usbfix :
############################## | UsbFix 7.035 | [Recherche]
Utilisateur: Arno (Administrateur) # ARNO-PC [System manufacturer System Product Name]
Mis à jour le 05/12/10 par El Desaparecido / C_XX
Lancé à 13:12:28 | 18/12/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org
CPU: Intel(R) Core(TM) i7 CPU 950 @ 3.07GHz
CPU 2: Intel(R) Core(TM) i7 CPU 950 @ 3.07GHz
Microsoft Windows 7 Édition Familiale Premium (6.1.7600 64-Bit) #
Internet Explorer 8.0.7600.16385
Pare-feu Windows: Activé
RAM -> 6135 Mo
C:\ (%systemdrive%) -> Disque fixe # 932 Go (783 Go libre(s) - 84%) [Windows] # NTFS
D:\ -> CD-ROM
E:\ -> Disque fixe # 932 Go (868 Go libre(s) - 93%) [Données] # NTFS
F:\ -> CD-ROM
G:\ -> CD-ROM
H:\ -> Disque amovible # 964 Mo (957 Mo libre(s) - 99%) [] # FAT
I:\ -> Disque fixe # 1397 Go (607 Go libre(s) - 43%) [Multimedia] # NTFS
J:\ -> Disque amovible # 4 Go (3 Go libre(s) - 90%) [KINGSTON] # FAT32
K:\ -> Disque amovible # 2 Go (1 Go libre(s) - 75%) [] # FAT
################## | Éléments infectieux |
Présent! C:\Users\Arno\AppData\Local\Temp\MSN.abc
Présent! C:\Users\Arno\AppData\Local\Temp\XxX.xXx
Présent! C:\Users\Arno\AppData\Local\Temp\xxxyyyzzz.dat
Présent! D:\autorun.inf
Présent! F:\autorun.inf
################## | Registre |
Présent! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|HKCU
################## | Mountpoints2 |
HKCU\.\.\.\.\Explorer\MountPoints2\{68473207-5acd-11df-ba9f-806e6f6e6963}
Shell\AutoRun\Command = D:\BSAutoRun.exe
HKCU\.\.\.\.\Explorer\MountPoints2\{b9cc312c-5ac5-11df-9f12-806e6f6e6963}
Shell\AutoRun\Command = "F:\WD SmartWare.exe" autoplay=true
HKCU\.\.\.\.\Explorer\MountPoints2\{c42f0eb1-b5e0-11df-a811-e0cb4e0bef7d}
Shell\AutoRun\Command = "F:\WD SmartWare.exe" autoplay=true
################## | Vaccin |
D:\Autorun.inf -> Dossier créé par Panda USB Vaccine
F:\Autorun.inf -> Dossier créé par Panda USB Vaccine
################## | E.O.F |
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 662
Modifié par Malekal_morte- le 18/12/2010 à 13:33
Modifié par Malekal_morte- le 18/12/2010 à 13:33
humm...: https://forums.commentcamarche.net/forum/affich-20184118-win32-autorun-tmp#p20184179
C'est SpyBot qui détecte ce Win32 autorun.tmp ?
tu peux montrer ce qu'il détecte en developpant ?
Tu fais une capture et tu la poste sur http://cijoint.fr et tu donnes le lien ici stp.
Proverbe Chinois : "Si tu sais mettre un bonnet sur la tete, tu sais mettre une capote"
C'est SpyBot qui détecte ce Win32 autorun.tmp ?
tu peux montrer ce qu'il détecte en developpant ?
Tu fais une capture et tu la poste sur http://cijoint.fr et tu donnes le lien ici stp.
Proverbe Chinois : "Si tu sais mettre un bonnet sur la tete, tu sais mettre une capote"
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
bonjour Malekal,
voici les liens, sachant qu'effectivement le trojan win32 autorun.tmp est détecté par spybot, je joins aussi une capture d'un scan malware's byte, ainsi que le rapport. Tous les trojans et spywares, je les ai scannés et effacés plusieurs fois, mais à chaque redémarrage, ils reviennent.
scan spybot :
http://www.cijoint.fr/cjlink.php?file=cj201012/cijRN7Rnqd.jpg
scan malware's byte :
http://www.cijoint.fr/cjlink.php?file=cj201012/cij2jAbIWF.jpg
rapport MBAM :
Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org
Version de la base de données: 5343
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
18/12/2010 13:47:03
mbam-log-2010-12-18 (13-46-57).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 155060
Temps écoulé: 1 minute(s), 13 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKCU (Trojan.Backdoor) -> Value: HKCU -> No action taken.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\Users\Arno\AppData\Roaming\cglogs.dat (Malware.Trace) -> No action taken.
c:\Users\Arno\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> No action taken.
c:\Users\Arno\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> No action taken.
c:\Users\Arno\AppData\Roaming\messenger\msnmsgr.exe (Trojan.Backdoor) -> No action taken.
voici les liens, sachant qu'effectivement le trojan win32 autorun.tmp est détecté par spybot, je joins aussi une capture d'un scan malware's byte, ainsi que le rapport. Tous les trojans et spywares, je les ai scannés et effacés plusieurs fois, mais à chaque redémarrage, ils reviennent.
scan spybot :
http://www.cijoint.fr/cjlink.php?file=cj201012/cijRN7Rnqd.jpg
scan malware's byte :
http://www.cijoint.fr/cjlink.php?file=cj201012/cij2jAbIWF.jpg
rapport MBAM :
Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org
Version de la base de données: 5343
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
18/12/2010 13:47:03
mbam-log-2010-12-18 (13-46-57).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 155060
Temps écoulé: 1 minute(s), 13 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKCU (Trojan.Backdoor) -> Value: HKCU -> No action taken.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\Users\Arno\AppData\Roaming\cglogs.dat (Malware.Trace) -> No action taken.
c:\Users\Arno\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> No action taken.
c:\Users\Arno\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> No action taken.
c:\Users\Arno\AppData\Roaming\messenger\msnmsgr.exe (Trojan.Backdoor) -> No action taken.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 662
18 déc. 2010 à 14:02
18 déc. 2010 à 14:02
merci, interressant.
Je pensais que c'était un faux positif ces détections de spybot sur mon autre sujet et que t'avais la mm chose.
Bref t'as Spyrat.
Je te laisse continuer avec jlpjlp .
@jlpjlp : désolé pour l'interruption :)
Je pensais que c'était un faux positif ces détections de spybot sur mon autre sujet et que t'avais la mm chose.
Bref t'as Spyrat.
Je te laisse continuer avec jlpjlp .
@jlpjlp : désolé pour l'interruption :)
merci, pour avoir identifié le problème.
donc j'ai vu sur google la définition de Spyrat, ça m'a gaché le week-end..
quel est la procédure pour l'éradiquer ?
donc j'ai vu sur google la définition de Spyrat, ça m'a gaché le week-end..
quel est la procédure pour l'éradiquer ?
Problème apparemment résolu avec combofix.
Juste une petite remarque, merci de votre "aide" mais je l'ai déjà remarqué sur d'autres forums, à part faire poster de multiples rapports et scans de différents logs aux personnes qui demandent de l'aide, personne ne donne de procédures concrètes pour résoudre les problèmes. C'est trés bien de dire à quelqu'un "bref t'as spyrat", aprés lui avoir fait poster plusieurs rapports. Mais si c'est juste pour ta culture personnelle et que tu ne donnes aucun moyen d'éradiquer le trojan, cela ne m'aide pas beaucoup.
à bon entendeur,
mais merci quand même.
Juste une petite remarque, merci de votre "aide" mais je l'ai déjà remarqué sur d'autres forums, à part faire poster de multiples rapports et scans de différents logs aux personnes qui demandent de l'aide, personne ne donne de procédures concrètes pour résoudre les problèmes. C'est trés bien de dire à quelqu'un "bref t'as spyrat", aprés lui avoir fait poster plusieurs rapports. Mais si c'est juste pour ta culture personnelle et que tu ne donnes aucun moyen d'éradiquer le trojan, cela ne m'aide pas beaucoup.
à bon entendeur,
mais merci quand même.
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
18 déc. 2010 à 22:43
18 déc. 2010 à 22:43
slt . nous sommes bénévoles et donc pas toujours disponnibles! usbfix aurait viré l infection... on aide alors si cela te pose un probleme de patienter un peu et de coller des rapports pour t aider ce nest pas la peine de demander de l aide sinon tu as le rapport de combofix ? mak tu passe quand tu veux !