Autorun.inf Virus impossible à supprimerRésolu/Fermé

Question

Bonjour, 

Hello tout le monde, voilà, depuis quelques temps je me balade avec ce joli petit problème sur mes clés usb, j'en ai 3 et elles sont toutes atteintes....

Que faire???

Merci de votre aide et bonne soirée

Configuration: Windows Vista / Safari 534.13

benurrr · Answer

bonjour 

Télécharge UsbFix de C_XX & Chiquitine29 

http://www.teamxscript.org/usbfixTelechargement.html


(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir 

* Double clic sur "UsbFix.exe" présent sur ton bureau  ( clic droit "exécuter en tant qu'administrateur" pour Vista & 7 )  

* Choisis l'option F pour français et tape sur [entrée] . 

* Choisis l'option 1 ( Recherche ) et tape sur [entrée] . 

* Laisse travailler l'outil. 

* Ensuite poste le rapport UsbFix.txt qui apparaitra. 

* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt ) 

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 
Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C.., 
Mais C.. de penser que ­tu es libre...Merci a australe13

Mikris · Answer

Merci beaucoup :)
Voici le rapport

############################## | UsbFix 7.038 | [Recherche]

Utilisateur: Kris (Administrateur) # PC-DE-KRIS [Sony Corporation VGN-AR78E]
Mis à jour le 14/01/2011 par El Desaparecido / C_XX
Lancé à 19:14:03 | 09/02/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: Intel(R) Pentium(R) Dual CPU T2390 @ 1.86GHz
CPU 2: Intel(R) Pentium(R) Dual CPU T2390 @ 1.86GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6002 32-Bit) # Service Pack 2
Internet Explorer 7.0.6002.18005

Pare-feu Windows: Activé
RAM -> 2046 Mo 
C:\ (%systemdrive%) -> Disque fixe # 142 Go (89 Go libre(s) - 63%) [] # NTFS
F:\ -> CD-ROM
G:\ -> CD-ROM
H:\ -> Disque amovible # 981 Mo (965 Mo libre(s) - 98%) [ENERGIE_CHA] # FAT
I:\ -> Disque amovible # 2 Go (1 Go libre(s) - 58%) [USB DISK] # FAT
J:\ -> Disque amovible # 2 Go (1 Go libre(s) - 65%) [USB] # FAT

################## | Éléments infectieux |


Présent! G:\AUTORUN.INF
Présent! H:\autorun.inf.txt
Présent! I:\autorun.inf.txt
Présent! J:\autorun.inf.txt
Présent! J:\TTHDHGC

################## | Registre |


################## | Mountpoints2 |


################## | Vaccin |

G:\Autorun.inf -> Dossier créé par Panda USB Vaccine

################## | E.O.F |










ps: comment peut on faire pour éviter d'avoir ce virus??
merci

benurrr · Answer

Suppression 

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe......) susceptibles d'avoir été infectés sans les ouvrir

(1) Double clic sur le raccourci UsbFix présent sur ton bureau

(2) Choisi l option 2 ( Suppression )

 Ton bureau disparaitra et le pc redémarrera .

 Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

 Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

 Note :Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

ps: comment peut on faire pour éviter d'avoir ce virus?? 

Le plus simple pour éviter de se infecter tout lecteur de mémoire flash, est de désactiver la fonction de lecture automatique de Windows

Mikris · Answer

benurrr · Answer

salut 

Merci et comment je fais pour désactiver la lecture automatique?? 

içi une astuce 

https://www.commentcamarche.net/faq/29048-desactiver-l-autorun-usb 

télécharge 

https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

a l'installation vérifie que mise a jour et lancer programme et scan complet sont bien cocher 

Une fois a jour, le programme va se lancer; clic sur l'onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression". 

A la fin du scan clique sur Afficher les résultats 

Vérifier si tout est coché et clic Supprimer la sélection 

S'il t'es demandé de redémarrer >>> clique sur "Yes" 

Et tu poste le rapport générer  

Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C.., 
Mais C.. de penser que ­tu es libre...Merci a australe13

Mikris · Answer

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5727

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

10/02/2011 08:39:54
mbam-log-2011-02-10 (08-39-54).txt

Type d'examen: Examen complet (H:\|I:\|J:\|)
Elément(s) analysé(s): 135697
Temps écoulé: 1 minute(s), 51 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Il ne détecte rien....

benurrr · Answer

cool rien sur tes amovible (H:\|I:\|J:\|) 

mais tu n'a pas fait le C: relance mbam et fait un scan complet stp

Mikris · Answer

je relance avec le C;
Ce qui est étrange c'est que Usbfix m'indique c'est infecté :s et qu'il n'a pas réussi à les supprimer :s

Mikris · Answer

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5727

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

10/02/2011 10:44:49
mbam-log-2011-02-10 (10-44-39).txt

Type d'examen: Examen complet (C:\|E:\|H:\|I:\|J:\|)
Elément(s) analysé(s): 246591
Temps écoulé: 57 minute(s), 12 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\Kris\documents\vuze downloads\diablo 2 full game with expansion\diablo2_kg.exe (RiskWare.Tool.CK) -> No action taken.


et voilà

Mikris · Answer

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5727

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

10/02/2011 10:46:09
mbam-log-2011-02-10 (10-46-09).txt

Type d'examen: Examen complet (C:\|E:\|H:\|I:\|J:\|)
Elément(s) analysé(s): 246591
Temps écoulé: 57 minute(s), 12 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\Kris\documents\vuze downloads\diablo 2 full game with expansion\diablo2_kg.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.

benurrr · Answer

une derniere verif

Télécharge Rav

http://www.evosla.com/telechargement/securite/rav-anti-spy.html

* Brancher les disques amovibles sans les ouvrir avant de lancer le Fix
* Double-cliquer sur RAV.exe pour lancer l'outil
* Une fois RAV lancé, il scannera automatiquement tous les lecteurs susceptibles d'être infectés
* S'il y a infection un rapport s'établira, sinon le soft affichera le message : « Votre Ordinateur est sain »
* Retirer les disques amovibles et redémarrer l'ordinateur.

Mikris · Answer

je l'ai lancé, je dois le laisser tourné pendant combien de temps?

merci :)

benurrr · Answer

oui il a detecter des autorun mais pas forcement infecter

Télécharger Flash_Disinfector (de sUBs) sur le Bureau :

    * Flash_Disinfector

https://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe

    * Note : Ce programme risque de déclencher une alerte de l'antivirus : si c'est le cas, il faut le désactiver temporairement, c'est une fausse alerte.
    * Double-cliquer sur Flash_Disinfector.exe pour le lancer.
    * Si la clé n'est pas introduite, il sera demandé de la connecter.
    * Quand le message : "Plug in your flash drive & clic Ok to begin disinfection" apparaîtra :
    * connecter les clés USB et/ou périphériques USB externes susceptibles d'avoir été infectés.
    * Puis cliquer sur OK
    * Les icônes sur le bureau vont disparaître jusqu'à l'apparition du message: "Finish"
    * Appuyer ensuite sur "OK", pour faire réapparaître le bureau.

benurrr · Answer

( clic droit "exécuter en tant qu'administrateur" pour Vista/7 )

benurrr · Answer

fait un scan antivirus en ligne

https://www.eset.com/

benurrr · Answer

cool c'est bon signe tu ma pas fait perdre mon temps sa a etait un plaisir

pour nettoyer les fix qui ont servit

Télécharge DelFix sur ton bureau.

https://www.commentcamarche.net/telecharger/securite/7111-delfix/

Option Recherche

Téléchargez DelFix sur votre bureau.
Lancez le, tapez 1 (recherche) et validez en appuyant sur [Entrée]
Patientez quelques secondes puis copiez/collez le contenu du rapport qui s'ouvrira sur le forum qui vous prend en charge.

Note : Le rapport est sauvegardé sous C:\DelFixSearch.txt

-------------------------

3 Option Suppression

Téléchargez DelFix sur votre bureau
Lancez le, tapez 2 (suppression)et validez en appuyant sur [Entrée]
Patientez quelques secondes puis copiez/collez le contenu du rapport qui s'ouvrira sur le forum qui vous prend en charge.

Note : Le rapport est sauvegardé sous C:\DelFixSuppr.txt


--------------Après------------------

tu va télécharger Ccleaner

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

ouvre "Ccleaner" vas dans l'onglet "Option" puis "Avancé" puis décoches "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 24 heures."

. Puis vas dans l'onglet "Nettoyeur" fais "Analyse" puis "Lancer le nettoyage".
Puis vas dans l'onglet "Registre" puis fait "Chercher des erreurs" puis "Réparer les erreurs sélectionnée"
. Tu refais tous ca 4-5 fois (le nettoyage et le registre).

Puis reste dans "Ccleaner" puis va dans "Option" puis "Propriété" puis coches "Nettoyer automatiquement l'ordinateur au démarrage".

Mikris · Answer

Merci beaucoup de ta persévérance 

# DelFix v7.4 - Rapport créé le 11/02/2011 à 18:02
# Mis à jour le 09/02/11 à 23h par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium (32 bits) [version 6.0.6002] Service Pack 2
# Nom d'utilisateur : Kris - PC-DE-KRIS (Administrateur)
# Exécuté depuis : C:\Users\Kris\Downloads\DelFix.exe
# Option [Recherche]


~~~~~~ Dossier(s) ~~~~~~

Présent : C:\USBFix

~~~~~~ Fichier(s) ~~~~~~

Présent : C:\UsbFix.txt
Présent : C:\UsbFix_Upload_Me_PC-DE-KRIS.zip
Présent : C:\Users\Kris\Desktop\UsbFix.exe
Présent : C:\Users\Kris\Downloads\esetsmartinstaller_fra.exe

~~~~~~ Registre ~~~~~~

Clé Présente : HKCU\SOFTWARE\USBFix
Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\USBFix

~~~~~~ Autre ~~~~~~

-> ESET Online Scanner ... Installé

########## EOF - "C:\DelFixSearch.txt" - [914 octets] ##########

Mikris · Answer

# DelFix v7.4 - Rapport créé le 11/02/2011 à 18:03
# Mis à jour le 09/02/11 à 23h par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium (32 bits) [version 6.0.6002] Service Pack 2
# Nom d'utilisateur : Kris - PC-DE-KRIS (Administrateur)
# Exécuté depuis : C:\Users\Kris\Downloads\DelFix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\USBFix

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\UsbFix.txt
Supprimé : C:\UsbFix_Upload_Me_PC-DE-KRIS.zip
Supprimé : C:\Users\Kris\Desktop\UsbFix.exe
Supprimé : C:\Users\Kris\Downloads\esetsmartinstaller_fra.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\SOFTWARE\USBFix
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\USBFix

~~~~~~ Autre ~~~~~~

-> ESET Online Scanner ... Désinstallé avec succès

########## EOF - "C:\DelFixSuppr.txt" - [938 octets] ##########

Mikris · Answer

voilà j'ai tout fait!

benurrr · Answer

mais ils sont encore là :s ils sont la mais pas infectieux > Télécharge Dr.Web CureIt sur ton Bureau : ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe - Double clique et ensuite clique sur ; - Clique à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton . Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X". - Lorsque le scan rapide est terminé, clique sur le menu puis ; Choisis l'onglet , et décoche . Clique ensuite sur . - De retour à la fenêtre principale : clique pour activer - Clique le bouton avec flèche verte sur la droite, et le scan débutera. - Clique pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter". - Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autres). Si oui, alors clique dessus et ensuite clique sur l'icône , au dessous, et choisis . - Du menu principal de l'outil, au haut à gauche, clique sur le menu et choisis . Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv - Ferme Dr.Web Cureit - Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage). - Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse.

Mikris · Answer

48bd6481.qua\data001	C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\48bd6481.qua	Trojan.Inject.16074	

48bd6481.qua	C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED	Conteneur comporte des objets infectés	Quarantaine.

48e82fb2.qua\data001	C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\48e82fb2.qua	Trojan.DownLoader2.433	

48e82fb2.qua	C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED	Conteneur comporte des objets infectés	Quarantaine.

4915bc38.qua\data001	C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\4915bc38.qua	Trojan.Siggen2.17934	

4915bc38.qua	C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED	Conteneur comporte des objets infectés	Quarantaine.

49289cb6.qua\data001	C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\49289cb6.qua	Trojan.Siggen.64544	

49289cb6.qua	C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED	Conteneur comporte des objets infectés	Quarantaine.

5169b307.qua\data001	C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED\5169b307.qua	Trojan.DownLoader1.61807	

5169b307.qua	C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED	Conteneur comporte des objets infectés	Quarantaine.

48bd6481.qua\data001	C:\Documents and Settings\Kris\DoctorWeb\Quarantine\48bd6481.qua	Trojan.Inject.16074	

48bd6481.qua	C:\Documents and Settings\Kris\DoctorWeb\Quarantine	Conteneur comporte des objets infectés	Quarantaine.

48e82fb2.qua\data001	C:\Documents and Settings\Kris\DoctorWeb\Quarantine\48e82fb2.qua	Trojan.DownLoader2.433	

48e82fb2.qua	C:\Documents and Settings\Kris\DoctorWeb\Quarantine	Conteneur comporte des objets infectés	Quarantaine.

4915bc38.qua\data001	C:\Documents and Settings\Kris\DoctorWeb\Quarantine\4915bc38.qua	Trojan.Siggen2.17934	

4915bc38.qua	C:\Documents and Settings\Kris\DoctorWeb\Quarantine	Conteneur comporte des objets infectés	Quarantaine.

49289cb6.qua\data001	C:\Documents and Settings\Kris\DoctorWeb\Quarantine\49289cb6.qua	Trojan.Siggen.64544	

49289cb6.qua	C:\Documents and Settings\Kris\DoctorWeb\Quarantine	Conteneur comporte des objets infectés	Quarantaine.

5169b307.qua\data001	C:\Documents and Settings\Kris\DoctorWeb\Quarantine\5169b307.qua	Trojan.DownLoader1.61807	

5169b307.qua	C:\Documents and Settings\Kris\DoctorWeb\Quarantine	Conteneur comporte des objets infectés	Quarantaine.


voilà ce que ça donne 
merci !

benurrr · Answer

hello

Formater vos cle USB avec HP USB Disk Storage Format Tool


https://www.commentcamarche.net/telecharger/utilitaires/11843-hp-usb-disk-storage-format-tool/

Mikris · Answer

Hey, merci beaucoup, je crois que le reformatage était l'unique solution!

Merci beaucoup!

Autorun.inf Virus impossible à supprimer

23 réponses

Discussions similaires

Newsletters