4 Worm.AutoRun après formatage c:\WINDOWS\Sys
Résolu
cumular
-
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
j'ai depuis quelques semaines 4 Worm.AutoRun detectés par malwarebytes
1 dans le processus mémoire
2 dans le Registre
et 1 fichier infecté, pas le moindre : c:\WINDOWS\System.exe
ne parvenant pas à éradiquer le mal (suppression, remplacement, reparation etc...) j'ai tenté un formatage via le gestionnaire de disque (pensant que celui ci equivalait du bas niveau).
A la reinstallation de windows aucun probleme, balayage malewarebytes sans detection mais dès le retour des applications et des logiciels retour des 4 mêmes wormautorun
Je suis partant pour toute nouvelle tentative d'éradication...
merci à vous
j'ai depuis quelques semaines 4 Worm.AutoRun detectés par malwarebytes
1 dans le processus mémoire
2 dans le Registre
et 1 fichier infecté, pas le moindre : c:\WINDOWS\System.exe
ne parvenant pas à éradiquer le mal (suppression, remplacement, reparation etc...) j'ai tenté un formatage via le gestionnaire de disque (pensant que celui ci equivalait du bas niveau).
A la reinstallation de windows aucun probleme, balayage malewarebytes sans detection mais dès le retour des applications et des logiciels retour des 4 mêmes wormautorun
Je suis partant pour toute nouvelle tentative d'éradication...
merci à vous
A voir également:
- 4 Worm.AutoRun après formatage c:\WINDOWS\Sys
- Formatage clé usb - Guide
- Formatage pc - Guide
- Code gta 4 ps4 - Guide
- Formatage exfat ou ntfs - Guide
- Control center 4 - Télécharger - Divers Utilitaires
47 réponses
mbam tourne encore il est à 23 fichiers infectés
j'ai terminé la manip ccleaner
Mon formatage de c: datant d'il y a 2 jours je ne vois aucune objection à tout reformater après tout ça. J'ai besoin de savoir si un formatage via le gestionnaire de disques equivaut à un formatage physique bas niveau ?
j'ai terminé la manip ccleaner
Mon formatage de c: datant d'il y a 2 jours je ne vois aucune objection à tout reformater après tout ça. J'ai besoin de savoir si un formatage via le gestionnaire de disques equivaut à un formatage physique bas niveau ?
juju666
Messages postés
35446
Date d'inscription
Statut
Contributeur sécurité
Dernière intervention
4 796
Poste moi le rapport de malwarebytes une fois fini et je jugerai.
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Version de la base de données: 6318
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
12/04/2011 17:38:52
mbam-log-2011-04-12 (17-38-48).txt
Type d'examen: Examen complet (C:\|D:\|F:\|)
Elément(s) analysé(s): 341393
Temps écoulé: 1 heure(s), 20 minute(s), 30 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 23
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP11\A0007343.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP11\A0007344.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP11\A0007347.EXE (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP11\A0007355.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP11\A0007356.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP11\A0007359.EXE (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP11\A0007367.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP11\A0007368.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP11\A0007371.EXE (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP11\A0007387.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP11\A0007388.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP11\A0007391.EXE (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP12\A0007402.EXE (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP12\A0007405.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP12\A0007406.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP12\A0008075.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP15\A0012813.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP15\A0012814.EXE (Worm.AutoRun) -> No action taken.
c:\UsbFix\quarantine\D\recycled\info.exe.vir (Worm.AutoRun) -> No action taken.
c:\UsbFix\quarantine\F\recycled\info.exe.vir (Worm.AutoRun) -> No action taken.
c:\usbfix_upload_me\D\recycled\info.exe.vir (Worm.AutoRun) -> No action taken.
c:\usbfix_upload_me\F\recycled\info.exe.vir (Worm.AutoRun) -> No action taken.
c:\WINDOWS\Config\System.exe (Worm.AutoRun) -> No action taken.
www.malwarebytes.org
Version de la base de données: 6318
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
12/04/2011 17:38:52
mbam-log-2011-04-12 (17-38-48).txt
Type d'examen: Examen complet (C:\|D:\|F:\|)
Elément(s) analysé(s): 341393
Temps écoulé: 1 heure(s), 20 minute(s), 30 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 23
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP11\A0007343.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP11\A0007344.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP11\A0007347.EXE (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP11\A0007355.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP11\A0007356.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP11\A0007359.EXE (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP11\A0007367.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP11\A0007368.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP11\A0007371.EXE (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP11\A0007387.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP11\A0007388.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP11\A0007391.EXE (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP12\A0007402.EXE (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP12\A0007405.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP12\A0007406.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP12\A0008075.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP15\A0012813.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP15\A0012814.EXE (Worm.AutoRun) -> No action taken.
c:\UsbFix\quarantine\D\recycled\info.exe.vir (Worm.AutoRun) -> No action taken.
c:\UsbFix\quarantine\F\recycled\info.exe.vir (Worm.AutoRun) -> No action taken.
c:\usbfix_upload_me\D\recycled\info.exe.vir (Worm.AutoRun) -> No action taken.
c:\usbfix_upload_me\F\recycled\info.exe.vir (Worm.AutoRun) -> No action taken.
c:\WINDOWS\Config\System.exe (Worm.AutoRun) -> No action taken.
clique sur tous, puis supprimer la sélection.
rien de grave, c est la restauration système qui est atteinte, mais si tu suis mes procédure, elle sera purgée.
le reste concerne la quarantaine d'usbfix.
rien de grave, c est la restauration système qui est atteinte, mais si tu suis mes procédure, elle sera purgée.
le reste concerne la quarantaine d'usbfix.
je suis passé au pack3 de windows, supprimé delfix.
malwarebytes rebalaye un coup et ne semble rien detecté
quant à ma question concernant le formatage bas niveau, où pourrais je trouver l'info ? à savoir si un formatage via le gestionnaire de disque (en passant donc sur un second disque dur) était bas niveau (physique)
merci énormement pour l'aide et le soutien tout au long de cette journée...je dois trouver une solution pour remplacer ou reinstaller proprement certains logiciels qui me sont indispensables (du a du reconnaitre lesquels au cours des differents rapports)...
très bonne soirée
david
malwarebytes rebalaye un coup et ne semble rien detecté
quant à ma question concernant le formatage bas niveau, où pourrais je trouver l'info ? à savoir si un formatage via le gestionnaire de disque (en passant donc sur un second disque dur) était bas niveau (physique)
merci énormement pour l'aide et le soutien tout au long de cette journée...je dois trouver une solution pour remplacer ou reinstaller proprement certains logiciels qui me sont indispensables (du a du reconnaitre lesquels au cours des differents rapports)...
très bonne soirée
david
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
lesquels je sais pas lol
pour supprimer tout ce qu'il y a sur un disque dur, de A à Z, voir killdisk
pour supprimer tout ce qu'il y a sur un disque dur, de A à Z, voir killdisk
malewarebyte me trouve encore des trucs
Fichier(s) infecté(s):
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP2\A0000009.exe (Trojan.Agent) -> Quarantined and deleted successfully.
Fichier(s) infecté(s):
c:\system volume information\_restore{8f392c4a-bd2b-4d5c-ad63-8d02a7c40589}\RP2\A0000009.exe (Trojan.Agent) -> Quarantined and deleted successfully.
tout semble rentré dans l'ordre
merci encore
sauf que je ne trouve pas comment indiqué le fil comme résolu
j'ai le lien "Ne plus suivre" mais pas "marquer comme résolu"
merci encore
sauf que je ne trouve pas comment indiqué le fil comme résolu
j'ai le lien "Ne plus suivre" mais pas "marquer comme résolu"
rebonjour
mon précedent disque dur montrait quelques difficultés suite au formatage et netetoyage, la semaine suivant notre nettoyage j'ai reperé des secteurs defectueux, et j'ai opté pour son changement.
Depuis maintenant 8 jours je suis sur un nouveau disque dur tout neuf, et j'ai uniquement procédé à l'installation de windows xp et quelques applic (i tunes, filezilla et navigateurs) je viens de proceder à un balayage de malewarebytes...et j'y crois à peine, les 4 mêmes worm.autorun sont présents et aux mêmes endroits
1 c:\\WINDOWS\System.exe
2 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current\Version\Winlogon\Userinit
3 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current\Version\Winlogon\Load
4 c:\\WINDOWS\System.exe
Que dois je y comprendre ?
merci
mon précedent disque dur montrait quelques difficultés suite au formatage et netetoyage, la semaine suivant notre nettoyage j'ai reperé des secteurs defectueux, et j'ai opté pour son changement.
Depuis maintenant 8 jours je suis sur un nouveau disque dur tout neuf, et j'ai uniquement procédé à l'installation de windows xp et quelques applic (i tunes, filezilla et navigateurs) je viens de proceder à un balayage de malewarebytes...et j'y crois à peine, les 4 mêmes worm.autorun sont présents et aux mêmes endroits
1 c:\\WINDOWS\System.exe
2 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current\Version\Winlogon\Userinit
3 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current\Version\Winlogon\Load
4 c:\\WINDOWS\System.exe
Que dois je y comprendre ?
merci
Hello,
▶ Télécharge sur le bureau RogueKiller (par tigzy)
▶ ▶ Sous Windows XP, double clic gauche
▶ ▶ Sous Vista/Seven, clique droit, lancer en tant qu'administrateur
▶ Quitte tous tes programmes en cours
▶ Lance RogueKiller.exe.
▶ Un scan se lance, puis tu verra d'indiqué dans la fenêtre
▶ ▶ 1. Scan (écrit en vert)
▶ ▶ 2. Delete (écrit en rouge)
▶ ▶ 3. Hosts RAZ (écrit en rouge)
▶ ▶ 4. Proxy RAZ (écrit en rouge)
▶ ▶ 5. DNS RAZ (écrit en rouge)
▶ ▶ 6. Raccourcis RAZ (écrit en rouge)
▶ A ce moment tape 2 et valide
Note: s'il te demande de supprimer le proxy, tape 4
▶ Un rapport (RKreport1.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
▶ Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois ou a changer son nom en winlogon.exe
=========================================================
▶ Télécharge UsbFix (TeamXScript) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
▶ Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
▶ Vista/Seven : Clic droit sur UsbFix > Exécuter en tant qu'administrateur, l'installation se fera automatiquement
XP : double clic sur UsbFix
▶ Clique sur "Recherche"
▶ Laisse travailler l'outil
▶ A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)
▶ Aide en images : Tutoriel "Recherche"
▶ Télécharge sur le bureau RogueKiller (par tigzy)
▶ ▶ Sous Windows XP, double clic gauche
▶ ▶ Sous Vista/Seven, clique droit, lancer en tant qu'administrateur
▶ Quitte tous tes programmes en cours
▶ Lance RogueKiller.exe.
▶ Un scan se lance, puis tu verra d'indiqué dans la fenêtre
▶ ▶ 1. Scan (écrit en vert)
▶ ▶ 2. Delete (écrit en rouge)
▶ ▶ 3. Hosts RAZ (écrit en rouge)
▶ ▶ 4. Proxy RAZ (écrit en rouge)
▶ ▶ 5. DNS RAZ (écrit en rouge)
▶ ▶ 6. Raccourcis RAZ (écrit en rouge)
▶ A ce moment tape 2 et valide
Note: s'il te demande de supprimer le proxy, tape 4
▶ Un rapport (RKreport1.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
▶ Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois ou a changer son nom en winlogon.exe
=========================================================
▶ Télécharge UsbFix (TeamXScript) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
▶ Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
▶ Vista/Seven : Clic droit sur UsbFix > Exécuter en tant qu'administrateur, l'installation se fera automatiquement
XP : double clic sur UsbFix
▶ Clique sur "Recherche"
▶ Laisse travailler l'outil
▶ A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)
▶ Aide en images : Tutoriel "Recherche"
j'essaie ça demain matin, mais je me demande si ces wormautorun ne seraient pas tout simplement de faux ennemis et que malewarebytes trop sensible les qualifierait de la sorte. Le disque dur était vierge et je n'ai rien installé de suspect ou d'illicite. Ne serait ce pas des autorun windows tout con que malewarebytes aurait dans le nez mais sans danger ?
le rapport roguekiller (l'execution de celui ne se presentant pas comme indiqué plus, j'ai du activé le scan, dois je lancer une suppression ?
RogueKiller V4.3.11 [25/04/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: david [Droits d'admin]
Mode: Recherche -- Date : 26/04/2011 08:47:28
Processus malicieux: 0
Entrees de registre: 0
Fichier HOSTS:
127.0.0.1 localhost
Termine : << RKreport[1].txt >>
RKreport[1].txt
RogueKiller V4.3.11 [25/04/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: david [Droits d'admin]
Mode: Recherche -- Date : 26/04/2011 08:47:28
Processus malicieux: 0
Entrees de registre: 0
Fichier HOSTS:
127.0.0.1 localhost
Termine : << RKreport[1].txt >>
RKreport[1].txt
le rapport usbfix (là aussi je doute d'une contamination par ma seule clé usb, celle ayant été nettoyée il y a 2 semaines et jamais branchée depuis l'installation du nouveau disque dur)
############################## | UsbFix 7.044 | [Recherche]
Utilisateur: david (Administrateur) # SHADOKO [ ]
Mis à jour le 25/04/2011 par TeamXscript
Lancé à 08:52:56 | 26/04/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com
CPU: Intel(R) Pentium(R) 4 CPU 3.00GHz
CPU 2: Intel(R) Pentium(R) 4 CPU 3.00GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Pare-feu Windows: Activé
RAM -> 1535 Mo
C:\ (%systemdrive%) -> Disque fixe # 233 Go (183 Go libre(s) - 78%) [] # NTFS
D:\ -> Disque fixe # 76 Go (14 Go libre(s) - 19%) [] # NTFS
E:\ -> CD-ROM
F:\ -> Disque amovible # 4 Go (2 Go libre(s) - 48%) [KINGSTON] # FAT32
################## | Éléments infectieux |
Présent! C:\WINDOWS\config\svchost.exe
Présent! C:\WINDOWS\system.exe
Présent! C:\RECYCLED\INFO.exe
Présent! C:\.\recycled\info.exe
Présent! C:\Autorun.inf
Présent! D:\.\recycled\info.exe
Présent! D:\Recycled\INFO.EXE
Présent! F:\.\recycled\info.exe
Présent! F:\Recycled\INFO.EXE
################## | Registre |
################## | Mountpoints2 |
HKCU\.\.\.\.\Explorer\MountPoints2\{1dab5903-6861-11e0-8e39-806d6172696f}
Shell\AutoRun\Command = C:\
Shell\explore\Command = C:\RECYCLED\INFO.exe
Shell\open\Command = C:\RECYCLED\INFO.exe
################## | Vaccin |
C:\Autorun.inf -> Vaccin créé par Panda USB Vaccine
D:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
F:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
################## | E.O.F |
############################## | UsbFix 7.044 | [Recherche]
Utilisateur: david (Administrateur) # SHADOKO [ ]
Mis à jour le 25/04/2011 par TeamXscript
Lancé à 08:52:56 | 26/04/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com
CPU: Intel(R) Pentium(R) 4 CPU 3.00GHz
CPU 2: Intel(R) Pentium(R) 4 CPU 3.00GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Pare-feu Windows: Activé
RAM -> 1535 Mo
C:\ (%systemdrive%) -> Disque fixe # 233 Go (183 Go libre(s) - 78%) [] # NTFS
D:\ -> Disque fixe # 76 Go (14 Go libre(s) - 19%) [] # NTFS
E:\ -> CD-ROM
F:\ -> Disque amovible # 4 Go (2 Go libre(s) - 48%) [KINGSTON] # FAT32
################## | Éléments infectieux |
Présent! C:\WINDOWS\config\svchost.exe
Présent! C:\WINDOWS\system.exe
Présent! C:\RECYCLED\INFO.exe
Présent! C:\.\recycled\info.exe
Présent! C:\Autorun.inf
Présent! D:\.\recycled\info.exe
Présent! D:\Recycled\INFO.EXE
Présent! F:\.\recycled\info.exe
Présent! F:\Recycled\INFO.EXE
################## | Registre |
################## | Mountpoints2 |
HKCU\.\.\.\.\Explorer\MountPoints2\{1dab5903-6861-11e0-8e39-806d6172696f}
Shell\AutoRun\Command = C:\
Shell\explore\Command = C:\RECYCLED\INFO.exe
Shell\open\Command = C:\RECYCLED\INFO.exe
################## | Vaccin |
C:\Autorun.inf -> Vaccin créé par Panda USB Vaccine
D:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
F:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
################## | E.O.F |
Hello cumular ,
Je te cite :
mais je me demande si ces wormautorun ne seraient pas tout simplement de faux ennemis et que malewarebytes trop sensible les qualifierait de la sorte. Le disque dur était vierge et je n'ai rien installé de suspect ou d'illicite. Ne serait ce pas des autorun windows tout con que malewarebytes aurait dans le nez mais sans danger ?
Non , c'est bel et bien une infection , par contre c'est étrange qu'elle se relance comme ça :(
peux tu me faire parvenir un ou deux fichiers pour tests & mises à jours de UsbFix stp ?
Pour cela Affiche les fichiers et dossiers cachés puis fait moi parvenir :
C:\WINDOWS\config\svchost.exe
C:\WINDOWS\system.exe
Via ce formulaire : http://www.teamxscript.org/Upload.php
Par avance merci .
Je te cite :
mais je me demande si ces wormautorun ne seraient pas tout simplement de faux ennemis et que malewarebytes trop sensible les qualifierait de la sorte. Le disque dur était vierge et je n'ai rien installé de suspect ou d'illicite. Ne serait ce pas des autorun windows tout con que malewarebytes aurait dans le nez mais sans danger ?
Non , c'est bel et bien une infection , par contre c'est étrange qu'elle se relance comme ça :(
peux tu me faire parvenir un ou deux fichiers pour tests & mises à jours de UsbFix stp ?
Pour cela Affiche les fichiers et dossiers cachés puis fait moi parvenir :
C:\WINDOWS\config\svchost.exe
C:\WINDOWS\system.exe
Via ce formulaire : http://www.teamxscript.org/Upload.php
Par avance merci .
rescan malewarebytes, hier 4 elements infectés
ce matin 30 !
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Version de la base de données: 6440
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
26/04/2011 11:12:37
mbam-log-2011-04-26 (11-12-33).txt
Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 351636
Temps écoulé: 59 minute(s), 44 seconde(s)
Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 27
Processus mémoire infecté(s):
c:\WINDOWS\System.exe (Worm.AutoRun) -> 244 -> No action taken.
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Worm.AutoRun) -> Bad: (System) Good: () -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Worm.AutoRun) -> Bad: (System) Good: () -> No action taken.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\WINDOWS\System.exe (Worm.AutoRun) -> No action taken.
c:\Recycled\INFO.EXE (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP18\A0005120.EXE (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP18\A0005116.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP18\A0005117.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP19\A0005137.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP19\A0005138.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP19\A0005145.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP19\A0005146.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP19\A0005149.EXE (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP19\A0005157.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP19\A0005158.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP19\A0005161.EXE (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP19\A0005168.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP19\A0005169.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP19\A0005172.EXE (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP19\A0005180.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP19\A0005181.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP19\A0005184.EXE (Worm.AutoRun) -> No action taken.
c:\WINDOWS\Config\Svchost.exe (Worm.AutoRun) -> No action taken.
c:\WINDOWS\Config\System.exe (Worm.AutoRun) -> No action taken.
d:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP18\A0005122.EXE (Worm.AutoRun) -> No action taken.
d:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP19\A0005151.EXE (Worm.AutoRun) -> No action taken.
d:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP19\A0005163.EXE (Worm.AutoRun) -> No action taken.
d:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP19\A0005174.EXE (Worm.AutoRun) -> No action taken.
d:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP19\A0005186.EXE (Worm.AutoRun) -> No action taken.
d:\Recycled\INFO.EXE (Worm.AutoRun) -> No action taken.
ce matin 30 !
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Version de la base de données: 6440
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
26/04/2011 11:12:37
mbam-log-2011-04-26 (11-12-33).txt
Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 351636
Temps écoulé: 59 minute(s), 44 seconde(s)
Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 27
Processus mémoire infecté(s):
c:\WINDOWS\System.exe (Worm.AutoRun) -> 244 -> No action taken.
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Worm.AutoRun) -> Bad: (System) Good: () -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Worm.AutoRun) -> Bad: (System) Good: () -> No action taken.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\WINDOWS\System.exe (Worm.AutoRun) -> No action taken.
c:\Recycled\INFO.EXE (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP18\A0005120.EXE (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP18\A0005116.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP18\A0005117.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP19\A0005137.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP19\A0005138.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP19\A0005145.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP19\A0005146.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP19\A0005149.EXE (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP19\A0005157.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP19\A0005158.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP19\A0005161.EXE (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP19\A0005168.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP19\A0005169.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP19\A0005172.EXE (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP19\A0005180.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP19\A0005181.exe (Worm.AutoRun) -> No action taken.
c:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP19\A0005184.EXE (Worm.AutoRun) -> No action taken.
c:\WINDOWS\Config\Svchost.exe (Worm.AutoRun) -> No action taken.
c:\WINDOWS\Config\System.exe (Worm.AutoRun) -> No action taken.
d:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP18\A0005122.EXE (Worm.AutoRun) -> No action taken.
d:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP19\A0005151.EXE (Worm.AutoRun) -> No action taken.
d:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP19\A0005163.EXE (Worm.AutoRun) -> No action taken.
d:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP19\A0005174.EXE (Worm.AutoRun) -> No action taken.
d:\system volume information\_restore{a13d0b46-e8d3-4560-b38f-211f2c8260e4}\RP19\A0005186.EXE (Worm.AutoRun) -> No action taken.
d:\Recycled\INFO.EXE (Worm.AutoRun) -> No action taken.
no action taken -> tu as bien tout supprimé ?
/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEREUX /!\
Si tu utilises AVG, IL FAUT IMPÉRATIVEMENT LE DÉSINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\
_______________________________________________________________
Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :
▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau
▶ Lance le
▶ Une fenêtre apparait : clique sur "Disable"
▶ Fais redémarrer l'ordinateur si l'outil te le demande
Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
_______________________________________________________________
▶ /!\ IMPORTANT /!\
Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp
https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/
_______________________________________________________________
▶ Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
▶ Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
▶ ▶ SI TU ES SOUS WINDOWS XP, SURTOUT INSTALLES LA CONSOLE DE RÉCUPÉRATION
▶ ▶ Ne touche à rien (souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC
▶ En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
▶ Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
▶ ▶ /!\ Réactive la protection en temps réel de ton antivirus avant de te reconnecter à Internet. /!\
Notes:
-> Le rapport se trouve également là : C:\ComboFix.txt
-> tutoriel combofix
/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEREUX /!\
Si tu utilises AVG, IL FAUT IMPÉRATIVEMENT LE DÉSINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\
_______________________________________________________________
Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :
▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau
▶ Lance le
▶ Une fenêtre apparait : clique sur "Disable"
▶ Fais redémarrer l'ordinateur si l'outil te le demande
Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
_______________________________________________________________
▶ /!\ IMPORTANT /!\
Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp
https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/
_______________________________________________________________
▶ Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
▶ Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
▶ ▶ SI TU ES SOUS WINDOWS XP, SURTOUT INSTALLES LA CONSOLE DE RÉCUPÉRATION
▶ ▶ Ne touche à rien (souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC
▶ En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
▶ Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
▶ ▶ /!\ Réactive la protection en temps réel de ton antivirus avant de te reconnecter à Internet. /!\
Notes:
-> Le rapport se trouve également là : C:\ComboFix.txt
-> tutoriel combofix
au temps pour moi, je n'ai exécuté des balayages mbam que pour voir ce qu'il decelait, voilà le rapport après suppression
ce qui n'empeche pas de m'interroger quant à l'origine et la versatilité de l'infection...
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Version de la base de données: 6440
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
26/04/2011 22:09:14
mbam-log-2011-04-26 (22-09-14).txt
Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 351962
Temps écoulé: 1 heure(s), 3 minute(s), 41 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
merci encore
ce qui n'empeche pas de m'interroger quant à l'origine et la versatilité de l'infection...
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Version de la base de données: 6440
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
26/04/2011 22:09:14
mbam-log-2011-04-26 (22-09-14).txt
Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 351962
Temps écoulé: 1 heure(s), 3 minute(s), 41 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
merci encore
sauf que depuis ce matin, je ne parviens plus à acceder à mon disque c:
en cliquant dessus (histoire de vérifier si des trucs genre
C:\WINDOWS\config\svchost.exe
C:\WINDOWS\system.exe
s'y trouvaient
j'ai une petite fenetre qui s'ouvre au clic qui me propose de choisir un programme pour ouvrir c: (et donc la liste de programmes installés qui s'ensuit)
en cliquant dessus (histoire de vérifier si des trucs genre
C:\WINDOWS\config\svchost.exe
C:\WINDOWS\system.exe
s'y trouvaient
j'ai une petite fenetre qui s'ouvre au clic qui me propose de choisir un programme pour ouvrir c: (et donc la liste de programmes installés qui s'ensuit)
