Avira : détection autorun.inf [Résolu/Fermé]

Signaler
-
 Utilisateur anonyme -
Bonjour,

Voici mon histoire :

Hier soir, Antivir m'a détecté plusieurs autorun.inf :(

Suite à un conseil d'un ami avis, electricien69, j'ai fait un scan avec usbfix et ensuite décoche des deux cases pour que antivir ne détecte pas les autorun des cd.


Voici son rapport rapport usbfix



Et entre temps, j'ai eu droit aussi à des alertes malwarbytes...


Donc là, je fais un scan complet avec ce dernier à jour. je vous posterai le rapport quand il sera fait.


Pouvez-vous m'aider dans mon probème?


Merci d'avance les gars :D




34 réponses

Bonjour,

OK usbFix

Si tu veux on va faire un diagnostic de ton PC:
*Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

* Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/

Si indisponible:
http://www.cijoint.fr/

* Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html


Hébergement de rapport sur pjjoint.malekal.com

* Rends toi sur http://pjjoint.malekal.com/
* Clique sur le bouton Parcourir
* Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
*Clique sur le bouton Envoyer
* Un message de confirmation s'affiche, copie le lien dans ta prochaine réponse.

@+

H.F. : Fish66
Utilisateur anonyme
Merci Marmar, zhpdiag est lancé :)

Je te posterais le rapport d'ici peu

et aussi malwarebytes si tu veux

merci encore
Utilisateur anonyme
Re,

D'accord...

De rien :)
Utilisateur anonyme
Voici le rapport de zhpdiag

--> Rapport ZHPDiag


Merci l'ami :)
Utilisateur anonyme
Rapport malwarebytes

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6359

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

14/04/2011 11:06:31
mbam-log-2011-04-14 (11-06-31).txt

Type d'examen: Examen complet (C:\|D:\|H:\|)
Elément(s) analysé(s): 329935
Temps écoulé: 1 heure(s), 5 minute(s), 16 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)



Rien à signaler ^^

++

Re,

Tu as des adwares, pour cela :

1/ * Télécharge de AD-Remover sur ton Bureau.
http://www.teamxscript.org/adremoverTelechargement.html

/!\ Ferme toutes applications en cours /!\

- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « Nettoyer »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour c

@+
Utilisateur anonyme
voici le rapport AD-Remover

merci @ toi :)
Re,

De rien :)

Tu as déjà utilisé AD-Remover n'est ce pas !




Attention, avant de commencer, lit attentivement la procédure

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\

? Fais un clic droit sur ce lien, enregistre le dans ton bureau

Voici Aide combofix


? /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\


? Double-clique sur ComboFix.exe (ou exécuter en tant qu'administrateur pour vista et seven)

Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

? ? SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)

? Mets-le en langue française F

? Tape sur la touche 1 (Yes) pour démarrer le scan.


? Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

?En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

? Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

? ? /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

? Note : Le rapport se trouve également là : C:\ComboFix.txt

@+

H.F. : Fish66
Utilisateur anonyme
re :)

voicl le rapport combofix : rapport combofix


merci de ton aide

Re,

Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


[MD5.51E2B4E4A054F89EDCB7B821ADFA8FE5] - (.Informer Technologies, Inc. - Software Informer.) -- C:\Program Files\Software Informer\softinfo.exe [2859077] => Infection Diverse (Adware.VirtualGirl)
M2 - MFEP: prefs.js [la famille - 028xz08d.Marie-France\cacaoweb@cacaoweb.org] [] cacaoweb v1.0.12 (.http://www.cacaoweb.org/ => Infection Diverse (Mal/TinyDL-T)
O4 - HKCU\..\Run: [Software Informer] . (.Informer Technologies, Inc. - Software Informer.) -- C:\Program Files\Software Informer\softinfo.exe => Infection Diverse (Adware.VirtualGirl)
O4 - HKCU\..\Run: [cacaoweb] . (...) -- C:\Users\la famille\AppData\Roaming\cacaoweb\cacaoweb.exe => Infection Diverse (Mal/TinyDL-T)
O4 - HKUS\S-1-5-21-3434088107-1223736267-3327094756-1000\..\Run: [Software Informer] . (.Informer Technologies, Inc. - Software Informer.) -- C:\Program Files\Software Informer\softinfo.exe => Infection Diverse (Adware.VirtualGirl)
O4 - HKUS\S-1-5-21-3434088107-1223736267-3327094756-1000\..\Run: [cacaoweb] . (...) -- C:\Users\la famille\AppData\Roaming\cacaoweb\cacaoweb.exe => Infection Diverse (Mal/TinyDL-T)
O4 - Global Startup: C:\Users\la famille\Desktop\Software Informer.lnk . (.Informer Technologies, Inc..) -- C:\Program Files\Software Informer\softinfo.exe => Infection Diverse (Adware.VirtualGirl)
O4 - Global Startup: C:\Users\la famille\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Software Informer.lnk . (.Informer Technologies, Inc..) -- C:\Program Files\Software Informer\softinfo.exe => Infection Diverse (Adware.VirtualGirl)
O23 - Service: (MEMSWEEP2) - Clé orpheline => Infection Diverse (Trojan.Tracur)
[HKCU\Software\cacaoweb] => Infection Diverse (Mal/TinyDL-T)
O43 - CFD: 01/04/2011 - 14:25:16 - [4154582] ----D- C:\Program Files\Software Informer => Infection Diverse (Adware.VirtualGirl)
C:\Users\la famille\AppData\Roaming\SOFTWARE Informer

O43 - CFD: 13/04/2011 - 18:52:38 - [324428609] ----D- C:\Users\la famille\AppData\Roaming\cacaoweb => Infection Diverse (Mal/TinyDL-T)
O43 - CFD: 14/04/2011 - 09:55:52 - [45894563] ----D- C:\Users\la famille\AppData\Roaming\Software Informer => Infection Diverse (Adware.VirtualGirl)
O43 - CFD: 13/04/2011 - 18:52:38 - [324428609] ----D- C:\Users\la famille\AppData\Roaming\cacaoweb => Infection Diverse (Mal/TinyDL-T)
O43 - CFD: 14/04/2011 - 09:55:52 - [45894563] ----D- C:\Users\la famille\AppData\Roaming\Software Informer => Infection Diverse (Adware.VirtualGirl)
O4 - HKLM\..\Run: [IOJ Daemon] . (.Pas de propriétaire - IOJ Daemon.) -- C:\Program Files\IOJ\IOJ Daemon.exe
OPT:O4 - HKCU\..\Run: [WindowsWelcomeCenter] oobefldr.dll
O4 - HKCU\..\Run: [fsm] Clé orpheline
O4 - HKUS\S-1-5-21-3434088107-1223736267-3327094756-1000\..\Run: [fsm] Clé orpheline


FirewallRAZ
EmptyTemp
EmptyFlash



Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur le bouton GO

Copie/Colle le rapport à l'écran dans ton prochain message.

@+


Utilisateur anonyme
Et hop voici le rapport ZHPFix ;o))


Merci l'ami

Re,

Maintenant stp un nouveau rapport ZHPDiag

@+
Utilisateur anonyme
Re :)

désolé pour le retard :D

Voici le rapport zhpdiag


Merci ;)
De rien, pas de problème

Il reste d'infection :

1/
* Télécharge load_tdsskiller (de Loup Blanc) sur ton Bureau

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe

* Lance load_tdsskiller en faisant un double-clic dessus / Lance par un clic-droit dessus ? Exécuter en temps qu'administrateur
* L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse
* Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option (Cure) est sélectionnée,
* Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip),
* A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:\tdsskiller\report.txt)

2/
Désinstalle ce logiciel source d'infection :C:\Program Files\Software Informer

@+
H.F. : Fish66
Utilisateur anonyme
Ok, je ferais ca après


mais le logiciel Software Informer c'est commpe update checker de filehippo



et se trouve sur comment ca marche


Faudrait peut etre le signaler


a tantôt :)
Utilisateur anonyme
Il est détecté comme infecté !

Attend moi je vais vérifier ca :)

@+
Utilisateur anonyme
ah zut... mais si je le supprime, je pourrai le réinstaller?


sinon pas grave, j'utiliserais que update checker ^^


là je vais lancer load_tdsskiller

++
Utilisateur anonyme
voici le rapport tdskiller ^^


merci ;o))
salut Little Boy 62 :P


O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø

O.o°* ??? Réspire à fond, Rédige ton message en bon français et de manière claire. Une fois ton problème passé, coche ton message comme résolu.Ca va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø
Utilisateur anonyme
Deux contributeurs sécurité pour Moi ????


C'est si grave alors?


:P

Re ^^

un driver mis en quarantaine, mais j'utilise ultra iso, et c'est lui qui "génère" cela, car j'utiluse un lecteur cd virtuel.


Est-ce que cça peut être un faux positif?

je m'interroge :/

++

mais non, j'ai vu ton pseudo, donc je regarde ce que tu as :P

relance zhpdiag, clique sur la flèche verte pour lancer une mise à jour.

une fois la mise à jour términée ,

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://dl.free.fr
ou :
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.terafiles.net/

Utilisateur anonyme
Je le refais une troisième fois???

Ok :))


Je vais surement comprendre son fonctionnement à force :D


++
Utilisateur anonyme
Je viens de comprendre que ma version n'était pas à jour de deux jours ^^


Mise à jour + installation OK cette fois ci :D


Là le scan est lancé ;)

:P

j'ai mp Marmar66 :-)

Utilisateur anonyme
Pour lui dire que je suis un mauvais helpé roooo :P

non, pour lui dire que tu es un copin, c'est tout :P

Utilisateur anonyme
ah j'aime mieux ca


Un copain qui se fait vacciné ^^
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 779
et moi j'ai senti cacaoweb :o)
Utilisateur anonyme
cacaoweb, l'extension de firefox, c'est une infection? --'


Salut Juju ^^
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 779
Baaaah .... les avis divergent là dessus.
Combo le supprime en tout cas (mais CF supprime parfois des trucs ... étranges! :P)

Bref, pour un logiciel "légitime" il me parait très étrange:
HKCU-Run-cacaoweb - c:\users\la famille\AppData\Roaming\cacaoweb\cacaoweb.exe
peu de programmes démarrent des appdata tu vois le genre? :D

Recherche d'éléments en démarrage automatique cachés ...
.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
cacaoweb = "c:\users\la famille\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer?abled:cacaoweb?ng????????? >O???????P???????????P?$?P???G???????G?????????????r???????Service Pack 2??????????????????????????????????????????????????????????????????????????????????Y????????n ?^,D?????????
.
pourquoi il se cache, il a peur de quoi? :P
Utilisateur anonyme
de chassseur de cacoweb, puisque tu le sens :P
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 779
ben voilà :o)

et hop voila le rapport zhpdiag ^^



Merci @ tousses de votre intention

^^
Utilisateur anonyme
mets ton rapport sur Cijoint s'il te plait :-)
Utilisateur anonyme
bon, mister 100.000 volts, voila le lien cijoint

http://www.cijoint.fr/cjlink.php?file=cj201104/cij32PvpTk.txt

merci ;))

fais une mise à jour d'Adobe et Open office !




télécharge et enregistre ce fichier sr ton bureau :


http://www.cijoint.fr/cjlink.php?file=cj201104/cijeZjxAAa.txt


*Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)

fais un Glisser/déposer du fichier dans la fenêtre de zhpfix.



- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
Tuto :

http://www.premiumorange.com/zeb-help-process/zhpfix.html



Re,

Salut à tous

Merci Electricien 69 et Juju, j'étais pas ici, je vous laisse terminer :)

@+

Voici le rapport Zhpfix

merci ;))
Salut,

J'ai remarqué que tu es bien formé ! :)

enfin la ligne est supprimé ! c'était un problème de mise à jour :)

@+

avant de passer aux restes, il y aun truc à régler !


* /!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac


Télécharge mbr.exe de Gmer ici :
http://www2.gmer.net/mbr/mbr.exe

et enregistre le fichier sur le Bureau.


Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Double clique sur mbr.exe

/!\Utilisateur de Vista : Clique droit sur le logo de MBR, « exécuter en tant qu'Administrateur »

Un rapport sera généré : mbr.log
En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.

Si c'est le cas, continue comme ça :

Dans le menu Démarrer- Exécuter tape : "%userprofile%\Bureau\mbr" -f
Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"

Réactive tes protections
Poste ce rapport et supprimes-le ensuite.

Pour vérifier

Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Relance mbr.exe

Réactive tes protections.

Le nouveau mbr.log devrait être celui-ci :

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK



Utilisateur anonyme
J'ai cru que tout est réglé :)

désolé!
@marmar66 : rooo pas bien, tu mérites une punition !


je rigole, t'inquiètes. On apprend tous les jours, celui qui ne fait pas d'erreurs, n'existe pas :)



voici le rapport mbr.log

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net 
Windows 6.0.6002 Disk: WDC_WD32 rev.01.0 -> Harddisk0\DR0 -> \Device\00000076  

device: opened successfully 
user: MBR read successfully 
kernel: MBR read successfully 
user & kernel MBR OK  



Là, je tente la vérification


@plusche et merciiiii ^^
Utilisateur anonyme
@près vérification

mbr.log

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6002 Disk: WDC_WD32 rev.01.0 -> Harddisk0\DR0 -> \Device\00000076 

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 



Comme dit Elec

Le nouveau mbr.log devrait être celui-ci :

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 



Or, j'ai une ligne de plus...


C'est grave docteur(s) ? :)


en tout cas, merci @ tousses (tousees ! tousses ! Pas efficace ce sirop contre la toux ! XD)

++

bonjour,
ton pc est un pc de marque ?

tu n'es pas en dualboot?

remets moi un nouveau zhpdiag tout neuf après une mise à jour (la flèche verte en haute de la page)

Utilisateur anonyme
Salut

c'est un PC Acer (rigole pas :P)

dualboot? Non, je n'ai que vista, le vista préinstallé sur mon pc d'origine.


Ok, vais lancé ZHPdiag (mais pas parla fenêtre :P)

++
Utilisateur anonyme
Bonjour vous deux ;)
Utilisateur anonyme
Voici le rapport zhpdiag avec pjjoint de malekal


....... je plaisante ;P


le rapport zhpdiag en cijoint -> rapport


merci ;))
Utilisateur anonyme
Salut Guillaume ;) ca fait longtemps ^^ ca va?


euh.... tous les contrib sécu viennent ici ---> c'est grave alors?


XD

Me pose des questions mouah ;)

hello Guillaume :-)

Littel :

lance zhpfix,

télécharge ce fichier:

http://www.cijoint.fr/cjlink.php?file=cj201104/cijoQ9uryF.txt

fais un Glisser deposer dans la fenetre de zhpfix,

clique sur Go,

laisse le faire,

poste son rapport

Utilisateur anonyme
le rapport --> rapport zhpfix


que vois-je? clé non supprimée


Aïe --'

merci ;)

*/!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

Télécharge GMER sur ton bureau :
http://www2.gmer.net/gmer.zip

* Dézipper le programme.
* Double cliquer sur Gmer.exe
/!\ Pour Vista et Seven, clique droit et lancer l'outil en tant qu'administrateur.
* Le programme se lance et fait un auto scan
(il s'agit de l'onglet : Rootkit/Malware).


=> Des lignes rouges doivent apparaître en cas d'infection :

* sur ces lignes rouges:
o Services: Clique droit puis delete service
o Process: Clique droit puis kill process
o Adl, file: Clique droit puis delete files

Tuto : https://www.malekal.com/tutorial-gmer/
Utilisateur anonyme
Re

J'ai aucune ligne en rouge...


Mais je sais que Antivir génére une clé vide (enfin c'est que j'ai compris)

Et si on l'efface, elle réapparait.


sinon, là, je comprends plus très bien XD


merci en tout cas :)