Virus AUTORUN.inf + (fichier.exe) [Résolu/Fermé]

Signaler
-
Messages postés
16
Date d'inscription
samedi 4 avril 2009
Statut
Membre
Dernière intervention
3 novembre 2009
-
Bonjour,
un "virus" est apparu sur mon pc sur tous les disques durs et externes deux fichiers cachés apparraissent : AUTORUN.inf + (fichier(le nom n'est pas important car à chaque fois que je le supprime, il réapparait avec un nom différent).exe).


Merci d'avance pour votre réponse
(j'ai scanné avec avast, spybot et adaware, rien n'y fait...)



j'ai windows XP pro

10 réponses

Messages postés
4892
Date d'inscription
dimanche 27 mai 2007
Statut
Contributeur sécurité
Dernière intervention
24 février 2012
495
Bonjour Cramisa

Tu es infecté par un ver qui se transmet via clef usb/mp3/dd externe

Important : Tant que tu ne seras pas sur d'avoir éradiqué le ver, n'ouvre aucun de tes disques ou périphériques externes en te servantdu double clic, sous peine de relancer l'infection.
Fais plutôt un clic droit sur l'icône du DD que tu veux ouvrir et clic sur "Explorer"

Je te conseille d'enregistrer la page en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procedure correctement.



1) Telecharge


a)Outil Mcafee:
http://download.nai.com/products/mcafee-avert/QQPass-RjumpStinger.zip
(Après téléchargement, clic droit sur QQPass-RjumpStinger.zip >> Extraire tout, pour décompresser le dossier)

b)Outil Symantec:
https://www.broadcom.com/support/security-center

c)télécharge le logiciel HijackThis

http://pchelpbordeaux.free.fr/logiciels.html

Les 3 sur ton bureau

2) Passe une première fois les 2 fix et redémarre le pc.

L'Outil Mcafee:


Dans le dossier QQPass-RjumpStinger, double clic sur le fichier Stinger sur PC Astuces">Stinger.exe.
Si les lettres correspondant à tes périphériques externes n'apparaissent pas automatiquement dans la liste des lecteurs à scanner, rajoute-les manuellement en te servant du bouton "Browse" pour les selectionner.
Puis lance le nettoyage en cliquant sur le bouton "Scan Now".
Le rapport d'analyse n'étant pas généré automatiquement, il te faudra cliquer sur "File" dans le menu et choisir "Save report to file".
Dans le dossier QQPass-RjumpStinger, le fichier Stinger sur PC Astuces">Stinger.txt sera alors crée avec le contenu de l'analyse.
Je te conseille de renommer Stinger sur PC Astuces">Stinger.txt si tu dois passer une seconde fois l'outil, car le rapport du second passage "écrasera" le premier et donc il sera difficile dans ce cas, de savoir ce qui a été supprimé et corrigé.

L'Outil Symantec:

Sur le bureau, double clic sur le fichier FxRajump.exe
Puis clic sur Start pour lancer le nettoyage.
En fin de nettoyage, une fenêtre s'ouvrira pour signaler la fin de la recherche.
Le fichier FxRajump.log sera crée sur le bureau, avec le listing des suppressions de fichiers/clés registre.

3) Puis repasse une seconde fois les 2 fix
(afin de t'assurer qu'il n'y a vraiment plus aucunes traces du ver.)


4) Genere un log HijackThis

Démo en image
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm


5) Rapports


Poste les différents rapports en reponse en precisant les soucis et problemes rencontrés si ca été le cas

Bon courage et a bientot

@ suivre

PS il est possible que l outils macaffee ne soit pas a jour , en ce cas fait la mise a jour ;)
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 65492 internautes nous ont dit merci ce mois-ci

Messages postés
2
Date d'inscription
mercredi 24 octobre 2007
Statut
Membre
Dernière intervention
24 octobre 2007
1
merci le sioux.
trois tentatives en suivant scrupuleusement, mais aucun résulat. le ver et son autorun est toujours là; Je précise encore que je n'ai plus aucun virus sur cet ordi vu que j'ai cassé les trois partitions, en ai cette fois fait deux, et réinstallé windows après un formatage , bien sur !!
donc ma config est clean. je ne suis allé nulle part télécharger, ou connecté quoique ce soit depuis. Mon seul soucis était et demeure de récupérer mon matos infecté. Et tout mes durs, mes troiis ordis sont infectés. je vois les bestioles mais impossible de m'en débarasser.
Avast ne les voit pas, secuser en voit une dizaine, bit defender une centaine ! ! !
du délire! jamais vu dans ma carrière de vidéaste ! première n'en revient pas. . . cela entraîne des comportements aléatoires étranges, boogues, fichiers ne retrouvant pas leur place dans les montages, du jamais vu. Et puis comme beaucoup disque ne s'ouvrant pas , sauf avec l'explorer, CD réclamés sans cesse. Je vais lire et tenter d'aller plus loin dans ma quète avec le gof que je découvre ce soir. Son dossier me semble interessant.
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 65492 internautes nous ont dit merci ce mois-ci

Messages postés
4892
Date d'inscription
dimanche 27 mai 2007
Statut
Contributeur sécurité
Dernière intervention
24 février 2012
495
Bonsoir Dany de paris

Une autre possibilité

Télécharge sur ton bureau Rav d'Evosla :

http://ww25.evosla.com/compteur.php?soft=rav_antivirus

** Si tu utilises FireFox : faites un clic droit sur le lien et choisi "Enregistrer la cible du lien sous..." , puis enregistre sur le Bureau.

-- Décompresse-le (clic droit >> Extraire ici) et double clique sur le fichier RAV.exe

-- Branche tes disques amovibles (clef usb,stick memoire,disque externe,............);

-- Une fois RAV lancé laisse le réagir , il scanne automatiquement tout les lecteurs (Disques fix et Amovible).

-- Si un ou plusieurs ver sont trouvés, un log s'établira, sinon rien ne va se passer et le soft affichera : Votre Ordinateur est Sain

-- Retire tes disques amovibles et Redémarre ton pc.

@+
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 65492 internautes nous ont dit merci ce mois-ci

Messages postés
16
Date d'inscription
samedi 4 avril 2009
Statut
Membre
Dernière intervention
3 novembre 2009
1
essayer de telecharger l'antivirus rav dans l 'adresse suivante www.evosla.com .tu le met dans ton bureau puis tu l'ouvre il va scaner tout et apres debrancher ton USB ou d'autre peripherique et tu redemare ton ordinateur
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 65492 internautes nous ont dit merci ce mois-ci

Bonjour,
Télécharge sur le bureau
[url=http://www.merijn.org/files/hijackthis.zip]hijackthis.zip[/url]
= Clic-droit sur Hijackthis
= Extraire ici ( ou extraire sans confirmation ou tout ou unzip)
= clic droit sur Hijackthis ( en forme de dynamite) ==> renommer ==> écrire : test.exe ( à la place de hijackthis.exe) <== Important
=Double-clic dessus
= Clic Do a system scan and save the log
=coller le rapport
si problème voir l'aide
[url=https://forums.cnetfrance.fr]Aide hijackthis[/url]
Bonjour,
j'ai le meme pb, mon pc infecte ma clé usb qui infecte mon pc etc c'est sans fin ! j'avais des autorun.inf un peu partout que j'ai remarqué grace a Nero en voulant graver un cd (il y avait ce fichier dans tous les dossiers de l'arborescence !) j'ai aussi un adobeR qui est impossible a virer et qui genere un ravmon.log si on double-clic dessus. je comprends un peu le principe mais je ne suis pas non plus une geek donc merci de m'aider avec un vocabulaire pas trop pointu lol
je vous poste le rapport hijackthis

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Canon\MultiPASS4\MPSERVIC.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
C:\Norman\bin\ZLH.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Softwin\BitDefender8\bdnagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
C:\OLIFAXVX\TOOLBAR.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\Norman\bin\ZANDA.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Outlook Express\msimn.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Documents and Settings\UTILISATEUR\Mes documents\STEPHANIE\AdobeR.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
c:\program files\softwin\bitdefender8\bdmcon.exe
C:\Documents and Settings\UTILISATEUR\Mes documents\STEPHANIE\AdobeR.exe
C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\Répertoire temporaire 2 pour hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.neuf.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=FFB8560382C94BFFADD9EE6E009DB440
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Omnipage] "C:\Program Files\ScanSoft\OmniPageSE\opware32.exe"
O4 - HKLM\..\Run: [Norman ZANDA] "C:\Norman\bin\ZLH.EXE" /LOAD /SPLASH
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Program Files\Softwin\BitDefender8\bdnagent.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\WINSOS\WINSOS.EXE" MINI
O4 - Startup: Barre d'Outils Olitec.lnk = C:\OLIFAXVX\TOOLBAR.EXE
O4 - Startup: Moniteur Fax-Voix.lnk = C:\OLIFAXVX\MONITEUR.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.extrafilm.fr/ImageUploader4.cab
O16 - DPF: {6F750202-1362-4815-A476-88533DE61D0C} (Kodak Gallery Easy Upload Manager Class) - http://www.kodakgallery.fr/
O17 - HKLM\System\CCS\Services\Tcpip\..\{4032539E-0978-4DC4-9E6C-40226C2ACA66}: NameServer = 192.168.1.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Unknown owner - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MpService - Canon Inc. - C:\Program Files\Canon\MultiPASS4\MPSERVIC.EXE
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: SonicStage Back-End Service - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SsBeSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
Messages postés
2
Date d'inscription
mercredi 24 octobre 2007
Statut
Membre
Dernière intervention
24 octobre 2007
1
Bonsoir Cramisa.
J'ai le même pb que toi.
Ton analyse est bonne; le virus se transmet par clé usb, disque externe, principalement me semble-t-il.
Je le soupçonne de lancer le message "pas de disque dans le lecteur lorsque j'éjecte un CD et imosssible de l'effacer, sauf en mettant un CD !Par ailleurs, impossible de formater la clé usb, il réapparait immédiatement, ou plutôt ils réapparaisent car il y a bien un autorun et un fichier qui change de nom sans cesse;
Messages postés
4892
Date d'inscription
dimanche 27 mai 2007
Statut
Contributeur sécurité
Dernière intervention
24 février 2012
495
Bonsoir

Il commence a y avoir du monde sur ce topic lol

* Les infections sur clefs amovibles http://forum.malekal.com/ftopic3350.php

-----------------------------------------------------------------------------------------------------------------------------------------------


Important : Tant que tu ne seras pas sur d'avoir éradiqué le ver, n'ouvre aucun de tes disques ou périphériques externes en te servant du double clic, sous peine de relancer l'infection.
Fais plutôt un clic droit sur l'icône du DD que tu veux ouvrir et clic sur "Explorer"


Telecharge Flash desinfector<

http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

Il suffit de cliquer sur le fichier .exe
Si la clé n'est pas introduite, il sera demandé de la connecter.

------------------------------------------------------------------------------------------------------------------------------------------------

Une fois le ver eradiqué, voir vaccination des clefs USB https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/ Merci a Gof

Tiens au courant.
Messages postés
4892
Date d'inscription
dimanche 27 mai 2007
Statut
Contributeur sécurité
Dernière intervention
24 février 2012
495
Re

C est un ver qui se transmet via clef usb, mp3, mp4 ipod, dd externe..

Tu peux l avoir chopper sur un perif infecté a toi ou a un pote..

Important : Tant que tu ne seras pas sur d'avoir éradiqué le ver, n'ouvre aucun de tes disques ou périphériques externes en te servant du double clic, sous peine de relancer l'infection.
Fais plutôt un clic droit sur l'icône du DD que tu veux ouvrir et clic sur "Explorer"


Tu peux faire manip entiere decrite au poste 3 , le vendredi 28 septembre 2007 à 19h39:58 + Flash desinfector

+ Fixperl http://www.morx.org/fixperl.exe et double clique dessus

Tu suivras par la suite une fois desinfecté les conseils de Gof

@ suivre ;-)
Bonjour,
tout d abord fais tousa avnt le scan en ligne poste moi ton log ok .


Effectue sa a la lettre et poste un log hijack après.

Première chose si vous êtes sur d etre infecter désactiver la restauration système:
démarrer,Panneau de configuration,système désactiver la restauration sur tout les lecteur
et confirmer avec ok.

telecharger ces logiciels et les installer et mettre a jour:
http://dl.free.fr/getfile.pl?file=/oQ47Ng3V/clean.cmd
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26157.html
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
https://www.01net.com/telecharger/windows/Utilitaire/registre/fiches/8351.html
https://www.01net.com/telecharger/

pour le troisième logiciel n installez pas la Yahoo toolbar qui est avec et cocher toute les case avant de scanner
et scanner 3fois le registre jusqu a plus rien n apparaisse.

Ensuite allez dans démarrer exécuter et taper "msconfig"allez sur service ensuite rechercher

ces lignes et les décocher:

Partage de bureau a distance
gestionnaire de session d aide du bureau a distance
accès a distance au registre

Ensuite cocher masquer les services microsoft et la il ne doit rester que votre
par feu et antivirus de cochez decochez tous le reste.

toujour dans msconfig mais la dans démarrage décocher tous pareille

et laisser que votre par feu et antivirus.Ensuite cliker appliquer et ok ensuite redemarrer.

Tapoter sur la touche f8 jusqu a qu apparaisse un menu ensuite démarrer en mode sans échec
et scanner avec tous sa et ensuite redemarer et poster votre log hijack qui sera a coup sur beaucoup plus propre.

enfin allez faire un scan en ligne ici.

http://www.bitdefender.fr/scan_fr/scan8/ie.html

Et surfer avec firefox après plus sécuriser qu internet explorer le lien pour vous.
https://www.01net.com/telecharger/windows/Internet/navigateur/fiches/29641.html

J oubliai aussi allez dans demarrer panneau de configuration,connection resaux et la sur tous se que vous
voyer faite clik droit proprieter et decocher le partage de fichier sur tous les resaux et confirmer
avec ok et redemarer.voila j espere vs avoire aidez