PC contaminé. Autorun.inf

cricri58 · Septembre 30, 2009, 9:25

as-tu fais ==>Clic droit sur Flash_Disinfector /exécuter en tant qu’administrateur!

Sinon essayes celui-çi

Télécharges RavAntivirus (d’Evosla) :

Brancher les disques amovibles sans les ouvrir avant de lancer le Fix
Décompresser l’archive sur le bureau
Double-cliquer sur RAV.exe pour lancer l’outil
Une fois RAV ANTIVIRUS lancé, il scannera automatiquement tous les lecteurs susceptibles d’être infectés
S’il y a infection un rapport s’établira, sinon le logiciel affichera le message : « Votre Ordinateur est sain »
Retirer les disques amovibles et redémarrer l’ordinateur.

moh_shadow · Septembre 30, 2009, 9:49

Ah, oui, celui-la aussi je le connais (cf mon premier post…)

J’ai branché mes 3 périphériques de stockage (tous contaminés… ^^)

Je lance le bousier, et voici ce que rav me trouve: [Photo supprimée]

Cool, je me dis^^ Je reboot le PC, j’ouvre mes pérphériques pour vérifier si les autorun.inf sont toujours présents: Non… cool je me dis encore…
Puis j’éteind mon disque dur, je le ralume et hop l’autorun.inf réapparait (cf heure de création):
[Photo supprimée]

cricri58 · Septembre 30, 2009, 9:55

poste le rapport de RAV

moh_shadow · Septembre 30, 2009, 10:06

Je n’ai aucun rapport avec rav.
Ou alors je ne sais pas ou il est…

moh_shadow · Septembre 30, 2009, 10:17

Bah, le seul rapport que j’ai en fait c’est le snap que je t’ai fait sur le post précédent. Mais comme ce n’est pas en format texte, tu devras te contenter de ça ^^

cricri58 · Octobre 1, 2009, 4:14

Salut

Dans le rapport du haut Rav à bien supprimé autorun.inf et en dessous c est un rapport tout simplement ,fais un clic droit dessus et tu verras

cricri58

cricri58 · Octobre 1, 2009, 4:38

Re

ce rapport tu le supprime si c est ça qui t embête,rien d alaramant ce n est qu un rapport

ensuite

telecharge ATF-Cleaner

==>ATF-Cleaner
fais un nettoyage

Tutoriel==> Tutoriel ATF-Cleaner

poste un nouveau RSIT

moh_shadow · Octobre 1, 2009, 8:53

Justement, non ce n’est pas qu’un simple rapport, je n’ai donc pas les droits pour le supprimer, car ca me dit que c’est déjà utiliser dans un autre programme… mon seul moyen est d’afficher les fichiers cachés (ou système, je sais plus) de supprimer un fichier qui se trouve à la racine de mes périphériques qui s’appelle “click” avec le symbole d’une corbeille… tout ca en mode sans échec. Ensuite je peu supprimer cet autorun.inf.

Autyre chose, hier soir j’ai lancé USBFix. Il m’a bien tout détecté et son rapport était plutôt enourageant dans le sens ou c’est le seul qui m’a mentionné le nom de la vérole à savoir “click\Jack”. Il me dit qu’il s’en ai chargé, mais après vérificatcion il me met simplement un rustine. Création d’un repertoire qui s’appelle autorun.inf" avec des droit d’admin en lecture seule qui empêche la génération future à la racine, mais le process de génération lui est toujours actif et c’est lui que nous cherchons à neutraliser…

Bon je test avec ton ATF-Cleaner ^^

Merci en tout cas du temps que tu prends pour moi, mais j’avoue qu’il est assez costaud le pépère !! ^^

moh_shadow · Octobre 1, 2009, 9:31

ATF-Cleaner à été lancé. Ca m’a fait un petit nettoyage, mais rien de très impressionnant par rapport à un ccleaner. Enfin, en tout cas, toujours mes autorun.inf…

Je désespère… vivement que je recoive mon windows7 précommandé… ^^

cricri58 · Octobre 1, 2009, 2:50

Poste le nouveau log RSIT

moh_shadow · Octobre 1, 2009, 5:27

Voilà:

RSIT log.txt
Edité le 01/10/2009 à 17:30

cricri58 · Octobre 1, 2009, 6:08

Salut

Fais ceci

Désactives ton antivirus

Télécharge OTM de OldTimer sur le bureau :

==> OTM de OldTimer

Double-clique sur OTM.exe sur le bureau

—> sous VISTA: clic droit: exécuter en temps qu’administrateur.

Assure toi que la case Unregister Dll’s and Ocx’s soit bien cochée
Copie le texte qui se trouve en citation et colle le dans le cadre de gauche de OTMoveIt nommé Paste Instructions for Items to be Moved

Clique sur MoveIt! pour lancer la suppression.
Ferme OTM

Ton PC va redémarrer pour finir la suppression, si il ne le fais pas lui-même, redémarre le.

Poste le rapport de OTM qui se trouve dans C:_OTM\MovedFiles.

Réactives ton antivirus

si tu as besoin un jour pour supprimer des fichiers récalcitrants " ==> Unlocker

moh_shadow · Octobre 5, 2009, 2:59

Désolé de ce week-end de silence, j’ai du aller en cure pour oublier mes problèmes de PC ^^

Voici le rapport:[spoiler]All processes killed
========== FILES ==========
C:\autorun.inf moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Fabrice
->Temp folder emptied: 2504413 bytes
->Temporary Internet Files folder emptied: 9143302 bytes
->Java cache emptied: 26087132 bytes
->FireFox cache emptied: 73871838 bytes

User: LogMeInRemoteUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 172 bytes
C:\Windows\1C4551A64743409391E41477CD655043.TMP folder deleted successfully.
%systemroot% .tmp files removed: 200704 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
Windows Temp folder emptied: 683674 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 107,28 mb

OTM by OldTimer - Version 3.0.0.6 log created on 10052009_131204

Files moved on Reboot…

Registry entries deleted on Reboot…
[/spoiler]
Edité le 05/10/2009 à 15:07

cricri58 · Octobre 5, 2009, 3:30

salut moh.shadow

==> C:\autorun.inf moved successfully. donc Supprimé !!

as-tu encore ton Probs

sinon passe ATF et poste un log RSIT

cricri58

moh_shadow · Octobre 5, 2009, 4:03

En fait j’ai installé usbFix qui m’a créer un répertoire “autorun.inf” à la racine de tous mes disques en mode caché. Ca à pour conséquence d’interdire la routine qui créer le fameux fichier du même nom (c’est ce que je ne voulais pas faire, mais en desepoir de cause j’ai opté pour ca en attendant une solution plus radicale).

Me conseille-tu de désinstaller USB FIX pour voir si la routine tourne toujours?

A noter que je n’ai plus l’interface de windows autorun lorsque j’insère un stockage de mass usb ni meme un DVD. C’est ca qui a du être shunté.

edit par moshadow: le répertoire autorun.inf créer à la racine de mes lecteurs n’est pas un simple répertoire caché, mais un répertoire “system”
Edité le 05/10/2009 à 16:09

cricri58 · Octobre 5, 2009, 4:45

Re

en fait ce qu a fait Usbfix c est le principe de la "vaccination " donc pas d inquiétude

c est à dire

vacciner ses supports amovibles de Bobette Marlow

On peut, si l’on souhaite " vacciner " ses supports amovibles, y créer dans chaque lecteur un dossier
que l’on nommera Autorun.inf sur lequel on fera un clic-droit >> Propriétés >> cocher la case Caché puis cliquer sur Appliquer et Ok.

De la sorte le fichier infectieux portant le même nom ne pourra pas s’installer.

Télécharges ToolsCleaner! de A.Rothstein pour enlever les programmes utilisés pendant la procédure.

==>ToolsCleaner! de A.Rothstein

==> Enregistres ToolsCleaner2.exe sur le Bureau.
Sous Vista,Clic-droit > Exécuter en tant qu’ Administrateur
==> Double-cliquer dessus, puis cliquer sur Recherche –> Le programme va chercher les utilitaires installés
------> Il se peut que la fenêtre devienne blanche pendant le scan, c’est normal !
==> Copier-coller le contenu du rapport qui apparait dans la fenêtre blanche.

Lorsque la recherche est terminée ToolsCleaner affiche une liste des différents outils trouvés, cliques sur “Suppression” afin de les supprimer.
et ensuite cliques==>vidage Corbeille
Fermes le programme en cliquant sur "Quitter ".

Postes le rapport qui se trouve ici >>> C:\TCleaner.txt

aprés supprimes ToolsCleaner

cricri58

moh_shadow · Octobre 5, 2009, 6:16

Voilà…

[spoiler][ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

–> Recherche:

C:_OTM: trouvé !
C:\Rsit: trouvé !
C:\Program Files\Trend Micro\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\hijackthis.log: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Users\Fabrice\Desktop\HijackThis.lnk: trouvé !
C:\Users\Fabrice\Desktop\OTM.exe: trouvé !
C:\Users\Fabrice\Desktop\Rsit.exe: trouvé !
C:\Users\Fabrice\Downloads\GenProc.zip: trouvé !
C:\Users\Fabrice\Downloads\UsbFix.exe: trouvé !
C:\Users\Fabrice\Downloads\Archives 30.09\KillBox.exe: trouvé !
C:\Users\Fabrice\Downloads\Archives 30.09\UsbFix.exe: trouvé !
C:\Users\LogMeInRemoteUser\Desktop\HijackThis.lnk: trouvé !

Corbeille vidée!

–> Suppression:
C:\Program Files\Trend Micro\HijackThis.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: supprimé !
C:\Users\Fabrice\Desktop\HijackThis.lnk: supprimé !
C:\Users\Fabrice\Desktop\OTM.exe: supprimé !
C:\Users\Fabrice\Downloads\GenProc.zip: supprimé !
C:\Users\Fabrice\Downloads\Archives 30.09\KillBox.exe: supprimé !
C:\Users\LogMeInRemoteUser\Desktop\HijackThis.lnk: supprimé !
C:\Program Files\Trend Micro\hijackthis.log: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Users\Fabrice\Desktop\Rsit.exe: supprimé !
C:\Users\Fabrice\Downloads\UsbFix.exe: supprimé !
C:\Users\Fabrice\Downloads\Archives 30.09\UsbFix.exe: supprimé !
C:_OTM: ERREUR DE SUPPRESSION !!
C:\Rsit: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: ERREUR DE SUPPRESSION !!
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: supprimé !

Corbeille vidée![/spoiler]

si je comprends bien mon PC est réparé ^^ Bah ca alors… j’attends un peu avant de m’exciter, mais je vien de tester avec un clé vierge et apparemment plus de génération automatique de quoi que se soit… Ca vaut un gros +1 Cricri!! :super:

Bon, maintenant que tout ca c’est fait, 2 petites dernières pour la route:

1/ comment puis-je supprimer le répertoire “autorun.inf” en tant que fichier system à la racine de mes périphériques?.. c’est moche ^^
2/ Puis-je récupérer moln menu d’introduction des disque externe (genre que voulez-vous faire avec votre clé USB… [spoiler]Un tennis Connard ! ! ! :D[/spoiler]

cricri58 · Octobre 5, 2009, 6:24

Sauf erreur de ma part

supprimer le fichier autorun.inf sur une partition ou un périphérique usb:

Démarrer > Exécuter > cmd
taper x: puis entrer (x correspond à la lettre du lecteur)
ATTRIB -R -A -S -H autorun.inf
DEL autorun.inf

Pour vérifier que le fichier est bien supprimer : DIR /a

Si c’est un périphérique USB il faut déconnecter puis le connecter pour pouvoir enfin afficher son contenu

tu me diras

cricri58

moh_shadow · Octobre 6, 2009, 10:48

Ecoute, Cricri, j’ai qu’une chose à dire: BRAVO!!

J’avoue avoir été un élève studieux en suivant à la lettre toutes tes indications, sans toujours savoir où tu voulais en venir. Je ne suis pourtant pas manchot en info, mais là je suis sur le cul ^^

Tu mérites amplement ton +1. Je laisse le sujet ouvert quelques jours pour voir si le soucis est bien éradiqué ^^

cricri58 · Octobre 6, 2009, 11:14

salut moh.shadow

n hesites pas à poser des questions,content d avoir pu t aider :super:

no probs !!!:jap:

sinon au plaisir et bon surf

cricri58 :hello: