Votre question

problème autorun et "copy of shorcut to"

Tags :
  • Virus
  • Disque dur externe
  • Sécurité
Dernière réponse : dans Sécurité et virus
9 Janvier 2012 15:19:06

Bonjour, depuis 2 jours, lorsque j'insère une de mes clés USB dans le PC, avira me dit qu'il bloque l'autorun. Et quand j'ouvre le contenu de la clé, je trouve 3 raccourcis du types "copy of shorcut to (1)" qui reviennent même lorsque je les supprime. Le Pc est devenu lent. MBAM ne détecte rien et un scan par Avira non plus. Y a-t-il une autre solutions que de reformater la clé?
Merci par avance de votre aide.

Autres pages sur : probleme autorun copy shorcut

a c 612 8 Sécurité
9 Janvier 2012 18:40:51

Bonsoir,

On va vérifier ça :

Télécharge UsbFix (de El Desaparecido) sur ton Bureau.

/!\ Déconnecte-toi et ferme toutes les applications en cours /!\
/!\ Branche tous tes périphériques ayant pu être infectés (clés usb, disque dur externe, etc ...) /!\


  • Double-clique sur "UsbFix" pour lancer le programme
    (Utilisateur de Vista/Windows 7, clique-droit sur UsbFix > Exécuter en tant qu'administrateur)
  • Clique sur "Recherche" pour lancer le scan. Branche tes périphériques si ce n'est pas fait, puis valide l'avertissement.
  • Laisse travailler l'outil.
  • A la fin, un rapport apparaitra (sinon, il est situé ici C:\Usbfix.txt). Poste-le dans ta prochaine réponse


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    Contenus similaires
    Pas de réponse à votre question ? Demandez !
    a c 612 8 Sécurité
    9 Janvier 2012 19:40:10

    Re,


    1) Relance USBFix :

    /!\ Déconnecte-toi et ferme toutes les applications en cours /!\
    /!\ Branche tous tes périphériques ayant pu être infectés (clés usb, disque dur externe, etc ...) /!\


  • Double-clique sur "UsbFix" pour lancer le programme

  • Clique sur "Suppression" pour lancer le nettoyage. Branche tes périphériques si ce n'est pas fait, puis valide l'avertissement.
  • Laisse travailler l'outil, ton bureau va disparaitre, c'est normal.
  • S'il te demande d'envoyer un fichier .zip, accepte.
  • A la fin, un rapport apparaitra (sinon, il est situé ici C:\Usbfix.txt). Poste-le dans ta prochaine réponse

    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.

    2) Télécharge OTL (de Old Timer) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.

  • Coche en haut la case devant "Tous les utilisateurs"

  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.

    Note : Les rapports sont aussi enregistrés sur le bureau
    a c 612 8 Sécurité
    9 Janvier 2012 22:00:44

    Re,

    Est-ce Antivir bronche toujours sur tes clés à présent ?
    Est-ce que les "raccourci" sont toujours là et se recréent ?

    Pour suivre :

    1) Supprime via ajout/suppression des programmes (si présent) :

    - LiveUpdate 2.0 (reste d'un produit Norton)
    - Language pack for Ad-Aware SE (reste d'ad-aware)

    2) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    DRV - [2010/11/22 09:50:19 | 000,064,288 | ---- | M] (Lavasoft AB) [File_System | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\Lbd.sys -- (Lbd)
    [2012/01/07 21:33:00 | 000,000,506 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
    [2011/06/08 21:17:23 | 000,000,160 | -H-- | C] () -- C:\Documents and Settings\All Users\Application Data\~18538276r
    [2011/06/08 21:17:23 | 000,000,144 | -H-- | C] () -- C:\Documents and Settings\All Users\Application Data\~18538276
    [2011/07/10 12:14:05 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Lavasoft
    [2011/12/12 22:28:13 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrateur\Application Data\BabylonToolbar
    [2011/12/12 22:22:18 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Norton
    [2010/05/16 17:06:17 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\NortonInstaller
    [2009/09/16 17:02:27 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Symantec

    :Commands
    [emptytemp]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    10 Janvier 2012 18:09:50

    Bonjour,
    J'ai réussi à supprimer les deux programmes. pour le second, il m'a dit qu'il avait déjà été supprimé...
    Avira ne dit plus rien, mais les raccourcis réapparraissent systématiquement ( les 3 mêmes,dans la clé G, celle dont Anvira bloquait l'autorun))
    Il y a aussi deux répertoires FOUND.000 qui sont apparus dans la clé G et dans la clé H. Est-ce normal?

    Voici le rapport OTL:
    http://pjjoint.malekal.com/files.php?id=20120110_l11c6u...

    a c 612 8 Sécurité
    10 Janvier 2012 19:44:42

    Re,

    Les dossiers de type found.000 sont issue des résultats d'une vérification de disque Windows généralement.
    Ils contiennent des fragments de fichier récupérés.
    Maintenant sur des clés USB peut d'utilité ...

    Peux-tu regarder ceci pour moi :
    Fais un clic-droit sur un des raccourcis -> propriétés
    Copie-moi la ligne en face de "Cible"
    10 Janvier 2012 22:28:30

    La ligne cible est vide ainsi que toutes les propriétés du raccourci, sauf la date de création 4 décembre 2011 ( qui correspond au moment où j'avais été infesté par Ramnit et que tu étais déjà venu à mon secours!).
    Sinon, le PC est super lent ! J'ai dû m' y reprendre à plusieurs fois pour OTL tout à l'heure, et en revenant de suite, il était toujours en train de femer la session depuis 19H30...
    a c 612 8 Sécurité
    10 Janvier 2012 22:36:50

    Re,

    Sauvegarde les données du disque G: sur ton pc, formate la clé et regarde si ces raccourci reviennent.

    Ton pc était vraiment moins long avant l'infection ? Où seulement après l'infection, ou plutôt après le passage d'un des outils ?

    Tu as un disque original de Windows ?

    11 Janvier 2012 10:40:54

    Bonjour,
    La clé a été formaté et apparemment les raccourcis ne sont plus là!
    Autre bonne nouvelle apparemment : depuis que la clé a été formatée, le PC est beaucoup plus rapide. Cela datait du moment où avira avait commencé à bloquer l'autorun de la clé en question. C'était le cocktail lenteur du PC + message d'Avira + apparition des raccourcis qui m'a incité en début de semaine à faire appel au site. J'avais aussi un truc curieux : dès que je devais remplir une case de formulaire genre recherche sur google, il fallait que je tape deux fois la première lettre pour qu'elle apparaisse.
    Je n'ai pas le disque original de Windows car j'ai récupéré tel quel un PC qui était déclassé avec sans doute plein de choses qui ne servent à rien.

    Quelle est la suite du programme?
    a c 612 8 Sécurité
    11 Janvier 2012 14:35:57

    Re,

    Si le nettoyage de la clé semble avoir régler les souci, on va s'arrêter là.

    Prend le temps de regarder si tout est ok, pendant quelques jours par exemple.
    Reviens alors me le signaler et on nettoiera les programmes utilisé pour conclure ;) 

    :jap: 
    11 Janvier 2012 15:46:42

    OK pas de problème.
    A bientôt.
    13 Janvier 2012 15:51:44

    Bonjour,
    les problèmes n'ont pas tardé à revenir au galop:
    hier soir, Avira a bloqué l'autorun de C et de D.... et depuis c'est la galère point de vue lenteur (17min pour arriver jusqu'à cette page et c'est pareil quelque soit le logiciel que je lance). MBAM a mis plus de 4 heures à faire l'examen complet du système et semblait bloqué sur tout un paquet de .dll ou .exe. Avira ne veut pas faire de scan du système. Le "système" justement a fait une mise à jour tout seul ( de quoi?, je ne sais pas mais le PC m'a demandé si je voulais redémarrer de suite ou pas) et depuis j'ai dans C un dossier avec un nom à rallonge ( 70d3b9b6a8bbe96aa0 ) qui ne veut pas disparaitre.
    Y a-t-il quelque chose à faire? (j'espère que la réponse est oui!)
    A bientôt.
    a c 612 8 Sécurité
    13 Janvier 2012 16:15:56

    Re,

    Peux-tu me fournir le rapport Malwarebyte's s'il te plait ?

    (sous l'onglet "Log/rapport" )
    13 Janvier 2012 19:18:03

    Voilà le rapport du dernier passage de MBAM que j'ai refait en début d'après midi. Il a été un peu plus rapide....

    Malwarebytes Anti-Malware 1.60.0.1800
    www.malwarebytes.org

    Version de la base de données: v2012.01.12.04

    Windows XP Service Pack 3 x86 NTFS
    Internet Explorer 8.0.6001.18702
    Administrateur :: MATHSSC-101 [administrateur]

    13/01/2012 14:23:48
    mbam-log-2012-01-13 (14-23-48).txt

    Type d'examen: Examen rapide
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 163911
    Temps écoulé: 1 heure(s), 1 minute(s), 39 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    (fin)
    a c 612 8 Sécurité
    13 Janvier 2012 19:42:38

    Re,

    Non mais moi je voulais celui qui tu disais avoir mis longtemps et qui avais détecté des exe et dll, s'il te plait.
    Il avait détecté quelque chose ou non ?

    On va quand même regarder que Ramnit ne soit pas revenu :

    Télécharge DrWeb CureIt :

  • Double-clique sur "Launch.exe" pour le lancer.
    (Utilisateur de Vista/Windows 7, fais un clic-droit sur le fichier : "Exécuter en tant qu'administrateur")
  • Accepte l'avertissement pour le mode "Protection renforcée" et le fenêtre suivante avec "Ok"
    (Choisi "Annuler" si une fenêtre demandant d'obtenir plus de renseignements apparait)
  • Choisi "Commencer le scan" et valide l'avertissement avec "Ok"
    (Tu ne pourras plus rien faire sur le PC jusqu'à la fin du scan)

  • Si un fichier infecté est détecté, choisi l'option "Oui pour tout" (s'il te propose de désinfecter ou mettre en quarantaine)

  • A la fin du scan rapide, si des fichiers ont été détecté, choisi alors "analyse complète" et lance-là avec le bouton à droite |>
  • Si un fichier infecté est détecté, choisi l'option "Oui pour tout" (s'il te propose de désinfecter ou mettre en quarantaine)

  • Lorsque ce second scan est fini, choisi : Fichier -> enregistrer le rapport
  • Sauvegarde-le sur ton bureau, et copie-colle son contenu dans ta prochaine réponse.
  • Ferme le programme.

    Note : si rien n'est détecté lors du scan rapide, indique-le nous.
    Si des fichiers ont été détecté, une fenêtre d'avertissement apparaitra en fermant le programme, choisi "annuler"

    14 Janvier 2012 13:11:20

    Bonjour,
    Voici les deux rapports de Dr WEB. J'ai au de la peine à le faire démarrer hier, le scan ne se lançait pas, jusqu'à ce que je déconnecte le PC d'internet.
    Le 1er rapport est celui de l'analyse rapide et le second celui de l'analyse complète. J'ai eu un doute : fallait-il le faire avec les clés bracnhées ou non ( je l'ai fait sans )

    Le 1er :

    HPDOMON.DLL;C:\WINDOWS\system32;Trojan.Click2.10585;Supprimé.;
    HPDOMON.DLL;C:\WINDOWS\system32\spool\drivers\w32x86\3;Trojan.Click2.10585;Supprimé.;
    HPDOMON.DLL;C:\WINDOWS\system32\spool\drivers\w32x86\hewlett_packardhp_cobf85;Trojan.Click2.10585;Supprimé.;

    Le second :

    HPDOMON.DLL;C:\WINDOWS\system32;Trojan.Click2.10585;Supprimé.;
    HPDOMON.DLL;C:\WINDOWS\system32\spool\drivers\w32x86\3;Trojan.Click2.10585;Supprimé.;
    HPDOMON.DLL;C:\WINDOWS\system32\spool\drivers\w32x86\hewlett_packardhp_cobf85;Trojan.Click2.10585;Supprimé.;
    0696c78c.qua;C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED;Exploit.Cpllnk;Irréparable.Quarantaine.;
    07547418.qua;C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED;Exploit.Cpllnk;Irréparable.Quarantaine.;
    1686bb5a.qua;C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED;Exploit.Cpllnk;Irréparable.Quarantaine.;
    174408cf.qua;C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED;Exploit.Cpllnk;Irréparable.Quarantaine.;
    24e716e4.qua;C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED;Exploit.Cpllnk;Irréparable.Quarantaine.;
    2525a571.qua;C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED;Exploit.Cpllnk;Irréparable.Quarantaine.;
    4b780597.qua;C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED;Exploit.SWF.202;Supprimé.;
    4c5eb2c3.qua;C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED;Exploit.Cpllnk;Irréparable.Quarantaine.;
    4d9c0157.qua;C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED;Exploit.Cpllnk;Irréparable.Quarantaine.;
    54c99d64.qua;C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED;Exploit.Cpllnk;Irréparable.Quarantaine.;
    550b2ef0.qua;C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED;Exploit.Cpllnk;Irréparable.Quarantaine.;
    5a3e9710.qua;C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED;Exploit.Cpllnk;Irréparable.Quarantaine.;
    5bfc2485.qua;C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED;Exploit.Cpllnk;Irréparable.Quarantaine.;
    60a1884f.qua;C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED;Exploit.Cpllnk;Irréparable.Quarantaine.;
    61633bda.qua;C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED;Exploit.Cpllnk;Irréparable.Quarantaine.;
    6a9efb0a.qua;C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED;Exploit.Cpllnk;Irréparable.Quarantaine.;
    6b5c489f.qua;C:\Documents and Settings\All Users\Application Data\Avira\AntiVir Desktop\INFECTED;Exploit.Cpllnk;Irréparable.Quarantaine.;
    A0003665.exe;C:\System Volume Information\_restore{36FA18AF-C27F-40F9-90A2-845ECB463DC5}\RP44;Trojan.Siggen3.1716;Irréparable.Quarantaine.;
    A0008269.DLL;C:\System Volume Information\_restore{36FA18AF-C27F-40F9-90A2-845ECB463DC5}\RP49;Trojan.Click2.10585;Supprimé.;
    A0008270.DLL;C:\System Volume Information\_restore{36FA18AF-C27F-40F9-90A2-845ECB463DC5}\RP49;Trojan.Click2.10585;Supprimé.;
    A0008271.DLL;C:\System Volume Information\_restore{36FA18AF-C27F-40F9-90A2-845ECB463DC5}\RP49;Trojan.Click2.10585;Supprimé.;
    Un-UsbFix.exe;C:\UsbFix;Trojan.Siggen3.1716;Irréparable.Quarantaine.;


    En tout cas le PC est déjà beaucoup plus rapide ce midi.
    A bientôt


    a c 612 8 Sécurité
    14 Janvier 2012 13:53:45

    Re,

    Tu peux faire ceci s'il te plait et me dire ensuite si tout semble ok sur le pc et si tes raccourci réapparaissent ou non, ou d'autres symptômes ?

    Télécharge CAT (de la Team Rocket Ops) sur ton Bureau.

  • Double-clique sur CAT.exe pour lancer le programme.
    (Utilisateur de Vista/Windows 7, clique-droit sur le raccourci de CAT.exe -> Exécuter en tant qu'administrateur)

  • Sur la page qui s'affiche, coche les options suivantes :

    Reset All Networking Interfaces

  • Clique ensuite en dessous sur "Apply Checked Fixes"
  • Laisse l'outil travailler
  • Ferme le programme. (croix en haut à droite)

  • Un rapport va s'ouvrir, copie-colle son contenu dans ta prochaine réponse.
    14 Janvier 2012 14:17:10

    Voici le rapport demandé :

    =============== Resetting network interfaces ===============
    Resetting winsock... Completed with exit code: 0
    Resetting winsock catalog... Completed with exit code: 0
    Resetting IP interface... Completed with exit code: 0. Log saved to C:\CAT-Logs\01-14-2012 - 14.18.38.093\INETreset - 14.19.05.log
    Resetting all network interfaces... Completed with exit code: 0
    Resetting Windows Firewall... Completed with exit code: 0
    ============ Network Interfaces Reset Complete =============

    Je vais rebrancher toutes les clés une à une pour voir ce qui se passe maintenant.

    =============== DNS Cache Flush ===============
    Flushing DNS Cache... Done.
    =========== DNS Cache Flush Complete ==========
    14 Janvier 2012 19:45:40

    J'ai pu les rebrancher sans qu'il ne se passe rien de particulier. Le PC est beaucoup plus rapide en tout cas.
    Que faire maintenant?
    A bientôt.
    a c 612 8 Sécurité
    14 Janvier 2012 20:05:45

    Re,

    Tu observes le pc pendant quelques jours voir si tout es ok.

    Si c'est bon on nettoiera les outils utiliser. ;) 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS