Votre question

Infection via supports USB/autorun.inf KARACHINA

Tags :
  • Autorun
  • Sécurité
Dernière réponse : dans Sécurité et virus
27 Février 2010 10:57:02

Bonjour.

Depuis 2 semaines, je constate une infection sur mes supports USB (DD / Key).

Les symptômes sont les suivants :
1) Création d'une nouvelle poubelle (icône de la poubelle) appelée KARACHINA.
2) Le fichier autorun.inf devient inaccessible.

L'environnement est complexe...
1) J'utilise chez moi un PC fixe (XP sp-3 à jour).

2) Pour le boulot, j'ai un PC portable xp sp-2 TOTALEMENT verrouillé (ou presque...) le C: ne m'est pas accessible sauf mon user dans Documents and Settings\
Par contre, il est possible de booter sur le lecteur de CD (j'ai un vieux ultimate boot cd 4.1.1 qui fonctionne)

3) Mon PC fixe a eu une infection voici quelques jours.
Je crois avoir réussi à la virer grâce à ZHPL qui me dit que mon pc est sain...
Même chose pour mon antivirus, Avira AntiVir (à jour)

4) Lorsque j'insère un support USB dans mon PC fixe j'arrive à ouvrir le fichier autorun.inf et à l'éditer :

[autorun
;LFKSD:Fksdepo;fkeo;fke;fwjÊ£×Ôàñäêôë÷äêÔ×ÑÄÊÔÏÅÎÊÔÀË×êô÷àñîäêôÅ×ÔÊåÏÎ×êôåK?DFSAkfl?oasKJFASO?ëæàûëôâäæàËÀÙÓËÀÆÄÔËàæäùûìüæûâäëîÓÙÀØËÎÇÙÓÎÀÊÔÙÆîàùÖËÀæëäæòüîâæûèûâóæäÏËÛÂÄÆïøëÓÇÖÙ
open=KARACHINA///bachjek.exe
;ÆÀÔäûýæàäçöëàäÔëàöÙÀËöÀËöÔÝÆÀëöÆÀËÖÀäöÔÀËÖÔÝÀËÄÔÖÝ
icon=%SystemRoot%\system32\SHELL32.dll,4
;ËÀÔäùëöàÀËÖÔÆÀËöÇÙÆÀëöÆÀËÓÙÊÀÏÆäËÀôËÀôæÏËÎÓïùïëÇÖÙÆïëóàóùçæ
action=Open folder to view files using Windows Explorer
;àäæôËÀÖÙëàæôëÀôöæëàÖÇÙÆÀËÖæàëÔöæàËÖæàëöôæïîÓçëààëæôËÀöçùæËÀÖ
Shell\open\command=KARACHINA///bachjek.exe
;ëàÔÖÄÀÇÖëàöôËÏÔÏËóïëäôóçàÖôÀËöôëÏÀôöùïëôö
shell\open\command=KARACHINA///bachjek.exe
;ëàôöæËÀÙöôëàöôËÀöôËÀÖÕÆËÀóùïëóçï
USEAUTOPLAY=1
:ëàôöæËÀöæËÀöôëÀÖÙëàôöæîïçùæöóçïàôëäéÏÝÖÓÔËïý

Je peux alors le supprimer et mettre à sa place le fichier autorun.inf dont j'ai une copie :

[autorun]
OPEN=2go\LiberKey\LiberKey.exe
ICON=2go\LiberKey\LiberKey.exe, 0
shell\Menu1=Lancer LiberKey
shell\Menu1\command=2go\LiberKey\LiberKey.exe
ACTION = LiberKey

Par contre, cette même manipulation est impossible sur le PC du boulot car le fichier autorun.inf est bloqué.
Bien sur, je ne lance pas (plus ?) le programme suggéré par l'autorun.inf infecté.

Pouvez vous m'aider ?
Merci d'avance [:_tom_:7]

Autres pages sur : infection via supports usb autorun inf karachina

27 Février 2010 21:53:26

bonsoir.

Quelques infos supplémentaires.
si je nettoie a (fausse ?) poubelle KARACHINA et restore un config.ini correcte sur le fixe, puis débranche et rebranche le support usb sure fixe à nouveau, tout à l'air normal.
Par contre, sitôt branché, débranché puis rebranché sur le Portable du boulot, KARACHINA et le faux config.ini réapparaissent.

Toute aide possible fortement appréciée.
Merci [:_tom_:7]
1 Mars 2010 20:30:05

Bien que n'ayant pas encore eu de réponse :cry:  , je vais essayer de mettre quelques infos dans l'espoir que quelqu'un s'intéresse à mon cas.

1) PC portable du bureau [Résolu]
Mon PC portable du bureau a été traité par l'informatique du bureau.
Ils n'ont pas cherché à comprendre, ils ont fait un formatage rapide puis ont installé une image ghost de la config standard et voila...
Je suis allé voir quelques collègues avec lesquels nous nous passons des clefs Usb de temps à autres et ils ont également chopé le virus.
Il semble que ce virus soit en fait destiné à nous faire acheter un anti-virus.
Le fichier s'appelle bachjek.exe, et, curieusement, une recherche simple sur Google indique qu'il n'y a que 7 résultats.
Le premier site propose un scan en ligne....
http://www.prevx.com/filenames/X1117237613913349891-X1/...
Tout cela me semble être une arnaque...
Je me suis aussi rendu compte que le virus crée un dossier système de restauration qui contient une copie du fichier autorun.inf

Il va donc me falloir refuser de passer mes clefs pour échanger des fichiers volumineux...
Mais globalement, je considère que le PC du boulot est maintenant propre...

2) PC fixe maison [A traiter]
J'ai passé Malwarebytes'Anti-Malware et il a trouvé pas mal de choses que j'ai ensuite supprimé :

Citation :
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3805
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

28/02/2010 09:16:16
mbam-log-2010-02-28 (09-16-16).txt

Type de recherche: Examen complet (C:\|D:\|E:\|L:\|)
Eléments examinés: 1174915
Temps écoulé: 8 hour(s), 26 minute(s), 23 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 16

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Amanda\buikii.exe (Worm.SFDC) -> Quarantined and deleted successfully.
D:\RECYCLER\S-1-5-21-1202660629-1644491937-839522115-1003\Dg5\CDex\App\Cdex\unicows.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.
D:\Save\Install 200903\2go\LiberKey\Apps\CDex\App\Cdex\unicows.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.
D:\Save\Install 200903\2go\LiberKeyAmanda\Apps\CDex\App\Cdex\unicows.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.
D:\Save\Install 200903\2go\LiberKeyAmanda\Apps\FontList\App\FontList\shfolder.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{0C1243D4-EBF6-45E4-B3C3-FF93369EC63F}\RP36\A0061599.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{0C1243D4-EBF6-45E4-B3C3-FF93369EC63F}\RP36\A0062192.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.
E:\2go\LiberKey\Apps\CDex\App\Cdex\unicows.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.
E:\2go\LiberKey\MyApps\WinBar-2.0.1-x86\Plugins\MultiMedia.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
E:\2go\LiberKeyAmanda\Apps\CDex\App\Cdex\unicows.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.
E:\2go\LiberKeyAmanda\Apps\FontList\App\FontList\shfolder.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.
E:\2go\SaveLiberKey\MyApps\WinBar-2.0.1-x86\Plugins\MultiMedia.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
L:\2go\LiberKey\Apps\CDex\App\Cdex\unicows.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.
L:\2go\LiberKey\Apps\FontList\App\FontList\shfolder.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Program Files\HUADRV.DLL (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Program Files\MarkFunDrv.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.


Je vois pas mal de logiciel de la LiberKey et me demande s'il ne s'agit pas de faux positifs ?

J'ai également utilisé Zeb Help Process et j'ai nettoyé tout ce qu'il a trouvé d'infectieux, d'inutile et de superflu.
Ce soir, j'essaye de le relancer mais curieusement il se fige après quelques secondes et plus rien ne se passe ensuite...

Enfin, Avira trouve des virus dans les fichiers de restauration du système.

Citation :
Dans le fichier 'C:\System Volume Information\_restore{4A254C18-19A5-4DCB-828D-9DCEAB73FC49}\RP367\A0095096.exe'
un virus ou un programme indésirable 'TR/Trash.Gen' [trojan] a été détecté.
Action exécutée : Refuser l'accès


Il trouve le même fichier toutes les heures entre 10h30 et 18h30 (personne devant le PC).
Mais il refuse l'accès sans les supprimer.

Que dois je faire ?
Merci de bien vouloir m'aider.
Contenus similaires
1 Mars 2010 20:34:21

Salut à toi,

Ne désespère pas, j'ai attendu 4-5 jours avant d'avoir une réponse. Ils sont très pris en ce moment j'ai l'impression. Ce que je te conseille, c'est de ne pas trop "up" ton topic, sans quoi les helpers, en voyant "xx" réponses penseront que quelqu'un règle ton problème.
Patiente juste encore quelques jours, et si tu n'as pas de réponse, recré un nouveau topic.

Bon courage à toi ;) 
4 Mars 2010 02:47:28

Hi guys,

Sorry but unfortunately I don't know French so I will write in English... (You can use Google -> Translate as I did to read your thread ;)  )

I experienced the same problem with 2 of my PCs. Symptoms are the same.

I browsed the Internet and accidentally I came up with the solution.
At first I found that the problem is caused by the file nissan.exe which is located in a hidden folder in RECYCLER.

To find out if you have the same problem - open registry and check if you have similar Registry Key there:

[HKEY_LOCAL_MACHINE]/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon,TaskMan

Key value is different for anyone but it looks like:
C:\RECYCLER\S-1-5-21-0442564839-0122729316-909053721-3295\nissan.exe

The possible solutions are described here:
http://zorasaroz.blogspot.com/2009/08/stop-wwwthenewspe...

Here is how it worked for me:
1) Copy nissan.exe file location from Registry Key value:
e.g. C:\RECYCLER\S-1-5-21-0442564839-0122729316-909053721-3295
2) delete Registry Key
3) Start -> Run... -> cmd
4) execute the following command:
attrib -h -s -r C:\RECYCLER\S-1-5-21-0442564839-0122729316-909053721-3295 (here should be your copied location value)
5) Start -> Run... -> C:\RECYCLER\S-1-5-21-0442564839-0122729316-909053721-3295
6) There will be 2 files: Desktop.ini and nissan.exe
Use Unlocker 1.8.8 to unlock the files and delete them by Shift+Delete
7) I also did the following afterwards:
Start -> Run... -> C:\RECYCLER
and deleted S-1-5-21-0442564839-0122729316-909053721-3295 folder

I had to delete Registry Key several times - for some reasons it reappeared back. The last time I did this after I rebooted PC.

This helped me. :pt1cable:  :bounce:  I hope this will be helpful for you as well. :hello: 
4 Mars 2010 19:35:32

Hi FunFan.

I've searched for this key in the registry, but I don't have it.
I have made a search for Nissan.exe as well and I don't have it neither.
Thanks for your concern.
5 Mars 2010 21:08:43

Really strange... because with my computer and USB flash everything was just as you described...

Try to scan your computer with this tool:
http://www.softpedia.com/get/Antivirus/Exterminate-It.s...

I found this nissan.exe using this tool. It's shareware so it means that there are limitations for free version - it doesn't cure but it detects well :) 

In my situation I scanned the computer first and then tried to find easy and free ways to remove the virus.

I didn't suggest the tool first just because I thought that your problem is the same.

Good luck!
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS