Se connecter / S'enregistrer
Votre question

[résolu] Trojan autorun.inf - partitions C et D du disque dur

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
30 Novembre 2009 18:29:17

Bonjour,

Un des PC que j'utilise est infecté par le trojan autorun.inf

Symptomes:

Les partitions de mon disque dur C et D sont parfois inaccessibles ou introuvables.

Que puis-je faire pour éradiquer la bête?

Merci de votre aide :??: 

Autres pages sur : resolu trojan autorun inf partitions disque dur

30 Novembre 2009 18:41:51

Salut,


fais ceci pour avoir un diagnostique précis du PC :


1- Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> http://telechargement.zebulon.fr/zhpdiag.html


!! déconnecte toi et ferme toutes tes applications en cours !!

> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) .

> Lance ZHPDiag depuis le raccourci du bureau .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )

Une liste apparait dans l'encadré principal > vérifie que toutes les lignes soient bien cochées sauf les 045 et 061 ( important ! ) .

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .


Laisses travailler l'outil ...


> Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag)

Puis ferme le programme ...


> rends toi ensuite sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....


====================


2- Lance de nouveau ZHPDiag ,

!! déconnecte toi et ferme toutes tes applications en cours !!

* Tu vas faire une " analyse détaillée/MD5 " en procédant ainsi :

> tu cliques cette fois ci sur le bouton " dossier+loupe " ( en haut à droite ) pour lancer le scan.


Laisse travailler l'outil et ne touche à rien ( cela peut-être relativement long ) .


* Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistre le de façon à le retrouver facilement ( sur le bureau par exemple ).

* Fais moi parvenir ce rapport via " Cijoint " dans ta prochaine réponse pour analyse ...

Contenus similaires
30 Novembre 2009 19:48:10

Bien ...


/!\ Pour le bon déroulement de la désinfection :
* Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
* N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
* Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
* Si tu as un quelconque problème n'hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).


Infection par support amovible .


Commence par ceci dans l'ordre :


1- Des restes de Norton à nettoyer ,

Télécharge Norton removal tool sur ton bureau :
ftp://ftp.symantec.com/public/francais/removal_tools/No...

Déconnecte toi .
Ensuite désinstalle Norton avec "Norton removal tool": tu double-cliques dessus et tu te laisses guider ... il faut le désinstaller correctement ( fais la manipe 2 fois si nécessaire ).


====================


2- Télécharge UsbFix ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFi...
ou ici http://chiquitine.changelog.fr/UsbFix.exe

! Déconnecte toi d'internet et ferme toutes applications en cours !


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html







30 Novembre 2009 20:55:07

OK, voici le rapport UsbFix.txt >

############################## | UsbFix V6.058 |

User : user (Administrateurs) # ACER-564DF136B7
Update on 26/11/2009 by Chiquitine29, C_XX & Chimay8
Start at: 20:26:55 | 30/11/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Turion(tm) 64 X2 Mobile Technology TL-58
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 7.0.5730.13
Windows Firewall Status : Disabled
AV : avast! antivirus 4.8.1335 [VPS 091130-0] 4.8.1335 [ Enabled | Updated ]

C:\ -> Disque fixe local # 71,8 Go (56,27 Go free) [ACER] # NTFS
D:\ -> Disque fixe local # 72,34 Go (69,23 Go free) [ACERDATA] # FAT32
E:\ -> Disque CD-ROM
G:\ -> Disque amovible # 3,74 Go (1,86 Go free) [KINGSTON] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 764
C:\WINDOWS\system32\csrss.exe 812
C:\WINDOWS\system32\winlogon.exe 844
C:\WINDOWS\system32\services.exe 888
C:\WINDOWS\system32\lsass.exe 900
C:\WINDOWS\system32\Ati2evxx.exe 1068
C:\WINDOWS\system32\svchost.exe 1084
C:\WINDOWS\system32\svchost.exe 1132
C:\WINDOWS\System32\svchost.exe 1184
C:\WINDOWS\system32\svchost.exe 1316
C:\WINDOWS\system32\svchost.exe 1344
C:\WINDOWS\system32\Ati2evxx.exe 1556
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 1684
C:\Program Files\Alwil Software\Avast4\ashServ.exe 1744
C:\WINDOWS\Explorer.EXE 1872
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe 1936
C:\WINDOWS\RTHDCPL.EXE 1996
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe 2028
C:\Acer\Empowering Technology\ePresentation\ePresentation.exe 2044
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE 136
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe 176
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 188
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe 196
C:\PROGRA~1\LAUNCH~1\LManager.exe 216
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe 228
C:\Program Files\Java\jre6\bin\jusched.exe 300
C:\WINDOWS\system32\ctfmon.exe 480
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe 524
C:\Program Files\Fichiers communs\Nikon\Monitor\NkMonitor.exe 692
D:\Program Files\Prg Chris\Anti-Autorun.inf\Anti-Autorun.inf.exe 736
C:\WINDOWS\system32\spoolsv.exe 1864
C:\DOCUME~1\user\LOCALS~1\Temp\RtkBtMnt.exe 2352
C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe 2752
C:\Program Files\Java\jre6\bin\jqs.exe 2800
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe 2828
C:\Program Files\O2Micro Oz128 Driver\o2flash.exe 2884
C:\Program Files\CyberLink\Shared Files\RichVideo.exe 2932
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe 2980
C:\WINDOWS\system32\svchost.exe 3028
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe 3124
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 3620
C:\WINDOWS\system32\wbem\wmiprvse.exe 3668
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 3720
C:\WINDOWS\system32\wbem\wmiprvse.exe 3748
C:\WINDOWS\System32\alg.exe 4016
C:\WINDOWS\system32\wbem\unsecapp.exe 4092
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe 2320

################## | Fichiers # Dossiers infectieux |

G:\autorun.inf
G:\autorun.inf -> fichier appelé : "G:\pbudsara.exe" ( Absent ! )

################## | Registre # Clés infectieuses |

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "cdoosoft"
[HKLM\SOFTWARE\Classes\CLSID\MADOWN]
[HKCR\CLSID\MADOWN]

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{0fd94f68-e843-11dc-8577-001e4c5103a6}
Shell\AutoRun\command =F:\pbudsara.exe
Shell\open\Command =F:\pbudsara.exe

HKCU\..\..\Explorer\MountPoints2\{5d9c51c8-e884-11dc-8578-001e4c5103a6}
Shell\AutoRun\command =hjvjte.exe
Shell\open\Command =hjvjte.exe

HKCU\..\..\Explorer\MountPoints2\{8d13580e-1cf3-11dd-860f-001e4c5103a6}
Shell\AutoRun\command =pbudsara.exe
Shell\open\Command =pbudsara.exe

HKCU\..\..\Explorer\MountPoints2\{b5d4dd6c-bf0a-11dd-87d9-001e4c5103a6}
Shell\AutoRun\command =F:\wbj.exe
Shell\open\Command =F:\wbj.exe

################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.058 ! |

30 Novembre 2009 21:31:24

Bien,


la suite dans l'ordre :


1- ! Déconnecte toi d'internet et ferme toutes applications en cours !

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil .

# Cette fois ci , tu choisis l' option 2 ( Suppression ) .

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

# Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau ( via "Cijoint" si il est trop long ).


( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\


====================


2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...


1 Décembre 2009 15:34:33

Salut,


la suite dans l'ordre :


1- Rends sur cette page :
> http://forum-aide-contre-virus.be/usbfix/choix_fichier....

* clique sur "parcourir" et va jusqu'au fichier UsbFix_Upload_Me_ACER-564DF136B7.zip qui est sur ton bureau .

* puis clique sur "envoyer le fichier" ... patiente le temps du transfère ...

* Une fois terminé , tu peux supprimer le fichier UsbFix_Upload_Me_ACER-564DF136B7.zip


merci d'avoir fait cette remonté qui permettra aux auteurs de l'outil de travailler sur ce type d'infection et d'aider ainsi à ce que UsbFix soit de plus en plus performant ...


=============================

2- Télécharge CCleaner :
ici http://www.infos-du-net.com/telecharger/CCleaner,0301-1...
ou ici http://www.commentcamarche.net/telecharger/telecharger-...

Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "français" en langue .
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.h...


---> Utilisation :
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )


====================


3- Télécharge Malwarebytes :
ici http://www.commentcamarche.net/telecharger/telecharger-...
ou ici : http://www.malwarebytes.org/mbam.php

* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : http://www.malekal.com/download/comctl32.ocx )

* Potasse ce tuto pour te familiariser avec le prg :
http://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi et ferme toutes applications en cours !

* Lance 'Malwarebytes' .

Fais un examen dit " RAPIDE " .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur "suppression".

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...

======================


4- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
1 Décembre 2009 19:42:49

Re,

pour l'étape 1 tu as raison , le lien d'uplaod a changé ! ... c'est donc ici que cela ce passe maintenant > http://chiquitine.changelog.fr/Sample/Upload.php


Et effectivement , on est plutôt bien ! ... :D 


Dis moi comment va le PC ... du mieux ?


puis fait ceci :

1- Télécharge GenProc (de Jean-Chretien1 et Narco4) sur ton bureau :
http://www.genproc.com/GenProc.exe

!! ferme tes applications en cours !!


* double-clique sur GenProc.exe pour lancer le scan et laisse faire ...

* A la question "faites vous aidez sur un forum..." > clique sur "oui" .

-> poste le contenu du rapport qui s'ouvre ...


Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

IMPORTANT : poste le rapport uniquement ! Ne suis pas les éventuelles consignes qu'il mentionne pour le moment ...


====================


2- Télécharge Ad-remover ( de C_XX ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
ou ici http://forum-aide-contre-virus.be/download/C_XX/AD-R.ex...

! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !

• Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

• Au menu principal choisis l'option "S" et tape sur [entrée] .

• le scan démarre , laisse travailler l'outil et ne touche à rien ...

/!\ l'outil donne l'impression qu'il a planté et qu'il ne se passe rien , mais ce n'est pas le cas ! ( le scan est très discret et assez long , donc patience ... )


--> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...

( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )


Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus :
(AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Aides en images (Installation) : http://pagesperso-orange.fr/NosTools/tuto_ad_r1.html
Aides en images (Recherche) : http://pagesperso-orange.fr/NosTools/tuto_ad_r2.html
1 Décembre 2009 20:24:57

Salut,

Le PC semble aller bcp mieux en effet.

Je procède à la suite demain matin.

Bonne soirée... et 1000 mercis :-))
1 Décembre 2009 20:41:16

Re,

no problemo ...

A demain ( soir pour moi ) avec les rapports demandés ... [:dju]

3 Décembre 2009 08:00:53

Hello sKe69,

Suite à ton intervention et aux différentes opérations que j'ai effectuées après, le PC se porte à nouveau comme un charme. Je cloture ici ma demande d'assistance et te remercie infiniment pour les précieux conseils prodigués !!!

Bonne continuation à toi :-)))

Cordialement !!!
4 Décembre 2009 20:52:44

re

Citation :
Je cloture ici ma demande d'assistance et te remercie infiniment pour les précieux conseils prodigués !!!



hop hop hop !!! ce n'est pas terminé !!! .... :non: 


c'est une erreur de t'arrêter là ! ....


Il reste encore pas mal de point à voir et à contôler .... l'absence de symptome ne veux pas dire que le PC soit saint , ni sécurisé .... :( 
( sans parler de tout ce qui traine comme outil sur le PC , les quarantaines bourrée de saloperies, ect ... )


j'espère donc que l'on va finir ce que l'on a commencé, et d'avoir dans ta prochaine réponse les rapports demandés ...


5 Décembre 2009 05:12:11

Hello sKe69,

J'ai bénéficié de l'aide d'un ami calé en informatique qui est passé chez moi. En 24h il a accompli un joli boulot lui aussi. Le PC va bien.

Encore 1000 x merci de ton aide, bon WE :-)
5 Décembre 2009 08:08:42

re,


fait au moins ceci stp :


Télécharge ToolsCleaner (de A.Rothstein) sur ton bureau .
http://pc-system.fr/TC/ToolsCleaner2.exe

Déconnecte toi et ferme bien toutes tes applications en cours .

Clique droit sur le prg et choisis "exécuter en tant qu' Administrateur"

*Clique sur Recherche et laisse le scan se terminer (cela peut être long).
*Clique sur Suppression pour finaliser.
*Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) .

--> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt


( garde CCleaner et Malwarebytes : très utiles ! )


:hello: 
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS