autorun.inf virus ? • page 2

[Skynet]

Tu vois, tu peux comprendre maintenant le fonctionnement malheureusement "trop simple" d'USBfix. Mon fichier comme tu l'as vu était clean .

Tu peux maintenant le supprimer.

Par contre les deux autres lignes qui pointent vers une zone temporaire n'ont rien à voir avec ce qu'on vient de faire :

Présent! C:\Users\darty\AppData\Local\Temp\ie.exe
Présent! C:\Users\darty\AppData\Local\Temp\catchme.sys

Ouais mais bon j'ai pas envie que quelqu'un vol des fichiers dans mon pc moi

Je comprends .

Tu peux suivre ce tuto ici : tutoriel-mode-emploi-utilitaire-hijackthis-vt-36288.html

Et poster le rapport dans ton prochain message.

[Sarah]

Rapport Hijackthis :
http://www.cijoint.fr/cjlink.php?file=c ... pxo1pn.txt

J'me doute bien que :
Présent! C:\Users\darty\AppData\Local\Temp\ie.exe
Présent! C:\Users\darty\AppData\Local\Temp\catchme.sys
...non rien avoir va falloir que je nettoie sa -_-'

Et au passage oui usbfix bouuh ! lol

Bizarre tout de même que si mon autorun.inf était infectieux il ne c'est pas propager dans mes clés j'en est quand même brancher 4 différents + ipod c'est suspect !

[Skynet]

Good .

Ton rapport est propre côté infection.

Tu peux faire un peu de ménage en supprimant ces lignes obsolètes (mais rien de grave donc) :
_____________________________________________________________________________________________
O13 - Gopher Prefix:
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - http://download.eset.com/special/eos/OnlineScanner.cab
O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan ... stubie.cab
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
_____________________________________________________________________________________________
Par contre, j'ai vu ceci :

C:\Program Files\Internet Explorer\ieuser.exe

C'est pas méchant ce fichier loin de là, mais tu n'as jamais utilisé Internet Explorer ?

Parce qu'il ne devrait plus être là après une première utilisation.

A moins que tu as réinstallé Internet Explorer ?

Ce qui expliquerait ceci :

Présent! C:\Users\darty\AppData\Local\Temp\ie.exe
Présent! C:\Users\darty\AppData\Local\Temp\catchme.sys

Et au passage oui usbfix bouuh ! lol

Il peut être pratique, mais il vaut mieux vérifier deux fois avec lui . C'était le fond de ma pensée.

Bizarre tout de même que si mon autorun.inf était infectieux il ne c'est pas propager dans mes clés j'en est quand même brancher 4 différents + ipod c'est suspect !

C'est plutôt bon signe, une fausse alerte .

[Sarah]

''C'est plutôt bon signe d'une fausse alerte''
J'espère a moins qu'il été bien cacher sur mes 5 matériaux Il à toujours été déceler que sur le C: ! Enfaite toujours le rapport identique à celui que je tes envoyer pour tout les matériaux analyser, m'enfin.. !

C'est pas méchant ce fichier loin de là, mais tu n'as jamais utilisé Internet Explorer ?
A moins que tu as réinstallé Internet Explorer ?
Si je l'utilise tout les jours je l'avais en version 7 mais aujourd'hui je viens de le mettre à jour avec la version 8 !

Au passage avec le programme j'ai pas pu récupèrer l'autorun il n'est pas apparu dommage mais j'ai vu quand 2007 dans le system32 j'en avais 5 de placer qui on été d'ailleurs remplacer par d'autres fichiers au nom changer !

[Skynet]

Ok j'avais vu juste avec ta mise à jour pour IE8, tout s'explique .

Si un jour tu vois de nouveau un autorun.inf se pointer dans cette zone, tu feras un copier/coller ici.

En attendant je ne vois rien d'infectieux dans tes fichiers .

Pense à mettre le SP2 aussi pour ton Vista, c'est très long à faire, mais obligatoire .

[Sarah]

Ok, merci pour m'avoir accorder un peu de ton temps et pour l'aide !

''Pense à mettre le SP2 aussi pour ton Vista, c'est très long à faire, mais obligatoire''
Ce sera fait demain j'ai le lien pour

Bonne nuit.

[Skynet]

De rien .

Bonne nuit à toi aussi, merci .

[Sarah]

Merci.

[jeanmimigab]

hello vous deux

C:\Windows\system32\autorun.inf

c'est forcement infectieux si placé dans system32 (TRJ fakealert)

[Skynet]

Je veux bien te croire, mais on en a plus aucune preuve...

Parce que si ma mémoire est bonne j'ai rencontré un autorun.inf dans le System32 lié à un .scr donc un vulgaire écran de veille qui était légitime après vérif. Sûrement un reste de l'installation mal nettoyé par le programme parce que l'écran de veille ne se lançait pas à chaque démarrage et encore moins sans autorisation . Mais c'est vieux tout ça !

Alors bon parmi les millions de programmes qui existent, les probabilités te donnent raison mais je préfère rien affirmer.

@Sarah :

On peut faire quelque chose de simple, vois-tu d'autres "autorun" dans C:\ et aussi dans C:\Windows\system32\

Mais avec d'autres extensions que le .inf ?

[jeanmimigab]

hello,

au pire tu affiches les dossier cachés et tu déplace ce fichier autorun.inf sur le bureau par exemple...ensuite tu l'ouvre avec le bloc note et poste son contenu

[Sarah]

Bonsoir,

Merci pou l'afollement

''Jeanmimigab'' au pire tu affiches les dossier cachés et tu déplace ce fichier autorun.inf sur le bureau par exemple...ensuite tu l'ouvre avec le bloc note et poste son contenu'' Merci pour ton aide mais si tu avais lu correctement les messages précédent tu aurrais remarquer que dès le second il y avais écrit que le fichier autorun.inf avait été EFFACER sinon nous l'aurrions analyser depuis le début hihi ! Mais si il est infectieux comme tu l'affirme pourquoi je ne le décèle sur aucune de mes clés ! Pas une est infecter ! J'ai lu également sur un forum qu'un autorun.inf dans un system32 n'est pas obligatoirement infectieux, une personne le démontrer après avoir lu un rapport ZHP il me semble ! Mais bon tout n'est peu être pas détectable je ne c'est pas et c'est peu etre pa très efficace comme rapport aussi j'y connait rien moi -_-'

''Skynet"" : On peut faire quelque chose de simple, vois-tu d'autres "autorun" dans C:\ et aussi dans ''
Non j'ai zéro autorun ni dans le C:\, ni dans C:\Windows\system32\

J'ai récupèrer un fichier avec recuva là c'est un autorun.inf.vir qui à été modifier le 16/06 alors que moi je les supprimer le 15/06 je doute que sa soit celui-ci et quand je l'ouvre avec le bloc notes y'a un énorme texte écrit en charabia..

[Skynet]

Bonsoir,

quand je l'ouvre avec le bloc notes y'a un énorme texte écrit en charabia..

Tu peux le copier/coller ici le texte ?

@+

[Sarah]

MZ   ÿÿ ¸ @ è º ´ Í!¸
LÍ!This program cannot be run in DOS mode.

EDIT Skynet : Rapport supprimé .

[Skynet]

Tu veux tuer des gens Sarah ?

Je plaisante, oui on laisse tomber pour ce fichier .