Virus worm vbs autorun i

[PasTaGa]

Salut !
Je bataille depuis quelque temps pour supprimer un satané virus dénommer : worm vbs autorun i
Je ne trouve rien sur le net et en plus il se balade sur les clés usb !
Je sais pas trop comment m'en sortir.
Pouvez vous m'aider

[r@in | b0w]

Bonjour à toi.

Tu trouveras des informations sur ton ver ici.

On va commencer par une analyse HiJackThis en suivant ce tutorial, tu postes ensuite le rapport dans ton prochain message.

Tu suis aussi le dossier Nettoyage histoire de nettoyer les fichiers temporaires.

Profites-en aussi pour désactiver les Restauration du système.
Clic droit sur le Poste de travail, Propriétés puis onglet Restauration du système et tu décoches la ligne Restauration automatique...
Tu confirmes la suppression de tous les points de restauration.

Assures-toi ensuite avec Spybot, Sophos et Ad-aware .

Sinon, à part ça, tu es sous quel système d'exploitation?
Tu as un antivirus installé? Un pare-feu?

Comment as-tu su que tu étais infecté?

Bon courage

Ps: j'avais eu sur un Xp des soucis d'un genre un peu différent, à savoir que l'autorun ne fonctionnait plus.
J'ai passé Autofix qui scanne les autoruns et cela m'a tout remis en place.
A voir si cela t'aide un peu.

[PasTaGa]

Je suis sous Windows XP. Mon antivirus est Kaspersky et le pare-feu est celui de windows je crois bien. J'ai su que le virus était là lorsque j'ai exécuter une de mes clés usb, l'antivirus à alors émis un message d'alerte.

Voici le rapport hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 12:58:53, on 28/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:Program FilesKaspersky LabKaspersky Anti-Virus 7.0avp.exe
C:Program FilesBonjourmDNSResponder.exe
C:Program FilesRaxcoPerfectDisk2008PD91Agent.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesSynapticsSynTPSynTPEnh.exe
C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exe
C:Program FilesJavajre1.6.0_05injusched.exe
C:WINDOWSosd.exe
C:Program FilesScanSoftOmniPageSE2.0OpwareSE2.exe
C:Program FilesKaspersky LabKaspersky Anti-Virus 7.0avp.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesMozilla Firefoxfirefox.exe
C:Documents and SettingsadelineBureauHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.fr/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.01net.com/telecharger/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext = http://www.hp.com/
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesFichiers communsAdobeAcrobatActiveXAcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.6.0_05inssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:Program FilesFichiers communsMicrosoft SharedWindows LiveWindowsLiveLogin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:Program FilesCanonEasy-WebPrintToolband.dll
O4 - HKLM..Run: [SynTPEnh] C:Program FilesSynapticsSynTPSynTPEnh.exe
O4 - HKLM..Run: [ATIPTA] "C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exe"
O4 - HKLM..Run: [Cpqset] C:Program FilesHPQDefault Settingscpqset.exe
O4 - HKLM..Run: [HP Software Update] C:Program FilesHpHP Software UpdateHPWuSchd2.exe
O4 - HKLM..Run: [SunJavaUpdateSched] "C:Program FilesJavajre1.6.0_05injusched.exe"
O4 - HKLM..Run: [OSD] C:WINDOWSosd.exe
O4 - HKLM..Run: [VisualTooltip] C:WINDOWSResourcesThemesVistaXPvtVisualToolTip.exe
O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [\MAURICEEPSON Stylus DX5000 Series] C:WINDOWSSystem32spoolDRIVERSW32X863E_FATIBVE.EXE /FU "C:DOCUME~1adelineLOCALS~1TempE_S11.tmp" /EF "HKLM"
O4 - HKLM..Run: [OpwareSE2] "C:Program FilesScanSoftOmniPageSE2.0OpwareSE2.exe"
O4 - HKLM..Run: [OPSE reminder] "C:Program FilesScanSoftOmniPageSE2.0EregFreEreg.exe" -r "C:Program FilesScanSoftOmniPageSE2.0EregFreereg.ini"
O4 - HKLM..Run: [AVP] "C:Program FilesKaspersky LabKaspersky Anti-Virus 7.0avp.exe"
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:Program FilesCanonEasy-WebPrintResource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:Program FilesCanonEasy-WebPrintResource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:Program FilesCanonEasy-WebPrintResource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:Program FilesCanonEasy-WebPrintResource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_05inssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_05inssv.dll
O9 - Extra button: Statistiques d'Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:Program FilesKaspersky LabKaspersky Anti-Virus 7.0SCIEPlgn.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%doscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%doscandel.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2Office12REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:PROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:PROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%Network Diagnosticxpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%Network Diagnosticxpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O10 - Unknown file in Winsock LSP: c:program filesonjourmdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://fichiers.touslesdrivers.com/fich ... 0_4_13.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:PROGRA~1WINDOW~4MESSEN~1MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:Program FilesFichiers communsMicrosoft SharedHelphxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:PROGRA~1WINDOW~4MESSEN~1MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:PROGRA~1FICHIE~1MICROS~1OFFICE12MSOXMLMF.DLL
O20 - Winlogon Notify: klogon - C:WINDOWSsystem32klogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:WINDOWSsystem32Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:Program FilesKaspersky LabKaspersky Anti-Virus 7.0avp.exe" -r (file missing)
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:Program FilesBonjourmDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:Program FilesFichiers communsMacrovision SharedFLEXnet PublisherFNPLicensingService.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:Program FilesHPQsharedhpqwmi.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:Program FilesiPodiniPodService.exe
O23 - Service: PD91Agent - Raxco Software, Inc. - C:Program FilesRaxcoPerfectDisk2008PD91Agent.exe
O23 - Service: PD91Engine - Raxco Software, Inc. - C:Program FilesRaxcoPerfectDisk2008PD91Engine.exe

[r@in | b0w]

Bonjour.

En effet, cela faisait longtemps

_ Tu n'es pas sur d'avoir un pare-feu actif.

On va vérifier cela.

Direction le Panneau de configuration onglet Centre de sécurité.
Dans la fenêtre qui s'ouvre, tu verras tout ce qui concerne la sécurité, cad pare-feu, antivirus et mises à jour Windows.

La première ligne t'indiquera en un coup d'oeil si tu as un pare-feu et si celui-ci est activé.

Si tu n'as pas de pare-feu ou qu'il est inactif, tu auras une ligne rouge.

Pour modifier cela, tu descends pour cliquer dans la partie Gérer les paramètres de sécurité pour: et tu cliques sur Pare-feu Windows.

Dans la nouvelle fenêtre qui s'ouvre, tu cliques sur Activer puis sur Ok.

_ Ton log HiJackThis ne révèle rien de méchant.

_ As-tu installé Sophos, Spybot et Ad-Aware?
Si oui, quelles sont les résultats d'analyse? Ton ordinateur est sain?

_ La pop-up d'avertissement indique que ton antivirus a détecté la menace, Kaspersky l'a probablement bloquée.
Tu trouveras le rapport de cette attaque dans Configuration, Services puis rapports ou/et en cliquant sur Anti-hacker.
Vérifies qu'il l'ait supprimé/bloqué, en tout cas neutralisé.

Si cela a été fait, tu n'es nullement infecté

Reste quand même à nettoyer la clé!

[PasTaGa]

mais d'après la page de description du virus il bloque l'accès au doc cachés et c'est le cas donc il est bien présent. c'est un fichier autorun qui le lance et comme j'y ai pas accès ...

[r@in | b0w]

Re.

Tu peux répondre aux autres questions histoire qu'on avance un peu quand même?

En allant activer l'affichage des dossiers/fichiers cachés depuis les Options des dossiers du menu Outils, cela ne fonctionne pas?

[PasTaGa]

ouai désolé.
le pare-feu est ok
les analyses je les ai pas encore finies c'est en cours là
et non l'activation de l'affichage des fichiers cachés ne fonctionne pas : j'active, j'applique, je fais ok, rien ! je retourne dedans l'onglet n'est plus coché.

[r@in | b0w]

Re.

Merci pour les réponses.

Je pense que les utilitaires font déjà faire du bon ménage.

Ensuite et ce que je ferai histoire d'en finir:

Ps: j'avais eu sur un Xp des soucis d'un genre un peu différent, à savoir que l'autorun ne fonctionnait plus.
J'ai passé Autofix qui scanne les autoruns et cela m'a tout remis en place.
A voir si cela t'aide un peu.

[PasTaGa]

autofix ne marche pas enfin il veut pas lol
"this type of drive does not support autoplay setting"
alors que j'ai bien choisi le lecteur C...

[r@in | b0w]

Re.

Fais toutes les analyses en Mode sans échec ainsi qu'Autofix.

D'ailleurs, les utilitaires n'ont rien trouvés?

[PasTaGa]

si ils ont trouvé quelques trucs mais rien de très dangereux.
je vais faire un tour en mode sans echec.

[r@in | b0w]

J'ai trouvé une piste.

Si les manipulations en Mode sans échec ne donnent rien, on va l'avoir à l'usure.

Cette méthode est valable avec un liveCd ou Filezilla.

Le but est d'avoir accès aux fichiers cachés.

Pour faire simple, tu vas télécharger Filezilla et l'installer.

Avant toute chose, tu fais [Ctrl]+[Alt]+[Suppr], onglet Processus et tu sélectionnes system.exe puis tu cliques sur Arrêter le processus.

Tu lances ensuite Filezilla et supprimes via l'arborescence de ton disque dur:

C:autorun.inf
C: ecycle
C:windowsconfig*.exe (dis-moi au passage quels sont les fichiers dans ce dossier)
C:windowssystem.exe (le processus qu'on a arrêté précédemment).

Tout cela est à supprimer.

Ensuite, vidage de la Corbeille (et si la Restauration du système est activée, il faut la désactiver).

Le ménage est à faire comme cela sur tous les périphériques USB car il y a de fortes chances pour que ce virus soit sur tous tes supports.

[PasTaGa]

system.exe ou system tout court parce que je n'ai que system tout court

[r@in | b0w]

Désolé pour le retard, j'étais parti.

Le system tout court est sain, c'est system.exe qu'il faut arrêter s'il est présent.

Tu peux aussi passer encore une fois par le Mode sans échec pour faire les suppressions, il y aura très peu de processus lancés.