Logo GNT
Actualités Tests & Guides Bons Plans
Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11
Entraide Sécurité Sécurité Virus autorun.inf + dossier click + jack.exe

autorun.inf + dossier click + jack.exe

14 réponses
Avatar
Jerry Khann
Bonjour,

J'ai chopé une saloperie sur ma clef usb et maintenant je pense que c'est
mon pc qui est infecté!

J'ai un anti-virus "Symantec Endpoint Protection" à jour, mais il ne voit
rien.

J'avais désactivé le démarrage automatique à partir des supports externes!

J'avais à la racine de la clef :
- un fichier autorun.inf
- un dossier (attributs RHS) nommé "click" contenant
= un exécutable nommé "jack.exe" (attributs RHSA)
= un fichier nommé "Desktop.ini" (attributs HSA) et contenant les
infos suivantes
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}

J'arrive à supprimer le dossier mais pas le fichier autorun.inf

L'antivirus en ligne Trend Micro le voit, me dit qu'il l'éradique, mais cela
revient après le boot!

Je viens d'essayer Malwarebyte's mais il ne me dit rien sur ce qu'il y a
dans la clef, par contre j'avais deux saloperies sur le disque système.

Une idée?

Merci de votre aide.

--
Jerry Khann

Adresse invalide: retirer le bouchon _O_ et .invalid
Signaler un problème avec ce contenu

4 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
1 2
Avatar
Jerry Khann
"Az Sam" a écrit dans le message de news:
4b4dfd1a$0$26638$

heu... sur le malware laissé par MBAM et trouvé par AdAware. Le sujet de
Jerry Khann quoi ;-)



Bonsoir,

Voilà l'extrait de rapport de Ad-Aware

Lavasoft Ad-Aware version: 8.1.3
Logfile created: 12/01/2010 15:14:02
Lavasoft definition file: 149.130
Genotype definition file version: 2010/01/07 15:41:05
Quarantined items:
Description: C:WINDOWSsystem32tbsnt.exe Family Name: Suspicious
Object Engine: 1 Clean status: Reboot required Item ID: 0 Family ID: 0
Description: HKLM:SOFTWAREMicrosoftWindows
NTCurrentVersionWinlogon:Userinit Family Name: Win32.Backdoor.Agent
Engine: 1 Clean status: Success Item ID: 28364 Family ID: 795







******************************************

Et celui de Malware passé 1 heure avant:

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3546
12/01/2010 14:40:33
mbam-log-2010-01-12 (14-40-33).txt

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
NTCurrentVersionWinlogontaskman (Trojan.Agent) -> Quarantined and deleted
successfully.

Fichier(s) infecté(s):
C:RECYCLERS-1-5-21-3990396260-9052828558-338060906-5913schl.exe
(Worm.Autorun.B) -> Delete on reboot.


******************************************

Je n'ai rien de plus ...

Ca vous parle?

A+, cdlt

--
Jerry Khann

Adresse invalide: retirer le bouchon _O_ et .invalid
Avatar
Az Sam
"Jerry Khann" a écrit dans le message de
news: hil23g$t3i$


Bonsoir,

Voilà l'extrait de rapport de Ad-Aware

Lavasoft Ad-Aware version: 8.1.3
Logfile created: 12/01/2010 15:14:02
Lavasoft definition file: 149.130
Genotype definition file version: 2010/01/07 15:41:05
Quarantined items:
Description: C:WINDOWSsystem32tbsnt.exe Family Name: Suspicious
Object Engine: 1 Clean status: Reboot required Item ID: 0 Family ID: 0
Description: HKLM:SOFTWAREMicrosoftWindows
NTCurrentVersionWinlogon:Userinit Family Name: Win32.Backdoor.Agent
Engine: 1 Clean status: Success Item ID: 28364 Family ID: 795










******************************************

Je n'ai rien de plus ...

Ca vous parle?



Je ne sais pas trop. Ton Pc appartient il a un parc (entreprise) ? ou bien
est il suivi par un technicien ?

tbsnt.exe pourrait etre un service d'inventaire.
http://france.asg.com/products/product_details.asp?code=TBZ&id5
En ce sens il agit "comme" un backdoor, chargé avec le noyau, afin de
recolter l'etat de la machine et l'envoyer par snmp a son serveur.

Mais ca peut tres bien etre autre chose, voire meme un usage detouné du
service...

L'entree winlogon a ete viree semble t il, mais le fichier est il toujours
la ? (sous windows/system32) ?
--
Cordialement,
Az Sam.
Avatar
Pascal
-------- Message original --------


"Pascal" a écrit dans le message de news:
4b4df881$0$28653$





c'est à dire ?
sur ma config, mon antivirus ?



heu... sur le malware laissé par MBAM et trouvé par AdAware. Le sujet de
Jerry Khann quoi ;-)




hmm, effectivement je me l'étais un peu approprié !!
;-)
Avatar
Az Sam
"Pascal" a écrit dans le message de news:
4b4ec6ce$0$21282$





hmm, effectivement je me l'étais un peu approprié !!
;-)



tu copiera 20 fois "je ne m'approprie pas les sujets des autres" ;-)))


--
Cordialement,
Az Sam.
1 2