Logo GNT
Actualités Tests & Guides Bons Plans
Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11
Entraide Windows Windows XP Discussions Générales Virus récalcitrant

Virus récalcitrant

26 réponses
Avatar
Léila
Bonjour à tous. Je ne sais pas comment j'ai chopé cette saleté mais dès
l'insertion d'une clé USB, un fichier autorun.inf se met dessus
immédiatement. J'ai Avira antivir Personnal qui le détecte et le supprime de
la clé, mais il s'y remet aussitôt et ce jeu de suppression et de réécriture
se poursuit de manière interminable. Retrait sécurisé de la clé impossible
dans ce cas. Je dois faire un retrait forcé! J'ai scanné tout le système
avec Avira (mis à jour!) à la recherche de l'intrus, sans succès. J'ai
également passé AVG free 8.5.375 (mis à jour!) sans succès. Que me reste-til
donc à faire?
Signaler un problème avec ce contenu

10 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
1 2 3
Avatar
Léila
> Si tu as quelques minutes, peux-tu nous envoyer le log de MBAM.
Herser



voilà qui est fait:

Malwarebytes' Anti-Malware 1.38
Version de la base de données: 2371
Windows 5.1.2600 Service Pack 3

04/07/2009 20:16:57
mbam-log-2009-07-04 (20-16-57).txt

Type de recherche: Examen complet (C:|D:|E:|F:|G:|)
Eléments examinés: 179259
Temps écoulé: 6 hour(s), 40 minute(s), 44 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 6
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
C:WINDOWSsystem32bycool1windo.exe (Trojan.Autoit) -> Unloaded process
successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRundrivesys1
(Trojan.Autoit) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunFrameWorkService
(Trojan.Delf) -> Quarantined and deleted successfully.
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunFrameWorkService
(Trojan.Delf) -> Quarantined and deleted successfully.
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerDisallowRun3
(Security.Hijack) -> Quarantined and deleted successfully.
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerDisallowRun4
(Security.Hijack) -> Quarantined and deleted successfully.
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerDisallowRun1
(Security.Hijack) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:WINDOWSsystem32bycool1 (Trojan.Autoit) -> Quarantined and deleted
successfully.

Fichier(s) infecté(s):
c:WINDOWSsystem32bycool1windo.exe (Trojan.Autoit) -> Quarantined and
deleted successfully.
Avatar
Azo4
c'était donc bien AutoIt...

--
Serge CENCI
MVP MS Windows Desktop Experience
https://mvp.support.microsoft.com/profile/Serge.Cenci
http://www.communautes-numeriques.net/



"Léila" a écrit dans le message de
news:ewgoaZU$
Si tu as quelques minutes, peux-tu nous envoyer le log de MBAM.
Herser



voilà qui est fait:

Malwarebytes' Anti-Malware 1.38
Version de la base de données: 2371
Windows 5.1.2600 Service Pack 3

04/07/2009 20:16:57
mbam-log-2009-07-04 (20-16-57).txt

Type de recherche: Examen complet (C:|D:|E:|F:|G:|)
Eléments examinés: 179259
Temps écoulé: 6 hour(s), 40 minute(s), 44 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 6
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
C:WINDOWSsystem32bycool1windo.exe (Trojan.Autoit) -> Unloaded process
successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRundrivesys1
(Trojan.Autoit) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunFrameWorkService
(Trojan.Delf) -> Quarantined and deleted successfully.
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunFrameWorkService
(Trojan.Delf) -> Quarantined and deleted successfully.
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerDisallowRun3
(Security.Hijack) -> Quarantined and deleted successfully.
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerDisallowRun4
(Security.Hijack) -> Quarantined and deleted successfully.
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerDisallowRun1
(Security.Hijack) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:WINDOWSsystem32bycool1 (Trojan.Autoit) -> Quarantined and deleted
successfully.

Fichier(s) infecté(s):
c:WINDOWSsystem32bycool1windo.exe (Trojan.Autoit) -> Quarantined and
deleted successfully.




Avatar
Léila
Salut Azo4.
Dans ton post au-dessus, tu me recommandais de faire un sacan en ligne avec
nod32. Moi qui pensais qu'Avira Antivir était meilleur que nod32!
On l'a même placé au premier rang dans certains comparatifs d'antivirus.
Mais là, c'est vrai qu'il a su qu'il se passait quelque chose d'anormal, il
arrivait même à supprimer l'autorun de la clé USB, mais il était incapable
de l'éradication radicale de l'infection. Faut-il alors que je remplace
Avira par nod32?

Azo4 wrote:
c'était donc bien AutoIt...


"Léila" a écrit dans le message de
news:ewgoaZU$
Si tu as quelques minutes, peux-tu nous envoyer le log de MBAM.
Herser



voilà qui est fait:

Malwarebytes' Anti-Malware 1.38
Version de la base de données: 2371
Windows 5.1.2600 Service Pack 3

04/07/2009 20:16:57
mbam-log-2009-07-04 (20-16-57).txt

Type de recherche: Examen complet (C:|D:|E:|F:|G:|)
Eléments examinés: 179259
Temps écoulé: 6 hour(s), 40 minute(s), 44 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 6
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
C:WINDOWSsystem32bycool1windo.exe (Trojan.Autoit) -> Unloaded
process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRundrivesys1
(Trojan.Autoit) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunFrameWorkService
(Trojan.Delf) -> Quarantined and deleted successfully.
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunFrameWorkService
(Trojan.Delf) -> Quarantined and deleted successfully.
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerDisallowRun3
(Security.Hijack) -> Quarantined and deleted successfully.
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerDisallowRun4
(Security.Hijack) -> Quarantined and deleted successfully.
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerDisallowRun1
(Security.Hijack) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:WINDOWSsystem32bycool1 (Trojan.Autoit) -> Quarantined and
deleted successfully.

Fichier(s) infecté(s):
c:WINDOWSsystem32bycool1windo.exe (Trojan.Autoit) -> Quarantined
and deleted successfully.




Avatar
Coucou à toutes et à tous
NOD32 reste une référence, tant par son efficacité que par sa légèreté dans
le système.

Mais comme tout antivirus, il a des failles que d'autres n'ont pas et vis et
versa.

L'inconvénient de NOD32, c'est qu'il est payant alors qu'il y a des
antivirus très bons gratuits (AVG par exemple).

JJV
Avatar
Herser
Léila wrote:
Salut Azo4.
Dans ton post au-dessus, tu me recommandais de faire un sacan en
ligne avec nod32. Moi qui pensais qu'Avira Antivir était meilleur que
nod32! On l'a même placé au premier rang dans certains comparatifs
d'antivirus. Mais là, c'est vrai qu'il a su qu'il se passait quelque
chose d'anormal, il arrivait même à supprimer l'autorun de la clé
USB, mais il était incapable de l'éradication radicale de
l'infection. Faut-il alors que je remplace Avira par nod32?




Merci de ton retour
Serge (Azo4) a eu la bonne intuition.
Comme dit JJV aucun antivirus n'est parfait, ça se saurait.
Parmi les gratuits Avira est pour le moment le meilleur
Mais vérité d'aujourd'hui............

Le meilleur antivirus est quand même connu : ton comportement.
D'abord ne jamais surfer en mode administrateur :
- utiliser un compte limité
- ou utiliser DropMyRights :
http://www.malekal.com/tutorial_DropMyRights.php

Ensuite connaître les dangers :
- http://www.malekal.com/securiser_ordinateur.html
-
http://www.libellules.ch/phpBB2/prevention-comment-eviter-bien-des-infections-t24540.html

En particulier avoir ses logiciels à jour évite bien des failles de
sécurité, où s'engouffrent les malveillants.
Et ce n'est pas que XP, mais aussi Java, FlashPlayer, lecteur PDF et autres.

Bonne lecture

Herser
Avatar
Azo4
bonjour rené

Serge (Azo4) a eu la bonne intuition.





trop d'honneur! c'est bien eset qui a répéré ce ver venu avec le message de
Leila du 04/07 à 12h17....

message qui désinfecté (quarantaine) par eset ne veut d'ailleurs plus
s'ouvrir...

amitiés

--
Serge CENCI
MVP MS Windows Desktop Experience
https://mvp.support.microsoft.com/profile/Serge.Cenci
http://www.communautes-numeriques.net/



"Herser" a écrit dans le message de
news:eMm3o1W$
Léila wrote:
Salut Azo4.
Dans ton post au-dessus, tu me recommandais de faire un sacan en
ligne avec nod32. Moi qui pensais qu'Avira Antivir était meilleur que
nod32! On l'a même placé au premier rang dans certains comparatifs
d'antivirus. Mais là, c'est vrai qu'il a su qu'il se passait quelque
chose d'anormal, il arrivait même à supprimer l'autorun de la clé
USB, mais il était incapable de l'éradication radicale de
l'infection. Faut-il alors que je remplace Avira par nod32?




Merci de ton retour
Serge (Azo4) a eu la bonne intuition.
Comme dit JJV aucun antivirus n'est parfait, ça se saurait.
Parmi les gratuits Avira est pour le moment le meilleur
Mais vérité d'aujourd'hui............

Le meilleur antivirus est quand même connu : ton comportement.
D'abord ne jamais surfer en mode administrateur :
- utiliser un compte limité
- ou utiliser DropMyRights :
http://www.malekal.com/tutorial_DropMyRights.php

Ensuite connaître les dangers :
- http://www.malekal.com/securiser_ordinateur.html
-
http://www.libellules.ch/phpBB2/prevention-comment-eviter-bien-des-infections-t24540.html

En particulier avoir ses logiciels à jour évite bien des failles de
sécurité, où s'engouffrent les malveillants.
Et ce n'est pas que XP, mais aussi Java, FlashPlayer, lecteur PDF et
autres.

Bonne lecture

Herser


Avatar
Léila
Herser wrote:
http://www.malekal.com/tutorial_DropMyRights.php
Ensuite connaître les dangers :
- http://www.malekal.com/securiser_ordinateur.html

http://www.libellules.ch/phpBB2/prevention-comment-eviter-bien-des-infections-t24540.html



Des liens à conserver précieusement!
Merci encore Herser.
Avatar
Herser
Azo4 wrote:
bonjour rené

Serge (Azo4) a eu la bonne intuition.





trop d'honneur! c'est bien eset qui a répéré ce ver venu avec le
message de Leila du 04/07 à 12h17....

message qui désinfecté (quarantaine) par eset ne veut d'ailleurs plus
s'ouvrir...

amitiés




Salut serge

Euh ! je n'avais donc pas compris.
Tu veux dire que ton NOD32 a réagi à l'ouverture du message de Léila ?
Il n'accepterait pas le copier / coller du contenu l'autorun.
Et l'identifie donc comme Autoit.
Même si ce contenu en lui-même n'est pas dangereux, c'est bien d'avertir.

Herser
Avatar
Azo4
> Tu veux dire que ton NOD32 a réagi à l'ouverture du message de Léila



eh oui , à chaque fois que je voulais le lire!

--
Serge CENCI
MVP MS Windows Desktop Experience
https://mvp.support.microsoft.com/profile/Serge.Cenci
http://www.communautes-numeriques.net/



"Herser" a écrit dans le message de
news:Op6LoYY$
Azo4 wrote:
bonjour rené

Serge (Azo4) a eu la bonne intuition.





trop d'honneur! c'est bien eset qui a répéré ce ver venu avec le
message de Leila du 04/07 à 12h17....

message qui désinfecté (quarantaine) par eset ne veut d'ailleurs plus
s'ouvrir...

amitiés




Salut serge

Euh ! je n'avais donc pas compris.
Tu veux dire que ton NOD32 a réagi à l'ouverture du message de Léila ?
Il n'accepterait pas le copier / coller du contenu l'autorun.
Et l'identifie donc comme Autoit.
Même si ce contenu en lui-même n'est pas dangereux, c'est bien d'avertir.

Herser


Avatar
Coucou à toutes et à tous
>> Tu veux dire que ton NOD32 a réagi à l'ouverture du message de Léila





eh oui , à chaque fois que je voulais le lire!



C'est ce qu'on appelle un "faux-positif". NOD32 est très sensible, trop
parfois...

JJV
1 2 3