[LOGICIEL] fichier autorun.inf impossible à virer

[lampadaire2002]

salut

desolé pour ce post pas nouveau sur le net mais jusqu'ici trouvé aucune solution claire et efficace dans les forums

sur un de mes pc j'ai fait fonctionner "flash disinfector" apres infection du ver au fichier "ms32dll.dll.vbs".

Depuis un fichier autorun.inf est apparu (crée par disinfector?) mais il est impossible a supprimer (ni a editer le contenu d'ailleurs) la lecture seule se recoche systematiquement

le probleme c'est que je n'ai accés a mes disques durs seulement par clic droit explorer et ça m'enerve (sinon message "impossible de trouver fichier script ms32dll.dll.vbs" (surtout que la seule manifestation du ver était d'empecher l'acces aux disques par double clic donc...merci flash mais bon..)

si quelqu'un a la solution ...

[snooky]

alut ,

télécharge et installe Navilog1 .

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Lance Navilog1 , option 1 puis poste le rapport créé.

_____________________________

Télécharge et dézippe Clean .zip de Malekal Morte :

http://www.malekal.com/download/clean.zip

Redémarre en mode sans échec et lance Clean de Malekal Morte .

Laisse toi guider.

Redémarre en mode normal.

Poste le rapport créé.

[Amour]

En ligne de commande :

cmd puis :

attrib -R -S -H autorun.inf (à faire sur chaque lecteur)

[lampadaire2002]

En ligne de commande :

cmd puis :

attrib -R -S -H autorun.inf (à faire sur chaque lecteur)

amour, cette commande a pour effet de ne plus faire apparaitre le dossier comme "caché" (donc plus "grisé" puisque je fais apparaitre les dossiers systême de toute manière) , mais le fichier autorun.inf est toujours impossible à desinstaller: la lecture seule se remet systematiquement et un message d'erreur me dit que "le fichier est "introuvable".

J'ai lu que c'etait un leurre crée par flash disinfector pour éviter que le virus ne recrée un fichier autorun.inf, mais bon...une fois la desinfection on devrait pouvoir le supprimer

[Amour]

Si la lecture seule se remet, votre ordinateur est infecté... donc lancez le logiciel recommandé par snooky

[lampadaire2002]

clean.cmd a marché pour le disque c:

fichier autorun supprimé et le double clic marche enfin

hélas le problème subsiste sur mon D: (partition) et sur un ou deux DD externe

comment faire pour que clean nettoie tous les disques?

[snooky]

Manque le rapport Navilog1 .

[lampadaire2002]

Manque le rapport Navilog1 .

et le voila

Mise à jour le 09.08.2008 à 18h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]

Internet Explorer : 6.0.2900.2180

Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***

*** Recherche dossiers dans "C:\WINDOWS" ***

*** Recherche dossiers dans "C:\Program Files" ***

*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***

*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\esther\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\esther\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\esther\menudm~1\progra~1" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***

pour + d'infos : http://www.gmer.net

*** Recherche avec GenericNaviSearch ***

!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!

!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\esther\locals~1\applic~1" *

*** Recherche fichiers ***

*** Recherche clés spécifiques dans le Registre ***

*** Module de Recherche complémentaire ***

(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :

* Dans "C:\Documents and Settings\esther\locals~1\applic~1" :

3)Recherche Certificats :

Certificat Egroup absent !

Certificat Electronic-Group absent !

Certificat Montorgueil absent !

Certificat OOO-Favorit absent !

Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :

*** Analyse terminée le 12/08/2008 à 17:39:21,00 ***

[snooky]

Lance ComboFix et poste le rapport créé .

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

[lampadaire2002]

..ce bon vieux combofix, je ne m'en étais pas servi il y a au moins un an

par contre cette fois il m'a giclé la moitié de mes raccourcis dans la barre de lancement rapide..inquietant !

et mes deux disque d: et g: ne s'ouvrent toujours pas...

ComboFix 08-08-11.01 - esther 2008-08-12 18:45:33.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1650 [GMT 2:00]

Endroit: C:\Documents and Settings\esther\Bureau\ComboFix.exe

* Création d'un nouveau point de restauration

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

((((((((((((((((((((((((((((( Fichiers créés 2008-07-12 to 2008-08-12 ))))))))))))))))))))))))))))))))))))

.

2008-08-12 17:48 . 2008-08-12 18:34 <REP> d-------- C:\esther shoube aout 2008

2008-08-12 17:35 . 2008-08-12 17:40 <REP> d-------- C:\Program Files\Navilog1

2008-08-12 17:31 . 2008-08-12 17:31 1,606 --a------ C:\WINDOWS\system32\PerfStringBackup.TMP

2008-08-12 17:28 . 2008-08-12 17:28 <REP> d-------- C:\upload_moi_MONDE-425088867

2008-08-12 17:21 . 2008-08-12 17:21 17 --a------ C:\MAINMSG.DAT

2008-08-12 17:21 . 2008-08-12 17:21 12 --a------ C:\DISKFREE.DAT

2008-08-12 17:21 . 2008-08-12 17:21 8 --a------ C:\WINDOWS\$tmp$.tm$

2008-08-12 17:21 . 2008-08-12 17:21 8 --a------ C:\$tmp$.tm$

2008-08-12 17:21 . 2008-08-12 17:21 1 --a------ C:\PROGRES.DAT

2008-08-12 17:01 . 2008-08-12 17:01 388,858 --a------ C:\upload_moi_MONDE-425088867.tar.gz

2008-08-12 16:47 . 2008-08-12 17:21 58 --a------ C:\SCRIPT.CLN

2008-08-11 23:09 . 2008-08-11 23:09 103,992 --a------ C:\Flash_Disinfector.exe

2008-08-11 15:49 . 2008-08-12 17:48 <REP> d-------- C:\brouillons esther aout 2008

2008-08-07 22:33 . 2008-08-07 22:33 <REP> d-------- C:\temp photos films

2008-07-29 17:50 . 2003-12-30 21:55 365,754 --a------ C:\room02_6.bmp

2008-07-18 12:00 . 2008-07-18 12:00 <REP> dr------- C:\Documents and Settings\NetworkService\Favoris

2008-07-17 16:50 . 2008-07-17 16:50 0 --a------ C:\WINDOWS\system32\2Wv8IHn4.exe.a_a

2008-07-17 14:37 . 2008-07-17 14:37 0 --a------ C:\WINDOWS\system32\xkt51i34.exe.a_a

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-08-12 14:48 --------- d-----w C:\Program Files\DivX

2008-08-12 14:48 --------- d-----w C:\Program Files\Atheros

2008-08-12 14:48 --------- d-----w C:\Documents and Settings\esther\Application Data\uTorrent

2008-08-12 14:48 --------- d-----w C:\Documents and Settings\esther\Application Data\Skype

2008-07-29 16:00 --------- d-----w C:\Program Files\FolderSizes

2008-07-12 08:16 --------- d-----w C:\Documents and Settings\esther\Application Data\OFFICEOne7

2008-06-13 20:50 --------- d-----w C:\Program Files\Xvid

2008-03-29 21:02 32 ----a-w C:\Documents and Settings\All Users\Application Data\ezsid.dat

2008-03-25 21:42 6,862 ----a-w C:\Program Files\mbsuite20.log

2008-03-06 20:13 116 ----a-w C:\Documents and Settings\esther\Application Data\wklnhst.dat

2003-11-03 16:07 499,712 ----a-w C:\Program Files\msvcp71.dll

2003-11-03 16:07 348,160 ----a-w C:\Program Files\msvcr71.dll

2003-05-30 08:22 344,064 ----a-r C:\Program Files\msvcr70.dll

2002-01-05 02:40 487,424 ----a-w C:\Program Files\msvcp70.dll

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 16:09 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.divxa32"= msaud32_divx.acm

"vidc.dvsd"= pdvcodec.dll

"msacm.dvacm"= C:\PROGRA~1\FICHIE~1\ULEADS~1\vio\dvacm.acm

"msacm.mpegacm"= mpegacm.acm

"msacm.ulmp3acm"= ulmp3acm.acm

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk

backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^PalTalk.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\PalTalk.lnk

backup=C:\WINDOWS\pss\PalTalk.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^TabUserW.exe.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\TabUserW.exe.lnk

backup=C:\WINDOWS\pss\TabUserW.exe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ACU]

--a------ 2006-08-07 20:15 336014 C:\Program Files\Atheros\ACU.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATKMEDIA]

--a------ 2006-05-16 17:29 53248 C:\Program Files\ASUS\ATK Media\DMedia.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]

--a------ 2008-06-12 14:28 266497 C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Control Center]

--a------ 2006-11-10 18:11 1725440 C:\Program Files\ASUS\WLAN Card Utilities\Center.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

--a------ 2004-08-19 16:09 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]

--a------ 2004-08-22 18:05 81920 C:\Program Files\D-Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HControl]

--a------ 2006-08-23 23:22 110592 C:\WINDOWS\ATK0100\HControl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxhkcmd]

--a------ 2006-02-07 09:36 77824 C:\WINDOWS\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxpers]

--a------ 2006-02-07 09:40 118784 C:\WINDOWS\system32\igfxpers.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxtray]

--a------ 2006-02-07 09:39 94208 C:\WINDOWS\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelWireless]

--a------ 2006-10-18 18:58 696320 C:\Program Files\Intel\Wireless\Bin\iFrmewrk.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelZeroConfig]

--a------ 2006-10-18 19:04 802816 C:\Program Files\Intel\Wireless\Bin\ZCfgSvc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate]

--a------ 2005-06-08 14:44 196608 C:\Program Files\Logitech\Video\ManifestEngine.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]

--a------ 2005-06-08 15:24 458752 C:\Program Files\Logitech\Video\ISStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]

--a------ 2005-06-08 15:14 217088 C:\Program Files\Logitech\Video\LogiTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMSX]

--a------ 2005-07-19 17:32 221184 C:\WINDOWS\system32\LVCOMSX.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\M-Audio Taskbar Icon]

--a------ 2005-12-13 11:39 91136 C:\WINDOWS\system32\M-AudioTaskBarIcon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2001-07-09 12:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a------ 2008-02-01 00:13 385024 C:\Program Files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]

-ra------ 2008-02-06 19:21 21898024 C:\Program Files\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a------ 2008-03-25 04:28 144784 C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]

--a------ 2006-05-25 21:02 786521 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program Files\\Paltalk Messenger\\paltalk.exe"=

"C:\\Program Files\\uTorrent\\uTorrent.exe"=

"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

R2 MAudioUSBService;M-Audio USB Installer;C:\Program Files\M-Audio\Fast Track Pro\MAUSBInst.exe [2005-12-02 10:20]

R3 ASNDIS5;ASNDIS5 Protocol Driver;C:\WINDOWS\system32\ASNDIS5.SYS [2002-09-09 20:54]

R3 SynMini;USB2.0 1.3M WebCam;C:\WINDOWS\system32\Drivers\SynMini.sys [2006-08-09 15:15]

R3 SynScan;USB2.0 1.3M WebCam Still Image;C:\WINDOWS\system32\Drivers\SynScan.sys [2006-08-09 15:15]

S3 MAUSB;Service for M-Audio Fast Track Pro Driver (WDM);C:\WINDOWS\system32\DRIVERS\mausb.sys [2005-12-13 11:39]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs

*Newly Created Service* - CATCHME

*Newly Created Service* - PROCEXP90

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

.

.

------- Supplementary Scan -------

.

FireFox -: Profile - C:\Documents and Settings\esther\Application Data\Mozilla\Firefox\Profiles\ho4hb6hl.default\

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-08-12 18:46:30

Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès

Les fichiers cachés: 0

**************************************************************************

.

Temps d'accomplissement: 2008-08-12 18:47:13

ComboFix-quarantined-files.txt 2008-08-12 16:47:10

Pre-Run: 48,854,433,792 octets libres

Post-Run: 48,845,307,904 octets libres

148

[snooky]

Ne jamais appeler un dossier de la sorte : C:\temp photos films !!!

mes deux disque d: et g: ne s'ouvrent toujours pas...

Mets une capture d'écran du message d'erreur sur ton disque que tu n'arrives pas à ouvrir .

http://grandpublic.kaspersky.fr/forum/viewtopic.php?t=10115

[lampadaire2002]

Ne jamais appeler un dossier de la sorte : C:\temp photos films !!!

mes deux disque d: et g: ne s'ouvrent toujours pas...

Mets une capture d'écran du message d'erreur sur ton disque que tu n'arrives pas à ouvrir .

http://grandpublic.kaspersky.fr/forum/viewtopic.php?t=10115

je suis pas sur le même pc mais c'est facile à décrire,comme je le fais dans mon premier post:

message d'erreur de routine (fenêtre grise et son agaçant windows)avec écrit

:"impossible de trouver le fichier script MS32DLL.dll.vbs"

...ma foi, flash disinfector était censé gicler ce fichier dll, il l'a fait, mais ça ne change rien au problème...mystère plus

PS: (pourquoi on peut pas nommer un fichier temporaire "temp etc.. , c'est pas le sujet du post mais je suis curieux)

[snooky]

message d'erreur de routine avec écrit

:"impossible de trouver le fichier script C:/MS32DLL.dll.vbs"

C'est bon signe , le virus n'est plus présent

Clic droit " Explorer " sur le disque fonctionne ?

Relance Flash disinfector :

http://www.site-naheulbeuk.com/disques_amovibles.php

Fais une recherche ( options avancées cochée ) sur Autorun.inf , puis supprime les avec Unlocker .

PS : Plusieurs nettoyeurs suppriment les fichiers/dossiers Temp !

[sqmy]

Utilise Unlocker.

[snooky]

Dézippe et lance AMVO_Delete.bat

http://snooky730.free.fr/exploreboard/inde...emoval_Tool.zip

[lampadaire2002]

PS : Plusieurs nettoyeurs suppriment les fichiers/dossiers Temp !

oops bien vu brrr

plusieurs nettoyeurs... dont clean2.0?

je vous tient au courant pour les autres manip (unlocker et amvo)

[lampadaire2002]

alors grace a amvo j'ai pu virer les fichiers autorun.inf

par contre mon probleme reste sur d: et les disques externes, impossible d'ouvrir par double clic :

:"impossible de trouver le fichier script C:/MS32DLL.dll.vbs"

c'est super chiant quand on navigue

en fait clean.cmd a reussi a m'arranger ce probleme sur mon C: , mais pas sur les autres disques je ne comprends pas

[lampadaire2002]

ooops AUTANT POUR MOI

un redemarrage a tout arrangé !

mon double clic fonctionne a nouveau

MERCI pour votre aide à tous

champagne !

[snooky]

( Résolu ) dans le titre de ton 1er post .