Win32.worm.autorun.fn
Bonjour,
Voilà, un des ordinateurs protégés par BIS 2008 à jour dont nous disposons est actuellement en perpétuel retour de fichiers .exe; .exe.exe; .exe.exe.exe; et autres... Enfin, tous des suites de .exe qui se placent dans les dossiers utilisés. BIS2008 repère l'apparition de ces fichiers en permanence, essaie de les supprimer avec "access denied" comme seule réponse et les mets en quarantaine. Ces fichiers réapparaissent après.
J'ai effectué un "deep scan" sans résultat.
Configuration: windows XP SP2.
Pourriez-vous m'indiquer quels autres informations vous avez besoin pour nous aider... J'ai envoyé un petit paquet de fichiers ce matin par BIS2008 à votre centre... Un joli panel.
Je peux éventuellement faire un HJT, ou autre... D'habitude, je parviens à règler tous ces problèmes tout seul... mais j'avoue qu'après une journée passé dessus, je sèche. D'autant que windows ne m'autorise pas à décacher les fichiers cachés... Donc je n'arrive pas à ne fut-ce que voir les fichiers.
Merci de votre aide éventuelle.
Réponses
-
Bonjour,
Voilà, un des ordinateurs protégés par BIS 2008 à jour dont nous disposons est actuellement en perpétuel retour de fichiers .exe; .exe.exe; .exe.exe.exe; et autres... Enfin, tous des suites de .exe qui se placent dans les dossiers utilisés. BIS2008 repère l'apparition de ces fichiers en permanence, essaie de les supprimer avec "access denied" comme seule réponse et les mets en quarantaine. Ces fichiers réapparaissent après.
J'ai effectué un "deep scan" sans résultat.
Configuration: windows XP SP2.
Pourriez-vous m'indiquer quels autres informations vous avez besoin pour nous aider... J'ai envoyé un petit paquet de fichiers ce matin par BIS2008 à votre centre... Un joli panel.
Je peux éventuellement faire un HJT, ou autre... D'habitude, je parviens à règler tous ces problèmes tout seul... mais j'avoue qu'après une journée passé dessus, je sèche. D'autant que windows ne m'autorise pas à décacher les fichiers cachés... Donc je n'arrive pas à ne fut-ce que voir les fichiers.
Merci de votre aide éventuelle.
Nous vous invitons à suivre les recommandations ci-dessous pour affiner les options d’analyses :
- Ouvrez BitDefender et cliquez sur "Paramètres"
- Cliquez sur le module "Antivirus" puis sur l'onglet "Analyse"
- Ensuite, cliquez avec le bouton droit de la souris sur 'analyse approfondie' et sélectionnez 'Propriétés'
- Cliquez sur "Personnalisé", puis, dans les options pour 'action à entreprendre lorsqu'un fichier infecté est trouvé', sélectionnez 'supprimer les fichiers'
- Dans les options pour 'action à entreprendre lorsqu'un fichier caché est trouvé', sélectionnez 'renommer les fichiers'
- Validez par Ok puis cliquez sur le bouton 'analyse'
Une fois l'analyse terminée, redémarrez Windows et relancez l'analyse approfondie modifiée.
Les fichiers devraient être supprimés, si cela n'était pas le cas, renvoyez nous le rapport créé à la fin de l’analyse pour étude.0 -
Nous vous invitons à suivre les recommandations ci-dessous pour affiner les options d’analyses :
- Ouvrez BitDefender et cliquez sur "Paramètres"
- Cliquez sur le module "Antivirus" puis sur l'onglet "Analyse"
- Ensuite, cliquez avec le bouton droit de la souris sur 'analyse approfondie' et sélectionnez 'Propriétés'
- Cliquez sur "Personnalisé", puis, dans les options pour 'action à entreprendre lorsqu'un fichier infecté est trouvé', sélectionnez 'supprimer les fichiers'
- Dans les options pour 'action à entreprendre lorsqu'un fichier caché est trouvé', sélectionnez 'renommer les fichiers'
- Validez par Ok puis cliquez sur le bouton 'analyse'
Une fois l'analyse terminée, redémarrez Windows et relancez l'analyse approfondie modifiée.
Les fichiers devraient être supprimés, si cela n'était pas le cas, renvoyez nous le rapport créé à la fin de l’analyse pour étude.
Merci.
Je vais suivre la démarche. Je répondrai demain avec les résultats... Ben oui, là, c'est la fin de ma journée... 5 heures de décalage...
Bonne journée.0 -
Bonjour,
Un HJT sera utile car il est possible d'avoir un "dropper" ou un telechargeur de ce trojan sur votre ordinateur.0 -
Bonjour,
Désolé de ne répondre que maintenant... Nous avons eu quelques coupures ces derniers jours.
Un HJT sera utile car il est possible d'avoir un "dropper" ou un telechargeur de ce trojan sur votre ordinateur.
J'ai suivi la procédure... Mais cela ne règle pas le problème.
Voici le rapport HJT du jour:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2:58:29 PM, on 6/2/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\srvany.exe
C:\pvsw\bin\w3dbsmgr.exe
C:\Program Files\Common Files\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackT\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.phpnet.org/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = Cambodia
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = https=English
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [PeachtreePrefetcher.exe] "C:\PROGRA~1\SAGESO~1\PEACHT~1\PeachtreePrefetcher.exe" /configfile:peachtreeprefetcher.winstart.config
O4 - HKLM\..\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKLM\..\Run: [bitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [bDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{E7421509-B3AC-470D-9204-4DDE74275AFC}: NameServer = 203.189.128.1,203.189.128.2
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pervasive.SQL Workgroup Engine - Unknown owner - C:\WINDOWS\system32\srvany.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Common Files\BitDefender\BitDefender Communicator\xcommsvr.exe
A chaque redémarrage BIS supprime une centaine de fichiers...0 -
Bonjour,
Je ne vois aucun processus dangereux fonctionner sur votre ordinateur. Bitdefender a probablement bloque les fichiers infectes mais il ne peut pas les supprimer. Je vais faire un outil de suppression pour Win32.worm.autorun.fn et je vous donnerai des instructions sur la manière de l'utiliser. Pouvez-vous comprendre si je les donne en anglais? (Il serait plus facile pour moi a expliquer).
D'autre part, s'il vous plaît envoyez-moi un de ces fichiers infectés nommé .exe.exe (a LBOERIU@BITDEFENDER.COM ou sur le forum) pour analyse. J'ai pas recu les fichiers que vous avez envoyé quelques jours avant.0 -
Bonjour,
Je ne vois aucun processus dangereux fonctionner sur votre ordinateur. Bitdefender a probablement bloque les fichiers infectes mais il ne peut pas les supprimer. Je vais faire un outil de suppression pour Win32.worm.autorun.fn et je vous donnerai des instructions sur la manière de l'utiliser. Pouvez-vous comprendre si je les donne en anglais? (Il serait plus facile pour moi a expliquer).
D'autre part, s'il vous plaît envoyez-moi un de ces fichiers infectés nommé .exe.exe (a LBOERIU@BITDEFENDER.COM ou sur le forum) pour analyse. J'ai pas recu les fichiers que vous avez envoyé quelques jours avant.
Je parle anglais couramment. Pas de problème... C'est ma langue de travail.
Mhhh... Par contre, comment puis-je envoyer les fichiers par email sans qu'ils soient à risque? Je veux dire, y a-t'il une procédure directe à partir de la quarantaine de Bitdefender? Je n'avais que l'option "send to Bitdefender Lab"... Comme ce n'est pas sur mon ordinateur qu'est l'infection mais celui d'une collègue... J'ai pas trop envie de balader ces fichiers par clé USB, surtout que c'est son mode de transmission apparemment (2 ordinateurs infectés).
Sinon ben j'essaierai de l'attacher sur le forum à partir de l'ordinateur de ma collègue.0 -
Je vous ai envoyé un message personnel avec les instructions de suppression du malware [, en anglais ]
0 -
Je vous ai envoyé un message personnel avec les instructions de suppression du malware [, en anglais ]
Bonjour,
J'ai un virus qui ressemble Win32.Worm.Autorun.MQ. Bitdefender 2009 m'efface le fichier autorun.inf qui apparait tous les 30s sur mon disque système.
Impossible de se débarrasser de Win32.Worm.Autorun.MQ0
Leaders
Catégories
- Toutes les catégories
- 616 Windows
- 33 Mac
- 95 Mobile Security
- 232 VPN
- 241 Central et abonnements
- 137 Autres produits et services
- 77 Équipe de recherche sur la sécurité
- 28 Fonctionnalités du produit et idéation
- 84 Thèmes généraux
- 7.2K Particuliers & bureau à domicile
- 574 Malwares et envoi dexemples
- 2.7K Vieux sujets
- Archiver