Traitement de mal_otorun.inf

[booHguy]

Bonjour,

 

Je rencontre le problème suivant :

 

PC sous Windows XP SP2, avec IE6

Anti-virus Trend-Micro enterprise

 

À chaque introduction d'une clé USB (quelle qu'elle soit), l'antivirus signale la présence de "mal_otorun1" situé dans "E:\autorun.inf"

Il n'existe pas de méthode de désinfection sur le site de Trend-Micro.

 

Néanmoins, lorsque la clé est introduite dans un autre PC, aucune détection n'est signalée (même anti-virus, même configuration globale), et le fichier E:\autorun.inf n'existe sur aucune des clés signalées infectées.

 

Je n'ai pas trouvé d'explication sur les différents sites qui parlent de ce sujet.

Si quelqu'un a une idée, je suis preneur.

Merci d'avance

[pear]

Bonjour,

 

color=#008040]

Les fichiers autorun.inf sont infectés.

Cette infection peut avoir été introduite par le biais d'un support amovible tels que Clé USB, CD-R, CDRW, etc.

Car cette infection a ceci de particulier qu'elle crée des fichiers .inf (cachés) aux racines de tout ce qui entre en contact avec elle, comme la racine du disque C (système) par exemple.

Des explications là:

http://forum.malekal.com/ftopic3350.php

http://forum.malekal.com/viewtopic.php?f=4...544&p=38463

 

Prévention:

Désactiver l'autorun sur tous les lecteur (USB, CD, DVD, SATA, Firewire, etc.

Copier/coller ce qui suit dans le bloc notes,

sans ligne blanche au début.

Enregistrez sur le bureau sous regis.reg.

Cliquez droit sur le fichier ->fusionner

Acceptez la modification du Régistre:

 

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion­\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion­\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

 

Désinfection

Télécharger Flash_Disinfector.exe de sUBs

l'enregistrer sur le bureau.

Connecter tous les supports amovibles susceptibles d'avoir été infectés .

Double-cliquer dessus et suivre les instructions

,

Enregistrer Clean.zip sur le bureau

- faire un clic droit dessus et "extraire ici".

Un dossier "Clean" sera créé.

Redémarrer en mode sans échec

Ouvrez le dossier clean qui se trouve sur le bureau,

double-cliquer sur clean.cmd,

Dans la fenêtre noire, choisir l'option 2 et suivre les instructions

Cochez les options comme indiquées sur cettepage:

 

 

[/color]

[booHguy]

Merci à toi, pear.

En fait, j'ai utilisé quelques outils indiqués dans un autre sujet sur ce forum (Spybot S&D, A², EasyCleaner, etc.)

A² aussi appelé a-squared m'a indiqué (entre autres, 5 infections au total) une infection située dans c:\recycler\{dossier en chiffres}, un fichier nommé SYS2.exe

Je lui demande de nettoyer, ce qu'il accepte.

Je refais un passage, le fichier SYS2.exe est toujours détecté, les autres infections ont disparu.

Je suis passé en mode DOS pour aller faire un peu de ménage dans ce dossier c:\recycler

Les 4 ou 5 dossiers qu'il contient sont soit "system" soit "hidden" soit les 2 à la fois. J'utilise les commandes standard (attrib, del et rd) pour supprimer le fichier en question, et son dossier conteneur.

 

Plus rien n'est détecté par la suite, et l'utilisation des clés USB redevient normale.