Virus 3j2h0tf.bat sur serveur intranet ... Résolu

Question

Bonjour à toutes et à tous, merci d'avance à ceux qui me liront et essaieront de m'aider.

J'admin un serveur web sur un intranet (Windows server2003). Je viens de remarquer qu'il est infecté par un virus que je n'arrive pas à supprimer.

Un certain 3j2h0tf.bat et son autorun.inf correspondant qui infecte tout ce qu'on connecte (donc dans mon cas les clées USB qui me servent a ajouter du contenu) et se propage facilement sur les autres postes.

Sur ce serveur est installé Kaspersky pour serveurs mais avec une base de signatures qui date du mois de mai. Le soucis étant que la mise à jour manuelle ne marche plus, et que ce serveur n'est pas connecté à internet, je n'ai donc pas d'antivirus à jour.
Antivir personnal édition détecte ce virus, et le supprime, mais se met à jour uniquement par internet (ou sinon je ne sais pas le faire manuellement).

De plus, sur ce serveur l'affichage des fichiers cachés est impossible, j'ai bien l'option, mais après validation elle repasse automatiquement sur ne pas afficher les fichiers et dossiers cachés.
J'ai bien essayé de mettre à jour le registre avec le code ci dessous, mais que ce soit avant ou après redémarrage, ça ne fonctionne pas mieux.

Windows Registry Editor Version 5.00 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] 
"RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" 
"Text"="@shell32.dll,-30500" 
"Type"="radio" 
"CheckedValue"=dword:00000001 
"ValueName"="Hidden" 
"DefaultValue"=dword:00000002 
"HKeyRoot"=dword:80000001 
"HelpID"="shell.hlp#51105"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN] 
"RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" 
"Text"="@shell32.dll,-30501" 
"Type"="radio" 
"CheckedValue"=dword:00000002 
"ValueName"="Hidden" 
"DefaultValue"=dword:00000002 
"HKeyRoot"=dword:80000001 
"HelpID"="shell.hlp#51104" 


Auriez vous une idée pour m'aider ? :x

Xplode · Answer

Salut, pour ton soucis d'infection je peux t'aider, concernant ton problème de fichier cachés, il aurait plus sa place dans la partie " Webmastering " , " Réseau " , ou " Internet.

-+-+-+-> USBfix <-+-+-+-


[x] Télécharge USBfix à cette adresse : https://www.androidworld.fr/

[x] Un tutoriel est disponible ici : https://www.malekal.com/usbfix-supprimer-virus-usb/

[x] Installe le

[x] Branche tout tes médias amovibles ( clés USB, DD externe )

[x] Lance USBfix en cliquant sur l'icône qui est sur ton bureau ( Clique droit -> Executer en tant qu'administrateur pour vista )

[x] Choisis l'option F ( pour français ) et valide en appuyant sur entrée.

[x] Au menu principal, choisi l'option 1

[x] Laisse l'outil travailler puis poste le rapport dans ton prochain message

reMix · Answer

J'ai déjà testé Findykill et Flash_Disinfector mais malheureusement, ils ne tournent pas sur Windows server 2003... tout comme USBfix.

Merci quand même.

Xplode · Answer

Erf c'est embêtant ça...

Essaie ceci :

-+-+-+-> ZHPDiag <-+-+-+-


[x] Télécharge ZHPDiag ( de Nicolas coolman ).

[x] Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

[x] Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau

[x] Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

[x] Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

[x] Rend toi sur www.cjoint.com

[x] Clique sur " Parcourir " dans la partie " Joindre un fichier[...] "

[x] Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

[x] Clique ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message

reMix · Answer

Voici :

https://www.cjoint.com/?kwl1l3EdUv

Xplode · Answer

-+-+-+-> ZHPfix <-+-+-+-


[x] Relance ZHPDiag, fais un scan puis cette fois-ci cliques sur l'icone en forme d'écusson vert " ZHPFix ".

[x] ZHPFix se lancera, clique maintenant sur le " H " bleu ( coller les lignes helper ) puis copie/colle ce qui se trouve à ce lien :

https://www.cjoint.com/?kwmmMUWV0D

[x] Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

[x] Copie/Colle le rapport à l'écran dans ton prochain message

reMix · Answer

https://www.cjoint.com/?kwmwnh27oA

Je redémarre et vois si y'a toujours le problème.

reMix · Answer

Pas mieux, en plus l'ouverture de mon C:\ ne marche plus, il me demande de choisir le programme dans une liste. 
Ca se contourne en explorant mais bon xD

Xplode · Answer

Refais un ZHPDiag

reMix · Answer

Apres nettoyage et redémarrage :
https://www.cjoint.com/?kwmSaDRlpW

Je vais manger, je serais de retour d'ici 13h30. Bon ap à toi si ce n'est pas déjà fait :P
Et encore merci pour ton aide.

jlpjlp · Answer

slt pour suivre et savoir si rav passe sous serveur 2003: Télécharge RavAntivirus d'Evosla : http://ww25.evosla.com/compteur.php?soft=rav_antivirus # Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX # Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau # Doucle-clique sur >> RAV.exe << afin de lancer l'outil. # Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles) # Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain .(dans ce cas arreter le logiciel RAV au bout de deux minutes) # Retire tes disques amovibles et redémarrez votre ordinateur. # Poste le rapport, si infection! c:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\olhrwef.exe

Chiquitine29 · Answer

Salut tout le monde ,

ReMix , essai ceci :

Télécharge ce fichier et dézippe le

Double clic sur fixme.cmd , le pc va redémarrer automatiquement , au reboot une fenetre noir va apparaitre , patiente jusqua l apparition du rappport , puis copie colle celui ci dans ta prochaine réponse .

reMix · Answer

Salut Chiquitine,
La fenetre noire reste longtemps ? 
Au bout de 10 minutes ca commence à m'angoisser xD

reMix · Answer

Du monde travaille avec ce serveur, donc j'ai annulé au bout de 20min. 
Si c'est normal que ca dure si longtemps je testerai ce soir après avoir prévenu.

Chiquitine29 · Answer

Salut , non c est pas normal , copie colle le rapport C:\FixMe.txt stp pour voir .

reMix · Answer

En fait c'est tout bon, M E R C I ! =D

Lors du lancement du fichier cmd, le serveur a buggé. J'ai du le reboot à la bourrin.
Au login la fenetre noire est restée statique pendant 20min jusqu'à ce que je la ferme, pour me charger mon bureau.
Au final les actions ont été faites tout va beaucoup mieux !


################## | Element trouvé |

Non Supprimé !  C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
mdfgds0.dll 
Supprimé !  C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\olhrwef.exe 
Supprimé !  C:\autorun.inf 
Supprimé !  C:\3j2h0tf.bat 
Supprimé !  D:\autorun.inf 
Supprimé !  F:\autorun.inf 

################## | Vaccination |

# D:\autorun.inf -> Folder created by UsbFix.  
# F:\autorun.inf -> Folder created by UsbFix.  

################## | Registre |


################## | Element trouvé |

Supprimé !  C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
mdfgds0.dll 
Supprimé !  C:\autorun.inf 
Supprimé !  D:\autorun.inf 
Supprimé !  F:\autorun.inf 

################## | Vaccination |

# C:\autorun.inf -> Folder created by UsbFix.  
# D:\autorun.inf -> Folder created by UsbFix.  
# F:\autorun.inf -> Folder created by UsbFix.  

################## | Registre |

Je vais faire le nécessaire pour avoir un antivirus à jour sur ce serveur. 
Encore une fois merci !

Chiquitine29 · Answer

remet un rapport zhpdiag , il faudra nettoyer la bdr , helper mask te dira quoi faire , car je dois y aller

reMix · Answer

Voilà : https://www.cjoint.com/?kwpaCmhY5u

reMix · Answer

Voilà : https://www.cjoint.com/?kwpaCmhY5u

Chiquitine29 · Answer

&#9654; Télécharge OTM de OldTimer sur ton Bureau. 

• Double-clique sur OTM.exe afin de le lancer. 

• Copie (Ctrl+C) le texte suivant ci-dessous : 



:processes 
explorer.exe 

:reg 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"cdoosoft"=-

:commands 
[emptytemp] 
[reboot] 


• Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved. 

• Clique maintenant sur le bouton MoveIt! puis ferme OTM. 

&#9654; Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
&#9654; Accepte en cliquant sur YES. 

• Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\ 
Le nom du rapport correspond au moment de sa création : date_heure.log

reMix · Answer

• Copie (Ctrl+C) le texte suivant ci-dessous : 



:processes 
explorer.exe 

:reg 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 
"cdoosoft"=- 

:commands 
[emptytemp] 
[reboot] 


• Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved. 

• Clique maintenant sur le bouton MoveIt! puis ferme OTM. 

&#9654; Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
&#9654; Accepte en cliquant sur YES. 

• Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\ 
Le nom du rapport correspond au moment de sa création : date_heure.log

Chiquitine29 · Answer

??

reMix · Answer

Raté mon C/C ><

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\cdoosoft deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 21129590 bytes
->Temporary Internet Files folder emptied: 1914306 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 21,98 mb
 
 
OTM by OldTimer - Version 3.0.0.6 log created on 10222009_152254

Files moved on Reboot...

Registry entries deleted on Reboot...

Chiquitine29 · Answer

:)

toujours des soucis ?

reMix · Answer

Non ca marche nikel =)

Je suis assez impressionné par votre réactivité et votre précision.
Merci beaucoup !

... et bonne journée :P

Chiquitine29 · Answer

DR , bonne journée également

Xplode · Answer

Merci à Chiquitine pour son intervention

Bonne journée à vous deux.

Virus 3j2h0tf.bat sur serveur intranet ... - Page 2

Discussions similaires

Newsletters