X.bat / X.exe

stuhly -  
Xplode Messages postés 9212 Statut Contributeur sécurité -
Bonjour,

Mon souci n'est pas vraiement le virus lié à x.bat et x.exe. Sa présence est detectée par avast et le fichier supprimé immédiatement.

Apparemment cet x.bat n'est qu'un symptome et en démarrant en mode sans echec et en passant Malwarebyte, je parviens assez bien à m'en débarrasser (il m'est arrivé de passer ccleaner , spybot, gmer, combofix et smitfraudfix en complément).

Mon souci est que cet x.bat reviens encore et encore et que je n'arrive pas à m'en débarrasser définitivement.

Quelqu'un peut-il m'aider ?
Configuration: Windows 2000 Internet Explorer 6.0

35 réponses

  • 1
  • 2
Résumé de la discussion

Une infection récidivante associée à x.bat/x.exe survient sur Windows 2000 et Avast la détecte puis la supprime, mais elle réapparaît malgré le mode sans échec et l’utilisation d’outils comme Malwarebytes. Des recommandations couvrent un diagnostic approfondi (ZHPDiag), l’usage de outils complémentaires et la vérification des clés USB via USBfix sur un autre PC, avec une éventuelle réinstallation partielle ou complète du système. D’autres évoquent l’analyse des noms et chemins des menaces, la connexion hors ligne pour les logs et, en dernier recours, la migration vers un système plus récent ou une distribution linux pour éviter la réapparition.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Salut,

    -+-+-+-> USBfix ( Infections USB ) <-+-+-+-

    [x] Télécharge USBfix ( de Chiquitine29 )

    [x] Un tutoriel est disponible ici

    [x] Installe le

    /!\ Branche tout tes médias amovibles ( clés USB, DD externe, Cartes SD ) /!\

    [x] Lance USBfix en cliquant sur l'icône qui est sur ton bureau ( Clique droit -> Executer en tant qu'administrateur pour vista )

    [x] Choisis l'option F ( pour français ) et valide en appuyant sur entrée.

    [x] Au menu principal, choisis l'option 2

    [x] Laisse l'outil travailler puis poste le rapport dans ton prochain message
    0
  2. stuhly
     
    Apparemment USBfix ne support pas windows2000
    0
  3. penegal Messages postés 320 Date d'inscription   Statut Membre Dernière intervention   27
     
    Je crois que tu dois passer a windows Xp ou seven ou mieux ... linux ubuntu

    Pour l'éradiquer, fait une recherche avec nod32
    0
  4. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Fais ceci :

    -+-+-+-> ZHPDiag <-+-+-+-

    [x] Télécharge ZHPDiag ( de Nicolas coolman ).

    [x] Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

    [x] Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau

    [x] Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

    [x] Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

    [x] Rend toi sur Cjoint

    [x] Clique sur " Parcourir " dans la partie " Joindre un fichier[...] "

    [x] Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    [x] Clique ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Y'a du boulot :

    -+-+-+-> AD-Remover <-+-+-+-

    [x] Télécharge Ad-remover (de C_XX) sur ton bureau.

    ▶ Déconnecte toi et ferme toutes applications en cours !

    [x] Double-clique sur le raccourci Ad-Remover sur ton Bureau. (Clic droit -> "Exécuter en tant qu'administrateur". ( Pour Vista))

    [x] A la fenêtre qui s'affiche clique sur " oui "

    [x] Séléctionne l'option L

    [x] Laisse l'outil travailler.

    [x] Une fois le scan fini, appuie sur une touche, le rapport s'ouvre

    [x] Copie/colle le dans ton prochain post

    ====================================================================

    -+-+-+-+-> ComboFix <-+-+-+-

    [x] Télécharge ComboFix ( de sUBs ) à cette adresse.

    [x] /!\ Fermez toutes les fenêtres de programme ouvertes /!\

    [x] /!\ Désactivez toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\

    [x] Double clique sur " Combofix.exe "

    [x] Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le

    [x] Combofix va maintenant déconnecter ton PC d'internet

    [x] Pendant le scan, ne touche à rien ( souris, clavier )

    [x] A la fin du scan, le rapport s'ouvrira automatiquement, copie/colle le dans ton prochain message.

    [o] Nb : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt
    0
  7. Stuhly
     
    Désolé, je n'ai pas eu l'occasion de mettre en pratique ces derniers conseils. J'ai eu méga plantage et j' ai du ré-installer w2000.
    Le pc démarré. Avast a supprimé 46 virus.
    Pour l'instant je ne me suis pas reconnecté au net du poste en question.

    Je ne sais pas trop par ou commencer :
    - redémarrer en mode sans échec et passer tel ou tel outil
    - ou bien commencer par installer le sp4 de w2000

    Tout conseil me sera précieux
    0
  8. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Salut,

    Peux tu me donner plus de détails en ce qui concerne les virus trouvés par avast ( noms , chemin )
    Commence par installer le SP4 puis fais un log ZHPDiag sur le PC ( sans le connecter au net )
    0
    1. Stuhly
       
      Il y en avait un peu partout : a la racine du c: , sous c:/winnt notamment.

      En voici quelques uns (.exe) : sitask ahsd 9new msrsc root suit ahsd mscsmb runtsk eme_12358 ...

      Je tente le sp4 mais une première tentative un peu plus tôt m'a déjà tout replanté.

      Est-ce zhpdiag direct pourrait faire l'affaire ?
      0
  9. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Fais un ZHPDiag de suite, je te donnerais la suite de la procédure une fois le rapport analysé
    0
    1. Stuhly
       
      Je l'ai fait pour voir. Mais il va falloir que je trouve une solution pour le poster parce que la j'écris d'un smartphone.

      De plus, j'ai voulu arrêter le pc pour voir si je pouvais redémarrer en mode sans échec et j'ai eu un nouveau plantage. Impossible de redémarrer sans réinstaller w2000.
      0
  10. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\sglfb.sys
    O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\tga.sys
    O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\sglfb.sys
    O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\tga.sys


    Normal que tu aies des plantages en mode sans échec avec ceci..

    Il faudrait que tu arrives à m'envoyer le rapport ZHPDiag, ensuite je te préparerais un script ZHPFix pour virer une grosse partie de l'infection.
    0
    1. Stuhly
       
      Cela me parle moins qu'a toi.

      La je ne sais plus par ou prendre le problème.
      0
  11. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Tu fais un scan ZHPDiag, tu me postes le rapport pour commencer.

    Je te dirais la suite après
    0
    1. Stuhly
       
      Ok. Je ré-installe w2000. Sachant qu'au premier redémmarrage cela va replanter.

      Pour info je ne pourrais pas faire cela avant jeudi prochain. Cause déplacement professionnel.

      D'ici là, j'aurais récupéré mon pc portable. Il faudra juste que je trouve une façon de passer le zhpdiag de l'un a l'autre sans le contaminer.

      Merci.
      0
  12. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Tu le grave sur un CD, c'est la meilleure solution.

    Pas de soucis pour l'absence.
    0
  13. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Salut, on va supprimer pas mal de choses pour l'instant :

    -+-+-+-> ZHPfix <-+-+-+-

    [x] Relance ZHPDiag ( Clic droit " Executer en tant qu'administrateur " sous vista ) , fais un scan puis cette fois-ci cliques sur l'icone en forme d'écusson vert " ZHPFix ".

    [x] ZHPFix se lancera, clique maintenant sur le " H " bleu ( coller les lignes helper ) puis copie/colle ce qui se trouve à ce lien dans le grand encadré jaune ( vide ) :

    https://www.cjoint.com/?lurMoifnnz

    [x] Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

    [x] Copie/Colle le rapport à l'écran dans ton prochain message

    ======================================================================

    -+-+-+-> AD-Remover <-+-+-+-

    [x] Télécharge Ad-remover (de C_XX) sur ton bureau.

    ▶ Déconnecte toi et ferme toutes applications en cours !

    [x] Double-clique sur le raccourci Ad-Remover sur ton Bureau. (Clic droit -> "Exécuter en tant qu'administrateur". ( Pour Vista))

    [x] A la fenêtre qui s'affiche clique sur " oui "

    [x] Séléctionne l'option L

    [x] Laisse l'outil travailler.

    [x] Une fois le scan fini, appuie sur une touche, le rapport s'ouvre

    [x] Copie/colle le dans ton prochain post
    0
    1. stuhly
       
      Voici déjà le rapport. J'attaque le ad-remover.

      ZHPFix v1.12.19 by Nicolas Coolman - Rapport de suppression du 20/11/2009 17:47:54
      Fichier d'export Registre : C:\ZHPExportRegistry-20-11-2009-17-47-54.txt
      Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


      Processus mémoire :
      C:\WINNT\system32\smsc.exe => Fichier absent

      Module mémoire :
      (Néant)

      Clé du Registre :
      O23 - Service: Windows Server Services (lanmandriver32) - C:\WINNT\system32\smsc.exe => Clé supprimée avec succès
      O40 - ASIC: (no name) - {43yDR8NJ-Nil2-UCyh-wmjB-hS1VUUzdD9o3} - \8nE4l.exe => Clé supprimée avec succès
      O40 - ASIC: EnableRevocation - {6A5110B5-E14B-4268-A065-EF89FF33C325} - regsvr32.exe /s /n /i:"S 2 true 3 true 4 true 5 true 6 true 7 true" initpki.dll => Clé supprimée avec succès
      O40 - ASIC: CRLUpdate - {9EF0045A-CDD9-438e-95E6-02B9AFEC8E11} - C:\WINNT\System32\updcrl.exe -e -u C:\WINNT\System32\verisignpub1.crl => Clé supprimée avec succès
      O40 - ASIC: W2KAppComp - {A00BF2EB-56EE-4fde-B5EA-6A8FA425B2A5} - (not file) => Clé supprimée avec succès
      O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\sglfb.sys => Clé supprimée avec succès
      O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\tga.sys => Clé supprimée avec succès
      O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\sglfb.sys => Clé supprimée avec succès
      O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\tga.sys => Clé supprimée avec succès
      O64 - Services: CurCS - 04873 (04873) - LEGACY_04873 => Clé supprimée avec succès
      O64 - Services: CurCS - 24581 (24581) - LEGACY_24581 => Clé supprimée avec succès
      O64 - Services: CurCS - 31025 (31025) - LEGACY_31025 => Clé supprimée avec succès
      O64 - Services: CurCS - 36264 (36264) - LEGACY_36264 => Clé supprimée avec succès
      O64 - Services: CurCS - 40386 (40386) - LEGACY_40386 => Clé supprimée avec succès
      O64 - Services: CurCS - 74724 (74724) - LEGACY_74724 => Clé supprimée avec succès
      O64 - Services: CurCS - EFS (EFS) - LEGACY_EFS => Clé supprimée avec succès
      O64 - Services: CurCS - No object (No service) - LEGACY_GENERIC_HOST_PROC => Clé absente
      O64 - Services: CurCS - No object (No service) - LEGACY_LSA_SHEL_(EXPORT_ => Clé absente
      O64 - Services: CurCS - Windows Server Services (lanmandriver32) - LEGACY_LANMANDRIVER32 => Clé supprimée avec succès
      O64 - Services: CS010 - Windows Server Services (lanmandriver32) - LEGACY_LANMANDRIVER32 => Clé supprimée avec succès
      O64 - Services: CS011 - Windows Server Services (lanmandriver32) - LEGACY_LANMANDRIVER32 => Clé absente
      O64 - Services: CurCS - No object (No service) - LEGACY_NIRSOFT_SERVICE_C => Clé absente
      O64 - Services: CS010 - 04873 (04873) - LEGACY_04873 => Clé supprimée avec succès
      O64 - Services: CS010 - 24581 (24581) - LEGACY_24581 => Clé supprimée avec succès
      O64 - Services: CS010 - 31025 (31025) - LEGACY_31025 => Clé supprimée avec succès
      O64 - Services: CS010 - 36264 (36264) - LEGACY_36264 => Clé supprimée avec succès
      O64 - Services: CS010 - 40386 (40386) - LEGACY_40386 => Clé supprimée avec succès
      O64 - Services: CS010 - 74724 (74724) - LEGACY_74724 => Clé supprimée avec succès
      O64 - Services: CS010 - EFS (EFS) - LEGACY_EFS => Clé supprimée avec succès
      O64 - Services: CS010 - No object (No service) - LEGACY_GENERIC_HOST_PROC => Clé absente
      O64 - Services: CS010 - No object (No service) - LEGACY_LSA_SHEL_(EXPORT_ => Clé absente
      O64 - Services: CS010 - No object (No service) - LEGACY_NIRSOFT_SERVICE_C => Clé absente
      O64 - Services: CS011 - 04873 (04873) - LEGACY_04873 => Clé absente
      O64 - Services: CS011 - 24581 (24581) - LEGACY_24581 => Clé absente
      O64 - Services: CS011 - 31025 (31025) - LEGACY_31025 => Clé absente
      O64 - Services: CS011 - 36264 (36264) - LEGACY_36264 => Clé absente
      O64 - Services: CS011 - 40386 (40386) - LEGACY_40386 => Clé absente
      O64 - Services: CS011 - 74724 (74724) - LEGACY_74724 => Clé absente
      O64 - Services: CS011 - EFS (EFS) - LEGACY_EFS => Clé absente
      O64 - Services: CS011 - No object (No service) - LEGACY_GENERIC_HOST_PROC => Clé absente
      O64 - Services: CS011 - No object (No service) - LEGACY_LSA_SHEL_(EXPORT_ => Clé absente
      O64 - Services: CS011 - No object (No service) - LEGACY_NIRSOFT_SERVICE_C => Clé absente

      Valeur du Registre :
      O4 - HKLM\..\Run: [gk8mNfl5w] \8nE4l.exe => Valeur supprimée avec succès
      O4 - HKUS\S-1-5-18\..\Run: [JUIkzydriad] \8nE4l.exe => Valeur absente

      Elément de données du Registre :
      (Néant)

      Dossier :
      (Néant)

      Fichier :
      \8ne4l.exe => Fichier absent
      c:\winnt\system32\smsc.exe => Fichier absent
      regsvr32.exe /s /n /i:"s 2 true 3 true 4 true 5 true 6 true 7 true" initpki.dll => Fichier absent
      c:\winnt\system32\updcrl.exe => Supprimé et mis en quarantaine
      c:\winnt\system32\perflib_perfdata_184.dat => Supprimé et mis en quarantaine
      c:\winnt\system32\perflib_perfdata_440.dat => Supprimé et mis en quarantaine
      c:\winnt\system32\perflib_perfdata_270.dat => Supprimé et mis en quarantaine
      c:\winnt\system32\perflib_perfdata_27c.dat => Supprimé et mis en quarantaine
      c:\winnt\system32\perflib_perfdata_294.dat => Supprimé et mis en quarantaine
      c:\winnt\system32\perflib_perfdata_290.dat => Supprimé et mis en quarantaine
      c:\winnt\system32\perflib_perfdata_280.dat => Supprimé et mis en quarantaine
      c:\winnt\system32\perfc009.dat => Supprimé et mis en quarantaine
      c:\winnt\system32\perfc00c.dat => Supprimé et mis en quarantaine
      c:\winnt\system32\perfh009.dat => Supprimé et mis en quarantaine
      c:\winnt\system32\perfh00c.dat => Supprimé et mis en quarantaine
      c:\winnt\system32\perflib_perfdata_530.dat => Supprimé et mis en quarantaine
      c:\winnt\system32\perflib_perfdata_2a0.dat => Supprimé et mis en quarantaine
      c:\winnt\mslsrv32.exe => Supprimé et mis en quarantaine
      c:\winnt\system32\4new.exe => Supprimé et mis en quarantaine
      c:\winnt\modemdet.txt => Supprimé et mis en quarantaine
      c:\winnt\system32\folder.htt => Supprimé et mis en quarantaine
      c:\winnt\folder.htt => Supprimé et mis en quarantaine
      c:\winnt\f.exe => Supprimé et mis en quarantaine
      c:\winnt\system32\ms14.exe => Supprimé et mis en quarantaine
      c:\winnt\system32\mini.exe => Supprimé et mis en quarantaine
      c:\winnt\system32\ms16.exe => Supprimé et mis en quarantaine
      c:\winnt\system32\nigzss.txt => Supprimé et mis en quarantaine
      c:\winnt\system32\drivers\netdtect.sys => Supprimé et mis en quarantaine
      c:\winnt\system32\drivers\netdtect.sys => Fichier absent
      c:\winnt\system32\drivers\49082443.sys => Supprimé et mis en quarantaine

      Logiciel :
      (Néant)

      Script Registre :
      (Néant)

      Autre :
      (Néant)


      Récapitulatif :
      Processus mémoire : 1
      Module mémoire : 0
      Clé du Registre : 42
      Valeur du Registre : 2
      Elément de données du Registre : 0
      Dossier : 0
      Fichier : 30
      Logiciel : 0
      Autre : 0


      End of the scan
      0
  14. stuhly
     
    Cela ne fonctionne pas.

    -+-+-+-> AD-Remover <-+-+-+-

    [x] Télécharge Ad-remover (de C_XX) sur ton bureau.

    ▶ Déconnecte toi et ferme toutes applications en cours !

    [x] Double-clique sur le raccourci Ad-Remover sur ton Bureau. (Clic droit -> "Exécuter en tant qu'administrateur". ( Pour Vista))

    [x] A la fenêtre qui s'affiche clique sur " oui "

    Jusque là tout est OK. J'aperçois brievement une fenêtre violette, puis plus rien (retour à la mire du bureau).
    0
  15. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Essaie celui ci :

    -+-+-+-> ST-Fix <-+-+-+-

    [x] Télécharge ST-Fix

    [x] Suis le tutoriel disponible à cette adresse

    [x] Copie/Colle le rapport dans ton prochain message.
    0
    1. stuhly
       
      Voilà le rapport. Cela ne permet pas à ad-remover de démarrer.

      ########################################################################
      #
      # ST_Fix v.2.05 par Batch_Man
      # Mise à jour le 06/08/2009
      # Début a 18:27 le ven. 20/11/2009
      # Mode de boot: Normal
      # Lancé de C:\Documents and Settings\CHAIZE ASSBA 5\Bureau\ST_Fix.bat
      #
      ################################ Suppression ###############################
      #
      # SUPPRIMÉ - C:\Program Files\EoRezo
      # SUPPRIMÉ - C:\Documents and Settings\CHAIZE ASSBA 5\Application Data\EoRezo
      #
      ################################## Terminé ################################
      0
  16. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Non, mais ca a supprimé ce que je voulais ;)
    Refais maintenant un rapport ZHPDiag
    0
  17. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    -+-+-+-> Malwarebyte's Anti-Malware <-+-+-+-

    [x] Télécharge Malwarebyte's anti-malware

    [x] Installe le en prenant soin de le mettre à jour à la fin de l'installation.

    [x] Lance un scan complet.

    [x] Coche bien tout les éléments trouvés et supprime les.

    [x] A la fin du scan, copie/colle le contenu du rapport qui s'ouvrira. S'il ne s'ouvre pas, il se trouve dans la partie " Rapports/Logs " de malwarebyte's.

    [x] N'oublie pas de vider la quarantaine de malwarebyte's.

    Nb : Un tutoriel pour son utilisation est disponible à cette adresse
    0
    1. stuhly
       
      Comment je fais ça avec un PC non connecté à internet (je parle de la mise à jour de Mbam) ?
      0
  18. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Tu as essayé en mode sans échec ?
    0
    1. stuhly
       
      non, mais je pense que si j'arrête le PC et que je re-démarre (pour atteindre le mode sans echec), il va à nouveau se mettre en écran noir et je devrais à nouveau tout installer à partir du CD w2000.
      0
  • 1
  • 2