Sujet Précédent Sujet Suivant

X.bat / X.exe

stuhly -  
Xplode Messages postés 9212 Statut Contributeur sécurité -
Bonjour,

Mon souci n'est pas vraiement le virus lié à x.bat et x.exe. Sa présence est detectée par avast et le fichier supprimé immédiatement.

Apparemment cet x.bat n'est qu'un symptome et en démarrant en mode sans echec et en passant Malwarebyte, je parviens assez bien à m'en débarrasser (il m'est arrivé de passer ccleaner , spybot, gmer, combofix et smitfraudfix en complément).

Mon souci est que cet x.bat reviens encore et encore et que je n'arrive pas à m'en débarrasser définitivement.

Quelqu'un peut-il m'aider ?

35 réponses

  • 1
  • 2
Réponse 1 / 35
Xplode Messages postés 9212 Statut Contributeur sécurité 726
 
Salut,

-+-+-+-> USBfix ( Infections USB ) <-+-+-+-

[x] Télécharge USBfix ( de Chiquitine29 )

[x] Un tutoriel est disponible ici

[x] Installe le

/!\ Branche tout tes médias amovibles ( clés USB, DD externe, Cartes SD ) /!\

[x] Lance USBfix en cliquant sur l'icône qui est sur ton bureau ( Clique droit -> Executer en tant qu'administrateur pour vista )

[x] Choisis l'option F ( pour français ) et valide en appuyant sur entrée.

[x] Au menu principal, choisis l'option 2

[x] Laisse l'outil travailler puis poste le rapport dans ton prochain message
0
Réponse 2 / 35
stuhly
 
Apparemment USBfix ne support pas windows2000
0
Réponse 3 / 35
penegal Messages postés 432 Statut Membre 27
 
Je crois que tu dois passer a windows Xp ou seven ou mieux ... linux ubuntu

Pour l'éradiquer, fait une recherche avec nod32
0
Réponse 4 / 35
Xplode Messages postés 9212 Statut Contributeur sécurité 726
 
Fais ceci :

-+-+-+-> ZHPDiag <-+-+-+-

[x] Télécharge ZHPDiag ( de Nicolas coolman ).

[x] Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

[x] Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau

[x] Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

[x] Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

[x] Rend toi sur Cjoint

[x] Clique sur " Parcourir " dans la partie " Joindre un fichier[...] "

[x] Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

[x] Clique ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message
0
stuhly
 
C'est fait, voici le lien

https://www.cjoint.com/?looXm7HZ3d
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 35
Xplode Messages postés 9212 Statut Contributeur sécurité 726
 
Y'a du boulot :

-+-+-+-> AD-Remover <-+-+-+-

[x] Télécharge Ad-remover (de C_XX) sur ton bureau.

▶ Déconnecte toi et ferme toutes applications en cours !

[x] Double-clique sur le raccourci Ad-Remover sur ton Bureau. (Clic droit -> "Exécuter en tant qu'administrateur". ( Pour Vista))

[x] A la fenêtre qui s'affiche clique sur " oui "

[x] Séléctionne l'option L

[x] Laisse l'outil travailler.

[x] Une fois le scan fini, appuie sur une touche, le rapport s'ouvre

[x] Copie/colle le dans ton prochain post

====================================================================

-+-+-+-+-> ComboFix <-+-+-+-

[x] Télécharge ComboFix ( de sUBs ) à cette adresse.

[x] /!\ Fermez toutes les fenêtres de programme ouvertes /!\

[x] /!\ Désactivez toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\

[x] Double clique sur " Combofix.exe "

[x] Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le

[x] Combofix va maintenant déconnecter ton PC d'internet

[x] Pendant le scan, ne touche à rien ( souris, clavier )

[x] A la fin du scan, le rapport s'ouvrira automatiquement, copie/colle le dans ton prochain message.

[o] Nb : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt
0
Réponse 6 / 35
Stuhly
 
Désolé, je n'ai pas eu l'occasion de mettre en pratique ces derniers conseils. J'ai eu méga plantage et j' ai du ré-installer w2000.
Le pc démarré. Avast a supprimé 46 virus.
Pour l'instant je ne me suis pas reconnecté au net du poste en question.

Je ne sais pas trop par ou commencer :
- redémarrer en mode sans échec et passer tel ou tel outil
- ou bien commencer par installer le sp4 de w2000

Tout conseil me sera précieux
0
Réponse 7 / 35
Xplode Messages postés 9212 Statut Contributeur sécurité 726
 
Salut,

Peux tu me donner plus de détails en ce qui concerne les virus trouvés par avast ( noms , chemin )
Commence par installer le SP4 puis fais un log ZHPDiag sur le PC ( sans le connecter au net )
0
Stuhly
 
Il y en avait un peu partout : a la racine du c: , sous c:/winnt notamment.

En voici quelques uns (.exe) : sitask ahsd 9new msrsc root suit ahsd mscsmb runtsk eme_12358 ...

Je tente le sp4 mais une première tentative un peu plus tôt m'a déjà tout replanté.

Est-ce zhpdiag direct pourrait faire l'affaire ?
0
Réponse 8 / 35
Xplode Messages postés 9212 Statut Contributeur sécurité 726
 
Fais un ZHPDiag de suite, je te donnerais la suite de la procédure une fois le rapport analysé
0
Stuhly
 
Je l'ai fait pour voir. Mais il va falloir que je trouve une solution pour le poster parce que la j'écris d'un smartphone.

De plus, j'ai voulu arrêter le pc pour voir si je pouvais redémarrer en mode sans échec et j'ai eu un nouveau plantage. Impossible de redémarrer sans réinstaller w2000.
0
Réponse 9 / 35
Xplode Messages postés 9212 Statut Contributeur sécurité 726
  
O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\sglfb.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\tga.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\sglfb.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\tga.sys


Normal que tu aies des plantages en mode sans échec avec ceci..

Il faudrait que tu arrives à m'envoyer le rapport ZHPDiag, ensuite je te préparerais un script ZHPFix pour virer une grosse partie de l'infection.
0
Stuhly
 
Cela me parle moins qu'a toi.

La je ne sais plus par ou prendre le problème.
0
Réponse 10 / 35
Xplode Messages postés 9212 Statut Contributeur sécurité 726
 
Tu fais un scan ZHPDiag, tu me postes le rapport pour commencer.

Je te dirais la suite après
0
Stuhly
 
Ok. Je ré-installe w2000. Sachant qu'au premier redémmarrage cela va replanter.

Pour info je ne pourrais pas faire cela avant jeudi prochain. Cause déplacement professionnel.

D'ici là, j'aurais récupéré mon pc portable. Il faudra juste que je trouve une façon de passer le zhpdiag de l'un a l'autre sans le contaminer.

Merci.
0
Réponse 11 / 35
Xplode Messages postés 9212 Statut Contributeur sécurité 726
 
Tu le grave sur un CD, c'est la meilleure solution.

Pas de soucis pour l'absence.
0
Réponse 12 / 35
stuhly
 
>Voici le ZHPdiag

https://www.cjoint.com/?luqgMVvGTA
0
Réponse 13 / 35
Xplode Messages postés 9212 Statut Contributeur sécurité 726
 
Salut, on va supprimer pas mal de choses pour l'instant :

-+-+-+-> ZHPfix <-+-+-+-

[x] Relance ZHPDiag ( Clic droit " Executer en tant qu'administrateur " sous vista ) , fais un scan puis cette fois-ci cliques sur l'icone en forme d'écusson vert " ZHPFix ".

[x] ZHPFix se lancera, clique maintenant sur le " H " bleu ( coller les lignes helper ) puis copie/colle ce qui se trouve à ce lien dans le grand encadré jaune ( vide ) :

https://www.cjoint.com/?lurMoifnnz

[x] Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

[x] Copie/Colle le rapport à l'écran dans ton prochain message

======================================================================

-+-+-+-> AD-Remover <-+-+-+-

[x] Télécharge Ad-remover (de C_XX) sur ton bureau.

▶ Déconnecte toi et ferme toutes applications en cours !

[x] Double-clique sur le raccourci Ad-Remover sur ton Bureau. (Clic droit -> "Exécuter en tant qu'administrateur". ( Pour Vista))

[x] A la fenêtre qui s'affiche clique sur " oui "

[x] Séléctionne l'option L

[x] Laisse l'outil travailler.

[x] Une fois le scan fini, appuie sur une touche, le rapport s'ouvre

[x] Copie/colle le dans ton prochain post
0
stuhly
 
Voici déjà le rapport. J'attaque le ad-remover.

ZHPFix v1.12.19 by Nicolas Coolman - Rapport de suppression du 20/11/2009 17:47:54
Fichier d'export Registre : C:\ZHPExportRegistry-20-11-2009-17-47-54.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
C:\WINNT\system32\smsc.exe => Fichier absent

Module mémoire :
(Néant)

Clé du Registre :
O23 - Service: Windows Server Services (lanmandriver32) - C:\WINNT\system32\smsc.exe => Clé supprimée avec succès
O40 - ASIC: (no name) - {43yDR8NJ-Nil2-UCyh-wmjB-hS1VUUzdD9o3} - \8nE4l.exe => Clé supprimée avec succès
O40 - ASIC: EnableRevocation - {6A5110B5-E14B-4268-A065-EF89FF33C325} - regsvr32.exe /s /n /i:"S 2 true 3 true 4 true 5 true 6 true 7 true" initpki.dll => Clé supprimée avec succès
O40 - ASIC: CRLUpdate - {9EF0045A-CDD9-438e-95E6-02B9AFEC8E11} - C:\WINNT\System32\updcrl.exe -e -u C:\WINNT\System32\verisignpub1.crl => Clé supprimée avec succès
O40 - ASIC: W2KAppComp - {A00BF2EB-56EE-4fde-B5EA-6A8FA425B2A5} - (not file) => Clé supprimée avec succès
O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\sglfb.sys => Clé supprimée avec succès
O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\tga.sys => Clé supprimée avec succès
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\sglfb.sys => Clé supprimée avec succès
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\tga.sys => Clé supprimée avec succès
O64 - Services: CurCS - 04873 (04873) - LEGACY_04873 => Clé supprimée avec succès
O64 - Services: CurCS - 24581 (24581) - LEGACY_24581 => Clé supprimée avec succès
O64 - Services: CurCS - 31025 (31025) - LEGACY_31025 => Clé supprimée avec succès
O64 - Services: CurCS - 36264 (36264) - LEGACY_36264 => Clé supprimée avec succès
O64 - Services: CurCS - 40386 (40386) - LEGACY_40386 => Clé supprimée avec succès
O64 - Services: CurCS - 74724 (74724) - LEGACY_74724 => Clé supprimée avec succès
O64 - Services: CurCS - EFS (EFS) - LEGACY_EFS => Clé supprimée avec succès
O64 - Services: CurCS - No object (No service) - LEGACY_GENERIC_HOST_PROC => Clé absente
O64 - Services: CurCS - No object (No service) - LEGACY_LSA_SHEL_(EXPORT_ => Clé absente
O64 - Services: CurCS - Windows Server Services (lanmandriver32) - LEGACY_LANMANDRIVER32 => Clé supprimée avec succès
O64 - Services: CS010 - Windows Server Services (lanmandriver32) - LEGACY_LANMANDRIVER32 => Clé supprimée avec succès
O64 - Services: CS011 - Windows Server Services (lanmandriver32) - LEGACY_LANMANDRIVER32 => Clé absente
O64 - Services: CurCS - No object (No service) - LEGACY_NIRSOFT_SERVICE_C => Clé absente
O64 - Services: CS010 - 04873 (04873) - LEGACY_04873 => Clé supprimée avec succès
O64 - Services: CS010 - 24581 (24581) - LEGACY_24581 => Clé supprimée avec succès
O64 - Services: CS010 - 31025 (31025) - LEGACY_31025 => Clé supprimée avec succès
O64 - Services: CS010 - 36264 (36264) - LEGACY_36264 => Clé supprimée avec succès
O64 - Services: CS010 - 40386 (40386) - LEGACY_40386 => Clé supprimée avec succès
O64 - Services: CS010 - 74724 (74724) - LEGACY_74724 => Clé supprimée avec succès
O64 - Services: CS010 - EFS (EFS) - LEGACY_EFS => Clé supprimée avec succès
O64 - Services: CS010 - No object (No service) - LEGACY_GENERIC_HOST_PROC => Clé absente
O64 - Services: CS010 - No object (No service) - LEGACY_LSA_SHEL_(EXPORT_ => Clé absente
O64 - Services: CS010 - No object (No service) - LEGACY_NIRSOFT_SERVICE_C => Clé absente
O64 - Services: CS011 - 04873 (04873) - LEGACY_04873 => Clé absente
O64 - Services: CS011 - 24581 (24581) - LEGACY_24581 => Clé absente
O64 - Services: CS011 - 31025 (31025) - LEGACY_31025 => Clé absente
O64 - Services: CS011 - 36264 (36264) - LEGACY_36264 => Clé absente
O64 - Services: CS011 - 40386 (40386) - LEGACY_40386 => Clé absente
O64 - Services: CS011 - 74724 (74724) - LEGACY_74724 => Clé absente
O64 - Services: CS011 - EFS (EFS) - LEGACY_EFS => Clé absente
O64 - Services: CS011 - No object (No service) - LEGACY_GENERIC_HOST_PROC => Clé absente
O64 - Services: CS011 - No object (No service) - LEGACY_LSA_SHEL_(EXPORT_ => Clé absente
O64 - Services: CS011 - No object (No service) - LEGACY_NIRSOFT_SERVICE_C => Clé absente

Valeur du Registre :
O4 - HKLM\..\Run: [gk8mNfl5w] \8nE4l.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-18\..\Run: [JUIkzydriad] \8nE4l.exe => Valeur absente

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
\8ne4l.exe => Fichier absent
c:\winnt\system32\smsc.exe => Fichier absent
regsvr32.exe /s /n /i:"s 2 true 3 true 4 true 5 true 6 true 7 true" initpki.dll => Fichier absent
c:\winnt\system32\updcrl.exe => Supprimé et mis en quarantaine
c:\winnt\system32\perflib_perfdata_184.dat => Supprimé et mis en quarantaine
c:\winnt\system32\perflib_perfdata_440.dat => Supprimé et mis en quarantaine
c:\winnt\system32\perflib_perfdata_270.dat => Supprimé et mis en quarantaine
c:\winnt\system32\perflib_perfdata_27c.dat => Supprimé et mis en quarantaine
c:\winnt\system32\perflib_perfdata_294.dat => Supprimé et mis en quarantaine
c:\winnt\system32\perflib_perfdata_290.dat => Supprimé et mis en quarantaine
c:\winnt\system32\perflib_perfdata_280.dat => Supprimé et mis en quarantaine
c:\winnt\system32\perfc009.dat => Supprimé et mis en quarantaine
c:\winnt\system32\perfc00c.dat => Supprimé et mis en quarantaine
c:\winnt\system32\perfh009.dat => Supprimé et mis en quarantaine
c:\winnt\system32\perfh00c.dat => Supprimé et mis en quarantaine
c:\winnt\system32\perflib_perfdata_530.dat => Supprimé et mis en quarantaine
c:\winnt\system32\perflib_perfdata_2a0.dat => Supprimé et mis en quarantaine
c:\winnt\mslsrv32.exe => Supprimé et mis en quarantaine
c:\winnt\system32\4new.exe => Supprimé et mis en quarantaine
c:\winnt\modemdet.txt => Supprimé et mis en quarantaine
c:\winnt\system32\folder.htt => Supprimé et mis en quarantaine
c:\winnt\folder.htt => Supprimé et mis en quarantaine
c:\winnt\f.exe => Supprimé et mis en quarantaine
c:\winnt\system32\ms14.exe => Supprimé et mis en quarantaine
c:\winnt\system32\mini.exe => Supprimé et mis en quarantaine
c:\winnt\system32\ms16.exe => Supprimé et mis en quarantaine
c:\winnt\system32\nigzss.txt => Supprimé et mis en quarantaine
c:\winnt\system32\drivers\netdtect.sys => Supprimé et mis en quarantaine
c:\winnt\system32\drivers\netdtect.sys => Fichier absent
c:\winnt\system32\drivers\49082443.sys => Supprimé et mis en quarantaine

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 1
Module mémoire : 0
Clé du Registre : 42
Valeur du Registre : 2
Elément de données du Registre : 0
Dossier : 0
Fichier : 30
Logiciel : 0
Autre : 0


End of the scan
0
Réponse 14 / 35
stuhly
 
Cela ne fonctionne pas.

-+-+-+-> AD-Remover <-+-+-+-

[x] Télécharge Ad-remover (de C_XX) sur ton bureau.

▶ Déconnecte toi et ferme toutes applications en cours !

[x] Double-clique sur le raccourci Ad-Remover sur ton Bureau. (Clic droit -> "Exécuter en tant qu'administrateur". ( Pour Vista))

[x] A la fenêtre qui s'affiche clique sur " oui "

Jusque là tout est OK. J'aperçois brievement une fenêtre violette, puis plus rien (retour à la mire du bureau).
0
Réponse 15 / 35
Xplode Messages postés 9212 Statut Contributeur sécurité 726
 
Essaie celui ci :

-+-+-+-> ST-Fix <-+-+-+-

[x] Télécharge ST-Fix

[x] Suis le tutoriel disponible à cette adresse

[x] Copie/Colle le rapport dans ton prochain message.
0
stuhly
 
Voilà le rapport. Cela ne permet pas à ad-remover de démarrer.

########################################################################
#
# ST_Fix v.2.05 par Batch_Man
# Mise à jour le 06/08/2009
# Début a 18:27 le ven. 20/11/2009
# Mode de boot: Normal
# Lancé de C:\Documents and Settings\CHAIZE ASSBA 5\Bureau\ST_Fix.bat
#
################################ Suppression ###############################
#
# SUPPRIMÉ - C:\Program Files\EoRezo
# SUPPRIMÉ - C:\Documents and Settings\CHAIZE ASSBA 5\Application Data\EoRezo
#
################################## Terminé ################################
0
Réponse 16 / 35
Xplode Messages postés 9212 Statut Contributeur sécurité 726
 
Non, mais ca a supprimé ce que je voulais ;)
Refais maintenant un rapport ZHPDiag
0
Réponse 17 / 35
stuhly
 
J'ai posté le rapport une première fois mais je le vois pas sur le forum, voici un cjoint

https://www.cjoint.com/?lut000zOrU
0
Réponse 18 / 35
Xplode Messages postés 9212 Statut Contributeur sécurité 726
 
-+-+-+-> Malwarebyte's Anti-Malware <-+-+-+-

[x] Télécharge Malwarebyte's anti-malware

[x] Installe le en prenant soin de le mettre à jour à la fin de l'installation.

[x] Lance un scan complet.

[x] Coche bien tout les éléments trouvés et supprime les.

[x] A la fin du scan, copie/colle le contenu du rapport qui s'ouvrira. S'il ne s'ouvre pas, il se trouve dans la partie " Rapports/Logs " de malwarebyte's.

[x] N'oublie pas de vider la quarantaine de malwarebyte's.

Nb : Un tutoriel pour son utilisation est disponible à cette adresse
0
stuhly
 
Comment je fais ça avec un PC non connecté à internet (je parle de la mise à jour de Mbam) ?
0
Réponse 19 / 35
Xplode Messages postés 9212 Statut Contributeur sécurité 726
 
Suis ce lien : https://kerio.probb.fr/t2843-mettre-jour-manuellement-malwarebytes-anti-malware
0
stuhly
 
C'est bizarre, le programme d'installation de Mbam provoque quatre foie l'erreur :
"Une erreur est survenue. Veuillez transmettre au support de Malwarebytes' Anti-Malware le code erreur ci-dessous.
Error code : 718(-2146893799, 0)
Le jeu de clés n'est pas défini."
0
Réponse 20 / 35
Xplode Messages postés 9212 Statut Contributeur sécurité 726
 
Tu as essayé en mode sans échec ?
0
stuhly
 
non, mais je pense que si j'arrête le PC et que je re-démarre (pour atteindre le mode sans echec), il va à nouveau se mettre en écran noir et je devrais à nouveau tout installer à partir du CD w2000.
0