Infecté par W32.IRCBot (nomr du fichier x.bat

Fermé
liocans Messages postés 16 Date d'inscription lundi 4 janvier 2010 Statut Membre Dernière intervention 15 mars 2010 - 4 janv. 2010 à 08:20
crapoulou Messages postés 28093 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 19 mars 2023 - 15 mars 2010 à 18:03
Bonjour,
Je ne suis pas informaticien.
Hier mon antivirus (Symantec) diagnostique la présence de deux virus sur mon ordi, (après en avoir diagnostiqué un ou deux sur une clé usb que j'ai ensuite formatée avec mon ordi, des quelque chose *.exe si je me souviens bien), me conseil de redémarrer pour éliminer la menace (impossible d'ailleurs de les mettre en quarantaine ou de les supprimer), ce que je fais. Au redémarrage un message avant d'arriver sur le bureau, avant d'arriver sur la page de démarrage de XP, type message comme si j'étais en mode sans échec ce genre de truc, me dit que Symantec efface la menace.
Bon et après je ne peux plus me connecter à Internet plus de 2 minutes.
Je repasse mon ordi au scan, pas de virus. Je redémarre plusieurs fois, impossible de me connecter plus de deux minutes.
Ce matin je redémarre, mon antivirus diagnostique la présence de W32.IRCBot, m'informe qu'un démarrage est requis, nombre 18, nom du fichier x.bat.

Y a-t-il une bonne âme pour me conseiller sur ce que je dois faire ?

Amicalement

Nicolas

29 réponses

crapoulou Messages postés 28093 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 19 mars 2023 8 005
11 janv. 2010 à 12:41
Non, c'est gratuit !
Et la version gratuite est largement suffisante !!!
Tu le trouvera même sur CCM :
Antivir.
0
liocans Messages postés 16 Date d'inscription lundi 4 janvier 2010 Statut Membre Dernière intervention 15 mars 2010
1 févr. 2010 à 12:13
Bon je vais voir alors...

En tout cas merci beaucoup pour ton aide. Excuse t'avoir tardé à poster ces remerciements.

Amicalement
0
crapoulou Messages postés 28093 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 19 mars 2023 8 005
1 févr. 2010 à 17:00
Ce n'est pas terminé !

*****

Poste un nouveau rapport RSIT stp.
0
liocans Messages postés 16 Date d'inscription lundi 4 janvier 2010 Statut Membre Dernière intervention 15 mars 2010
22 févr. 2010 à 16:22
voilà l'analyse demandée ci-dessous. Désolé pour le retard mais je passe beaucoup de temps en voyage en ce moment. Et pas souvent connecté avec mon ordi. Ceci-dit il marche bine maintenant. Il ne me semble pas qu'il y ai encore de pb. Mais enfin à tout hasard ci-dessous le résultat de l'analyse RIST que je viens de faire.

Amicalement.

Logfile of random's system information tool 1.06 (written by random/random)
Run by Nicolas K. Justman at 2010-02-22 16:19:20
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 1 GB (8%) free of 15 GB
Total RAM: 767 MB (17% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:19:33, on 22/02/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16981)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIEGE.EXE
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqbam08.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Nicolas K. Justman\Bureau\RSIT.exe
C:\Program Files\trend micro\Nicolas K. Justman.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus SX400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIEGE.EXE /FU "C:\WINDOWS\TEMP\E_SB4.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FA91DF8D-53AB-455D-AB20-F2F023E498D3} (RSClientPrint Class) - http://195.154.252.172/ReportServer?rs:Command=Get&rc:GetImage=8.00.1038.00rsclientprint.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: Sony SPTI Service for DVE (ICDSPTSV) - Sony Corporation - C:\WINDOWS\system32\IcdSptSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
crapoulou Messages postés 28093 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 19 mars 2023 8 005
22 févr. 2010 à 16:29
T'as bien raison, profite de tes voyages ;-).

*****

On va changer ton antivirus :

Suis cette procédure pour supprimer toutes les traces de Norton :
= = = =>>> En cliquant ici <<<= = = =
Tu ne fais bien entendu pas l’étape 3 de la réinstallation.

********

Installe Antivir.
Tout est expliqué sur ce lien, du téléchargement à la configuration.
Autres liens utiles : ICI
ET ICI

*******

Lance Hijackthis.
Il se situe ici :
C:\Program Files\trend micro\Nicolas K. Justman.exe

Clique sur "Do a system scan only".
Coche ces lignes :
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

Clique ensuite sur fix checked.
Ferme Hijackthis.

*******

Télécharge SEAF.exe de C_XX sur ton bureau :
= = = = =>>> En cliquant ici <<<= = = = =

* Double clique sur SEAF.exe que tu viens de télécharger.
* Une fenêtre va s'ouvrir.
* Copie-colle ceci dans la barre de recherche blanche dex.exe
* Coche sur la droite : "Chercher également dans le registre"
* Coche en bas "Afficher les ADS" et "Informations supplémentaires".
* Clique ensuite sur "Lancer la recherche".
* Patiente pendant la recherche.
* Une fenêtre avec un rapport au format ".txt" va s’afficher.
* Copie/colle ce rapport dans ta prochaine réponse.
0
liocans Messages postés 16 Date d'inscription lundi 4 janvier 2010 Statut Membre Dernière intervention 15 mars 2010
22 févr. 2010 à 16:39
En fait comme je te l'expliquais dans un précédent message pour le moment je ne souhaite pas changer d'antivirus.
Par contre je vais prochainement acquérir un nouveau PC, sur lequel j'installerai celui que tu me recommande.
0
Bonjour Liocans,

Sais-tu comment ce virus est arrivé sur ton ordi ?
En clair, je me demande : est ce qu'une clé, quand on ne copie rien sur l'ordi peut quand meme infecter l'ordi ?
Merci de ta réponse,
Loic.
0
liocans Messages postés 16 Date d'inscription lundi 4 janvier 2010 Statut Membre Dernière intervention 15 mars 2010 > scrabidou
15 mars 2010 à 15:52
Ben franchement je ne sais pas du tout.

Bien à toi.
0
crapoulou Messages postés 28093 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 19 mars 2023 8 005
22 févr. 2010 à 16:45
Ah oui ok.
Passe à la suite.
0
crapoulou Messages postés 28093 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 19 mars 2023 8 005
15 mars 2010 à 08:07
liocans, pas de nouvelle, bonne nouvelle ?
0
liocans Messages postés 16 Date d'inscription lundi 4 janvier 2010 Statut Membre Dernière intervention 15 mars 2010
15 mars 2010 à 15:53
Si si tout va bien. J'ai un autre petit pc, où j'ai installé Avira qui en effet est gratuit et marche très bien.

Bien à toi
0
crapoulou Messages postés 28093 Date d'inscription mercredi 28 novembre 2007 Statut Modérateur, Contributeur sécurité Dernière intervention 19 mars 2023 8 005
15 mars 2010 à 18:03
Et ... Tu ne finis pas la désinfection ??!
0