GETBOOTD.BAT dans C:\
Résolu/Fermé
Raphaeldu68
Messages postés
280
Date d'inscription
dimanche 9 août 2009
Statut
Membre
Dernière intervention
5 novembre 2014
-
13 janv. 2010 à 19:23
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 - 20 janv. 2010 à 20:15
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 - 20 janv. 2010 à 20:15
13 réponses
jfkpresident
Messages postés
13408
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 175
19 janv. 2010 à 23:03
19 janv. 2010 à 23:03
Yop ;)
GETBOOTD.BAT semble etre une infection par disques amovibles (clés usb ,disques externes..)
Peux tu me donner les 3 chemins complets des fichiers ?
GETBOOTD.BAT semble etre une infection par disques amovibles (clés usb ,disques externes..)
Peux tu me donner les 3 chemins complets des fichiers ?
Raphaeldu68
Messages postés
280
Date d'inscription
dimanche 9 août 2009
Statut
Membre
Dernière intervention
5 novembre 2014
18
19 janv. 2010 à 23:10
19 janv. 2010 à 23:10
C'est pas mon PC mais celui d'une amie. Le chemin est : C:\NOM_DU_FICHIER
Merci de ton aide
Je lui dirai de regarder sur le forum et lui transmet l'alerte : s'il y a un scan ou autre chose à faire, je lui dirai (et le ferai avec elle, car elle et un PC c'est comme un oiseau et un TGV : si ça va dans le même sens ça va, sinon aïe aïe aïe)
Merci encore
bonne soirée !
à demain peut-être :)
Cordialement
Raphaël
Merci de ton aide
Je lui dirai de regarder sur le forum et lui transmet l'alerte : s'il y a un scan ou autre chose à faire, je lui dirai (et le ferai avec elle, car elle et un PC c'est comme un oiseau et un TGV : si ça va dans le même sens ça va, sinon aïe aïe aïe)
Merci encore
bonne soirée !
à demain peut-être :)
Cordialement
Raphaël
jfkpresident
Messages postés
13408
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 175
20 janv. 2010 à 08:54
20 janv. 2010 à 08:54
Ok ,avant de tirer des conclusions attives ,on va vérifier tout ça :
Il va falloir analyser un ou des fichier(s) suspect(s) !
Il se peut qu'il se trouvent dans les " dossiers cachés " du systeme.
Il faut donc les rendre visibles pour le scan.
Pour afficher les dossiers et fichiers cachés:
Panneau de configuration > Options des dossiers > onglet Affichage.
Coche Afficher les fichiers et dossiers cachés,
Décoche Masquer les extensions de fichiers connus
Décoche Masquer les fichiers protégés du Système.
Un message de mise en garde va apparaitre. Clique sur OK pour confirmer ton choix.
Les fichiers et dossiers cachés du système apparaitront alors dans l'explorateur Windows en transparence.
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ces fichiers : C:\GETBOOTD.BAT
C:\GETDRIVE.EXE
C:\FLIPART.EXE
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
Il va falloir analyser un ou des fichier(s) suspect(s) !
Il se peut qu'il se trouvent dans les " dossiers cachés " du systeme.
Il faut donc les rendre visibles pour le scan.
Pour afficher les dossiers et fichiers cachés:
Panneau de configuration > Options des dossiers > onglet Affichage.
Coche Afficher les fichiers et dossiers cachés,
Décoche Masquer les extensions de fichiers connus
Décoche Masquer les fichiers protégés du Système.
Un message de mise en garde va apparaitre. Clique sur OK pour confirmer ton choix.
Les fichiers et dossiers cachés du système apparaitront alors dans l'explorateur Windows en transparence.
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ces fichiers : C:\GETBOOTD.BAT
C:\GETDRIVE.EXE
C:\FLIPART.EXE
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
Raphaeldu68
Messages postés
280
Date d'inscription
dimanche 9 août 2009
Statut
Membre
Dernière intervention
5 novembre 2014
18
20 janv. 2010 à 15:48
20 janv. 2010 à 15:48
Re JFK, merci de ton aide.
Voici les fichier des 3 suspects :
GETBOOTD.BAT :
http://www.cijoint.fr/cjlink.php?file=cj201001/cijOjx3WEp.txt
FLIPART.EXE :
http://www.cijoint.fr/cjlink.php?file=cj201001/cijYywAmjo.txt
GETDRIVE.EXE :
http://www.cijoint.fr/cjlink.php?file=cj201001/cijO1lRDVR.txt
Merci beaucoup de ton aide.
Je fais un scann avec MBAM et je le poste en réponse. Peut-être que ça te donnera une piste !
Encore Merci !
Elodie&Raphaël
Voici les fichier des 3 suspects :
GETBOOTD.BAT :
http://www.cijoint.fr/cjlink.php?file=cj201001/cijOjx3WEp.txt
FLIPART.EXE :
http://www.cijoint.fr/cjlink.php?file=cj201001/cijYywAmjo.txt
GETDRIVE.EXE :
http://www.cijoint.fr/cjlink.php?file=cj201001/cijO1lRDVR.txt
Merci beaucoup de ton aide.
Je fais un scann avec MBAM et je le poste en réponse. Peut-être que ça te donnera une piste !
Encore Merci !
Elodie&Raphaël
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
jfkpresident
Messages postés
13408
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 175
20 janv. 2010 à 16:20
20 janv. 2010 à 16:20
Rien avec ces 3 fichiers ........^^
J'ai quand meme un doute ...
Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.
==>Double-clique sur RSIT.exe afin de lancer RSIT.
==>Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).
==>Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
==>Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront :
log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
NB : Les rapports sont sauvegardés dans le dossier C:\rsit
==>Rend toi sur ce site: http://www.cijoint.fr/index.php
==>Clique sur "parcourir" et sélectionne ces fichiers ,un lien va etre créer .
==>Copie/colle ce lien dans ta prochaine réponse .
Aide en images si besoin
J'ai quand meme un doute ...
Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.
==>Double-clique sur RSIT.exe afin de lancer RSIT.
==>Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).
==>Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
==>Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront :
log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
NB : Les rapports sont sauvegardés dans le dossier C:\rsit
==>Rend toi sur ce site: http://www.cijoint.fr/index.php
==>Clique sur "parcourir" et sélectionne ces fichiers ,un lien va etre créer .
==>Copie/colle ce lien dans ta prochaine réponse .
Aide en images si besoin
Raphaeldu68
Messages postés
280
Date d'inscription
dimanche 9 août 2009
Statut
Membre
Dernière intervention
5 novembre 2014
18
20 janv. 2010 à 16:37
20 janv. 2010 à 16:37
Merci de ta réponse.
MBAM n'a rien trouvé.
Voici le fichier log de RIST : http://www.cijoint.fr/cjlink.php?file=cj201001/cijNleZtG5.txt
et le fichier info : http://www.cijoint.fr/cjlink.php?file=cj201001/cijR1k0wnU.txt
Merci de ton aide
Raphaël&Elodie
MBAM n'a rien trouvé.
Voici le fichier log de RIST : http://www.cijoint.fr/cjlink.php?file=cj201001/cijNleZtG5.txt
et le fichier info : http://www.cijoint.fr/cjlink.php?file=cj201001/cijR1k0wnU.txt
Merci de ton aide
Raphaël&Elodie
jfkpresident
Messages postés
13408
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 175
20 janv. 2010 à 16:52
20 janv. 2010 à 16:52
Dans un premier temps la quantité de RAM est vraiment limite : 255 Mo ......:(
Ensuite il y a bien une infection ..
Télécharge OTM de OldTimer sur ton Bureau en cliquant sur ce lien :
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
Double-clique sur OTMoveIt3.exe pour le lancer.
Vérifie que la case devant "Unregister Dll's and Ocx's est bien cochée.
Copie la liste qui se trouve en gras ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".
Clique sur "MoveIt!" pour lancer la suppression.
Le résultat apparaitra dans le cadre "Results".
Clique sur "Exit" pour fermer.
Poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .
Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.
=============================================
Une fois fait je voudrais que tu passes ce fichier sur VirusTotal : C:\WINDOWS\system32\LCCoin30.dll
Ensuite il y a bien une infection ..
Télécharge OTM de OldTimer sur ton Bureau en cliquant sur ce lien :
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
Double-clique sur OTMoveIt3.exe pour le lancer.
Vérifie que la case devant "Unregister Dll's and Ocx's est bien cochée.
Copie la liste qui se trouve en gras ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".
:files C:\Program Files\Cicle Developement :commands [purity] [emptytemp] [start explorer] [reboot]
Clique sur "MoveIt!" pour lancer la suppression.
Le résultat apparaitra dans le cadre "Results".
Clique sur "Exit" pour fermer.
Poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .
Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.
=============================================
Une fois fait je voudrais que tu passes ce fichier sur VirusTotal : C:\WINDOWS\system32\LCCoin30.dll
Raphaeldu68
Messages postés
280
Date d'inscription
dimanche 9 août 2009
Statut
Membre
Dernière intervention
5 novembre 2014
18
20 janv. 2010 à 18:20
20 janv. 2010 à 18:20
Voici le rapport de OTM :
http://www.cijoint.fr/cjlink.php?file=cj201001/cijPMMfG5k.txt
J'ai du le changer l'extension en .txt pour le deposer sur Cijoint. il était bien en .log avant.
Voici le rapport de l'analyse par VirusTotal de LCCoin.dll :
http://www.cijoint.fr/cjlink.php?file=cj201001/cijdqh2rNF.txt
Merci de ton aide !
Raphaël&Elodie
http://www.cijoint.fr/cjlink.php?file=cj201001/cijPMMfG5k.txt
J'ai du le changer l'extension en .txt pour le deposer sur Cijoint. il était bien en .log avant.
Voici le rapport de l'analyse par VirusTotal de LCCoin.dll :
http://www.cijoint.fr/cjlink.php?file=cj201001/cijdqh2rNF.txt
Merci de ton aide !
Raphaël&Elodie
jfkpresident
Messages postés
13408
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 175
20 janv. 2010 à 18:51
20 janv. 2010 à 18:51
Tu peux supprimer C:\RSIT et C:\OTM
Par contre tes amis devraient ajouter un peu de RAM (memoire vive) a leur pc -;)
Par contre tes amis devraient ajouter un peu de RAM (memoire vive) a leur pc -;)
Raphaeldu68
Messages postés
280
Date d'inscription
dimanche 9 août 2009
Statut
Membre
Dernière intervention
5 novembre 2014
18
20 janv. 2010 à 19:05
20 janv. 2010 à 19:05
Merci pour ta réponse.
Je peux aussi supprimer les applications TSIT.exe et OTM.exe sur le bureau ?
RAM : Oui en effet... Je ne sais pas si c'est uns barrette de 256 ou un autre configuration (je ne sais pas non plus s'il sagit de DDram ou SDram), mais penses-tu qu'il suffit de rajouter une barrette de 256 pour monter à 512 ? ou vaut-il mieux changer tout ? Vaut-il mieux mettre plus que 512MO ?
Merci de ta réponse.
Encore une question si je peux me permettre : connais-tu un moyen de trier les fichiers sur le disque et de savoir lesquels sont inutiles ? et les supprimer ? (pour les fichiers autres que ceux créés par l'utilisateur, je pense notamment aux diverses installations de programmes etc ...)
Merci encore de ton aide et si tu as une solution pour ma dernière question, je te serais très reconnaissant si tu pouvais me faire partager ton savoir ;)
Bonne soirée !
Raphaël et Elodie
Je peux aussi supprimer les applications TSIT.exe et OTM.exe sur le bureau ?
RAM : Oui en effet... Je ne sais pas si c'est uns barrette de 256 ou un autre configuration (je ne sais pas non plus s'il sagit de DDram ou SDram), mais penses-tu qu'il suffit de rajouter une barrette de 256 pour monter à 512 ? ou vaut-il mieux changer tout ? Vaut-il mieux mettre plus que 512MO ?
Merci de ta réponse.
Encore une question si je peux me permettre : connais-tu un moyen de trier les fichiers sur le disque et de savoir lesquels sont inutiles ? et les supprimer ? (pour les fichiers autres que ceux créés par l'utilisateur, je pense notamment aux diverses installations de programmes etc ...)
Merci encore de ton aide et si tu as une solution pour ma dernière question, je te serais très reconnaissant si tu pouvais me faire partager ton savoir ;)
Bonne soirée !
Raphaël et Elodie
jfkpresident
Messages postés
13408
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 175
20 janv. 2010 à 19:56
20 janv. 2010 à 19:56
Je peux aussi supprimer les applications TSIT.exe et OTM.exe sur le bureau ?
Hummm..je l'ai indiqué post # 9 :))
512Mo avec Xp ,ça marche bien maintenant tu peux monter jusque 1024Mo sans problemes et sans te ruiner ;)
Encore une question si je peux me permettre : connais-tu un moyen de trier les fichiers sur le disque et de savoir lesquels sont inutiles ? et les supprimer ?
Beaucoup de programmes permettent de lister les logiciels présents sur le pc et les supprimer mais de la a les trier ...Non ,pour une simple et bonne raison ,il n'y a que les propriétaires du pc qui peuvent juger de l'utilité de tel ou tel applications .
De plus GlaryUtilities est installé sur ce pc et il permet de supprimer des applications qui ne servent plus .
J'ai vu également que TeamViewer était installé sur le pc ,c'est toi qui gere le controle a distance ?
Raphaeldu68
Messages postés
280
Date d'inscription
dimanche 9 août 2009
Statut
Membre
Dernière intervention
5 novembre 2014
18
20 janv. 2010 à 20:09
20 janv. 2010 à 20:09
Merci JFK...
J'ai préféré passer pour bête et être certain d'avoir bien compris, tu indique les répertoires dans la réponse 9, mais pas les executables, c'est pour ça ... excuse :-S
D'accord, je comprends bien pour les fichiers des applications .. : j'ai posé la questions parce que j'ai vu sur plusieurs PC des dossiers dans Program Files qui contenaient que des index.dat et install.log etc... des traces laissées par des applications lors de leur desinstallation... c'est pour ça que j'ai posé la question.
Il est vrai comme tu le dis avec Glary on peut nettoyer un peu plus, mais j'ai constaté que son scan du registre était un peu agressif, puisqu'il manquaient des clefs après l'avoir utilisé (ancienne version il y a 2/3 ans) depuis j'utilise soit CCleaner soit Wise Registry cleaner que je trouve bien fait : on peut choisir quelle clef "pas sûre" on veut enlever si besoin.
Sinon, j'ai aussi essayé Avanced Système Care qui m'a l'air pas mal...
Pour Team Vewer, oui c'est moi qui gère le contrôle a distance pour les petits soucis et le transfer de fichiers parfois ...
Voila, encore un grand merci de ta grande aide pour les 2 ordis :)
Champagne ! :)
Je te recommande aux autres utilisateurs de CCM comme helpeur efficace et rapide !
RESOLU
Bonne soirée
Raphaël et Elodie
J'ai préféré passer pour bête et être certain d'avoir bien compris, tu indique les répertoires dans la réponse 9, mais pas les executables, c'est pour ça ... excuse :-S
D'accord, je comprends bien pour les fichiers des applications .. : j'ai posé la questions parce que j'ai vu sur plusieurs PC des dossiers dans Program Files qui contenaient que des index.dat et install.log etc... des traces laissées par des applications lors de leur desinstallation... c'est pour ça que j'ai posé la question.
Il est vrai comme tu le dis avec Glary on peut nettoyer un peu plus, mais j'ai constaté que son scan du registre était un peu agressif, puisqu'il manquaient des clefs après l'avoir utilisé (ancienne version il y a 2/3 ans) depuis j'utilise soit CCleaner soit Wise Registry cleaner que je trouve bien fait : on peut choisir quelle clef "pas sûre" on veut enlever si besoin.
Sinon, j'ai aussi essayé Avanced Système Care qui m'a l'air pas mal...
Pour Team Vewer, oui c'est moi qui gère le contrôle a distance pour les petits soucis et le transfer de fichiers parfois ...
Voila, encore un grand merci de ta grande aide pour les 2 ordis :)
Champagne ! :)
Je te recommande aux autres utilisateurs de CCM comme helpeur efficace et rapide !
RESOLU
Bonne soirée
Raphaël et Elodie
jfkpresident
Messages postés
13408
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 175
20 janv. 2010 à 20:15
20 janv. 2010 à 20:15
Bonne soirée a toi aussi .
Je met donc en résolu .
Je met donc en résolu .