Sujet Précédent Sujet Suivant

Pb u.bat virus comment puis je le supprimer ?

Fermé
lemartinou - 12 sept. 2008 à 22:56
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 - 15 sept. 2008 à 17:38
Bonjour,


Depuis quelques jours, je n arrive plus a ouvrir de fichiers office (word, excel, powerpoint). il m affiche un message d'erreur comme quoi mon anti virus (norton) bloque son ouverture.

De fil en aiguille, je me suis apercu sur un autre pc que ma clef usb (que j utilise souvent avec ce pc) est infecte par un "virus" que vast denomme "u.bat". J ai cherche sur quelques forums. J ai deja essaye de me debarrasser de la chose avec:
ccleaner
flash_desinfector

Le probleme persiste. j ai donc fait un log avec hijack (copier coller ci-dessous). Que puis-je faire ??? je ne sais pas quelles lignes je dois fixer. quelqu'un peut il m aider ?

Martin

Scan saved at 22:47:08, on 12/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country=FR&range=AD&phase=6&key=SEARCH
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe (file missing)
O23 - Service: SAVScan - Unknown owner - C:\Program Files\Norton AntiVirus\SAVScan.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
A voir également:

5 réponses

Réponse 1 / 5
lemartinou
13 sept. 2008 à 10:03
Salut,

Merci pour ton aide Destrio5. Mais mon problème persiste. Ton lien fonctionne mais cela télécharge un exe de 32 ko qui plante en me disant que cela correspond à une application win32.
J'ai donc trouvé par moi-même combofix (2.07 Mo). Après avoir lancé un scan de 10 min, il m'a donné le log suivant issu de combofix.txt dans le c:

Merci d'avance à ceux qui ont une idée pour ce problème.

Martin

ComboFix 08-09-12.06 - Guillon 2008-09-13 9:40:42.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.196 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\Guillon\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
C:\DOCUME~1\Guillon\LOCALS~1\Temp\chjbrh.dll
C:\u.bat
C:\WINDOWS\system32\MabryObj.dll
C:\WINDOWS\system32\wmdrtc32.dl_
C:\WINDOWS\system32\wmdrtc32.dll
E:\autorun.inf

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-08-13 au 2008-09-13 ))))))))))))))))))))))))))))))))))))
.

2008-09-12 22:43 . 2008-09-12 22:43 <REP> d-------- C:\Documents and Settings\Guillon\Application Data\Desktopicon
2008-09-12 22:42 . 2008-09-12 22:42 <REP> d-------- C:\Program Files\Unlocker
2008-09-12 22:39 . 2008-09-12 22:39 <REP> d-------- C:\Program Files\CCleaner
2008-09-12 22:04 . 2008-09-12 22:04 <REP> d-------- C:\Program Files\Trend Micro
2008-09-05 00:25 . 2008-09-12 22:13 5,477 --a------ C:\WINDOWS\system32\drivers\toolg.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-12 19:39 --------- d-----w C:\Program Files\Norton AntiVirus
2008-09-12 19:39 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2008-09-12 11:31 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-09-11 19:49 --------- d-----w C:\Documents and Settings\Guillon\Application Data\ZoomBrowser EX
2008-09-11 19:27 --------- d-----w C:\Documents and Settings\All Users\Application Data\ZoomBrowser
2008-07-28 20:25 --------- d-----w C:\Documents and Settings\Guillon\Application Data\Skype
2008-07-20 16:25 --------- d-----w C:\Program Files\Windows Live
2008-07-20 16:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2007-12-09 21:08 77,312 -c--a-w C:\Documents and Settings\Guillon\timeseal.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UnlockerAssistant"="C:\Program Files\Unlocker\UnlockerAssistant.exe" [2008-05-02 15872]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.ffds"= C:\PROGRA~1\ffdshow\ffdshow.ax

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"18452:TCP"= 18452:TCP:NortonAV
"16405:TCP"= 16405:TCP:NortonAV
"12662:TCP"= 12662:TCP:NortonAV
"15017:TCP"= 15017:TCP:NortonAV
"12058:TCP"= 12058:TCP:NortonAV
"16196:TCP"= 16196:TCP:NortonAV
"18941:TCP"= 18941:TCP:NortonAV
"16234:TCP"= 16234:TCP:NortonAV
"18465:TCP"= 18465:TCP:NortonAV
"13607:TCP"= 13607:TCP:NortonAV

R0 atiide;atiide;C:\WINDOWS\system32\DRIVERS\atiide.sys [2004-03-23 5632]
R1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2002-08-06 11264]
R1 MFKGTKEY;MFKGTKEY;C:\WINDOWS\system32\drivers\mfkgtkey.sys [2003-12-03 12672]
R1 Ps2LedIF;Ps2LedIF;C:\WINDOWS\system32\drivers\ps2ledif.sys [2003-01-10 5376]
R3 Ps2Led;NEC Note Keyboard with One-touch start buttons;C:\WINDOWS\system32\DRIVERS\Ps2Led.sys [2004-01-21 8320]
R3 wlask48d;802.11b WLAN PC Card Service;C:\WINDOWS\system32\DRIVERS\wlask48d.sys [2004-01-06 171520]
S3 CnxEtP;ZTE ZXDSL852 Adapter Filter Driver;C:\WINDOWS\system32\DRIVERS\CnxEtP.sys [ ]
S3 CnxEtU;ZTE ZXDSL852 Interface Device Driver;C:\WINDOWS\system32\DRIVERS\CnxEtU.sys [ ]
S3 CnxTgNW;ZTE ZXDSL852 WAN PPPoA Adapter Driver;C:\WINDOWS\system32\DRIVERS\CnxTgNW.sys [ ]

*Newly Created Service* - PROCEXP90
.
Contenu du dossier 'Tâches planifiées'
.
- - - - ORPHELINS SUPPRIMES - - - -

Notify-WgaLogon - (no file)


.
------- Examen supplémentaire -------
.
FireFox -: Profile - C:\Documents and Settings\Guillon\Application Data\Mozilla\Firefox\Profiles\fedjziie.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.lemonde.fr/
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-13 09:43:09
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MySqlInventime]
"ImagePath"="c:\mysql\bin\mysqld-max-nt MySqlInventime"
.
Heure de fin: 2008-09-13 9:47:46
ComboFix-quarantined-files.txt 2008-09-13 07:47:43

Avant-CF: 700,084,224 octets libres
Après-CF: 589,283,328 octets libres

102 --- E O F --- 2007-12-01 15:27:20
0
Réponse 2 / 5
lemartinou
15 sept. 2008 à 15:41
Salut,

Je crois que j'ai réussi à me débarrasser de u.bat.
En tout cas, RavAntivirus d'Evosla me dit que mon ordinateur est sain. Ma clef usb ne se fait plus détecter par vast de l'autre pc.

Par contre, je me suis aperçu que mon antivirus Norton est complètement en rade. Impossible de le désintaller ou de le réinstaller. Et mon problème persiste...

Excel me dit toujours:
"The file can not be opened because your virus scanner have detected a problem with the file"

Word me dit:
"The file word.doc is not available."

Quelqu'un a déjà eu ce genre de problème ?

Martin
0
Réponse 3 / 5
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 298
12 sept. 2008 à 23:26
Salut,

---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

- Branche tes disques amovibles à ton PC (clefs USB, disque dur externe, etc...)

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\

---> Double-clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
Accepte en cliquant sur "Oui"

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt
-1
Réponse 4 / 5
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 298
13 sept. 2008 à 15:48
- Télécharge RavAntivirus d'Evosla sur ton bureau :
http://ww25.evosla.com/compteur.php?soft=rav_antivirus

- Branche tes disques amovibles à ton PC (clefs USB, disque dur externe, etc...) sans les ouvrir avant de lancer le fix

- Clique droit sur le fichier rav.zip, puis "Extraire Ici".

- Doucle-clique sur "rav.exe" pour lancer le fix.

- Laisse le programme agir : il scanne automatiquement tous les lecteurs (disques fixes et amovibles)

- Quand il y a écrit, "mon ordinateur est sain", tu peux quitter le programme

- Ensuite : retire tes disques amovibles et redémarre le PC.
-1

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 5
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 298
15 sept. 2008 à 17:38
---> Désinstalle Norton avec ceci :
ftp://ftp.symantec.com/public/francais/removal_tools/Norton_Removal_Tool.exe

---> Installe Antivir :
http://dl1.avgate.net/down/windows/antivir_workstation_winu_fr_h.exe

---> Fais un scan rapide avec MBAM, supprime tout ce qu'il trouve et poste le rapport :
http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.htm
-1

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse