trojan horse c:\a.bat impossible réparer fichier

[coolzen]

Bonsoir,
de retour parmi vous pour demander de l'aide encore une fois.
J'ai rebooté mon pc Windows XP media center édition.
mis a jour Norton security, et j'ai à la racine du disque C un fichier nommé a (fichier de commande msdos).
dés que je passe le curseur de la souris dessus ce fichier, norton détecte un trojan Horse, et me dit qu'il lui est impossible de le supprimer.j'ai essayé de supprimer le fichier sans reussite.
j'ai fais un scan en mode sans échec et le virus n'est pas détecté. j'ai également fais un scan en ligne avec virus total et seulement 3 antivirus sur les 19 détectent le trojan. passé a squared free qui n'a rien détecté de spécial.je n'ai pour le moment pas de problèmes visibles, mais je suis inquiet, avez vous une suggestion à me proposer s'il vous plait.

merci

Coolzen

[Cyrrus]

Bonjour Coolzen,

Grrrr ta dernière infection remonte à 7 mois. Theoriquement tu ne devrais plus en avoir.

Comme d'habitude dans ces cas : Effectue je te prie la procedure preliminaire. Poste les rapports en pieces jointes.

Bonne journée
Cyrrus

[synthexe]

Coucou Cyrrus

Je crois que c'est l'infection que Gérard a eu a son taf ... il avait détaillé le fichier a.bat, qui chez lui s'effacait automatiquement a la fin du script, il bloquait tout, stoppait les services antivirus, firewall, etc ...

L'intervention venait juste pour la précision

Bonne journée

[Cyrrus]

Bonjour Synthexe,

Exact oui, je pensais pareil. Pour autant je ne suis pas sur que ce soit exactement là même, puisque dans son cas il y avait du dégats dans les couches tcp/ip, et donc perte de connexion. En tout cas on sait à quoi s'en tenir avec cete cochonnerie.

Bonne journée
Cyrrus

[coolzen]

Bonsoir Cyrrus,

Merci pour ton aide.

Je t'envoie rapport AVG (rien trouvé)et Hijackthis; ainsi que vue de l'icone du trojan qui réapparait a chaque redémmarrage du pc dans C:\
malgré l'avoir enlevé avec norton security, mis en quarantaine puis supprimé.
je confirme qu'après l'avoir supprimé avec mon antivirus, tant que je n'arrete pas le pc tout est ok, mais dés que je l'arrete, au demarrage le virus se trouve a nouveau sur le disque C.
j'ai désactivé le moint de restauration du système avant.
te signale également que j'avais rebooté mon pc suite a un virus non détécté, qui m'avait supprimé pare feu et antivirus (avec impossiblité de le réinstaller).
encore merci pour ton aide

Coolzen

[Cyrrus]

Bonsoir coolzen,

1.

Étape 1:
Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau.
Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

Étape 2:
Voici comment mettre l'outil à jour :
1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").
2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.
3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).
4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants.
Ne pas lancer le scan tout de suite !

Étape 3:
Redémarre en mode Sans Échec :
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisi la première option : Sans Échec, et valide avec "Entrée"
5) Choisi ton compte régulier, et non Administrateur

2. Lanche Hijackthis, clique sur "Do a system scan only" et coche les lignes suivantes :

Code:

O4 - HKLM\..\Run: [Windows Secure Update ] wrdijwkk.exe
O4 - HKCU\..\Run: [Windows Secure Update ] wrdijwkk.exe

Clique sur Fix Checked.

3.

• Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
• Cocher la case : Afficher les fichiers et dossiers cachés
• Décocher la case : Masquer les extensions des fichiers dont le type est connu
• Décocher la case : Masquer les fichiers protégés du système d'exploitation
• cliquer sur "Appliquer"
• cliquer sur le bouton "Appliquer à tous les dossiers" / OK

4. Supprime le fichier suivant :

Code:

C:\WINDOWS\system32\wrdijwkk.exe
C:\a.bat

5. Redemarre en mode normal

6. Poste moi le rapport d'eScan ainsi qu'un nouveau log hijackthis.

Bonne soirée
Cyrrus

[coolzen]

Bonsoir Cyrrus,

J'avais relancé un scan avec norton qui m'a de nouveau trouvé les deux trojan horse dans C:\a.bat. fichier désigné par un icone avec légende "fichier de commande MS dos"
après mise en quarantaine et suppression,l'icone a disparu de lui même.

j'ai lancé hitjackthis puis fixé
04 HKLM\..\runwindows Secure Update) wrdijwkk.exe
04 HKcu\..\runwindows Secure Update) wrdijwkk.exe

mais fichier wrdijwkk.exe introuvable dans le system 32

j'ai donc suivi ta procédure pour me tranquiliser et te joins les fichiers demandé, avec mes remerciements.
apparement le virus semble avoir été supprimé.

merci en attendant ta réponse

Coolzen

[coolzen]

excuses moi je n'arrive pas à joindre le fichier escan qui fait 16 Mo , refusé!!!

sais pas pourquoi

A+

[Cyrrus]

Bonsoir coolzen,

Aaaaah mais quel c** je suis, je ne y'ai pas posté la procédure complète pour eScan (tu as quand même reussi à scanner avec...bravo). Voilà la fin et l'explication pour le log

Étape 4:
Du mode Sans Échec, voici comment utiliser le programme :
1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky
2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.
3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.
4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.
5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.
6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !
7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

Pour le fichier wrdijwkk.exe on fera autre chose dessus, je te posterai çà demain.

Si je comprends bien le fichier a.bat a été supprimé lui aussi ?

Bonne soirée (et désolé pour la boulette!)
Cyrrus

[coolzen]

Re Cyrrus,

pas grave, avais copié le message détecté par escan
C:\hp\bin\killwind.exe
qui apparement est un faux positif, sinon rien d'autre dans le scan.
pour la suite de la procédure, suis tombé par hasard sur un tuto qui m'a aidé à démarrer le scan
juste que j'essayais de t'envoyer le log complet , là j'avais pas compris.

Je te tiens au courant si le problème se répète à nouveau.

merci encore et bonne soirée

Coolzen

[Cyrrus]

Bonjour coolzen,

1.

Télécharge OTMoveIt de OldTimer.

• Sauvegarde le sur ton Bureau.
• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant surCTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):
  
  
  Code:

   C:\WINDOWS\system32\wrdijwkk.exe

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le boutton rouge Moveit!.
• Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

2.

• Fais un scan en ligne Kaspersky avec Internet Explorer :
• Clique sur
• Clique maintenant sur J'accepte.
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
• Patiente pendant l'installation des Mises à jour.
• Choisis par la suite l'analyse du Poste de travail
• Sauvegarde puis colle le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX
Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Poste moi le rapport de Kaspersky ainsi que celui de OTMoveIT dispo ici :

C:\_OTMoveIt\MovedFiles

Bonne journée
Cyrrus

[coolzen]

Bonsoir Cyrrus,

Je te joins les rapports demandés, les deux virus ont été détectés par Kapersky.

y a t il une marche à suivre? merci encore

Coolzen

[Cyrrus]

Bonjour coolzen,

Supprime ces deux dossiers, en mode sans échec si nécessaire :

Code:

C:\WINDOWS\system32\i
C:\WINDOWS\system32\o

[coolzen]

Bonsoir Cyrrus,

Fichiers supprimés,
encore merci pour ton aide,

bonne soirée

Coolzen

[Cyrrus]

Lis bien le dossier de prevention pour eviter de rattraper ce genre de bestiole.