virus a.bat / regger.b / adduser.u

[invite635e31f7]

bonjour,
j'ai au moins deux virus depuis une semaine.
1) c:\a.bat se crée a chaque demarage malgre les suppressions par symantec ou kapersky ou les modifications du fichier en mode sans echec. Virus identifié comme Trojan.BAT.Regger.b
2) c:\windows\temp.bat (Trojan.BAT.adduser.u). crée a chaque demarage. cela cause des perturbations sur internet (impossible de charger les pages, ou ports incorrects, etc..)
J'ai essayé de mettre a jour mon windows (ca faisait longtemps!!), scanné plusieurs fois avec d'autres antivirus pour m'en debarasser pour de bon.... rien n'y fait...ils sont toujours là au demarage.... connaissez vous un moyen d'en venir a bout an dehors d'un bon formatage?
Help??!!!! merci beaucoup!!!
-----

[invite9bff601c]

Bonsoir et Bienvenu sur Futura !

On va essayer d'éviter le formatage !


Télécharge AVG Anti-Spyware

1. Lance AVG Anti-Spyware et clique sur le bouton Mise à jour (barre d'outils - au haut). Sous Mise à jour manuelle clique Commencer la mise à jour.
2. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Mise à jour réussie"
3. Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

1. Du mode Sans Échec, lance AVG Anti-Spyware,
2. Choisis l'onglet Analyse puis sur Paramètre, clique sur Actions recommandées : La, choisis Quarantaine.
3. Clique sur le bouton Analyse (de la barre d'outils) et ensuite clique sur Analyse complète du sytème. Le scan prendra un certain temps, donc sois patient.
4. AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement". Clique sur le bouton Appliquer toutes les actions. AVG Anti-Spyware affichera "Toutes les actions ont été effectuées" du côté droit.
5. Clique sur "Enregistrer le rapport", puis "Enregistrer sous". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

Poste le rapport dans ta prochaine réponse,


Bonne journée

[invite635e31f7]

Bonjour,
J'ai installé AVG et je l'ai lancé en sans echec. Il a decouvert quelques cookies, mais apparemment pas les fichiers responsables des a.bat et temp.bat: ils sont toujours là apres redemarage.
Ci-joint le fichier resultat d'AVG. Une idée d'où ils se cachent??
Merci de ton/votre aide!!

[invite9bff601c]

Bonjour,


il me faut plus de détails, fais ces deux procédures et poste moi les rapports ensuite :

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, poste le fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

--------------------------------------------------------------------------

• Fais un scan en ligne Kaspersky avec Internet Explorer :
• Clique sur
• Clique maintenant sur J'accepte.
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
• Patiente pendant l'installation des Mises à jour.
• Clique sur Suivant.
• Choisis par la suite l'analyse du Poste de travail
• Sauvegarde en cliquant sur enregistrer-sous, choisis Bureau et dans Type choisis Fichier texte ( .txt ) puis poste le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX
Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.


Bonne journée

[A voir en vidéo sur Futura]

[invite635e31f7]

bonjour,
je te joins les trois rapports..
C'est a n'y rien comprendre: kapersky en ligne ne detecte rien mais le kapersky en local détecte toujours 9 objets apres chaque demarage...:

 Cliquez pour afficher

découvert : application présentant un risque potentiel Invader Le processus: C:\WINDOWS\windll.exe
découvert : application présentant un risque potentiel Invader Le processus: C:\WINDOWS\mscmtl32.exe
découvert : application présentant un risque potentiel Invader Le processus: C:\WINDOWS\system32\iexplor.ex e
supprimé : cheval de Troie Trojan.BAT.Regger.b Le fichier: C:\a.bat
supprimé : cheval de Troie Trojan.BAT.Adduser.u Le fichier: C:\WINDOWS\temp.bat
découvert : application présentant un risque potentiel Invader (loader) Le processus: C:\Program Files\Synaptics\SynTP\SynTPLpr .exe
découvert : application présentant un risque potentiel RootShell Le processus: C:\Program Files\Internet Explorer\iexplore.exe
découvert : application présentant un risque potentiel Hidden data sending Le processus: C:\Documents and Settings\lartigau\Local Settings\Temporary Internet Files\Content.IE5\UJQXYTCJ\ins taller-34402-17-CCleaner-French[1].exe
supprimé : cheval de Troie Trojan.Win32.StartPage.aop Le fichier: C:\Documents and Settings\lartigau\Local Settings\Temporary Internet Files\Content.IE5\UJQXYTCJ\ins taller-34402-17-CCleaner-French[1].exe//PE_Patch.UPX//UPX

Merci de ton aide!!
Ben

[invite9bff601c]

Bonjour,

tu as oublié de poster les rapports, poste juste celui de SDFix.

Télécharge OTMoveIt de OldTimer.

• Sauvegarde le sur ton Bureau.
• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):
  
  
  Code:

   
  C:\WINDOWS\windll.exe
  C:\WINDOWS\mscmtl32.exe
  C:\WINDOWS\system32\iexplor.exe
  C:\a.bat
  C:\WINDOWS\temp.bat

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le boutton rouge Moveit!.
• Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse

--------------------------------------------------------------------------

Télécharge ce fichier - combofix.exe
et sauvegarde le sur ton bureau et pas ailleurs!
Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.

NoteNe pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

---------------------------------------------------------------------------

Dans ta prochaine réponse, j'attends les rapports suivant :

-> Le rapport de SDFix
-> Le rapport de MoveIT
-> Le rapport de Combofix
-> Le rapport de Hijackthis.

Bonne journée

[invite635e31f7]

Bonjour,
Désolé d'avoir oublié les fichiers attachés.. oups....
J'ai essayé la procedure avec OTMoveIt.exe mais cela a planté: il ne trouve pas les fichiers à supprimer (ils l'ont dejà été par Kapersky) et donc ne crée pas de fichier log.
pour le reste, ci-joint les rapports.
Merci encore pour ton aide!!!

[invite9bff601c]

Bonjour,

-Télécharger jv16:
http://telechargement.zebulon.fr/201...owertools.html

-pour plus de détails=>son tutorial:
http://www.zebulon.fr/articles/base-de-registre-3.php

- Mettre le logiciel en français Preferences > Language > Français > OK.

- Ensuite, Outils registre > menu Outils > nettoyeur de registre.

- Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

- Cliquer sur "Continuer" puis sur "Démarrer".

- Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout"
puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées.



As-tu toujours des alertes de ton antivirus ?

Bonne journée

[invite635e31f7]

Bonsoir,
J'ai nettoyé la base de registre avec jv16 et j'ai rebooté pour etre sur... elles sont toujours là ces bestioles!!! elles sont coriaces!!! Kapersky les detecte à chaque demarage et les detruits, ce qui me permet de travailler normalement apres, mais je pouvais m'en debarasser, ce serait pas mal.. (sans formatage )
J'ai refait un rapport Hijackthis que je te joints.
Merci de ton aide!
ben

[invite9bff601c]

Bonsoir,


Étape 1:
Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau.
Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

Étape 2:
Voici comment mettre l'outil à jour :
1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").
2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.
3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).
4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants.
Ne pas lancer le scan tout de suite !

Étape 3:
Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Étape 4:
Du mode Sans Échec, voici comment utiliser le programme :
1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky
2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.
3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.
4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.
5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.
6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !
7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.
Ferme le programme. Redémarre ton PC en mode Normal. Poste le rapport que tu as sauvegardé dans ta prochaine réponse.


Dis moi aussi si au redémarrage il revient.

On va essayer de te débarrasser de cela sans formatage.

Bonne soirée

[invite635e31f7]

Bonsoir!
J'ai fait le test avec escan, mais il n'a rien trouvé!! Donc pas de fichier Log.
Par contre, au redemarage normal, kapersky trouve toujours 9 objets dangereux, dont a.Bat et temp.bat...
que faire?
Merci beaucoup!
ben

[invite9bff601c]

Bonjour,

OK, je pênsais que eScan pourrait nous implifier la vie mais je vois que non.

Fais =ceci :

Lance Hijackthis, choisis Open the misc tool section, coche les deux cases :
list also minor section et list empty section et clique sur Generate StartupList log.

Post moi le rapport en pièce jointe.

Bon Dimanche

[invite635e31f7]

Bonsoir,
ci-joint le rapport HiJackthis.
Bonne fin de WE et merci encore!
Ben

[invite9bff601c]

Bonsoir,


Redémarre ton ordinateur et fais en sorte que Kaspersky ne touche pas aux fichiers quitte à le désactiver le temps de la manipulation.
Fais ceci :

• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):
  
  
  Code:

  C:\WINDOWS\system32\shmgrate.exe
  C:\WINDOWS\windll.exe
  C:\WINDOWS\mscmtl32.exe
  C:\WINDOWS\system32\iexplor.exe
  C:\a.bat
  C:\WINDOWS\temp.bat

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le boutton rouge Moveit!.
• Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse


Dis moi si cela a fonctionné.

Bonne soirée

[invite635e31f7]

HIP HIP HIP!! HOURRA!!!!
OTmoveit les a déplacé. Je me suis empressé de faire une suppression sauvage (j'en ai meme oublié de sauvegardé le fichier log: j'ai detruit le rep complet) sans passer par la case corbeille (shift+del). Redémarré....
Et miracle!! plus de a.bat... (j'ai rebooté trois fois pour etre sur que je ne revais pas!)... je relance kapersky.. pas de fichiers malicieux...
Hourra!!!! Je ne sais pas pourquoi moveit a reussi alors que kapersky n'y arrivait apparemment pas? mais PEU IMPORTE!! c'est fait et tant mieux!!!!
MERCI MERCI MERCI MERCI MERCI et encore bravo!!!!
J'ai updaté mon windows avec le max de mises à jour de securité et je vais blinder mon antivirus/firewall maintenant....

Ben

[invite9bff601c]

Bonsoir,

je ne crie pas victoire trop vite, même si j'ai plus d'espoir. Attends une semaie et refait un scan minitieux avec Kaspersky

Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.

Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.

• Lance OTmoveIT.
• Clique sur CleanUp! (le programme va télécharger un fichier texte qui servira a nettoyer les programmes que l'on a téléchargé).
  NOTE : Normalement, ton firewall (parefeu) devrait te demander si OTmoveIT peut accéder a internet, Autorise le.
• Une liste apparait dans la partie gauche d'OTmoveIT.
• Un message apparait pour confirmer le nettoyage. Confirme.

Bonne soirée