Saturation de la mémoie -> création d'un fichier x.bat

Saturation de la mémoie -> création d'un fichier x.bat - Virus/Spywares - Windows & Software

Marsh Posté le 03-09-2009 à 18:13:08    

Bonjour,
 
Je suis infecté depuis plusieurs jours par un virus qui sature ma mémoire et m'empêche d'utiliser correctement Internet.
En fait depuis peu, une alert Avast se manifeste à chaque fois que je me logue sur mon compte (administartor de la machine).
Aprés plusieur essai de nettoyage de mon disque par Avast, je me suis aperçu qu'un fichier était crée "x.bat" à la racine de mon disque dur C contenant les informations suivantes :
---------------------------
c:\x.bat
contenu e : @echo off
net stop "Security Center"
del c:\x.bat
----------------------------
D'après mes connaissances cela correspond à un service de Sécurité qui est stoppé.
Comment puis-je faire pour trouvé le exe qui génére se fichier à chaque démarrage, sachant que j'ai scanné la totalité de mon ordinateur avec Avast et avec Ad-Aware mais que cela n'a rien résolu.
 
Merci d'avance!

Reply

Marsh Posté le 03-09-2009 à 18:13:08   

Reply

Marsh Posté le 03-09-2009 à 19:05:34    

bonjours,
 
Déjà pour remettre le service en état.
Dans Menu Démarrer --> "Tout les programmes" -> Accessoires..
Lancer l'invité de commandes
Copire /coller(par un clic-droit) les commandes suivantes et valider pour chacunes :
sc config "Security Center" start= auto
sc start "Security Center"

 
P.S.:  
Avec Vista  
Lancez l'invité de commandes par un clic-droit -> Exécuter en tant qu'Administrateur
_________________________________________________________
 
Téléchargez Malwarebytes http://img151.imageshack.us/img151/5747/malwarebytesicne.png
• Lancez l'installation,
• Dans [Settings] vous pouvez mettre en Français.
• Faites la mise à jours de Malwarebytes.
• Dans [Recherche] sélectionnez [Exécuter un examen Complet],
• Après le scan, appuyer sur >>>>>>>>>> [Supprimer la sélection].  
>> Redémarrer si nécessaire..
Postez le rapport Malwarebytes.
_____________________________________________________
 
Avast et Ad-Aware ne sont pas très performants.
Vous pouvez désinstaller aisément Ad-Aware.
 
Et serait peut-être préférable de changer Avast pour Antivir.
 
Si vous décidiez de changez d'antivirus
(2 antivirus ne pouvant être installés ensemble),
• Télécharger Antivir
• Désinstaller Avast avec cela,
• Installer Antivir,
• Faites la màj,
• Paramétrez le efficacement comme ceci,
• Lancer un scan "Complet" en mode sans échec
► postez le rapport.
 
 
 
 

Reply

Marsh Posté le 04-09-2009 à 01:58:45    

Moi, je modifierait le fichier x.bat par un fichier vide et je retirerais les droit d'ecriture dans ce fichier a tout les utilisateurs, ADmin compris


---------------
#mais-chut
Reply

Marsh Posté le 04-09-2009 à 16:11:04    

Bonjour,
Merci pour ta réponse. Je répond tardivement car je ne pouvais plus utiliser Internet chez moi, et j'ai amené mon PC à mon bureau pour essayer de résoudre ce virus.
 
Donc en attendant de changer d'antivirus, voici le lien contenant le rapport de Malwarebytes :
http://www.toofiles.com/fr/oip/doc [...] 29-04.html
 
Pour info, je ne me suis pas connecté au réseau et j'ai eu quelques alertes Avast pendant le scan (j'ai commencer à supprimer les premiers fichiers "virusés"; je ne sais pas si j'ai bien fait...........)  
Merci par avance

Reply

Marsh Posté le 04-09-2009 à 18:48:55    

Re,
 
Voici le rapport de l'antivirus Antivir que j'ai installé suite à votre recommandation :  
 
-------------------------------------------------------------
Avira AntiVir Premium
Date de création du fichier de rapport : vendredi 4 septembre 2009  17:32
 
La recherche porte sur 1562564 souches de virus.
 
Plateforme              : Windows XP
Version de Windows      : (Service Pack 3)  [5.1.2600]
Mode Boot               : Démarré normalement
 
Informations de version :
BUILD.DAT               : 9.0.0.48      21378 Bytes  04/08/2009 14:53:00
AVSCAN.EXE              : 9.0.3.7      466689 Bytes  21/07/2009 12:35:44
AVSCAN.DLL              : 9.0.3.0       49409 Bytes  03/03/2009 09:21:04
LUKE.DLL                : 9.0.3.2      209665 Bytes  20/02/2009 10:35:12
LUKERES.DLL             : 9.0.2.0       13569 Bytes  03/03/2009 09:21:32
ANTIVIR0.VDF            : 7.1.0.0    15603712 Bytes  27/10/2008 11:30:38
ANTIVIR1.VDF            : 7.1.4.132   5707264 Bytes  24/06/2009 08:21:44
ANTIVIR2.VDF            : 7.1.4.253   1779200 Bytes  19/07/2009 21:08:02
ANTIVIR3.VDF            : 7.1.5.19     139776 Bytes  23/07/2009 06:36:14
Version du moteur       : 8.2.0.228
AEVDF.DLL               : 8.1.1.1      106868 Bytes  28/07/2009 12:17:16
AESCRIPT.DLL            : 8.1.2.18     442746 Bytes  23/07/2009 08:59:40
AESCN.DLL               : 8.1.2.4      127348 Bytes  23/07/2009 08:59:40
AERDL.DLL               : 8.1.2.4      430452 Bytes  23/07/2009 08:59:40
AEPACK.DLL              : 8.1.3.18     401783 Bytes  28/07/2009 12:17:16
AEOFFICE.DLL            : 8.1.0.38     196987 Bytes  23/07/2009 08:59:40
AEHEUR.DLL              : 8.1.0.143   1864055 Bytes  23/07/2009 08:59:40
AEHELP.DLL              : 8.1.5.3      233846 Bytes  23/07/2009 08:59:40
AEGEN.DLL               : 8.1.1.50     352629 Bytes  23/07/2009 08:59:40
AEEMU.DLL               : 8.1.0.9      393588 Bytes  09/10/2008 13:32:40
AECORE.DLL              : 8.1.7.6      184694 Bytes  23/07/2009 08:59:40
AEBB.DLL                : 8.1.0.3       53618 Bytes  09/10/2008 13:32:40
AVWINLL.DLL             : 9.0.0.3       18177 Bytes  12/12/2008 07:47:32
AVPREF.DLL              : 9.0.0.1       43777 Bytes  03/12/2008 10:39:28
AVREP.DLL               : 8.0.0.3      155905 Bytes  20/01/2009 13:34:30
AVREG.DLL               : 9.0.0.0       36609 Bytes  07/11/2008 14:24:44
AVARKT.DLL              : 9.0.0.3      292609 Bytes  24/03/2009 14:05:24
AVEVTLOG.DLL            : 9.0.0.7      167169 Bytes  30/01/2009 09:36:38
SQLITE3.DLL             : 3.6.1.0      326401 Bytes  28/01/2009 14:03:50
SMTPLIB.DLL             : 9.2.0.25      28417 Bytes  02/02/2009 07:20:58
NETNT.DLL               : 9.0.0.0       11521 Bytes  07/11/2008 14:41:00
RCIMAGE.DLL             : 9.0.0.28    2623745 Bytes  17/06/2009 12:51:06
RCTEXT.DLL              : 9.0.37.0      92417 Bytes  15/04/2009 09:12:52
 
Configuration pour la recherche actuelle :
Nom de la tâche...............................: ShlExt
Fichier de configuration......................: C:\DOCUME~1\Sylvain\LOCALS~1\Temp\1b140371.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:,  
Recherche dans les programmes actifs..........: arrêt
Recherche en cours sur l'enregistrement.......: arrêt
Recherche de Rootkits.........................: arrêt
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: arrêt
Archive Smart Extensions......................: arrêt
Types d'archives divergents...................: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,  
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+SPR,
 
Début de la recherche : vendredi 4 septembre 2009  17:32
 
La recherche sur les fichiers sélectionnés commence :
 
Recherche débutant dans 'C:\'
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Documents and Settings\Blandine\Local Settings\Application Data\yagusou.exe
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/AdSpy.Gen
C:\Documents and Settings\Blandine\Mes documents\Mes fichiers reçus\blandine.gougeon2182018763\MessengerSkinner\MessengerSkinner.exe
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/MSNSkinner
C:\Documents and Settings\Blandine\Mes documents\Mes fichiers reçus\blandine.gougeon2182018763\MessengerSkinner\MessengerSkinnerDll.dll
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/MSNSkinner.1
C:\Documents and Settings\Blandine\Mes documents\Mes fichiers reçus\blandine.gougeon2182018763\MessengerSkinner\uninst.exe
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/NaviPromo.zzc
    --> [PluginsDir]/NSUtils.dll
      [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/NaviPromo.CGY
C:\FAUXVIRUS\Reverse.exe
    [RESULTAT]  Contient le modèle de détection du programme de blague JOKE/VB.H
C:\FAUXVIRUS\Virus_flo.exe
    [RESULTAT]  Contient le modèle de détection du virus VGEN/24591.512
C:\WINDOWS\system32\drivers\dtscsi.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\WINDOWS\system32\drivers\sptd.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\WINDOWS\system32\drivers\sptd9805.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
 
Début de la désinfection :
C:\Documents and Settings\Blandine\Local Settings\Application Data\yagusou.exe
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/AdSpy.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b083f7e.qua' !
C:\Documents and Settings\Blandine\Mes documents\Mes fichiers reçus\blandine.gougeon2182018763\MessengerSkinner\MessengerSkinner.exe
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/MSNSkinner
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b143f82.qua' !
C:\Documents and Settings\Blandine\Mes documents\Mes fichiers reçus\blandine.gougeon2182018763\MessengerSkinner\MessengerSkinnerDll.dll
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/MSNSkinner.1
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a9fe14b.qua' !
C:\Documents and Settings\Blandine\Mes documents\Mes fichiers reçus\blandine.gougeon2182018763\MessengerSkinner\uninst.exe
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/NaviPromo.zzc
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b0a3f8b.qua' !
C:\FAUXVIRUS\Reverse.exe
    [RESULTAT]  Contient le modèle de détection du programme de blague JOKE/VB.H
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b173f82.qua' !
C:\FAUXVIRUS\Virus_flo.exe
    [RESULTAT]  Contient le modèle de détection du virus VGEN/24591.512
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b133f86.qua' !
 
 
Fin de la recherche : vendredi 4 septembre 2009  18:23
Temps nécessaire: 34:21 Minute(s)
 
La recherche a été effectuée intégralement
 
   9379 Les répertoires ont été contrôlés
 345911 Des fichiers ont été contrôlés
      7 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      6 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      4 Impossible de contrôler des fichiers
 345900 Fichiers non infectés
   2453 Les archives ont été contrôlées
      4 Avertissements
      7 Consignes
-----------------------------------------------------------------------
 
Cordialement,

Reply

Marsh Posté le 04-09-2009 à 19:29:39    

re,
 
Aucune infection détectées avec malwarebytes n'a été supprimées (<- no action taken).
Aller dans [Quarantaines] et appuyer sur [Tout supprimer].
 
Scan d'Antivir, c'est donc que vous avez désinstallé Avast au préalable hein.
 
>>>> Comment ce porte le Centre de sécurité.
________________________________________________
 
Beaucoup de Navipromo dans les rapports.
Ne serait-ce que pour les Certificats, si pas davantage..
 
L’adware Navipromo qui provoque l'ouverture de popups de publicités, est installé, entre autre, par les programmes suivants:  
go-astro - Instant Access - InternetGameBox - GoRecord - HotTVPlayer - Live Player - MailSkinner - Messenger Skinner (dans votre cas) - Sudoplanet – Webmediaplayer, Official-emule, Funny emoticons..
 
 
Télécharger sur votre bureau Navilog1 (d'Il Mafioso) http://img115.imageshack.us/img115/4175/icone4of9.jpg
 
/|\   Désactivez la connexion Internet et votre antivirus. /|\  
 
• Sélectionner l'option [1- Recherche / Désinfection automatique] et valider.
>> Laissez aller
•  S’il demande à redémarrer, accepter,
• Le bloc note va s'ouvrir contenant le rapport
Postez le rapport (C:\fixnavi.txt).
 
/|\  Réactivez votre antivirus. /|\  
_______________________________________________
 
Faites un scan en ligne chez >> BitDefender
- Utilisez Internet Explorer
- Accepter le plugin
- Désactiver votre antivirus
- sauvegarder le rapport et postez le.


Message édité par mido70 le 04-09-2009 à 19:31:09
Reply

Marsh Posté le 05-09-2009 à 11:21:32    

Bonjour,
Suppression des infections de malwarebytes --> Fait
Oui j'ai bien désinstaller Avast et Installé Antivir
 
Pour le centre de sécurité : Le pare feu reste bien activé maintenant (j'ai aussi suivie le conseil de "Z_cool" en créant un fichier X.dat à la racine du disque C en lecture seul), dons je ne sais pas si c'est grâce à cette manip.... :)  
 
Sinon Internet est extrêmement long..... Pourtant lorsque je regarde le Gestionnaire des taches de Windowns, au niveau de l'onglet Performances l'UC est utilisé entre 0 et 10% et pour l'onglet Mise en réseau l'utilisation est pratiquement toujours à 0% !!!!!!!!!!!!! C'est comme si je n'avais l'accès au réseau ......
 
Je vais essayé de suivre vos instruction, mais je ne suis pas sur de pouvoir le faire ce week, vu mon problème de d'accès Internet.
 
Merci encore, bonne journée.
a+

Reply

Marsh Posté le 05-09-2009 à 11:58:59    

Voici le rapport de Navilog1 :
 
-------------------------------------------------------------------------------
Fix Navipromo version 4.0.2 commencé le 05/09/2009 11:32:32,28
 
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
 
Outil exécuté depuis C:\Program Files\navilog1
 
Mise à jour le 27.08.2009 à 11h00 par IL-MAFIOSO
 
Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) 64 Processor 3500+ )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : Sylvain ( Administrator )
BOOT : Normal boot
 
Antivirus : AntiVir Desktop 9.0.1.32 (Not Activated)
 
 
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:48 Go (Free:18 Go)
D:\ (Local Disk) - NTFS - Total:184 Go (Free:62 Go)
E:\ (CD or DVD)
F:\ (CD or DVD) - CDFS - Total:3 Go (Free:0 Go)
G:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
 
 
Recherche executée en mode normal  
 
Nettoyage exécuté au redémarrage de l'ordinateur
 
 
C:\Documents and Settings\All Users\menudm~1\progra~1\WebMediaPlayer supprimé !  
C:\DOCUME~1\Blandine\applic~1\MessengerSkinner supprimé !  
C:\DOCUME~1\Blandine\menudm~1\progra~1\MessengerSkinner supprimé !  
C:\DOCUME~1\Blandine\locals~1\applic~1\ksvhlzht_navfx.dat supprimé !
 
 
Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Sylvain\locals~1\Temp effectué !
 
 
*** Sauvegarde du Registre vers dossier Safebackup ***
 
sauvegarde du Registre réalisée avec succès !
 
*** Nettoyage Registre ***
 
Nettoyage Registre Ok
 
Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat OOO-Favorit supprimé !
 
 
 
 
*** Scan terminé 05/09/2009 11:45:31,48 ***
------------------------------------------------------------------------
 
Internet fonctionne apparemment mieux  :)  
A confirmer.....

Reply

Marsh Posté le 05-09-2009 à 15:00:41    

Re,
 
J'ai été Optimiste un peu trop rapidement, Internet est toujours aussi long.....
 
Depuis j'ai relancé un scan avec l'antivirus Antivir et il a encore trouvé des fichiers atteints, que j'ai supprimés après la mise en quarantaine automatique.
Puis j'ai réparé les registres et nettoyé le PC avec CCleaner.....
 
Pas de résultat....
 
Je me suis connecté ensuite sur la cession de ma fille et là j'ai eu une alerte du Pare-feu Windowns --> blocage certaines fonctionnalités de ce programme
L'administrateur de cet ordinateur peut débloquer ce programme pour vous  
Nom : repsvc
Editeur : inconnu
Que faut-il faire avec cette alerte ?
 
Pour votre remarque ci-dessous, que dois-je faire ?-
---------------------------------------------------------------------------------------
L’adware Navipromo qui provoque l'ouverture de popups de publicités, est installé, entre autre, par les programmes suivants:  
go-astro - Instant Access - InternetGameBox - GoRecord - HotTVPlayer - Live Player - MailSkinner - Messenger Skinner (dans votre cas) - Sudoplanet – Webmediaplayer, Official-emule, Funny emoticons..
-----------------------------------------------------------------------------------------
 
Je ne suis pas arrivé à faire un scan en ligne chez >> BitDEFENDER !!!!!!!!!!!
 
 
Tout cela commence à bien m'énervé, je ne sais plus vraiment ou est le problème, faut-il que je reformate mon PC et tout réinstaller ?
 
Cordialement

Reply

Marsh Posté le 08-09-2009 à 14:09:45    

Perso, moi virus=> Je format.
 
je serais jamais sur a 200% de mon/mes antivirus. alors qu'un boot sur CD original et formatage,... ca laisse rien de suspect.


---------------
#mais-chut
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed