Posez votre question Format imprimable Liste des forums Aidez-les Statistiques Rechercher Charte Forum Virus-Sécurité

X.bat / X.exe

Dernière réponse le 22 nov 2009 à 23:20:55 stuhly, le 14 nov 2009 à 10:42:05

Signaler ce message aux modérateurs

Bonjour,

Mon souci n'est pas vraiement le virus lié à x.bat et x.exe. Sa présence est detectée par avast et le fichier supprimé immédiatement.

Apparemment cet x.bat n'est qu'un symptome et en démarrant en mode sans echec et en passant Malwarebyte, je parviens assez bien à m'en débarrasser (il m'est arrivé de passer ccleaner , spybot, gmer, combofix et smitfraudfix en complément).

Mon souci est que cet x.bat reviens encore et encore et que je n'arrive pas à m'en débarrasser définitivement.

Quelqu'un peut-il m'aider ?

Configuration: Windows 2000 Internet Explorer 6.0

Meilleures réponses pour « X.bat / X.exe » dans :

Télécharger Bat to exe converter Voir

Convertir un bat en exe (Résolu) Voir

C:\windows\system32\x.exe Voir

Mac OS X ne démarre plus (? clignotant) Voir

Serveur X sous Windows VoirIl est possible d'installer un serveur X sous Windows afin d'utiliser les applications X-Windows (Gnome, KDE, etc.) sous Windows (par exemple à travers une connexion ssh). La méthode suivante n'utilise pas Cygwin. Dans l'exemple ci-dessous,...

[X-Window] Démarrer plusieurs serveurs X VoirDémarrer 2 serveur X Principe Mise en oeuvre Note : Switcher d'une console à l'autre Principe Lancer 2 serveurs X en parallèle, comme par exemple travailler en mode graphique sous "root" (vivement déconseillé) sans clore sa session...

Virus system32/x.exe (Résolu) Voir

Lancer plusieurs exe dans un .bat Voir

Mettre un fichier .bat en .exe (Résolu) Voir

Télécharger RM-X Video Copyright Voir

Télécharger NTFS for Mac OS X VoirAccès total en lecture et en écriture vers des volumes NTFS NTFS for Mac® OS X fournit un accès total (lecture ou écriture, formatage) vers des partitions NTFS. Compatible avec toutes les versions de NTFS Toutes les versions NTFS sont prises en...

Télécharger X-Lite Voir

X Men 2 : Wolverines Revenge Voir

Star X Voir

X-Men 3: The Official Game Voir

Posez votre question Répondre

Xplode, le 14 nov 2009 à 10:45:34

Salut,

-+-+-+-> USBfix ( Infections USB ) <-+-+-+-

[x] Télécharge USBfix ( de Chiquitine29 )

[x] Un tutoriel est disponible ici

[x] Installe le

/!\ Branche tout tes médias amovibles ( clés USB, DD externe, Cartes SD ) /!\

[x] Lance USBfix en cliquant sur l'icône qui est sur ton bureau ( Clique droit -> Executer en tant qu'administrateur pour vista )

[x] Choisis l'option F ( pour français ) et valide en appuyant sur entrée.

[x] Au menu principal, choisis l'option 2

[x] Laisse l'outil travailler puis poste le rapport dans ton prochain message

Répondre à Xplode

stuhly, le 14 nov 2009 à 11:25:13

Apparemment USBfix ne support pas windows2000

Répondre à stuhly

penegal, le 14 nov 2009 à 12:11:15

Je crois que tu dois passer a windows Xp ou seven ou mieux ... linux ubuntu

Pour l'éradiquer, fait une recherche avec nod32

Répondre à penegal

Xplode, le 14 nov 2009 à 12:13:49

Fais ceci :

-+-+-+-> ZHPDiag <-+-+-+-

[x] Télécharge ZHPDiag ( de Nicolas coolman ).

[x] Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

[x] Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau

[x] Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

[x] Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

[x] Rend toi sur Cjoint

[x] Clique sur " Parcourir " dans la partie " Joindre un fichier[...] "

[x] Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

[x] Clique ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message

Répondre à Xplode

stuhly, le 14 nov 2009 à 14:50:22

C'est fait, voici le lien

http://cjoint.com/?looXm7HZ3d

Répondre à stuhly

Xplode, le 14 nov 2009 à 14:56:06

Y'a du boulot :

-+-+-+-> AD-Remover <-+-+-+-

[x] Télécharge Ad-remover (de C_XX) sur ton bureau.

▶ Déconnecte toi et ferme toutes applications en cours !

[x] Double-clique sur le raccourci Ad-Remover sur ton Bureau. (Clic droit -> "Exécuter en tant qu'administrateur". ( Pour Vista))

[x] A la fenêtre qui s'affiche clique sur " oui "

[x] Séléctionne l'option L

[x] Laisse l'outil travailler.

[x] Une fois le scan fini, appuie sur une touche, le rapport s'ouvre

[x] Copie/colle le dans ton prochain post

====================================================================

-+-+-+-+-> ComboFix <-+-+-+-

[x] Télécharge ComboFix ( de sUBs ) à cette adresse.

[x] /!\ Fermez toutes les fenêtres de programme ouvertes /!\

[x] /!\ Désactivez toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\

[x] Double clique sur " Combofix.exe "

[x] Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le

[x] Combofix va maintenant déconnecter ton PC d'internet

[x] Pendant le scan, ne touche à rien ( souris, clavier )

[x] A la fin du scan, le rapport s'ouvrira automatiquement, copie/colle le dans ton prochain message.

[o] Nb : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt

Répondre à Xplode

Stuhly, le 15 nov 2009 à 19:41:16

Désolé, je n'ai pas eu l'occasion de mettre en pratique ces derniers conseils. J'ai eu méga plantage et j' ai du ré-installer w2000.
Le pc démarré. Avast a supprimé 46 virus.
Pour l'instant je ne me suis pas reconnecté au net du poste en question.

Je ne sais pas trop par ou commencer :
- redémarrer en mode sans échec et passer tel ou tel outil
- ou bien commencer par installer le sp4 de w2000

Tout conseil me sera précieux

Répondre à Stuhly

Xplode, le 15 nov 2009 à 19:49:44

Salut,

Peux tu me donner plus de détails en ce qui concerne les virus trouvés par avast ( noms , chemin )
Commence par installer le SP4 puis fais un log ZHPDiag sur le PC ( sans le connecter au net )

Répondre à Xplode

Stuhly, le 15 nov 2009 à 20:01:56

Il y en avait un peu partout : a la racine du c: , sous c:/winnt notamment.

En voici quelques uns (.exe) : sitask ahsd 9new msrsc root suit ahsd mscsmb runtsk eme_12358 ...

Je tente le sp4 mais une première tentative un peu plus tôt m'a déjà tout replanté.

Est-ce zhpdiag direct pourrait faire l'affaire ?

Répondre à Stuhly

Xplode, le 15 nov 2009 à 20:15:39

Fais un ZHPDiag de suite, je te donnerais la suite de la procédure une fois le rapport analysé

Répondre à Xplode

Stuhly, le 15 nov 2009 à 20:27:15

Je l'ai fait pour voir. Mais il va falloir que je trouve une solution pour le poster parce que la j'écris d'un smartphone.

De plus, j'ai voulu arrêter le pc pour voir si je pouvais redémarrer en mode sans échec et j'ai eu un nouveau plantage. Impossible de redémarrer sans réinstaller w2000.

Répondre à Stuhly

Xplode, le 15 nov 2009 à 20:38:03

O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\sglfb.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\tga.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\sglfb.sys
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\tga.sys

Normal que tu aies des plantages en mode sans échec avec ceci..

Il faudrait que tu arrives à m'envoyer le rapport ZHPDiag, ensuite je te préparerais un script ZHPFix pour virer une grosse partie de l'infection.

Répondre à Xplode

Stuhly, le 15 nov 2009 à 23:16:39

Cela me parle moins qu'a toi.

La je ne sais plus par ou prendre le problème.

Répondre à Stuhly

Xplode, le 15 nov 2009 à 23:34:18

Tu fais un scan ZHPDiag, tu me postes le rapport pour commencer.

Je te dirais la suite après

Répondre à Xplode

Stuhly, le 16 nov 2009 à 05:10:38

Ok. Je ré-installe w2000. Sachant qu'au premier redémmarrage cela va replanter.

Pour info je ne pourrais pas faire cela avant jeudi prochain. Cause déplacement professionnel.

D'ici là, j'aurais récupéré mon pc portable. Il faudra juste que je trouve une façon de passer le zhpdiag de l'un a l'autre sans le contaminer.

Merci.

Répondre à Stuhly

Xplode, le 16 nov 2009 à 07:39:23

Tu le grave sur un CD, c'est la meilleure solution.

Pas de soucis pour l'absence.

Répondre à Xplode

stuhly, le 20 nov 2009 à 16:07:21

>Voici le ZHPdiag

http://cjoint.com/?luqgMVvGTA

Répondre à stuhly

Xplode, le 20 nov 2009 à 17:38:59

Salut, on va supprimer pas mal de choses pour l'instant :

-+-+-+-> ZHPfix <-+-+-+-

[x] Relance ZHPDiag ( Clic droit " Executer en tant qu'administrateur " sous vista ) , fais un scan puis cette fois-ci cliques sur l'icone en forme d'écusson vert " ZHPFix ".

[x] ZHPFix se lancera, clique maintenant sur le " H " bleu ( coller les lignes helper ) puis copie/colle ce qui se trouve à ce lien dans le grand encadré jaune ( vide ) :

http://cjoint.com/?lurMoifnnz

[x] Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

[x] Copie/Colle le rapport à l'écran dans ton prochain message

======================================================================

-+-+-+-> AD-Remover <-+-+-+-

[x] Télécharge Ad-remover (de C_XX) sur ton bureau.

▶ Déconnecte toi et ferme toutes applications en cours !

[x] Double-clique sur le raccourci Ad-Remover sur ton Bureau. (Clic droit -> "Exécuter en tant qu'administrateur". ( Pour Vista))

[x] A la fenêtre qui s'affiche clique sur " oui "

[x] Séléctionne l'option L

[x] Laisse l'outil travailler.

[x] Une fois le scan fini, appuie sur une touche, le rapport s'ouvre

[x] Copie/colle le dans ton prochain post

Répondre à Xplode

stuhly, le 20 nov 2009 à 17:57:56

Voici déjà le rapport. J'attaque le ad-remover.

ZHPFix v1.12.19 by Nicolas Coolman - Rapport de suppression du 20/11/2009 17:47:54
Fichier d'export Registre : C:\ZHPExportRegistry-20-11-2009-17-47-54.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

Processus mémoire :
C:\WINNT\system32\smsc.exe => Fichier absent

Module mémoire :
(Néant)

Clé du Registre :
O23 - Service: Windows Server Services (lanmandriver32) - C:\WINNT\system32\smsc.exe => Clé supprimée avec succès
O40 - ASIC: (no name) - {43yDR8NJ-Nil2-UCyh-wmjB-hS1VUUzdD9o3} - \8nE4l.exe => Clé supprimée avec succès
O40 - ASIC: EnableRevocation - {6A5110B5-E14B-4268-A065-EF89FF33C325} - regsvr32.exe /s /n /i:"S 2 true 3 true 4 true 5 true 6 true 7 true" initpki.dll => Clé supprimée avec succès
O40 - ASIC: CRLUpdate - {9EF0045A-CDD9-438e-95E6-02B9AFEC8E11} - C:\WINNT\System32\updcrl.exe -e -u C:\WINNT\System32\verisignpub1.crl => Clé supprimée avec succès
O40 - ASIC: W2KAppComp - {A00BF2EB-56EE-4fde-B5EA-6A8FA425B2A5} - (not file) => Clé supprimée avec succès
O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\sglfb.sys => Clé supprimée avec succès
O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\tga.sys => Clé supprimée avec succès
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\sglfb.sys => Clé supprimée avec succès
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\tga.sys => Clé supprimée avec succès
O64 - Services: CurCS - 04873 (04873) - LEGACY_04873 => Clé supprimée avec succès
O64 - Services: CurCS - 24581 (24581) - LEGACY_24581 => Clé supprimée avec succès
O64 - Services: CurCS - 31025 (31025) - LEGACY_31025 => Clé supprimée avec succès
O64 - Services: CurCS - 36264 (36264) - LEGACY_36264 => Clé supprimée avec succès
O64 - Services: CurCS - 40386 (40386) - LEGACY_40386 => Clé supprimée avec succès
O64 - Services: CurCS - 74724 (74724) - LEGACY_74724 => Clé supprimée avec succès
O64 - Services: CurCS - EFS (EFS) - LEGACY_EFS => Clé supprimée avec succès
O64 - Services: CurCS - No object (No service) - LEGACY_GENERIC_HOST_PROC => Clé absente
O64 - Services: CurCS - No object (No service) - LEGACY_LSA_SHEL_(EXPORT_ => Clé absente
O64 - Services: CurCS - Windows Server Services (lanmandriver32) - LEGACY_LANMANDRIVER32 => Clé supprimée avec succès
O64 - Services: CS010 - Windows Server Services (lanmandriver32) - LEGACY_LANMANDRIVER32 => Clé supprimée avec succès
O64 - Services: CS011 - Windows Server Services (lanmandriver32) - LEGACY_LANMANDRIVER32 => Clé absente
O64 - Services: CurCS - No object (No service) - LEGACY_NIRSOFT_SERVICE_C => Clé absente
O64 - Services: CS010 - 04873 (04873) - LEGACY_04873 => Clé supprimée avec succès
O64 - Services: CS010 - 24581 (24581) - LEGACY_24581 => Clé supprimée avec succès
O64 - Services: CS010 - 31025 (31025) - LEGACY_31025 => Clé supprimée avec succès
O64 - Services: CS010 - 36264 (36264) - LEGACY_36264 => Clé supprimée avec succès
O64 - Services: CS010 - 40386 (40386) - LEGACY_40386 => Clé supprimée avec succès
O64 - Services: CS010 - 74724 (74724) - LEGACY_74724 => Clé supprimée avec succès
O64 - Services: CS010 - EFS (EFS) - LEGACY_EFS => Clé supprimée avec succès
O64 - Services: CS010 - No object (No service) - LEGACY_GENERIC_HOST_PROC => Clé absente
O64 - Services: CS010 - No object (No service) - LEGACY_LSA_SHEL_(EXPORT_ => Clé absente
O64 - Services: CS010 - No object (No service) - LEGACY_NIRSOFT_SERVICE_C => Clé absente
O64 - Services: CS011 - 04873 (04873) - LEGACY_04873 => Clé absente
O64 - Services: CS011 - 24581 (24581) - LEGACY_24581 => Clé absente
O64 - Services: CS011 - 31025 (31025) - LEGACY_31025 => Clé absente
O64 - Services: CS011 - 36264 (36264) - LEGACY_36264 => Clé absente
O64 - Services: CS011 - 40386 (40386) - LEGACY_40386 => Clé absente
O64 - Services: CS011 - 74724 (74724) - LEGACY_74724 => Clé absente
O64 - Services: CS011 - EFS (EFS) - LEGACY_EFS => Clé absente
O64 - Services: CS011 - No object (No service) - LEGACY_GENERIC_HOST_PROC => Clé absente
O64 - Services: CS011 - No object (No service) - LEGACY_LSA_SHEL_(EXPORT_ => Clé absente
O64 - Services: CS011 - No object (No service) - LEGACY_NIRSOFT_SERVICE_C => Clé absente

Valeur du Registre :
O4 - HKLM\..\Run: [gk8mNfl5w] \8nE4l.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-18\..\Run: [JUIkzydriad] \8nE4l.exe => Valeur absente

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
\8ne4l.exe => Fichier absent
c:\winnt\system32\smsc.exe => Fichier absent
regsvr32.exe /s /n /i:"s 2 true 3 true 4 true 5 true 6 true 7 true" initpki.dll => Fichier absent
c:\winnt\system32\updcrl.exe => Supprimé et mis en quarantaine
c:\winnt\system32\perflib_perfdata_184.dat => Supprimé et mis en quarantaine
c:\winnt\system32\perflib_perfdata_440.dat => Supprimé et mis en quarantaine
c:\winnt\system32\perflib_perfdata_270.dat => Supprimé et mis en quarantaine
c:\winnt\system32\perflib_perfdata_27c.dat => Supprimé et mis en quarantaine
c:\winnt\system32\perflib_perfdata_294.dat => Supprimé et mis en quarantaine
c:\winnt\system32\perflib_perfdata_290.dat => Supprimé et mis en quarantaine
c:\winnt\system32\perflib_perfdata_280.dat => Supprimé et mis en quarantaine
c:\winnt\system32\perfc009.dat => Supprimé et mis en quarantaine
c:\winnt\system32\perfc00c.dat => Supprimé et mis en quarantaine
c:\winnt\system32\perfh009.dat => Supprimé et mis en quarantaine
c:\winnt\system32\perfh00c.dat => Supprimé et mis en quarantaine
c:\winnt\system32\perflib_perfdata_530.dat => Supprimé et mis en quarantaine
c:\winnt\system32\perflib_perfdata_2a0.dat => Supprimé et mis en quarantaine
c:\winnt\mslsrv32.exe => Supprimé et mis en quarantaine
c:\winnt\system32\4new.exe => Supprimé et mis en quarantaine
c:\winnt\modemdet.txt => Supprimé et mis en quarantaine
c:\winnt\system32\folder.htt => Supprimé et mis en quarantaine
c:\winnt\folder.htt => Supprimé et mis en quarantaine
c:\winnt\f.exe => Supprimé et mis en quarantaine
c:\winnt\system32\ms14.exe => Supprimé et mis en quarantaine
c:\winnt\system32\mini.exe => Supprimé et mis en quarantaine
c:\winnt\system32\ms16.exe => Supprimé et mis en quarantaine
c:\winnt\system32\nigzss.txt => Supprimé et mis en quarantaine
c:\winnt\system32\drivers\netdtect.sys => Supprimé et mis en quarantaine
c:\winnt\system32\drivers\netdtect.sys => Fichier absent
c:\winnt\system32\drivers\49082443.sys => Supprimé et mis en quarantaine

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)

Récapitulatif :
Processus mémoire : 1
Module mémoire : 0
Clé du Registre : 42
Valeur du Registre : 2
Elément de données du Registre : 0
Dossier : 0
Fichier : 30
Logiciel : 0
Autre : 0

End of the scan

Répondre à stuhly

stuhly, le 20 nov 2009 à 18:10:21

Cela ne fonctionne pas.

-+-+-+-> AD-Remover <-+-+-+-

[x] Télécharge Ad-remover (de C_XX) sur ton bureau.

▶ Déconnecte toi et ferme toutes applications en cours !

[x] Double-clique sur le raccourci Ad-Remover sur ton Bureau. (Clic droit -> "Exécuter en tant qu'administrateur". ( Pour Vista))

[x] A la fenêtre qui s'affiche clique sur " oui "

Jusque là tout est OK. J'aperçois brievement une fenêtre violette, puis plus rien (retour à la mire du bureau).

Répondre à stuhly

Xplode, le 20 nov 2009 à 18:17:12

Essaie celui ci :

-+-+-+-> ST-Fix <-+-+-+-

[x] Télécharge ST-Fix

[x] Suis le tutoriel disponible à cette adresse

[x] Copie/Colle le rapport dans ton prochain message.

Répondre à Xplode

stuhly, le 20 nov 2009 à 18:33:00

Voilà le rapport. Cela ne permet pas à ad-remover de démarrer.

########################################################################
#
# ST_Fix v.2.05 par Batch_Man
# Mise à jour le 06/08/2009
# Début a 18:27 le ven. 20/11/2009
# Mode de boot: Normal
# Lancé de C:\Documents and Settings\CHAIZE ASSBA 5\Bureau\ST_Fix.bat
#
################################ Suppression ###############################
#
# SUPPRIMÉ - C:\Program Files\EoRezo
# SUPPRIMÉ - C:\Documents and Settings\CHAIZE ASSBA 5\Application Data\EoRezo
#
################################## Terminé ################################

Répondre à stuhly

Xplode, le 20 nov 2009 à 18:59:34

Non, mais ca a supprimé ce que je voulais ;)
Refais maintenant un rapport ZHPDiag

Répondre à Xplode

stuhly, le 20 nov 2009 à 19:53:55

J'ai posté le rapport une première fois mais je le vois pas sur le forum, voici un cjoint

http://cjoint.com/?lut000zOrU

Répondre à stuhly

Xplode, le 20 nov 2009 à 20:05:36

-+-+-+-> Malwarebyte's Anti-Malware <-+-+-+-

[x] Télécharge Malwarebyte's anti-malware

[x] Installe le en prenant soin de le mettre à jour à la fin de l'installation.

[x] Lance un scan complet.

[x] Coche bien tout les éléments trouvés et supprime les.

[x] A la fin du scan, copie/colle le contenu du rapport qui s'ouvrira. S'il ne s'ouvre pas, il se trouve dans la partie " Rapports/Logs " de malwarebyte's.

[x] N'oublie pas de vider la quarantaine de malwarebyte's.

Nb : Un tutoriel pour son utilisation est disponible à cette adresse

Répondre à Xplode

stuhly, le 20 nov 2009 à 20:13:54

Comment je fais ça avec un PC non connecté à internet (je parle de la mise à jour de Mbam) ?

Répondre à stuhly

Xplode, le 20 nov 2009 à 20:16:12

Suis ce lien : http://kerio.probb.fr/...

Répondre à Xplode

stuhly, le 20 nov 2009 à 20:28:28

C'est bizarre, le programme d'installation de Mbam provoque quatre foie l'erreur :
"Une erreur est survenue. Veuillez transmettre au support de Malwarebytes' Anti-Malware le code erreur ci-dessous.
Error code : 718(-2146893799, 0)
Le jeu de clés n'est pas défini."

Répondre à stuhly

46 réponses 12 Suivant

Posez votre question Répondre