D'ou vient ce fichier 1.reg?

Le
DP
Bonjour,

Au lancement d'un logiciel, mon antivirus (Avast) m'a indiqué qu'un fichier
était contaminé mais qu'il ne pouvait le supprimer. Ensuite, je me suis
rendu compte que le pare-feu avait été désactivé.
Scan par Avast puis Ad-aware puis Spybot (qui note la désactivation dans la
base de régistre).
Le problème est que depuis, à chaque démarrage de la machine, Avast me
signale un fichier infacté nommé 1.reg dans le répertoire temp.
Après effacement, ce fichier réapparait à chaque démarrage du système et un
nouveau scan ne trouve pas de virus.
Je suis donc probablement toujours infecté.
Avez-vous une idée qui pourrait me permettre de me débarrasser
définitivement de ce fichier encombrant?

Merci de votre aide

DP
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 3
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Bernard42
Le #1215040
DP nous a déclaré sur Win XP FR :

Bonjour,

Au lancement d'un logiciel, mon antivirus (Avast) m'a indiqué qu'un
fichier était contaminé mais qu'il ne pouvait le supprimer. Ensuite,
je me suis rendu compte que le pare-feu avait été désactivé.
Scan par Avast puis Ad-aware puis Spybot (qui note la désactivation
dans la base de régistre).
Le problème est que depuis, à chaque démarrage de la machine, Avast me
signale un fichier infacté nommé 1.reg dans le répertoire temp.
Après effacement, ce fichier réapparait à chaque démarrage du système
et un nouveau scan ne trouve pas de virus.
Je suis donc probablement toujours infecté.
Avez-vous une idée qui pourrait me permettre de me débarrasser
définitivement de ce fichier encombrant?

Merci de votre aide

DP



Bonjour,

Fais un scanne en ligne :

www.secuser.com

Reviens nous dire.



--
Bernard 42.

Herser
Le #1215039
DP wrote:
Bonjour,

Au lancement d'un logiciel, mon antivirus (Avast) m'a indiqué qu'un
fichier était contaminé mais qu'il ne pouvait le supprimer. Ensuite,
je me suis rendu compte que le pare-feu avait été désactivé.
Scan par Avast puis Ad-aware puis Spybot (qui note la désactivation
dans la base de régistre).
Le problème est que depuis, à chaque démarrage de la machine, Avast me
signale un fichier infacté nommé 1.reg dans le répertoire temp.
Après effacement, ce fichier réapparait à chaque démarrage du système
et un nouveau scan ne trouve pas de virus.
Je suis donc probablement toujours infecté.
Avez-vous une idée qui pourrait me permettre de me débarrasser
définitivement de ce fichier encombrant?

Merci de votre aide

DP


Bonjour DP
Tu as une vérole qui se relance à chaque démarrage
Essaie d'autres outils de désinfection, en mode sans échec :
AVG antirootkit, ici par ex :
http://www.clubic.com/telecharger-fiche34515-avg-anti-rootkit.html

Gmer :
http://www.gmer.net/gmer.zip

S'ils ne trouvent rien, faudra peut-être scanné ton PC avec HijackThis
Reviens nous dire

Herser

Laurent Jumet
Le #1214906
Hello DP !

"DP"
Au lancement d'un logiciel, mon antivirus (Avast) m'a indiqué qu'un fichier
était contaminé mais qu'il ne pouvait le supprimer. Ensuite, je me suis
rendu compte que le pare-feu avait été désactivé.
Scan par Avast puis Ad-aware puis Spybot (qui note la désactivation dans la
base de régistre).
Le problème est que depuis, à chaque démarrage de la machine, Avast me
signale un fichier infacté nommé 1.reg dans le répertoire temp.
Après effacement, ce fichier réapparait à chaque démarrage du système et un
nouveau scan ne trouve pas de virus.
Je suis donc probablement toujours infecté.
Avez-vous une idée qui pourrait me permettre de me débarrasser
définitivement de ce fichier encombrant?


Un .REG contient habituellement des clés de registre; jette un coup d'oeil dedans pour voir si tu n'en tires pas une déduction.

--
Laurent Jumet - Point de Chat, Liège, BELGIUM
KeyID: 0xCFAF704C
[Restore address to laurent.jumet for e-mail reply.]

Passé simple de l'imparfait
Le #1214765
On Sat, 13 Oct 2007 09:49:57 +0200, "DP"
Bonjour,

Au lancement d'un logiciel, mon antivirus (Avast) m'a indiqué qu'un fichier
était contaminé mais qu'il ne pouvait le supprimer. Ensuite, je me suis
rendu compte que le pare-feu avait été désactivé.
Scan par Avast puis Ad-aware puis Spybot (qui note la désactivation dans la
base de régistre).
Le problème est que depuis, à chaque démarrage de la machine, Avast me
signale un fichier infacté nommé 1.reg dans le répertoire temp.
Après effacement, ce fichier réapparait à chaque démarrage du système et un
nouveau scan ne trouve pas de virus.
Je suis donc probablement toujours infecté.
Avez-vous une idée qui pourrait me permettre de me débarrasser
définitivement de ce fichier encombrant?

Merci de votre aide

DP


Et le contenu de ce fichier 1.REG ?
--
La vie, c'est comme une boite de chocolat, on sait jamais sur quoi on va tomber...
C'est de la connerie, il suffit de retourner la boite pour voir les differente sorte sur la photo.
Seulement maintenant t'es dans la merde parce que les chocolats sont par terre....

DP
Le #1214618
Ce sont effectivement des clés de régistre mais je ne vois pas ou elles
mènent.
DP
Le #1214498
Si cela peut être utile, voici le contenu :

REGEDIT4

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters]
"TransportBindName"=""

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswuauserv]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINESYSTEMControlSet001Serviceswscsvc]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftOle]
"EnableDCOM"="N"
"EnableRemoteConnect"="N"

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa]
"restrictanonymous"=dword:00000001

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsPCT1.0Server]"Enabled"=hex:00 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters]"AutoShareWks"=dword:00000000"AutoShareServer"=dword:00000000 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]"NameServer"="""ForwardBroadcasts"=dword:00000000"IPEnableRouter"=dword:00000000"Domain"="""SearchList"="""UseDomainNameDevolution"=dword:00000001"EnableICMPRedirect"=dword:00000000"DeadGWDetectDefault"=dword:00000001"DontAddDefaultGatewayDefault"=dword:00000000"EnableSecurityFilters"=dword:00000001"AllowUnqualifiedQuery"=dword:00000000"PrioritizeRecordData"=dword:00000001"TCP1320Opts"=dword:00000003"KeepAliveTime"=dword:00023280"BcastQueryTimeout"=dword:000002ee"BcastNameQueryCount"=dword:00000001"CacheTimeout"=dword:0000ea60"Size/Small/Medium/Large"=dword:00000003"LargeBufferSize"=dword:00001000"SynAckProtect"=dword:00000002"PerformRouterDiscovery"=dword:00000000"EnablePMTUBHDetect"=dword:00000000"FastSendDatagramThreshold "=dword:00000400"StandardAddressLength "=dword:00000018"DefaultReceiveWindow "=dword:00004000"DefaultSendWindow"=dword:00004000"BufferMultiplier"=dword:00000200"PriorityBoost"=dword:00000002"IrpStackSize"=dword:00000004"IgnorePushBitOnReceives"=dword:00000000"DisableAddressSharing"=dword:00000000"AllowUserRawAccess"=dword:00000000"DisableRawSecurity"=dword:00000000"DynamicBacklogGrowthDelta"=dword:00000032"FastCopyReceiveThreshold"=dword:00000400"LargeBufferListDepth"=dword:0000000a"MaxActiveTransmitFileCount"=dword:00000002"MaxFastTransmit"=dword:00000040"OverheadChargeGranularity"=dword:00000001"SmallBufferListDepth"=dword:00000020"SmallerBufferSize"=dword:00000080"TransmitWorker"=dword:00000020"DNSQueryTimeouts"=hex(7):31,00,00,00,32,00,00,00,32,00,00,00,34,00,00,00,38,00,00,00,30,00,00,00,00,00
Th.A.C
Le #1214246


[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswuauserv]
"Start"=dword:00000004



Désactivation des mises à jours (windows update)


[HKEY_LOCAL_MACHINESYSTEMControlSet001Serviceswscsvc]
"Start"=dword:00000004


Désactivation du centre de sécurité


je cherche pas pour le reste, mais le virus désactive tout ce qui
pourrait te protéger et il y a des chances qu'il ouvre en grand ta
machine pour quelle soit facilement controlable depuis internet.

Vu que le virus semble agir par des fichiers externes, il doit y avoir
des fichiers de commande (.bat ou .cmd) qui génèrent ses fichiers,
dépêche toi vite de trouver le problème, ca sent pas bon du tout...

DP
Le #1213971
J'ai essayés plusieurs antivirus sans succès.

J'aimerais éviter un formatage, si tant est qu'il puisse règler le problème.

DP
DP
Le #1213970
Secuser ne trouve rien
O.B. [MVP]
Le #1213847
bonjour DP,

Dans le news DP tapote :
J'ai essayés plusieurs antivirus sans succès.

J'aimerais éviter un formatage, si tant est qu'il puisse règler le
problème.
DP


avez vous essayé de passer l'antivirus en mode sans échec ? la plupart des
virus vicieux désactivent tout ou partiellement les antivirus pour ne pas
être repéré. il existe aussi des virus de type rooktkit qui sont très
difficile a détecter mais vous pouvez toujours essayer RootkitRevealer de
Microsoft/sysinternal (gratuits)
http://www.microsoft.com/technet/sysinternals/utilities/RootkitRevealer.mspx



--
Olivier B.
MVP Windows Shell/User
"le savoir est fait pour être partagé"
http://www.benquet.com

merci de ne répondre que dans le newsgroup
sinon retirer le "pas_de_spam_" devant mon adresse
(adresse rarement relevée)

Publicité
Poster une réponse
Anonyme