D'ou vient ce fichier 1.reg?

1 view
Skip to first unread message

DP

unread,
Oct 13, 2007, 3:49:57 AM10/13/07
to
Bonjour,

Au lancement d'un logiciel, mon antivirus (Avast) m'a indiqué qu'un fichier
était contaminé mais qu'il ne pouvait le supprimer. Ensuite, je me suis
rendu compte que le pare-feu avait été désactivé.
Scan par Avast puis Ad-aware puis Spybot (qui note la désactivation dans la
base de régistre).
Le problème est que depuis, à chaque démarrage de la machine, Avast me
signale un fichier infacté nommé 1.reg dans le répertoire temp.
Après effacement, ce fichier réapparait à chaque démarrage du système et un
nouveau scan ne trouve pas de virus.
Je suis donc probablement toujours infecté.
Avez-vous une idée qui pourrait me permettre de me débarrasser
définitivement de ce fichier encombrant?

Merci de votre aide

DP

Bernard42

unread,
Oct 13, 2007, 4:01:20 AM10/13/07
to
DP nous a déclaré sur Win XP FR :


Bonjour,

Fais un scanne en ligne :

www.secuser.com

Reviens nous dire.

--
Bernard 42.

Herser

unread,
Oct 13, 2007, 4:13:19 AM10/13/07
to

Bonjour DP
Tu as une vérole qui se relance à chaque démarrage
Essaie d'autres outils de désinfection, en mode sans échec :
AVG antirootkit, ici par ex :
http://www.clubic.com/telecharger-fiche34515-avg-anti-rootkit.html

Gmer :
http://www.gmer.net/gmer.zip

S'ils ne trouvent rien, faudra peut-être scanné ton PC avec HijackThis
Reviens nous dire

Herser

Laurent Jumet

unread,
Oct 13, 2007, 4:47:07 AM10/13/07
to

Hello DP !

"DP" <dp3...@yahoo.fr> wrote:

Un .REG contient habituellement des clés de registre; jette un coup d'oeil dedans pour voir si tu n'en tires pas une déduction.

--
Laurent Jumet - Point de Chat, Liège, BELGIUM
KeyID: 0xCFAF704C
[Restore address to laurent.jumet for e-mail reply.]

Passé simple de l'imparfait

unread,
Oct 13, 2007, 7:53:42 AM10/13/07
to

Et le contenu de ce fichier 1.REG ?
--
La vie, c'est comme une boite de chocolat, on sait jamais sur quoi on va tomber...
C'est de la connerie, il suffit de retourner la boite pour voir les differente sorte sur la photo.
Seulement maintenant t'es dans la merde parce que les chocolats sont par terre....

DP

unread,
Oct 13, 2007, 9:16:02 AM10/13/07
to
Ce sont effectivement des clés de régistre mais je ne vois pas ou elles
mènent.

DP

unread,
Oct 13, 2007, 10:07:25 AM10/13/07
to
Si cela peut être utile, voici le contenu :

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
"TransportBindName"=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"EnableDCOM"="N"
"EnableRemoteConnect"="N"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT1.0\Server]"Enabled"=hex:00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]"AutoShareWks"=dword:00000000"AutoShareServer"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]"NameServer"="""ForwardBroadcasts"=dword:00000000"IPEnableRouter"=dword:00000000"Domain"="""SearchList"="""UseDomainNameDevolution"=dword:00000001"EnableICMPRedirect"=dword:00000000"DeadGWDetectDefault"=dword:00000001"DontAddDefaultGatewayDefault"=dword:00000000"EnableSecurityFilters"=dword:00000001"AllowUnqualifiedQuery"=dword:00000000"PrioritizeRecordData"=dword:00000001"TCP1320Opts"=dword:00000003"KeepAliveTime"=dword:00023280"BcastQueryTimeout"=dword:000002ee"BcastNameQueryCount"=dword:00000001"CacheTimeout"=dword:0000ea60"Size/Small/Medium/Large"=dword:00000003"LargeBufferSize"=dword:00001000"SynAckProtect"=dword:00000002"PerformRouterDiscovery"=dword:00000000"EnablePMTUBHDetect"=dword:00000000"FastSendDatagramThreshold "=dword:00000400"StandardAddressLength "=dword:00000018"DefaultReceiveWindow "=dword:00004000"DefaultSendWindow"=dword:00004000"BufferMultiplier"=dword:00000200"PriorityBoost"=dword:00000002"IrpStackSize"=dword:00000004"IgnorePushBitOnReceives"=dword:00000000"DisableAddressSharing"=dword:00000000"AllowUserRawAccess"=dword:00000000"DisableRawSecurity"=dword:00000000"DynamicBacklogGrowthDelta"=dword:00000032"FastCopyReceiveThreshold"=dword:00000400"LargeBufferListDepth"=dword:0000000a"MaxActiveTransmitFileCount"=dword:00000002"MaxFastTransmit"=dword:00000040"OverheadChargeGranularity"=dword:00000001"SmallBufferListDepth"=dword:00000020"SmallerBufferSize"=dword:00000080"TransmitWorker"=dword:00000020"DNSQueryTimeouts"=hex(7):31,00,00,00,32,00,00,00,32,00,00,00,34,00,00,00,38,00,00,00,30,00,00,00,00,00

Th.A.C

unread,
Oct 13, 2007, 1:24:30 PM10/13/07
to
DP a écrit :

>
> [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]
> "Start"=dword:00000004


Désactivation des mises à jours (windows update)

>
> [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wscsvc]
> "Start"=dword:00000004

Désactivation du centre de sécurité


je cherche pas pour le reste, mais le virus désactive tout ce qui
pourrait te protéger et il y a des chances qu'il ouvre en grand ta
machine pour quelle soit facilement controlable depuis internet.

Vu que le virus semble agir par des fichiers externes, il doit y avoir
des fichiers de commande (.bat ou .cmd) qui génèrent ses fichiers,
dépêche toi vite de trouver le problème, ca sent pas bon du tout...

DP

unread,
Oct 13, 2007, 5:26:50 PM10/13/07
to
J'ai essayés plusieurs antivirus sans succès.

J'aimerais éviter un formatage, si tant est qu'il puisse règler le problème.

DP

DP

unread,
Oct 13, 2007, 5:28:47 PM10/13/07
to
Secuser ne trouve rien

O.B. [MVP]

unread,
Oct 13, 2007, 8:39:34 PM10/13/07
to
bonjour DP,

Dans le news DP tapote :

avez vous essayé de passer l'antivirus en mode sans échec ? la plupart des
virus vicieux désactivent tout ou partiellement les antivirus pour ne pas
être repéré. il existe aussi des virus de type rooktkit qui sont très
difficile a détecter mais vous pouvez toujours essayer RootkitRevealer de
Microsoft/sysinternal (gratuits)
http://www.microsoft.com/technet/sysinternals/utilities/RootkitRevealer.mspx

--
Olivier B.
MVP Windows Shell/User
"le savoir est fait pour être partagé"
http://www.benquet.com

merci de ne répondre que dans le newsgroup
sinon retirer le "pas_de_spam_" devant mon adresse
(adresse rarement relevée)


DP

unread,
Oct 14, 2007, 1:29:46 AM10/14/07
to
J'ai essayé l'antivirus en mode sans échec mais... sans succès :=(
Je vais tester votre solution

reiste

unread,
Oct 14, 2007, 3:51:42 AM10/14/07
to

"DP" <dp3...@yahoo.fr> a écrit dans le message de groupe de discussion :
OEcC$MiDIH...@TK2MSFTNGP02.phx.gbl...


> J'ai essayé l'antivirus en mode sans échec mais... sans succès :=(
> Je vais tester votre solution
>

Ci sa continue tu devra le reformatage de ton DD ou sauf si il agit en
MS-DOS
la sa serrai nul ! Fait vite !

JF

unread,
Oct 14, 2007, 6:14:46 AM10/14/07
to
*Bonjour DP* !
<news:OEcC$MiDIH...@TK2MSFTNGP02.phx.gbl>

> J'ai essayé l'antivirus en mode sans échec mais... sans succès :=(
> Je vais tester votre solution

Une autre idée :

Effacer le contenu de ce fichier 1.reg avec Bloc-Notes

Protéger le fichier (Propriétés>Cocher "Lecture seule")

Cela devrait provoquer deux choses :
- Une erreur quand le bidule voudra créer le fichier
- Une erreur lors de la tentative de fusion
de ce fichier vide au Registre (testé)

--
Salutations, Jean-François
Index du site de PN : www.d2i.ch/pn/az
Outlook Express : Suivez vos fils avec [CTL+H]
Montrez-nous ce que vous voyez : http://fspsa.free.fr/copiecran.htm


Passé simple de l'imparfait

unread,
Oct 14, 2007, 8:54:32 AM10/14/07
to
On Sun, 14 Oct 2007 12:14:46 +0200, JF <JF@-> wrote:

>*Bonjour DP* !
><news:OEcC$MiDIH...@TK2MSFTNGP02.phx.gbl>
>
>> J'ai essayé l'antivirus en mode sans échec mais... sans succès :=(
>> Je vais tester votre solution
>
>Une autre idée :
>
>Effacer le contenu de ce fichier 1.reg avec Bloc-Notes
>
>Protéger le fichier (Propriétés>Cocher "Lecture seule")
>
>Cela devrait provoquer deux choses :
>- Une erreur quand le bidule voudra créer le fichier
>- Une erreur lors de la tentative de fusion
> de ce fichier vide au Registre (testé)

Pas con
ou tout simplement virer les droits de tout le monde.

Passé simple de l'imparfait

unread,
Oct 14, 2007, 8:55:03 AM10/14/07
to
On Sat, 13 Oct 2007 23:26:50 +0200, "DP" <dp3...@yahoo.fr> wrote:

>J'ai essayés plusieurs antivirus sans succès.
>
>J'aimerais éviter un formatage, si tant est qu'il puisse règler le problème.

Sais tu depuis quand tu as ce probleme ?
Essaye la restauration systeme.

DP

unread,
Oct 14, 2007, 3:17:06 PM10/14/07
to
Super!
Ca marche. Avast ne m'annonce plus de virus au démarrage.
Ceci dit, j'ai toujours cette m.... sur mon ordi sans savoir ou elle est ni
ce qu'elle tente de faire. Je finirais donc peut-être par formater...

Nina Popravka

unread,
Oct 14, 2007, 3:27:34 PM10/14/07
to
On Sun, 14 Oct 2007 21:17:06 +0200, "DP"
<dp3319N...@serveuryahoo.fr> wrote:

>Ceci dit, j'ai toujours cette m.... sur mon ordi sans savoir ou elle est ni
>ce qu'elle tente de faire. Je finirais donc peut-être par formater...

Changez d'AV, déjà... Parce que excusez-moi, mais Avast, bon...
--
Nina

DP

unread,
Oct 14, 2007, 3:30:50 PM10/14/07
to
Malheureusement, la bestiole semble empêcher la restauration du système qui
m'indique à la fin de la procédure qu'aucune modification n'a été effectuée.

Merci

DP


j@ckie

unread,
Oct 14, 2007, 4:43:26 PM10/14/07
to

Bonsoir à tous !

"DP" a écrit dans le message
news:OT$Mq2WDI...@TK2MSFTNGP04.phx.gbl...

?? ce ne serait pas cette bestiole par hasard

--»
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ%5FAGENT%2EHVH&VSect=T

éplucher les onglets :o)

nb/ son alias Xorpix.C.dll fait partie des items détectés par l'outil
antimalware MS

http://www.microsoft.com/security/portal/Entry.aspx?ThreatId=-2147372250

http://www.microsoft.com/security/portal/Encyclopedia.aspx?letter=X&page=8

Executer --» taper MRT
( cf après la MAJ mensuelle de l'outil --»
http://www.microsoft.com/downloads/details.aspx?FamilyId=AD724AE0-E72D-4F54-9AB3-75B8EB148356&displaylang=fr

--
« De la discussion , jaillit la lumière ...»
Cdlt@+ à tous
http://www.microsoft.com/security/portal/default.aspx

j@ckie

unread,
Oct 14, 2007, 5:04:29 PM10/14/07
to
re'

"DP" a écrit dans le message
news:OT$Mq2WDI...@TK2MSFTNGP04.phx.gbl...
>
>> Bonjour,
>>
>> Au lancement d'un logiciel, mon antivirus (Avast) m'a indiqué qu'un
>> fichier était contaminé mais qu'il ne pouvait le supprimer. Ensuite, je
>> me
>> suis rendu compte que le pare-feu avait été désactivé.
>> Scan par Avast puis Ad-aware puis Spybot (qui note la désactivation dans
>> la base de régistre).
>> Le problème est que depuis, à chaque démarrage de la machine, Avast me
>> signale un fichier infacté nommé 1.reg dans le répertoire temp.
>> Après effacement, ce fichier réapparait à chaque démarrage du système et
>> un nouveau scan ne trouve pas de virus.
>> Je suis donc probablement toujours infecté.
>> Avez-vous une idée qui pourrait me permettre de me débarrasser
>> définitivement de ce fichier encombrant?
>>
>> Merci de votre aide
>
> ?? ce ne serait pas cette bestiole par hasard
>
> --»
> http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ%5FAGENT%2EHVH&VSect=T
>
> éplucher les onglets :o)
>
> nb/ son alias Xorpix.C.dll fait partie des items détectés par l'outil
> antimalware MS

??? ou par WLOC --»

http://www.microsoft.com/switzerland/athome/fr/security/update/windows_live_safety_center.mspx

à suivre :o)


--
« De la discussion , jaillit la lumière ...»
Cdlt@+ à tous

http://www.microsoft.com/security/portal/Entry.aspx?ThreatId=-2147383437


neophil78

unread,
Oct 15, 2007, 6:33:18 AM10/15/07
to
Salut à DP qui par là OT$Mq2WDI...@TK2MSFTNGP04.phx.gbl tapotait de
ses petits doigts fébriles:

Ça pourrait être non pas un virus ou spyware mais trojan... auquel cas
essaie de faire un scan avec "The Cleaner"
http://www.moosoft.com/TheCleaner/TheCleaner
(attention le scan à faire sur tous tes disques et partitions éventuels
a toutes les chances d'être hyper long, mais c'est normal ...)

--
PhilIP
[enlever ~X007 pour répondre]
http://neophil.canalblog.com/

DP

unread,
Oct 15, 2007, 11:00:42 AM10/15/07
to
Lequel vous semble le meilleur?

Merci

Bernard42

unread,
Oct 15, 2007, 11:08:56 AM10/15/07
to
DP nous a déclaré sur Win XP FR :

> Lequel vous semble le meilleur?
>
> Merci


Bonjour,

Nina voulait te conseiller AVG.

Non,elle va elle mème, te conseiller.

Mais AVG est bien. ;-)

--
Bernard 42.

Nina Popravka

unread,
Oct 15, 2007, 1:08:02 PM10/15/07
to
On Mon, 15 Oct 2007 17:08:56 +0200, "Bernard42" <Ber...@free.fr>
wrote:

>Nina voulait te conseiller AVG.
>Non,elle va elle mème, te conseiller.

J'ai pas d'opinion tranchée... (à part qu'Avast a toujours 10 métros
de retard).
<http://www.av-comparatives.org/> peut être une source de réflexion.
Et je pense d'autre part que maintenant, si on veut un truc un minimum
efficace, il faut prendre une suite (donc un produit commercial), à
cause des menaces dues au simple surf, et que la distinction
jésuistique que certains éditeurs font entre un virus (qu'ils
traitent) et un troyen (qu'ils ne traitent pas) est un incroyable
foutage de gueule.
--
Nina

Passé simple de l'imparfait

unread,
Oct 15, 2007, 2:16:29 PM10/15/07
to

Le faire depuis le mode sans echec ou le CD pour que le virus soit
inactif.

Reply all
Reply to author
Forward
0 new messages