High-Tech Santé Médecine Droit-Finances

Grippe A

Que dois-je faire ?

Rechercher : dans
Par :

N'est pas une application Win32 valide!

Dernière réponse le 28 oct 2009 à 16:04:18 mathieu, le 27 oct 2009 à 10:50:18 
 Signaler ce message aux modérateurs

Bonjour,
Je vous écris car je suis complètement désarmé suite à des virus présents sur ma machine.
Seul souci, je ne peux pas executer Hijackthis (sauf sur une nouvelle session administrateur que j'ai créé pour l'occasion) et Nod32 naturellement ne veut plus s'exectuer non plus.

Pourriez-vous m'aider s'il vous plait, je ne peux pas reformatter ma machine.

Merci d'avance

Configuration: Windows XP
Firefox 3.0.1

Meilleures réponses pour « n'est pas une application Win32 valide! » dans :
.exe n'est pas une application Win32 valide VoirLorsque vous lancez un fichier exécutable, Windows vous affiche un message du type : Nom de l'application n'est pas une application Win32 valide Pour y remédier, il existe plusieurs solutions correspondant à différentes causes...
Posez votre question Répondre

1

Xplode, le 27 oct 2009 à 10:51:59

Salut, commence par ceci :

-+-+-+-> Findykill ( Infections Bagle ) <-+-+-+-


▶ Le virus " Bagle " s'attrape via le P2P ( eMule, shareaza, etc.. ), il neutralise le fonctionnement de l'antivirus, désactive le mode sans échec,
désactive l'accès à la base de registre etc..

/!\ Désactive tes protections résidentes ( Antivirus, Pare-Feu, Antispyware ) /!\

[x] Télécharge Findykill.

[x] Branche tout tes médias amovibles sur ton PC

[x] Lance Findykill ( clique droit -> éxecuter en tant qu'administrateur sous vista )

[x] Choisis l'option F ( français ) puis l'option n°1 ( Recherche )

[x] Laisse le scan s'opérer.

[x] Copie/Colle le rapport qui s'ouvrira et poste le dans ta prochaine réponse

[x] Note : Le rapport FindyKill.txt est sauvegardé a la racine du disque. ( C:\FindyKill.txt )

   
Répondre à Xplode

2

mathieu, le 27 oct 2009 à 11:24:57

Meric de ta réponse, voici le rapport : 

############################## | FindyKill V5.016 |

# User : MathieuNew (Utilisateurs) # QUADCORE
# Update on 26/10/2009 by Chiquitine29
# Start at: 10:57:02 | 27/10/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# Intel(R) Core(TM)2 Quad CPU    Q6600  @ 2.40GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Enabled
# AV : NOD32 Antivirus System 2.51 2.51 [ Enabled | Updated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 59,57 Go (17,56 Go free) # NTFS
# D:\ # Disque CD-ROM
# G:\ # Disque fixe local # 292,98 Go (238,74 Go free) [DATAS] # NTFS

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\r_server.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\ASUS\EPU-4 Engine\FourEngine.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\OmniaAX\OmniaSrv.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Java\jre6\bin\jucheck.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | C: |


################## | C:\WINDOWS |


################## | C:\WINDOWS\system32 |


################## | C:\WINDOWS\system32\drivers |


################## | C:\Documents and Settings\MathieuNew\Application Data |

Présent ! C:\Documents and Settings\MathieuNew\Application Data\drivers  
Présent ! C:\Documents and Settings\MathieuNew\Application Data\drivers\downld  
################## | Autres detections ... |

################## | Temporary Internet Files |


################## | Registre / Clés infectieuses |

Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\srosa]  
Présent ! [HKLM\SYSTEM\ControlSet001\Services\srosa]  
Présent ! [HKLM\SYSTEM\ControlSet002\Services\srosa]  
Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA]  
Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]  
Présent ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA]  
Présent ! [HKCU\Software\bisoft]  
Présent ! [HKU\S-1-5-21-117609710-1425521274-839522115-1006\Software\b­isoft]  
Présent ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"  
Présent ! [HKLM\software\microsoft\security center] "AntiVirusOverride"  
Présent ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"  
Présent ! [HKLM\software\microsoft\security center] "FirewallOverride"  

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK
 
Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !  
 
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )  
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )  
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )  
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )  


################## | Cracks / Keygens / Serials |

"C:\Documents and Settings\Mathieu\Local Settings\Temp\Rar$EX00.687\keygen.exe"  
10/07/2006 06:07 |Size 860160 |Crc32 6d2f4b36 |Md5 37226ad129ff15231b266b41847cdfc7  

################## | ! Fin du rapport # FindyKill V5.016 ! |

   
Répondre à mathieu

3

Xplode, le 27 oct 2009 à 11:26:18

-+-+-+-> Findykill - Nettoyage <-+-+-+-


[x] Relance findykill mais choisis cette fois-ci l'option 2

[x] N'oublie pas de laisser tes médias amovibles branchés

[x] Le bureau disparaîtra et le PC redémarrera.

[x] Au redémarrage , FindyKill scannera ton PC, laisse travailler l'outil.

[x] Ensuite poste le rapport FindyKill.txt qui apparaîtra avec le Bureau.

[x] Note : le rapport FindyKill.txt est sauvegardé a la racine du disque. (C:\FindyKill.txt)

   
Répondre à Xplode

4

mathieu, le 27 oct 2009 à 12:31:01

Merci explode de t'intéresser à mon probleme, mais je suis dans l'incapacité de te poster le rapport qui est très long, et commentcamarche bug, je n'arrive pas à poster la réponse.

   
Répondre à mathieu

5

Xplode, le 27 oct 2009 à 12:32:23

-+-+-+-> Héberger un rapport sur cjoint <-+-+-+-


[x] Rend toi sur Cjoint

[x] Clique sur " Parcourir " dans la partie " Joindre un fichier[...] "

[x] Séléctionne le rapport findykill.txt

[x] Clique ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message

   
Répondre à Xplode

6

mathieu, le 27 oct 2009 à 12:34:40
   
Répondre à mathieu

7

Xplode, le 27 oct 2009 à 13:09:42

-+-+-+-> OTMoveIt <-+-+-+-


[x] Télécharge OTMoveIt (de Old_Timer) à cette adresse : http://up.sur-la-toile.com/ik3a sur ton Bureau.

[x] Double-clique sur OTMoveIt.exe.

[x] Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.

[x] Copie le texte en gras ci dessous et colle le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved



:processes
explorer.exe

:files
C:\Documents and Settings\Mathieu\Application Data\drivers
C:\Documents and Settings\Mathieu\Application Data\drivers\winupgro.exe
C:\Documents and Settings\Mathieu\Application Data\drivers\wfsintwq.sys

:commands
[emptytemp]
[purity]
[start explorer]



[x] Clique sur MoveIt! pour lancer la suppression.

[x] Si OTMoveIt propose de redémarrer ton PC, accepte.

[x] Lorsque un résultat apparaît dans le cadre Results, clique sur Exit.

[x] Dans ta future réponse, envoie le rapport de OTMoveIt situé sous C:\_OTMoveIt\MovedFiles

   
Répondre à Xplode

8

mathieu, le 27 oct 2009 à 13:51:37

Voici le rapport : 

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
C:\Documents and Settings\Mathieu\Application Data\drivers moved successfully.
File/Folder C:\Documents and Settings\Mathieu\Application Data\drivers\winupgro.exe not found.
File/Folder C:\Documents and Settings\Mathieu\Application Data\drivers\wfsintwq.sys not found.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\MATHIE~1\LOCALS~1\Temp\etilqs_LCguU4x0WMgGSJHzPC­rI scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. C:\Documents and Settings\MathieuNew\Local Settings\Application Data\Mozilla\Firefox\Profiles\i7i2kajm.default\Cache\_CACHE_­001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\MathieuNew\Local Settings\Application Data\Mozilla\Firefox\Profiles\i7i2kajm.default\Cache\_CACHE_­002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\MathieuNew\Local Settings\Application Data\Mozilla\Firefox\Profiles\i7i2kajm.default\Cache\_CACHE_­003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\MathieuNew\Local Settings\Application Data\Mozilla\Firefox\Profiles\i7i2kajm.default\Cache\_CACHE_­MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\MathieuNew\Local Settings\Application Data\Mozilla\Firefox\Profiles\i7i2kajm.default\urlclassifier­3.sqlite scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.7.0 log created on 10272009_134056

Files moved on Reboot...
File C:\DOCUME~1\MATHIE~1\LOCALS~1\Temp\etilqs_LCguU4x0WMgGSJHzPC­rI not found!
C:\Documents and Settings\MathieuNew\Local Settings\Application Data\Mozilla\Firefox\Profiles\i7i2kajm.default\Cache\_CACHE_­001_ moved successfully.
C:\Documents and Settings\MathieuNew\Local Settings\Application Data\Mozilla\Firefox\Profiles\i7i2kajm.default\Cache\_CACHE_­002_ moved successfully.
C:\Documents and Settings\MathieuNew\Local Settings\Application Data\Mozilla\Firefox\Profiles\i7i2kajm.default\Cache\_CACHE_­003_ moved successfully.
C:\Documents and Settings\MathieuNew\Local Settings\Application Data\Mozilla\Firefox\Profiles\i7i2kajm.default\Cache\_CACHE_­MAP_ moved successfully.
C:\Documents and Settings\MathieuNew\Local Settings\Application Data\Mozilla\Firefox\Profiles\i7i2kajm.default\urlclassifier­3.sqlite moved successfully.

   
Répondre à mathieu

9

Xplode, le 27 oct 2009 à 13:53:01

Bien, fais maintenant ceci pour qu'on analyse ton PC plus en profondeur :

-+-+-+-> ZHPDiag <-+-+-+-


[x] Télécharge ZHPDiag ( de Nicolas coolman ).

[x] Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

[x] Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau

[x] Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

[x] Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

[x] Rend toi sur www.cjoint.com

[x] Clique sur " Parcourir " dans la partie " Joindre un fichier[...] "

[x] Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

[x] Clique ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message

   
Répondre à Xplode

10

mathieu, le 27 oct 2009 à 14:01:46
   
Répondre à mathieu

11

mathieu, le 27 oct 2009 à 14:02:42
   
Répondre à mathieu

12

mathieu, le 27 oct 2009 à 14:10:44

Une petite question : les diverses opérations que je réalise, sont valables sur toute la machine ou bien uniquement sur la session courante ? je vois bien que certains fichiers sont supprimés et sont communs à toutes les sessions, mais je demande de manière générale

   
Répondre à mathieu

13

Xplode, le 27 oct 2009 à 14:11:01

Y'a des restes de bagle, on va les supprimer.

-+-+-+-> ZHPfix <-+-+-+-


[x] Relance ZHPDiag, fais un scan puis cette fois-ci cliques sur l'icone en forme d'écusson vert " ZHPFix ".

[x] ZHPFix se lancera, clique maintenant sur le " H " bleu ( coller les lignes helper ) puis copie/colle ce qui se trouve à ce lien :

http://cjoint.com/?kBokocUFib

[x] Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

[x] Copie/Colle le rapport à l'écran dans ton prochain message


------------------------------

-+-+-+-> Malwarebyte's Anti-Malware <-+-+-+-


[x] Télécharge Malwarebyte's anti-malware (MBAM) à cette adresse : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

[x] Installe le.

[x] Met le à jour.

[x] Lance un scan complet !

[x] Coche bien tout les éléments trouvés et supprime les !

[x] Un tutoriel pour son utilisation est disponible ici : http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php

[x] Suis les indications données sur le lien précédent puis copie/colle le rapport généré dans ton prochain message

   
Répondre à Xplode

14

mathieu, le 27 oct 2009 à 14:15:41

Lorsque je clique sur Helper, j'ai tout qui disparait, donc rien à copier !? c'est normal ?

   
Répondre à mathieu

20

mathieu, le 27 oct 2009 à 15:16:28

Voici le rapport : 

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3040
Windows 5.1.2600 Service Pack 2

27/10/2009 15:13:56
mbam-log-2009-10-27 (15-13-56).txt

Type de recherche: Examen complet (C:\|G:\|)
Eléments examinés: 281758
Temps écoulé: 44 minute(s), 47 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 73

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\admdll.dll (PUP.RemoteAdmin) -> Delete on reboot.

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Documents and Settings\MathieuNew\Application Data\drivers\downld (Worm.Bagle) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\WINDOWS\system32\admdll.dll (PUP.RemoteAdmin) -> Delete on reboot.
C:\Documents and Settings\Mathieu\Local Settings\Temporary Internet Files\Content.IE5\7F92XMT1\b64_3[1].jpg (Email.Worm) -> Quarantined and deleted successfully.
C:\Documents and Settings\Mathieu\Local Settings\Temporary Internet Files\Content.IE5\C03C71RX\b64_4[1].jpg (Email.Worm) -> Quarantined and deleted successfully.
C:\Documents and Settings\Mathieu\Local Settings\Temporary Internet Files\Content.IE5\CH278P6N\b64[1].jpg (Worm.Bagle) -> Quarantined and deleted successfully.
C:\Documents and Settings\Mathieu\Local Settings\Temporary Internet Files\Content.IE5\CH278P6N\b64_3[1].jpg (Email.Worm) -> Quarantined and deleted successfully.
C:\Documents and Settings\Mathieu\Local Settings\Temporary Internet Files\Content.IE5\CPUNG5MV\b64[1].jpg (Worm.Bagle) -> Quarantined and deleted successfully.
C:\Program Files\Radmin\AdmDll.dll (PUP.RemoteAdmin) -> Quarantined and deleted successfully.
C:\Program Files\Radmin\raddrv.dll (PUP.RemoteAdmin) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014040.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014042.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014046.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014047.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014048.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014050.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014053.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014054.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014069.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014070.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014250.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014157.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014158.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014159.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014160.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014161.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014165.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014166.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014207.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014208.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014211.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014251.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014252.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014256.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014257.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014294.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014296.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014297.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014300.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014329.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014330.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014331.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014334.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014335.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014368.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014369.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014372.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014373.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014437.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014439.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014440.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014444.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014445.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014558.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014563.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014564.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014572.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014648.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014651.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014569.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014691.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014692.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014693.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014769.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014770.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014773.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014774.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014775.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014776.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014777.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014820.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014821.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\cmdow.exe (Malware.Tool) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\raddrv.dll (PUP.RemoteAdmin) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dll32.dll (Backdoor.Bot) -> Quarantined and deleted successfully.

   
Répondre à mathieu

15

Xplode, le 27 oct 2009 à 14:22:30

Normalement, quand tu cliques sur " helper " , tu as un encadré jaune vide qui s'ouvre, dedans tu colle ce que j'ai mis dans le lien cjoint. puis tu cliques sur " ok " , " tous " et enfin " nettoyer ".

Puis tu postes le rapport qui sera à l'écran

   
Répondre à Xplode

16

mathieu, le 27 oct 2009 à 14:25:19

Pardon j'avais mal compris, voici :

http://cjoint.com/?kBoy4NPGVY

   
Répondre à mathieu

17

Xplode, le 27 oct 2009 à 14:33:47

Bien, fais la suite maintenant ( malwarebyte's )

   
Répondre à Xplode

18

mathieu, le 27 oct 2009 à 14:34:27

C'est en cours... merci de ton aide.. as-tu lu ma question précédente ?

   
Répondre à mathieu

19

Xplode, le 27 oct 2009 à 14:35:56

Désolé, j'avais pas remarqué.

Les opérations sont effectuées sur la machine entièrement

   
Répondre à Xplode

21

Xplode, le 27 oct 2009 à 15:17:44

Ok, la majorité était dans la restauration système.

Refais un ZHPDiag

   
Répondre à Xplode

22

mathieu, le 27 oct 2009 à 15:22:45

Très bien, par contre j'ai un souci, Malware m'a demandé de rebooter, l'ordi a du le faire mais mon Radmin ne fonctionne plus, et je suis au bureau.. donc je te tiens au courant ce soir.

   
Répondre à mathieu

23

Xplode, le 27 oct 2009 à 15:25:17

Ok pas de soucis

   
Répondre à Xplode

24

mathieu, le 27 oct 2009 à 18:58:58

De retour chez moi, voici le rapport Malware Bytes :
http://cjoint.com/?kBs55cbPJn

   
Répondre à mathieu

26

mathieu, le 27 oct 2009 à 19:05:18

Je tiens à préciser que mon nod32 ne veut toujours pas s'executer.
Arrivons-nous à la fin ? ou est-ce mort d'après toi ?

voici : http://cjoint.com/?kBteJkU82V

   
Répondre à mathieu

25

Xplode, le 27 oct 2009 à 19:01:26

Bien, fais un nouveau ZHPDiag

   
Répondre à Xplode

27

mathieu, le 27 oct 2009 à 19:06:14

Le post 26 correspondait à ton dernier post :
LE lien: http://cjoint.com/?kBteJkU82V

   
Répondre à mathieu

28

Xplode, le 27 oct 2009 à 19:46:18

C'est normal que nod32 ne fonctionne plus, bagle l'a neutralisé et corrompu comme l'indique ces lignes du rapports FYK :


################## | PEH ... |

Corrompu : C:\Program Files\Eset\nod32.exe
[Offset = 00000104 - Valeur = 0x0001]

Corrompu : C:\Program Files\Eset\nod32krn.exe
[Offset = 0000010C - Valeur = 0x0001]

Corrompu : C:\Program Files\Eset\nod32kui.exe
[Offset = 0000011C - Valeur = 0x0001]


Il faut donc que tu le désinstalles puis réinstalle. Ensuite fais un scan avec et poste le rapport

   
Répondre à Xplode

29

mathieu, le 27 oct 2009 à 21:41:20

J'ai installé le nouveau nod32 v4

voici le résultat du scan : 

27/10/2009 21:27:07	Protection en temps réel du système de fichiers	fichier	C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\R­P174\A0014052.exe	une variante probable de Win32/Statik application potentiellement indésirable	supprimé - mis en quarantaine	AUTORITE NT\SYSTEM	Un événement s'est produit sur un fichier modifié par l'application : C:\WINDOWS\system32\svchost.exe.
27/10/2009 21:27:06	Protection en temps réel du système de fichiers	fichier	C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\R­P174\A0014051.exe	une variante de Win32/Packed.Themida application potentiellement indésirable	supprimé - mis en quarantaine	AUTORITE NT\SYSTEM	Un événement s'est produit sur un fichier modifié par l'application : C:\WINDOWS\system32\svchost.exe.
27/10/2009 21:07:12	Protection en temps réel du système de fichiers	fichier	C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\R­P174\A0014055.sys	une variante de Win32/Bagle ver	nettoyé par suppression - mis en quarantaine	AUTORITE NT\SYSTEM	Un événement s'est produit sur un fichier modifié par l'application : C:\WINDOWS\system32\svchost.exe.

   
Répondre à mathieu

30

mathieu, le 28 oct 2009 à 10:00:14

Explode ? Je n'ai plus de nouvelles de toi?

   
Répondre à mathieu

31

Xplode, le 28 oct 2009 à 12:10:18

Salut,

-+-+-+-> Scan en ligne Bitdefender <-+-+-+-


[x] Suis le tutoriel disponible à cette adresse ( en image ) :

http://www.commentcamarche.net/faq/sujet-8872-scanner-en-ligne-avec-bitdefender


-+-+-+-> RSIT <-+-+-+-


[x] Télécharge Random's System Information Tool à cette adresse : http://images.malwareremoval.com/random/RSIT.exe

[x] Double clique sur " RSIT.exe ".

[x] Clique sur " Continue ".

[x] Si hijackthis n'est pas présent il sera automatiquement téléchargé et tu devras accepter la license.

[x] Une fois l'analyse finie, deux fichiers ( info.txt & log.txt ) s'ouvriront.

[x] Rend toi sur www.cjoint.com

[x] Clique sur " Parcourir " dans la partie " Joindre un fichier[...] "

[x] Séléctionne le rapport info.txt qui se trouve sur ton bureau

[x] Clique ensuite sur " Créer le lien cjoint "

[x] Fais de même pour le log.txt

[x] Copie/colle ensuite les deux liens dans ton prochain message

[x] Note : si jamais tu as fermé les rapports sans faire attention, ils sont sous C:\rsit

   
Répondre à Xplode

32

mathieu, le 28 oct 2009 à 12:44:11

Info.txt > http://cjoint.com/data/kEctBK3DRq.htm

bit.html > http://cjoint.com/data/kEct5dPPIi.htm

log.txt > http://cjoint.com/data/kEcva7WQjU.htm

Yen a til pour longtemps encore, je suis très inquiet de tous ces fichiers infectés !

   
Répondre à mathieu

33

Xplode, le 28 oct 2009 à 13:14:20

Les rapports sont clean, comment se porte le PC ? si tout va mieux on va procéder au nettoyage

   
Répondre à Xplode

34

mathieu, le 28 oct 2009 à 13:47:55

Il se porte très bien, si bien que je pensais que nous avions terminé.
Le son est revenu, il est nettement + rapide.

   
Répondre à mathieu

35

Xplode, le 28 oct 2009 à 13:50:58

Ok, alors tout d'abord ton système est vulnérable ( IE 6, SP2 ). Il va falloir mettre à jour tout ça :

SP3 XP : http://www.clubic.com/telecharger-fiche242026-windows-xp-ser­vice-pack-3.html
IE 8 : http://www.infos-du-net.com/telecharger/Internet-Explorer,03­01-20990.html

Ensuite,

1 - Nettoyage :

- Télécharge ATF-Cleaner

- Suis le tutoriel disponible à cette adresse

- Renouvelle l'opération régulièrement

-----------------

-+-+-+-> Tools Cleaner <-+-+-+-


[o] Afin de supprimer tout les logiciels qui ont été utilisés pour ta désinfection,

[o] Télécharge ToolsCleaner sur ton bureau à cette adresse : http://www.commentcamarche.net/telecharger/telecharger-34055291-toolscleaner

[o] Double-clique sur « Toolscleaner.exe »

[o] Clique sur "restauration" pour créer un point de restauration.

[o] Puis clique sur « recherche »

[o] Quand la recherche sera terminée, clique sur "suppression".

[o] A la fin (il y aura des indications dans le cadre en-dessous), clique sur "quitter" et poste le rapport qui se trouve dans C:\Tcleaner.txt

   
Répondre à Xplode

36

mathieu, le 28 oct 2009 à 15:39:02

Et voici : 

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\FindyKill.txt: trouvé !
C:\FindyKill: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Isabelle\Bureau\Rsit.exe: trouvé !
C:\Documents and Settings\Mathieu\Local Settings\Temp\hijackthis.log: trouvé !
C:\Indy\LSPFix.exe: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files\trend micro\HijackThis.exe: trouvé !
C:\Program Files\trend micro\hijackthis.log: trouvé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Indy\LSPFix.exe: supprimé !
C:\Program Files\trend micro\HijackThis.exe: supprimé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
C:\FindyKill.txt: supprimé !
C:\Documents and Settings\Isabelle\Bureau\Rsit.exe: supprimé !
C:\Documents and Settings\Mathieu\Local Settings\Temp\hijackthis.log: supprimé !
C:\Program Files\trend micro\hijackthis.log: supprimé !
C:\FindyKill: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\ZHPDiag: supprimé !

   
Répondre à mathieu

37

Xplode, le 28 oct 2009 à 15:48:38

Bien, tu peux supprimer toolscleaner et mettre ton post en " résolu " si tu n'as plus d'autres soucis.

-+-+-+-> Sécuriser son PC <-+-+-+-

I - Attitude sur le net


- Sécuriser son PC, c'est tout d'abord être responsable.

1-> Les sites de cracks sont à bannir ( Plus d'infos ici : http://forum.malekal.com/viewtopic.php?f=33&t=893 )

2-> Le P2P est également à éviter, source de nombreuses infections. ( Bagle par ex.) ( Plus d'infos ici : http://www.libellules.ch/... )

3-> Il est aussi très important de faire toutes les mises à jour de windows, qui sont nécessaire pour corriger les failles. ( IE, Mises à jour critiques, Service Pack etc.. ) ( Pourquoi mettre à jour son système : http://forum.malekal.com/ftopic3563.php )

4-> Adobe flash player, Java , et acrobat reader sont également à mettre à jour, pour éviter les exploits ( http://forum.malekal.com/viewtopic.php?f=33&t=13629 )

============================================================================================

II - Logiciels de protection


- Il faut ensuite avoir un bon antivirus, je recommande antivir qui est l'un de meilleur antivirus gratuit à ce jour ( et qui plus est en français ) :

Pour le télécharger --> http://www.commentcamarche.net/telecharger/telecharger-55-antivir

- Un bon pare-feu est aussi de rigueur, je recommande Comodo ( gratuit ) ou ZoneAlarm ( payant )

Comodo : http://www.commentcamarche.net/telecharger/telecharger-34055041-comodo-firewall

ZoneAlarm : http://www.commentcamarche.net/telecharger/telecharger-157-zone-alarm

- Pour complèter le tout, un anti-spyware est recommandé.

Malwarebyte's : http://www.commentcamarche.net/telecharger/telecharger-34055379-malwarebytes

SpywareTerminator ( Protection en temps réel ) : http://www.commentcamarche.net/telecharger/telecharger-34055170-spyware-terminator

============================================================================================

III - Liens utiles


-> Malekal - Sécuriser son PC : http://www.malekal.com/securiser_ordinateur.php

-> Malekal - Les spywares/vers/malwares sous windows : http://www.malekal.com/spywares.php

-> Malekal - Les toolbars : http://forum.malekal.com/les-toolbars-c-est-pas-obligatoire-t6173.html

   
Répondre à Xplode

38

 mathieu, le 28 oct 2009 à 16:04:18

Merci pour tout cela !
Très instructif ! A bientot !

   
Répondre à mathieu
Posez votre question Répondre
Ils ont besoin de votre aide
Collection CommentÇaMarche.net