Virus Bagle?Résolu/Fermé

Question

Bonjour, 
J'ai depuis quelques temps des soucis sur mon ordinateur portable. Mon antivirus se désactive et plus aucun n'antiviurs et scan en ligne ne fontionne. Puis peu à peu, plus aucune application n'est utilisable sur mon ordinateur. En surfant un peu, j'ai pensé au virus bagle... Un ami informaticien m'a finalement formaté mon ordinateur la semaine dernière...Mais après quelques jours de foncitonnement normal, voilà qu'aujourd'hui de nouveau le même problème, le message d'erreur est "l'application win32 n'est pas valable"...
En essayant de suivre les conseils d'un site sur le virus bagle, j'ai été sur findykill; mais je ne sais pas où poster le rapport... Le voici ci-dessous, quelqu'un peut-il m'aider??
Merci d'avance!
Vanessa

############################## | FindyKill V5.052 |

# User : Vanessa (Administrateurs) # VANESSA-PC
# Update on 23/10/2010 by El Desaparecido
# Start at: 20:34:42 | 30/10/2010
# Website : http://www.teamxscript.org/
# Contact : eldesaparecido@teamxscript.org

# Intel(R) Core(TM) i3 CPU       M 330  @ 2.13GHz
# Microsoft Windows 7 Professionnel  (6.1.7600 32-bit) # 
# Internet Explorer 9.0.7930.16406
# Windows Firewall Status : Enabled

# C:\ # Disque fixe local # 291,4 Go (265,47 Go free) # NTFS
# D:\ # Disque CD-ROM

################## | Eléments infectieux |

C:\Windows\prefetch\WINUPGRO.EXE-482730A2.pf  

################## | Registre |


################## | Etat |

# Affichage des fichiers cachés : OK
 
# Mode sans echec : OK

# Uac : OK 
 
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 ) 
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 ) 
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )  
# windefend -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 

################## | ! Fin du rapport # FindyKill V5.052 ! |


Configuration: Windows 7 / Internet Explorer 9.0

jfkpresident · Answer

Bonsoir,

! Déconnecte toi et ferme toutes application en cours ( navigateur compris ) . 

* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

* Fais un clic droit sur le raccourci FindyKill présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" .

* Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

* Au second menu choisis l'option 2 (suppression) et tape sur [entrée] 

* Le pc va redémarrer automatiquement ...

? le programme va travailler , ne touche à rien ... , ton bureau ne sera pas accessible c est normal !

--> Poste le rapport qui apparait à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt ) 

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide 

Aides en images : http://pagesperso-orange.fr/NosTools/findykill.html

pevanda · Answer

Le rapport que jai posté, ce n'est pas ça??

jfkpresident · Answer

Le rapport que jai posté, ce n'est pas ça??

Nan ,suis les instructions du premier post .

pevanda · Answer

Quand je veux exécuter en tant qu'administrateur, une fenêtre s'ouvre: 
The NTVDM CPU has encountered an illegal construction.
CS:odd 5 IP:020cOP:65 63 86 61 72
Et là il me conseille de fermer le fichier.
On peut cliquer sur fermer ou ignorer
Et quand je choisis Ignorer, ça bug et ça ferme tout....

Une autre solution?...

jfkpresident · Answer

Tu as réussi a le lancer une fois ,tu dois pouvoir le relancer ?! et choisir l'option2

pevanda · Answer

Je t'assure que je n'y arrive plus....
J'ai réessayer d'aller sur le site de findykill et de relancer le téléchargement, en cliquant sur exécuter directement cette fois ci....mais toujours le même message d'erreur....
Je suis un peu perdue là j'avoue :-(

jfkpresident · Answer

Ok,on va faire autrement :

Télécharges ComboFix à partir d'un de ces liens :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :

? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
la protection en temps réel de ton Antivirus et de tes Antispywares,
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.


Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
est automatiquement sauvegardé et rangé à C:\Combofix.txt)

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
avant de te reconnecter à internet.

? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

pevanda · Answer

ComboFix 10-10-30.01 - Vanessa 31/10/2010   1:18.1.4 - x86
Microsoft Windows 7 Professionnel   6.1.7600.0.1252.33.1036.18.3566.2931 [GMT 2:00]
Lancé depuis: c:\users\Vanessa\Desktop\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\Vanessa\AppData\Local\Temp\7425.tmp

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-09-28 au 2010-10-30  ))))))))))))))))))))))))))))))))))))
.

2010-10-30 23:22 . 2010-10-30 23:22	--------	d-----w-	c:\users\Default\AppData\Local	emp
2010-10-30 18:33 . 2010-10-30 18:34	--------	d-----w-	C:\FyK
2010-10-29 17:28 . 2010-10-18 07:41	6146896	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{C5980C3A-8840-4B59-9E72-1B614C108B07}\mpengine.dll
2010-10-26 17:45 . 2010-08-04 06:18	641536	----a-w-	c:\windows\system32\CPFilters.dll
2010-10-26 17:45 . 2010-08-04 06:17	417792	----a-w-	c:\windows\system32\msdri.dll
2010-10-26 17:45 . 2010-08-04 06:15	204288	----a-w-	c:\windows\system32\MSNP.ax
2010-10-26 17:45 . 2010-08-04 06:15	199680	----a-w-	c:\windows\system32\mpg2splt.ax
2010-10-26 17:45 . 2010-07-13 05:22	26504	----a-w-	c:\windows\system32\drivers\Diskdump.sys
2010-10-24 00:38 . 2009-09-10 05:52	257024	----a-w-	c:\windows\system32\msv1_0.dll
2010-10-24 00:33 . 2010-02-11 07:10	293376	----a-w-	c:\windows\system32\browserchoice.exe
2010-10-23 10:53 . 2010-10-23 10:53	--------	d-----w-	c:\windows\system32\Wat
2010-10-23 00:55 . 2009-11-25 10:47	99176	----a-w-	c:\windows\system32\PresentationHostProxy.dll
2010-10-23 00:55 . 2009-11-25 10:47	49472	----a-w-	c:\windows\system32
etfxperf.dll
2010-10-23 00:55 . 2009-11-25 10:47	297808	----a-w-	c:\windows\system32\mscoree.dll
2010-10-23 00:55 . 2009-11-25 10:47	295264	----a-w-	c:\windows\system32\PresentationHost.exe
2010-10-23 00:55 . 2009-11-25 10:47	1130824	----a-w-	c:\windows\system32\dfshim.dll
2010-10-23 00:55 . 2010-03-04 04:04	146304	----a-w-	c:\windows\system32\drivers\usbvideo.sys
2010-10-23 00:55 . 2010-03-04 03:57	190976	----a-w-	c:\windows\system32\drivers\ks.sys
2010-10-22 17:51 . 2010-10-22 17:51	--------	d-----w-	c:\windows\fr
2010-10-22 17:49 . 2010-10-22 17:49	--------	d-----w-	c:\program files\Microsoft SQL Server Compact Edition
2010-10-22 17:49 . 2010-10-22 17:49	--------	d-----w-	c:\windows\PCHEALTH
2010-10-22 17:48 . 2010-10-22 17:48	--------	d-----w-	c:\program files\Microsoft
2010-10-22 17:48 . 2010-10-22 17:48	--------	d-----w-	c:\program files\MSN Toolbar
2010-10-22 17:47 . 2010-10-22 17:48	--------	d-----w-	c:\program files\Bing Bar Installer
2010-10-22 17:42 . 2010-10-22 17:42	--------	d-----w-	c:\windows\system32\Macromed
2010-10-22 17:41 . 2010-10-22 17:41	--------	d-----w-	c:\program files\Common Files\Java
2010-10-22 17:39 . 2010-10-22 17:39	472808	----a-w-	c:\windows\system32\deployJava1.dll
2010-10-22 17:39 . 2010-10-22 17:39	--------	d-----w-	c:\program files\Java
2010-10-22 17:19 . 2010-10-22 17:19	--------	d-----w-	c:\windows\system32\wbem\en-US
2010-10-22 17:19 . 2010-09-01 07:30	94208	----a-w-	c:\program files\Internet Explorer\fr\iediag.resources.dll
2010-10-22 17:17 . 2010-08-16 06:15	804864	----a-w-	c:\windows\system32\FntCache.dll
2010-10-22 17:17 . 2010-08-16 06:14	1076224	----a-w-	c:\windows\system32\DWrite.dll
2010-10-22 17:17 . 2010-08-16 06:14	737280	----a-w-	c:\windows\system32\d2d1.dll
2010-10-22 17:17 . 2010-08-16 06:14	218624	----a-w-	c:\windows\system32\d3d10_1core.dll
2010-10-22 17:17 . 2010-08-16 06:14	1172480	----a-w-	c:\windows\system32\d3d10warp.dll
2010-10-22 17:17 . 2010-05-09 09:15	279552	----a-w-	c:\windows\system32\XpsGdiConverter.dll
2010-10-22 17:17 . 2010-05-09 09:15	135168	----a-w-	c:\windows\system32\XpsRasterService.dll
2010-10-22 17:16 . 2010-06-26 05:14	1495040	----a-w-	c:\windows\system32\ExplorerFrame.dll
2010-10-22 17:16 . 2010-10-22 17:16	--------	d-----w-	c:\program files\Feedback Tool
2010-10-22 05:37 . 2010-06-29 05:02	1413632	----a-w-	c:\windows\system32\ole32.dll
2010-10-22 05:37 . 2010-06-29 04:57	4247040	----a-w-	c:\program files\Windows NT\Accessories\wordpad.exe
2010-10-22 05:37 . 2010-06-14 06:12	1286016	----a-w-	c:\windows\system32\drivers	cpip.sys
2010-10-22 05:37 . 2009-09-26 05:58	194488	----a-w-	c:\windows\system32\drivers\fvevol.sys
2010-10-22 05:37 . 2010-08-21 05:32	316928	----a-w-	c:\windows\system32\spoolsv.exe
2010-10-22 05:37 . 2010-08-21 05:36	224256	----a-w-	c:\windows\system32\schannel.dll
2010-10-22 05:33 . 2010-05-27 03:49	293888	----a-w-	c:\windows\system32\atmfd.dll
2010-10-22 05:33 . 2009-10-19 14:10	70656	----a-w-	c:\windows\system32\fontsub.dll
2010-10-22 05:33 . 2010-05-27 07:24	34304	----a-w-	c:\windows\system32\atmlib.dll
2010-10-21 19:19 . 2010-10-21 19:19	--------	dc----w-	c:\windows\system32\DRVSTORE
2010-10-21 19:19 . 2010-09-22 22:21	39272	----a-w-	c:\windows\system32\drivers\fssfltr.sys
2010-10-21 18:22 . 2010-10-22 17:51	--------	d-----w-	c:\program files\Windows Live
2010-10-21 18:21 . 2009-09-04 15:44	69464	----a-w-	c:\windows\system32\XAPOFX1_3.dll
2010-10-21 18:21 . 2009-09-04 15:44	515416	----a-w-	c:\windows\system32\XAudio2_5.dll
2010-10-21 18:21 . 2009-09-04 15:29	453456	----a-w-	c:\windows\system32\d3dx10_42.dll
2010-10-21 18:20 . 2006-11-29 11:06	3426072	----a-w-	c:\windows\system32\d3dx9_32.dll
2010-10-21 18:20 . 2010-10-24 01:35	--------	d-----w-	c:\program files\Microsoft Silverlight
2010-10-21 18:19 . 2010-08-11 04:44	2983424	----a-w-	c:\windows\system32\UIRibbon.dll
2010-10-21 18:19 . 2010-08-11 04:35	1164800	----a-w-	c:\windows\system32\UIRibbonRes.dll
2010-10-21 18:19 . 2010-05-23 10:11	196608	----a-w-	c:\windows\system32\mfreadwrite.dll
2010-10-21 18:19 . 2010-05-23 10:11	3181568	----a-w-	c:\windows\system32\mf.dll
2010-10-21 18:19 . 2010-05-23 10:15	1619456	----a-w-	c:\windows\system32\WMVDECOD.DLL
2010-10-21 18:18 . 2010-10-21 18:18	--------	d-----w-	c:\program files\Common Files\Windows Live
2010-10-21 17:00 . 2010-10-21 07:37	--------	d-----w-	c:\windows\Panther
2010-10-21 17:00 . 2010-10-21 17:00	--------	d-----w-	c:\windows\system32\oem
2010-10-21 16:59 . 2010-10-21 16:59	--------	d-----w-	c:\windows\fr-FR
2010-10-21 16:59 . 2010-10-21 16:59	--------	d-----w-	c:\windows\system32\XPSViewer
2010-10-21 16:59 . 2010-10-21 16:59	--------	d-----w-	c:\windows\system32\fr
2010-10-21 16:59 . 2010-10-21 16:59	--------	d-----w-	c:\windows\system32\drivers\UMDF\fr-FR
2010-10-21 16:59 . 2010-10-21 16:59	--------	d-----w-	c:\windows\system32\drivers\fr-FR
2010-10-21 16:59 . 2010-10-21 16:59	--------	d-----w-	c:\windows\system32\040C
2010-10-21 16:59 . 2010-10-22 17:19	--------	d-----w-	c:\windows\system32\wbem\fr-FR
2010-10-21 16:57 . 2009-07-14 02:38	3584	----a-w-	c:\windows\system32\Spool\prtprocs\w32x86\fr-FR\LXKPTPRC.DLL.mui
2010-10-21 16:43 . 2010-10-19 09:41	222080	------w-	c:\windows\system32\MpSigStub.exe
2010-10-21 16:22 . 2010-10-22 17:40	--------	d-----w-	c:\program files\Google
2010-10-21 16:22 . 2010-09-07 14:47	17744	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2010-10-21 16:22 . 2010-09-07 14:52	165584	----a-w-	c:\windows\system32\drivers\aswSP.sys
2010-10-21 16:21 . 2010-09-07 14:47	23376	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2010-10-21 16:21 . 2010-09-07 14:52	46672	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2010-10-21 16:21 . 2010-09-07 14:47	50768	----a-w-	c:\windows\system32\drivers\aswMonFlt.sys
2010-10-21 16:21 . 2010-09-07 15:12	38848	----a-w-	c:\windows\avastSS.scr
2010-10-21 16:21 . 2010-09-07 15:11	167592	----a-w-	c:\windows\system32\aswBoot.exe
2010-10-21 16:21 . 2010-10-21 16:21	--------	d-----w-	c:\programdata\Alwil Software
2010-10-21 16:21 . 2010-10-21 16:21	--------	d-----w-	c:\program files\Alwil Software
2010-10-21 16:18 . 2010-01-09 06:52	132608	----a-w-	c:\windows\system32\cabview.dll
2010-10-21 16:18 . 2009-12-29 06:55	172032	----a-w-	c:\windows\system32\wintrust.dll
2010-10-21 11:11 . 2010-10-21 11:11	--------	d-----w-	c:\windows\Options
2010-10-21 07:37 . 2010-10-22 17:56	--------	d-----w-	c:\users\Vanessa
2010-10-21 07:37 . 2010-10-21 07:37	--------	d-sh--we	c:\users\Default\Voisinage réseau
2010-10-21 07:37 . 2010-10-21 07:37	--------	d-sh--we	c:\users\Default\Voisinage d'impression
2010-10-21 07:37 . 2010-10-21 07:37	--------	d-sh--we	c:\users\Default\Modèles
2010-10-21 07:37 . 2010-10-21 07:37	--------	d-sh--we	c:\users\Default\Mes documents
2010-10-21 07:37 . 2010-10-21 07:37	--------	d-sh--we	c:\users\Default\Menu Démarrer
2010-10-21 07:37 . 2010-10-21 07:37	--------	d-sh--we	c:\users\Default\AppData\Local\Historique
2010-10-21 07:37 . 2010-10-21 07:37	--------	d-sh--we	c:\programdata\Modèles
2010-10-21 07:37 . 2010-10-21 07:37	--------	d-sh--we	c:\programdata\Menu Démarrer
2010-10-21 07:37 . 2010-10-21 07:37	--------	d-sh--we	c:\programdata\Favoris
2010-10-21 07:37 . 2010-10-21 07:37	--------	d-sh--we	c:\programdata\Bureau
2010-10-21 07:37 . 2010-10-21 07:37	--------	d-sh--we	c:\program files\Fichiers communs
2010-10-21 07:37 . 2010-10-21 07:37	--------	d-----w-	C:\Recovery
2010-10-21 07:10 . 2010-10-30 20:21	--------	d-----w-	c:\windows\system32\wbem\Performance

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-21 10:00 . 2010-05-21 10:26	246804	----a-w-	c:\windows\system32\drivers\AtherosBt.bin
2010-09-22 22:47 . 2010-09-22 22:47	49016	----a-w-	c:\windows\system32\sirenacm.dll
2010-09-22 22:32 . 2010-09-22 22:32	301936	----a-w-	c:\windows\WLXPGSS.SCR
2010-09-21 12:03 . 2010-09-21 12:03	208768	----a-w-	c:\windows\system32\LIVESSP.DLL
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AtherosBtStack"="c:\program files\Bluetooth Suite\BtvStack.exe" [2010-05-25 470176]
"AthBtTray"="c:\program files\Bluetooth Suite\AthBtTray.exe" [2010-05-25 289952]
"avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2010-09-07 2838912]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-10-22 135664]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-10-23 1343400]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-22 51040]
S1 aswSP;aswSP; [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-09-07 50768]
S3 BTATH_BUS;Atheros Bluetooth Bus;c:\windows\system32\DRIVERS\btath_bus.sys [2010-05-20 28200]
S3 SFEP;Sony Firmware Extension Parser;c:\windows\system32\DRIVERS\SFEP.sys [2007-08-03 9344]

.
Contenu du dossier 'Tâches planifiées'

2010-10-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-10-22 17:40]

2010-10-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-10-22 17:40]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/ig
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_950DF09FAB501E03.dll/cmsidewiki.html
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-3109296773-2690203796-4249399291-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.Email.1"

[HKEY_USERS\S-1-5-21-3109296773-2690203796-4249399291-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.VCard.1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\Windows\system32\Macromed\Flash\FlashUtil10k_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\Windows\system32\Macromed\Flash\FlashUtil10k_ActiveX.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'Explorer.exe'(4028)
c:\program files\Bluetooth Suite\AthCopyHook.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\windows\system32\sppsvc.exe
c:\windows\system32	askhost.exe
c:\windows\system32\conhost.exe
.
**************************************************************************
.
Heure de fin: 2010-10-31  02:00:34 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-10-31 00:00

Avant-CF: 284 993 105 920 octets libres
Après-CF: 284 997 259 264 octets libres

- - End Of File - - 2F0399BEA2C527CE38FC56C6216F5A11

jfkpresident · Answer

Télécharge ZhpDiag de Nicolas Coolman .
  
    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista).

    Une fois installé le programme s'ouvre automatiquement .

    Clique sur la loupe pour lancer l'analyse.

    A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .

    Rend toi sur ce site : http://www.cijoint.fr/index.php
     
    Clique sur parcourir et sélectionne le fichier ZhpDiag.txt .

    Un lien va etre créer ,poste ce lien dans ta prochaine réponse.

pevanda · Answer

Le lien est :

http://www.cijoint.fr/cjlink.php?file=cj201010/cijmxXwZzB.txt

(merci pour ton aide!!)

jfkpresident · Answer

Je ne vois strictement rien d'infectieux ......

Télécharge SEAF de C_XX .

*Double clique sur SEAF.exe ("éxécuter en tant qu'administrateur pour vista) .

*Une fenetre Cmd va s'ouvrir .

*Tape WINUPGRO dans cette fenetre et "entrée" .

*Patiente pendant la recherche .

*Une fenetre avec un log .txt va s'afficher .

*Copie/colle ce rapport dans ta prochaine réponse .

pevanda · Answer

Rien d'infectueux??.....Je ne comprends vraiment pas, tous les antivirus sont bloqués et l'ordinateur se dégrade au fur et à mesure, ça fait 2 fois que ça me le fait, même après un formatage...il doit bien y avoir un problème..Ci-dessous le rapport (si j'ai bien fait)

1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 15:16:42 le 31/10/2010
4. 
5. Valeur(s) recherchée(s):
6. WINUPGRO
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. 
11. ====== Fichier(s) ======
12. 
13. 
14. "C:\FyK\Tools\winupgro.exe" [ ARCHIVE | 74 Ko ]
15. TC: 30/10/2010,19:33:59 | TM: 23/03/2008,07:55:04 | DA: 30/10/2010,19:33:59
16. 
17. 
18. =========================
19. 
20. 
21. =========================
22. 
23. Fin à: 15:17:30 le 31/10/2010
24. 83060 Éléments analysés
25. 
26. =========================
27. E.O.F

jfkpresident · Answer

Le seul élément infectieux était Winupgro.exe et il se trouve dans la quarantaine de Findykill ....

Mais il reste une possibilité ...Infection du MBR (MasterBootrecord)

Lance l'icone ZhpFix par un clic droit (éxécuter en tant qu'admin) puis choisis l'onglet "MbrFix" .

pevanda · Answer

Non , ce n'est pas ça non plus...

Rapport de ZHPFix 1.12.3213 par Nicolas Coolman, Update du 27/10/2010
Fichier d'export Registre : 
Run by Vanessa at 01/11/2010 00:22:51
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Master Boot Record ==========
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ataport.SYS halmacpi.dll PCIIDEX.SYS msahci.sys 
kernel: MBR read successfully
user & kernel MBR OK 
 
Resultat après le fix :
Master Boot Record non infecté


========== Récapitulatif ==========
                          1 : Master Boot Record


End of the scan

pevanda · Answer

J'ai réussi à lancer un scan en ligne, donc apparemment tu avais raison, findykill a mis mon virus en quarantaine.... Je n'arrive pas à relancer avast, mais je pense peut-être que je dois le désinstaller puis le réinstaller...
Merci beaucoup pour ton aide et ta patience!

jfkpresident · Answer

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

https://www.malwarebytes.com/

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

pevanda · Answer

Je n'arrivais plus à répondre au sujet hier, mais j'ai noté un commentaire à mon premier post, en fait j'ai réussi à refaire un scan en ligne, puis à réutiliser avast (mais en fait il a fallu que je le désinstalle et que je le réinstalle). maintenant ça a l'air tout bon au niveau des anti virus.
Penses-tu que le virus est toujours là ou alors findykill la garder en quarantaine et c'est bon?
Dois-je encore suivre les indications de ton dernier post?
merci!

jfkpresident · Answer

Findykill a bien supprimé le fichier infectieux mais si tu pouvais fair ele dernier post pour verif ,ce serait bien .

pevanda · Answer

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4052

Windows 6.1.7600
Internet Explorer 9.0.7930.16406

01/11/2010 21:04:51
mbam-log-2010-11-01 (21-04-51).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 184993
Temps écoulé: 1 heure(s), 6 minute(s), 20 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

jfkpresident · Answer

RAS ,c'est tout bon .

pevanda · Answer

merci beaucoup pour ton aide!

jfkpresident · Answer

Juste avant de partir :

==*Nettoyage des outils*==
Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Relance ZHPFix sur ton Bureau.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage.

pevanda · Answer

et pour windows 7?

jfkpresident · Answer

idem que Vista :)

nicolas · Answer

Bonjour , j'ai le méme souci avec mon pc , sur le rapport fdk il affiche : 


############################## | FindyKill V5.052 |

# User : Nico (Administrateurs) # NICO-PC
# Update on 23/10/2010 by El Desaparecido
# Start at: 10:34:28 | 03/02/2011
# Website : http://www.teamxscript.org/
# Contact : eldesaparecido@teamxscript.org

# Pentium(R) Dual-Core CPU       T4500  @ 2.30GHz
# Microsoft Windows 7 Édition Familiale Premium  (6.1.7600 64-bit) # 
# Internet Explorer 8.0.7600.16385
# Windows Firewall Status : Disabled

# C:\ # Disque fixe local # 583,38 Go (544,52 Go free) [Packard Bell] # NTFS
# D:\ # Disque CD-ROM
# F:\ # Disque amovible

################## | Eléments infectieux |

C:\Windows\prefetch\WINUPGRO.EXE-482730A2.pf  

################## | Registre |


################## | Etat |

# Affichage des fichiers cachés : OK
 
# Mode sans echec : OK

# Uac : OK 
 
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 ) 
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# windefend -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 

################## | ! Fin du rapport # FindyKill V5.052 ! |


Alors si je redémarre fdk et en choisissant l'option "supprimer"... il y'aura un redémmarage du pc mais le virus serat il supprimer ? 
Merci.

Virus Bagle?

25 réponses

Discussions similaires

Newsletters