N'est pas une application win 32 valide+virus

Résolu
Matalvis Messages postés 37 Statut Membre -  
Matalvis Messages postés 37 Statut Membre -
Bonjour,
Voila mon problème: A la suite d'une infection d'un virus dont je ne connais pas le nom, avast a supprimé les fichiers infectés et depuis les services de sécurité tel que "centre de sécurité" ou "windows defender " sont désactivés et le service sans fil de windows n'est pas en cours d'exécution sur cet ordinateur. J'essaie de demarrer le service de configuration automatique WLAN mais erreur 1068 : " Le service n'a pas pu demarrer"
Après quelques dizaines d'heure de recherche à l'aide de l'ordinateur sur lequel je vous écrit, je m'aperçois de l'intrusion d'un second virus, Bagle.gen, responsable de l'inactivité du réseau sans fil de windows, qui change la valeur du registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio\Start de 3 à 4.
Une fois cette valeur remise à 3, les services remis en automatiques je redémarre et quelques secondes après le démarrage de windows "Blue screen" apparait avec son habituel "Windows has been shuting down to protect your system " et toutes les valeurs modifiées reviennent comme précédemment.
Après cela j'essaye de lancer avast pour faire une analyse et il me dit :" ...n'est pas une application Win 32 valide" .Me voila reparti à rechercher et j essaie les processus indiqués ici .exe n'est pas une application Win32 valide
J'essaie d'analyser mon systeme avec les programmes donnés mais à chaque fois le même message s'affiche : "... n'est pas une appilcation Win 32 valide "
Je ne sais plus quoi faire et je vous demande de l'aide. Devrais-je formater mon disque dur ? Si oui comment procéder?
Merci
Matalvis
Configuration: Windows Vista
Firefox 3.0.5

23 réponses

  • 1
  • 2
  1. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Bonsoir vous deux

    A)- Attention Matalvis, suis bien toute cette procédure: outil "FindyKill" (merci Chiquitine et mOe) sous VISTA
    Supprime les 2 derniers cracks téléchargés !!

    1°- Désactiver le contrôle des comptes utilisateurs ou UAC (le réactiver seulement à la fin de la désinfection) :

    Aller dans "démarrer" puis "panneau de configuration" :
    --->Sur la droite de la fenêtre , cliques sur " affichage classique "
    --->Double-Cliquer sur l'icône "Comptes d'utilisateurs"
    --->Cliquer ensuite sur "Activer ou désactiver le contrôle ..." .
    --->Décocher la case "utlisiser le contrôle ..." et cliquer sur OK .
    Puis redémarrer le PC quand il le vous saura demandé ...

    Tuto : https://forum.malekal.com/viewtopic.php?f=59&t=6517

    2°- Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d’avoir été infectées et sans les ouvrir.

    3°- Télécharge maintenant FindyKill
    http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe sur ton bureau :

    --> Lance l installation avec les parametres par default
    --> Fais un clic droit sur le raccourci FindyKill sur ton bureau
    --> Choisi executer en tant qu’administrateur
    --> Au menu principal,choisi l’option 1 (Recherche)
    --> Post le rapport FindyKill.txt qui s'affiche.
    Note : le rapport FindyKill.txt est sauvegardé à la racine du disque

    -----------------------------------------------------------------------------------------

    Ensuite:

    Veille à ce que le contrôle des comptes utilisateurs (UAC) soit toujoursdésactivé.
    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d’avoir été infectées et sans les ouvrir.

    --> Fais clic droit sur le raccourci FindyKill sur ton bureau
    --> Choisi executer en tant qu' administrateur
    --> Au menu principal,choisi l option 2 (Suppression)
    /!\ laisse travailler l outil jusqu a l apparition du message "nettoyage effectué"
    /!\ Ne te sers pas du pc durant la suppression , ton bureau ne sera pas accessible c est normal !
    -------> ensuite post le rapport FindyKill.txt
    Note : le rapport FindyKill.txt est sauvegardé a la racine du disque

    /!\ Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides) /!\

    B)- Après cela, commence par remplacer AVAST comme ceci:
    Avast ne te sert pas à grand-chose (sinon à t'avertir qu'il a laissé infecter ton PC !!).

    1)- Télécharger ANTIVIR à partir de ce lien et tuto [ http://www.libellules.ch/tuto_antivir.php ]
    http://www.zebulon.fr/actualites/3001-antivir-francais.html
    Autres TUTORIELS :
    < [ https://www.astucesinternet.com/modules/news/article.php?storyid=253 ] > ==> enregistre-le sur ton bureau pour y accéder facilement.
    - ou < [ http://www.malekal.com/tutorial_antivir.html ] >
    - ou < [ http://www.vista-xp.fr/forum/topic227.html ] >
    Vidéo de configuration par Angélique https://www.malekal.com/fichiers/antivir/ConfigurationAntivir.avi
    2)- Désinstaller AVAST: <
    https://www.avast.com/fr-fr/uninstall-utility >

    3)- Attention, après le téléchargement, il faut se déconnecter du Net ( débrancher éventuellement le modem ) avant de lancer l'installation.

    - Attention : Sers-toi du tutoriel pour installer ANTIVIR,

    4)- Procédure d'utilisation:
    Après l'installation du programme et avant de lancer l'analyse, ...
    ...il faut redémarrer le PC en mode sans échec, comme ceci:
    < http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 >

    L'analyse:
    - Lancer Antivir en Scan complet (analyse avancée) en faisant un click-droit sur l’icône d’Antivir dans la « barre des taches » en bas à droite (= Systray, à côté de l’horloge) et choisis « Configure Antivir »
    Dans la fenêtre, coche la case Expert Mode
    Juste en dessous, clique sur le menu SCAN
    Sur le panneau de droite, coche la case Search for Rootkits before scan
    <gras>Vérifier pour « Manuelle détection » (en développant avec la petite croix devant chacun d'eux) que tous les disques durs soient bien cochés, puis cliquer sur la loupe (en dessous de statut) .
    - Une fenêtre va s’ouvrir « Luke Filewalker »
    - Le scan va démarrer.
    - Mettre tout ce qu il trouve en "quarantine"

    Le rapport:
    Une fois le scan achevé, fermer les deux fenêtres d'Antivir et sauvegarder sur le bureau le rapport qui vient d'apparaître.
    Redémarrer en mode normal puis poster le rapport d'Antivir (qui est sur le bureau).

    Voici un lien pour ne plus avoir de popup intempestif pour acheter la version payante lors des mises à jour [ https://forum.malekal.com/viewtopic.php?p=45326#p45326 ]

    lou12 poursuivra alors.
    Bonne chance
    Bonne nuit
    Al
    3
  2. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Re,

    Je suis désolé si je m'exprime mal, mais je ne peux pas faire mieux.
    Je vais tenter une dernière fois d'écrire ce quil y a lieu de faire.
    J'insiste sur le fait qu'il me faut tous les rapports au fur et à mesure de l'exécution des applications réalisées dans l'ordre demandé.
    Imprime tout sur une feuille pour lire les procédures (au mieux, tu crées un fichier sur le bureau; comme cela, tu sais le lire durant le mode sans échec).
    Et si souci, passe par MP.

    Procédure à réaliser dans l'ordre établi:

    A)- Supprime la version de FindyKill actuellement sur de ton PC.

    B)- Veille à ce que le contrôle des comptes utilisateurs (UAC) soit toujours désactivé.

    C)- « Supprime les 2 derniers cracks téléchargés !! » ==> toi seul sait pertinemment lesquels.
    En effet, Beagle est en réalité un ver informatique se propageant essentiellement par :
    - les logiciels p2p
    - via de faux cracks (=logiciels piratés !)
    - ainsi que par mail.
    •- L'internaute croyant “télécharger un crack pour un logiciel en faisant une recherche via un logiciel p2p” installe lui-même le ver sur son ordinateur ; car le fichier.exe contenu dans l'archive est en réalité le ver Beagle !

    D)- Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d’avoir été infectées et sans les ouvrir.

    E)- Télécharge maintenant FindyKill
    http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe sur ton bureau :
    --> Lance l installation avec les parametres par default
    --> Fais un clic-droit sur le raccourci FindyKill sur ton bureau
    --> Choisi "Executer en tant qu’administrateur"
    --> Au menu principal,choisi l’option 1 (Recherche)
    --> Poste le rapport FindyKill.txt qui s'affiche.
    (Note : le rapport FindyKill.txt est sauvegardé à la racine du disque)

    Il me faut donc ce rapport (voir via fichier si trop long)

    F)- Veille à ce que le contrôle des comptes utilisateurs (UAC) soit toujoursdésactivé.
    --> Fais clic-droit sur le raccourci FindyKill sur ton bureau
    --> Choisi "Executer en tant qu' administrateur"
    --> Au menu principal,choisi l option 2 (Suppression)
    /!\ laisse travailler l outil jusqu a l apparition du message "nettoyage effectué"
    /!\ Ne te sers pas du pc durant la suppression , ton bureau ne sera pas accessible c est normal !
    -------> ensuite poste le rapport FindyKill.txt
    Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
    /!\ Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides) /!\

    Il me faut donc ce rapport (voir via fichier si trop long)

    G)- Télécharge ELIBAGLA en bas de cette page < http://www.zonavirus.com/datos/descargas/95/elibagla.asp >
    (Clique sur le bouton "Descargar Elibagla"en bas de la page pour le télécharger)
    Enregistre-le à la racine du disque dur en le renommant comme ceci :
    < http://img520.imageshack.us/img520/9307/screenshot312cm2.png >.
    Par clic-droit, fais-en un raccourci medelk.exe sur le bureau.

    Lance-le en mode sans échec.
    ==> : Comment redémarrer le PC en mode sans échec< http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 >
    Lance-le en mode normal si ça ne va pas.
    ==> Mais alors, il faut déconnecter ton PC du Net (débranche ton modem)

    ==> Double-clique sur l’icône medelk.exe du bureau pour l'ouvrir.
    Assure-toi que dans le menu déroulant “Unidad”, tu aies bien C:\
    (NOTE : ==> tu relanceras avec les répertoires propres aux clés USB et disques durs éventuels ; par exemple F:\ )
    Vérifie aussi que l'option en bas de la fenêtre “Eliminar Ficheros Automaticamente” soit bien cochée.
    Clique sur le bouton “Explorar” pour lancer l'analyse.
    Si tu vois ceci « Restaurada Clave: "SafeBoot\Minimal y Network" » dans le rapport, alors tu vas refaire la même manipulation (en mode sans échec cette fois, de préférence) mais 3 à 4 fois d'affilée (at a stretch) et sans redémarrer le PC.

    ===> Poste le dernier rapport ELIBAGLA stp.
    Si tu ne le vois pas, il se trouve ici > C:\InfoSat.txt qui se trouve dans Poste de travail > Disque C:\

    H)- Télécharge ComboFix.exe (par sUBs) sur ton Bureau:
    Clic-droit sur ce lien < http://download.bleepingcomputer.com/sUBs/ComboFix.exe >
    Puis choisis "Enregistrer sous .." ==> vers le 'bureau"
    ==> Attention : renomme-le sous le nom « TRISTAN.EXE » (très important).
    Tu le nommes à ce moment-là, et non pas après l'avoir enregistré ; ce serait trop tard.
    Puis clic sur [Enregistrer]

    Avant d'utiliser ComboFix :
    ==> imprime cette procédure ComboFix
    ==> Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours.
    ==> Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil).
    Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    - Clic-droit sur l'icône de ComboFix.exe ( TRISTAN.EXE ) du bureau ==> choisir "Exécuter en tant que Administrateur", [Exécuter] et suivre les invites.
    •- Si vous utilisez Windows Vista, et si vous recevez un avertissement de l'UAC (Contrôle de compte d'utilisateur) vous demandant si vous voulez continuer, il faut cliquer sur le bouton Continuer.

    Accepter les alertes éventuelles.
    Laisse se dérouler le scan.

    /!\ Pendant la durée de cette étape, ne te sers pas du pc et n'ouvre aucun programme.
    Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 50 étapes d’analyse). /!\

    - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisse-le faire.
    - Un rapport s'ouvrira ensuite dans le bloc-notes sur le bureau.
    Note: ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt - ou TRISTAN.txt)
    ==> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet.
    ==> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt (TRISTAN.txt) dans ton prochain message.

    Bonne journée
    Al.
    2
  3. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Bonjour Matalvis,

    Dommage que je n'aie reçu aucun rapport.
    Ce n'est pas pour nous aider.

    NON, ce n'est pas terminé.

    A)- Supprime FindKill de ton PC.

    B)- Exécute ceci, SVP:
    1°- Veille à ce que le contrôle des comptes utilisateurs (UAC) soit toujours désactivé.
    2°- As-tu correctement fait ceci: « Supprime les 2 derniers cracks téléchargés !! » ?
    En effet, Beagle est en réalité un ver informatique se propageant essentiellement par :
    - les logiciels p2p
    - via de faux cracks (=logiciels piratés !)
    - ainsi que par mail.
    •- L'internaute croyant “télécharger un crack pour un logiciel en faisant une recherche via un logiciel p2p” installe lui-même le ver sur son ordinateur ; car le fichier.exe contenu dans l'archive est en réalité le ver Beagle !
    3°- Télécharge ELIBAGLA en bas de cette page < http://www.zonavirus.com/datos/descargas/95/elibagla.asp >
    (Clique sur le bouton "Descargar Elibagla"en bas de la page pour le télécharger)
    Enregistre-le à la racine du disque dur en le renommant comme ceci :
    < http://img520.imageshack.us/img520/9307/screenshot312cm2.png >.
    Par clic-droit, fais-en un raccourci medelk.exe sur le bureau.

    Lance-le en mode sans échec; ou en mode normal si ça ne va pas.
    ==> Mais alors, il faut déconnecter ton PC du Net (débranche ton modem)

    ==> Double-clique sur l’icône medelk.exe du bureau pour l'ouvrir.
    Assure-toi que dans le menu déroulant “Unidad”, tu aies bien C:\
    (NOTE : ==> tu relanceras avec les répertoires propres aux clés USB et disques durs éventuels ; par exemple F:\ )
    Vérifie aussi que l'option en bas de la fenêtre “Eliminar Ficheros Automaticamente” soit bien cochée.
    Clique sur le bouton “Explorar” pour lancer l'analyse.
    Si tu vois ceci « Restaurada Clave: "SafeBoot\Minimal y Network" » dans le rapport, alors tu vas refaire la même manipulation (en mode sans échec cette fois, de préférence) mais 3 à 4 fois d'affilée (at a stretch) et sans redémarrer le PC.
    ==> : Comment redémarrer le PC en mode sans échec</gras> < http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 >
    Poste le dernier rapport ELIBAGLA stp.
    Si tu ne le vois pas, il se trouve ici > C:\InfoSat.txt qui se trouve dans Poste de travail > Disque C:\
    Merci

    C)- Télécharge ComboFix.exe (par sUBs) sur ton Bureau:
    Clic-droit sur ce lien < http://download.bleepingcomputer.com/sUBs/ComboFix.exe >
    Puis choisis "Enregistrer sous .." ==> vers le 'bureau"
    ==> Attention : renomme-le sous le nom « TRISTAN.EXE » (très important).
    Tu le nommes à ce moment-là, et non pas après l'avoir enregistré ; ce serait trop tard.
    Puis clic sur [Enregistrer]

    Avant d'utiliser ComboFix :
    ==> imprime cette procédure ComboFix
    ==> Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours.
    ==> Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil).
    Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    - Clic-droit sur l'icône de ComboFix.exe ( TRISTAN.EXE ) du bureau ==> choisir "Exécuter en tant que Administrateur", [Exécuter] et suivre les invites.
    •- Si vous utilisez Windows Vista, et si vous recevez un avertissement de l'UAC (Contrôle de compte d'utilisateur) vous demandant si vous voulez continuer, il faut cliquer sur le bouton Continuer.

    Accepter les alertes éventuelles.
    Laisse se dérouler le scan.

    /!\ Pendant la durée de cette étape, ne te sers pas du pc et n'ouvre aucun programme.
    Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 50 étapes d’analyse). /!\

    - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisse-le faire.
    - Un rapport s'ouvrira ensuite dans le bloc-notes sur le bureau.
    Note: ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt - ou TRISTAN.txt)
    ==> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet.
    ==> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt (TRISTAN.txt) dans ton prochain message.

    Bonne journée
    Al.
    1
  4. lou12 Messages postés 68 Statut Membre 4
     
    telecharge et installe malware byte anti malware et fais le menage dans tout ca
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Matalvis Messages postés 37 Statut Membre 9
     
    Une analyse complète est en cours. Le message habituel pour les scans (...n'est pas une application win32 valide) n'est pas apparu. C'est plutôt bon signe je donne des nouvelles dès la fin de l'analyse .
    Merci pour ta si prompte réponse ;
    Matalvis
    0
  7. Matalvis Messages postés 37 Statut Membre 9
     
    Voila alors Malwarebyte se demarre normalement je peux faire un scan rapide mais quand je fais un scan minutieux, au bout de 1 h d'analyse windows s'éteint et apparait la "blue screen" avec " windows has been shuting down to protect your system" je copie le rapport de la suppression lors de le scan rapide.
    0
  8. Matalvis Messages postés 37 Statut Membre 9
     
    Voila le rapport:
    Malwarebytes' Anti-Malware 1.33
    Version de la base de données: 1654
    Windows 6.0.6001 Service Pack 1

    18/01/2009 19:44:01
    mbam-log-2009-01-18 (19-43-57).txt

    Type de recherche: Examen rapide
    Eléments examinés: 53621
    Temps écoulé: 6 minute(s), 3 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 3
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 3
    Dossier(s) infecté(s): 3
    Fichier(s) infecté(s): 7

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d88e1558-7c2d-407a-953a-c044f5607cea} (Trojan.BHO) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpeedRunner (Trojan.Agent) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\SpeedRunner (Adware.SurfAccuracy) -> No action taken.

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mule_st_key (Trojan.Agent) -> No action taken.

    Elément(s) de données du Registre infecté(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

    Dossier(s) infecté(s):
    C:\Users\Matthieu\AppData\Roaming\gadcom (Trojan.Agent) -> No action taken.
    C:\Users\Matthieu\AppData\Roaming\m (Trojan.Agent) -> No action taken.
    C:\Users\Matthieu\AppData\Roaming\speedrunner (Adware.SurfAccuracy) -> No action taken.

    Fichier(s) infecté(s):
    C:\Users\Matthieu\AppData\Roaming\gadcom\gadcom.exe (Trojan.Agent) -> No action taken.
    C:\Users\Matthieu\AppData\Roaming\m\data.oct (Trojan.Agent) -> No action taken.
    C:\Users\Matthieu\AppData\Roaming\m\list.oct (Trojan.Agent) -> No action taken.
    C:\Users\Matthieu\AppData\Roaming\m\srvlist.oct (Trojan.Agent) -> No action taken.
    C:\Users\Matthieu\AppData\Roaming\speedrunner\config.cfg (Adware.SurfAccuracy) -> No action taken.
    C:\Users\Matthieu\AppData\Roaming\m\flec006.exe (Trojan.Agent) -> No action taken.
    C:\Users\Matthieu\AppData\Roaming\Twain\Twain.exe (Trojan.Agent) -> No action taken.

    Et ensuite car après ce scan et la suppression des fichiers infectés, avast reste une application win32 invalide ?
    0
  9. Matalvis Messages postés 37 Statut Membre 9
     
    Bonjour, j'ai fait toutes les manips et je te remercie car pour le moment tout marche comme sur des roulettes !! Je verai plus tard voir si les applications ex "win32 non valide" sont revenues à la normale . Mais tout le reste est vérifié et approuvé ! Merci beaucoup pour tout .
    Matalvis
    0
  10. Matalvis Messages postés 37 Statut Membre 9
     
    Alors tout d'abord dsl pour les rapports mais je viens de retrouver mon ordinateur à l'instant je t' envoi d'ici ce soir tous les rapports au dessus et ensuite je ferai ta dernière manipulations en fonction de tes dits .
    0
  11. Matalvis Messages postés 37 Statut Membre 9
     
    alors voila le rapport Findykill d'analyse:

    ----------------- FindyKill V4.713 ------------------

    * User : Matthieu - PC-DE-MATTHIEU
    * Emplacement : C:\Program Files\FindyKill
    * Outils Mis a jours le 17/01/09 par Chiquitine29
    * Recherche effectuée à 23:01:08 le 18/01/2009
    * Windows Vista - Internet Explorer 7.0.6001.18000

    ((((((((((((((((( *** Recherche *** ))))))))))))))))))

    --------------- [ Processus actifs ] ----------------

    C:\Windows\System32\smss.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\wininit.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\services.exe
    C:\Windows\system32\winlogon.exe
    C:\Windows\system32\lsass.exe
    C:\Windows\system32\lsm.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\nvvsvc.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\SLsvc.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\rundll32.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\System32\spoolsv.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\Explorer.EXE
    C:\Windows\system32\svchost.exe
    C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\1\FTRTSVC.exe
    C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\Windows\system32\svchost.exe
    C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\PnkBstrA.exe
    C:\Windows\system32\PnkBstrB.exe
    C:\Windows\system32\svchost.exe
    C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
    C:\Windows\System32\tcpsvcs.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\SearchIndexer.exe
    C:\Windows\system32\WUDFHost.exe
    C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\RtHDVCpl.exe
    C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
    C:\Program Files\Packard Bell\FIJI\ABoard.exe
    C:\Program Files\OrangeHSS\Systray\SystrayApp.exe
    C:\Windows\vsnpstd3.exe
    C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
    C:\Program Files\Packard Bell\FIJI\AOSD.exe
    C:\Windows\system32\wbem\wmiprvse.exe
    C:\Windows\System32\rundll32.exe
    C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\AlertModule\1\AlertModule.exe
    C:\Program Files\Windows Sidebar\sidebar.exe
    C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Windows\ehome\ehtray.exe
    C:\Program Files\Windows Sidebar\sidebar.exe
    C:\Program Files\Windows Media Player\wmpnscfg.exe
    C:\Windows\ehome\ehmsas.exe
    C:\Program Files\Windows Media Player\wmpnetwk.exe
    C:\Windows\system32\SearchProtocolHost.exe
    C:\Windows\system32\SearchFilterHost.exe
    C:\Windows\system32\conime.exe

    --------------- [ Fichiers/Dossiers infectieux ] ----------------

    »»»» Presence des fichiers dans C:

    Found ! [18/01/2009 19:45] - "C:\Avenger"

    »»»» Presence des fichiers dans C:\Windows

    »»»» Presence des fichiers dans C:\Windows\Prefetch

    Found ! - C:\Windows\prefetch\WINUPGRO.EXE-1DBFD93C.pf
    Found ! - C:\Windows\Prefetch\FGKEY.EXE-0433C4A6.pf
    Found ! - C:\Windows\Prefetch\KEY_GENERATOR.EXE-5E2B111F.pf

    »»»» Presence des fichiers dans C:\Windows\system32

    »»»» Presence des fichiers dans C:\Windows\system32\drivers

    »»»» Presence des fichiers dans C:\Users\Matthieu\AppData\Roaming

    Found ! [17/01/2009 11:21] - "C:\Users\Matthieu\AppData\Roaming\drivers"
    Found ! [18/01/2009 22:59] - "C:\Users\Matthieu\AppData\Roaming\drivers\srosa.sys"
    Found ! [18/01/2009 22:58] - "C:\Users\Matthieu\AppData\Roaming\drivers\srosa2.sys"
    Found ! [08/02/2005 07:06] - "C:\Users\Matthieu\AppData\Roaming\drivers\winupgro.exe"
    Found ! [17/01/2009 23:53] - "C:\Users\Matthieu\AppData\Roaming\drivers\downld"

    »»»» Presence des fichiers dans C:\Users\Matthieu\AppData\Local\Temp

    Found ! - C:\Users\Matthieu\AppData\Local\Temp\Tom Clancy Rainbow Six Vegas 2 Keygen Serial Only.torrent

    --------------- [ Registre / Startup ] ----------------

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
    Sidebar=C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    MsnMsgr="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    <NO NAME>=
    ISUSPM="C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
    BitTorrent DNA="C:\Program Files\DNA\btdna.exe"
    ehTray.exe=C:\Windows\ehome\ehTray.exe
    World Community Grid for Windows=C:\Program Files\BOINC\boincmgr.exe
    WMPNSCFG=C:\Program Files\Windows Media Player\WMPNSCFG.exe
    SpybotSD TeaTimer=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
    Windows Defender=%ProgramFiles%\Windows Defender\MSASCui.exe -hide
    RtHDVCpl=RtHDVCpl.exe
    <NO NAME>=
    RoxWatchTray="C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
    toolbar_eula_launcher=C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe
    ACTIVBOARD=C:\Program Files\Packard Bell\FIJI\aboard.exe
    SystrayORAHSS="C:\Program Files\OrangeHSS\Systray\SystrayApp.exe"
    SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
    snpstd3=C:\Windows\vsnpstd3.exe
    HP Software Update=C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    TkBellExe="realsched.exe" -osboot
    Symantec PIF AlertEng="C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
    Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    NvCplDaemon=RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
    NvMediaCenter=RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
    AppleSyncNotifier=C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
    QuickTime Task="C:\Program Files\QuickTime\QTTask.exe" -atboottime
    iTunesHelper="C:\Program Files\iTunes\iTunesHelper.exe"
    avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
    <NO NAME>=
    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
    Installed=1
    <NO NAME>=
    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
    NoChange=1
    Installed=1
    <NO NAME>=
    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
    Installed=1
    <NO NAME>=

    [HKEY_CURRENT_USER\software\local appwizard-generated applications\DestComp]
    [HKEY_CURRENT_USER\software\local appwizard-generated applications\hprbui]
    [HKEY_CURRENT_USER\software\local appwizard-generated applications\key_generator]
    [HKEY_CURRENT_USER\software\local appwizard-generated applications\msnmsgr]
    [HKEY_CURRENT_USER\software\local appwizard-generated applications\winupgro]

    --------------- [ Registre / Clés infectieuses ] ----------------

    Found ! - HKEY_USERS\S-1-5-21-955767917-3014094492-260620026-1002\Software\Local AppWizard-Generated Applications\key_generator
    Found ! - HKEY_USERS\S-1-5-21-955767917-3014094492-260620026-1002\Software\Local AppWizard-Generated Applications\msnmsgr
    Found ! - HKEY_USERS\S-1-5-21-955767917-3014094492-260620026-1002\Software\Local AppWizard-Generated Applications\winupgro
    Found ! - HKEY_USERS\S-1-5-21-955767917-3014094492-260620026-1002\Software\bisoft
    Found ! - HKEY_USERS\S-1-5-21-955767917-3014094492-260620026-1002\Software\DateTime4
    Found ! - HKEY_USERS\S-1-5-21-955767917-3014094492-260620026-1002\Software\FFC
    Found ! - HKEY_USERS\S-1-5-21-955767917-3014094492-260620026-1002\Software\FirtR
    Found ! - HKEY_USERS\S-1-5-21-955767917-3014094492-260620026-1002\Software\MuleAppData
    Found ! - HKEY_USERS\S-1-5-21-955767917-3014094492-260620026-1002\Software\Ubisoft
    Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\key_generator
    Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\msnmsgr
    Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
    Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
    Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
    Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
    Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
    Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
    Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
    Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
    Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S
    Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
    Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s
    Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s
    Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sK9Ou0s
    Found ! - HKEY_CURRENT_USER\Software\bisoft
    Found ! - HKEY_CURRENT_USER\Software\DateTime4
    Found ! - HKEY_CURRENT_USER\Software\FirtR
    Found ! - HKEY_CURRENT_USER\Software\MuleAppData
    Found ! - HKEY_CURRENT_USER\Software\FFC
    Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
    Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
    Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
    Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
    Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
    Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
    Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
    Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S
    Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
    Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s
    Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s
    Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sK9Ou0s
    Found ! - HKEY_CURRENT_USER\Software\bisoft
    Found ! - HKEY_CURRENT_USER\Software\DateTime4
    Found ! - HKEY_CURRENT_USER\Software\FirtR
    Found ! - HKEY_CURRENT_USER\Software\MuleAppData
    Found ! - HKEY_CURRENT_USER\Software\FFC

    /!\ Infection active : HKLM\SYSTEM\...\Services\srosa -> Start = 0x1
    /!\ Infection active : HKLM\SYSTEM\...\Services\sK9Ou0s -> Start = 0x1

    --------------- [ Etat / Services ] ----------------

    +- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

    /!\ Ndisuio - Type de démarrage = 4

    EapHost - Type de démarrage = 3

    Wlansvc - Type de démarrage = 2

    /!\ SharedAccess - Type de démarrage = 4

    /!\ wuauserv - Type de démarrage = 4

    /!\ wscsvc - Type de démarrage = 4

    /!\ WinDefend - Type de démarrage = 4

    /!\ UAC is Disable

    --------------- [ Recherche dans supports amovibles] ----------------

    +- Informations :

    C: - Lecteur fixe
    E: - Lecteur amovible
    H: - Lecteur de CD-ROM

    +- Contenu de l'autorun : H:\autorun.inf

    [autorun]
    open=setup\rsrc\Autorun.exe
    icon=Setup\rsrc\CoD4.ico

    shell\dinstall\command=Directx\dxsetup.exe
    shell\dinstall=DirectX(R)...

    +- presence des fichiers :

    Found ! [12/06/2007 03:27][-r-------] - H:\autorun.inf

    --------------- [ Registre / Mountpoint2 ] ----------------

    -> Not found !

    ------------------- ! Fin du rapport ! --------------------
    0
  12. Matalvis Messages postés 37 Statut Membre 9
     
    et pour finir le rapport de l'analyse Avira Antivir:

    Avira AntiVir Personal
    Date de création du fichier de rapport : lundi 19 janvier 2009 00:16

    La recherche porte sur 1224506 souches de virus.

    Détenteur de la licence :Avira AntiVir PersonalEdition Classic
    Numéro de série : 0000149996-ADJIE-0001
    Plateforme : Windows Vista
    Version de Windows :(Service Pack 1) [6.0.6001]
    Mode Boot : Démarré normalement
    Identifiant : SYSTEM
    Nom de l'ordinateur :PC-DE-MATTHIEU

    Informations de version :
    BUILD.DAT : 8.2.0.52 16931 Bytes 02/12/2008 14:55:00
    AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00
    AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27
    LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16
    LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27
    ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36
    ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14/01/2009 23:05:55
    ANTIVIR2.VDF : 7.1.1.114 2048 Bytes 14/01/2009 23:05:56
    ANTIVIR3.VDF : 7.1.1.137 304128 Bytes 18/01/2009 23:05:58
    Version du moteur: 8.2.0.57
    AEVDF.DLL : 8.1.0.6 102772 Bytes 14/10/2008 10:05:56
    AESCRIPT.DLL : 8.1.1.26 340347 Bytes 18/01/2009 23:06:08
    AESCN.DLL : 8.1.1.5 123251 Bytes 07/11/2008 15:06:41
    AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 13:58:38
    AEPACK.DLL : 8.1.3.5 393588 Bytes 18/01/2009 23:06:05
    AEOFFICE.DLL : 8.1.0.33 196987 Bytes 18/01/2009 23:06:04
    AEHEUR.DLL : 8.1.0.84 1540471 Bytes 18/01/2009 23:06:03
    AEHELP.DLL : 8.1.2.0 119159 Bytes 18/01/2009 23:06:01
    AEGEN.DLL : 8.1.1.10 323957 Bytes 18/01/2009 23:05:59
    AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:56
    AECORE.DLL : 8.1.5.2 172405 Bytes 18/01/2009 23:05:58
    AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56
    AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02
    AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58
    AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 12:02:15
    AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37
    AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19
    AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46
    SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
    SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36
    NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07
    RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16
    RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43

    Configuration pour la recherche actuelle :
    Nom de la tâche..................: Contrôle intégral du système
    Fichier de configuration.........: C:\program files\avira\antivir personaledition classic\sysscan.avp
    Documentation....................: bas
    Action principale................: interactif
    Action secondaire................: ignorer
    Recherche sur les secteurs d'amorçage maître: marche
    Recherche sur les secteurs d'amorçage: marche
    Secteurs d'amorçage..............: C:,
    Recherche dans les programmes actifs: marche
    Recherche en cours sur l'enregistrement: marche
    Recherche de Rootkits............: marche
    Fichier mode de recherche........: Tous les fichiers
    Recherche sur les archives.......: marche
    Limiter la profondeur de récursivité: 20
    Archive Smart Extensions.........: marche
    Heuristique de macrovirus........: marche
    Heuristique fichier..............: moyen

    Début de la recherche : lundi 19 janvier 2009 00:16

    La recherche d'objets cachés commence.
    '112277' objets ont été contrôlés, '0' objets cachés ont été trouvés.

    La recherche sur les processus démarrés commence :
    Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'TrustedInstaller.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'hpqste08.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'CPSHelpRunner.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'sidebar.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'AlertModule.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'wmpnetwk.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ehmsas.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'mobsync.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'hpqtra08.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'wmpnscfg.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ehtray.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'btdna.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ISUSPM.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'sidebar.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'hpwuSchd2.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'vsnpstd3.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'AOSD.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'SystrayApp.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'ABoard.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'WUDFHost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'RoxWatchTray9.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'RtHDVCpl.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'TCPSVCS.EXE' - '1' module(s) sont contrôlés
    Processus de recherche 'RoxWatch9.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'PnkBstrB.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'PnkBstrA.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'NBService.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'GoogleUpdaterService.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'FTRTSVC.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'nvvsvc.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
    Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
    '76' processus ont été contrôlés avec '76' modules

    La recherche sur les secteurs d'amorçage maître commence :
    Secteur d'amorçage maître HD0
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage maître HD1
    [INFO] Aucun virus trouvé !
    [AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt.
    [INFO] Veuillez relancer la recherche avec les droits d'administrateur
    Secteur d'amorçage maître HD2
    [INFO] Aucun virus trouvé !
    [AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt.
    [INFO] Veuillez relancer la recherche avec les droits d'administrateur
    Secteur d'amorçage maître HD3
    [INFO] Aucun virus trouvé !
    [AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt.
    [INFO] Veuillez relancer la recherche avec les droits d'administrateur
    Secteur d'amorçage maître HD4
    [INFO] Aucun virus trouvé !
    [AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt.
    [INFO] Veuillez relancer la recherche avec les droits d'administrateur
    Secteur d'amorçage maître HD5
    [INFO] Aucun virus trouvé !
    [AVERTISSEMENT] Erreur système [87]: Paramètre incorrect.
    [INFO] Veuillez relancer la recherche avec les droits d'administrateur

    La recherche sur les secteurs d'amorçage commence :
    Secteur d'amorçage 'C:\'
    [INFO] Aucun virus trouvé !

    La recherche sur les renvois aux fichiers exécutables (registre) commence.
    Le registre a été contrôlé ( '47' fichiers).

    La recherche sur les fichiers sélectionnés commence :

    Recherche débutant dans 'C:\' <HDD>
    C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    C:\Program Files\Ubisoft\Tom Clancy's Rainbow Six Vegas 2\Binaries\R6Vegas2_Game.exe
    [RESULTAT] Contient le cheval de Troie TR/Drop.Agent.acvm
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49ca044a.qua' !
    C:\Users\Matthieu\Desktop\restauration\Multimedia\Downloads\Call.Of.Duty.World.At.War-RELOADED NoCD.Crack.Patch.KEYGEN by d33VV.rar
    [0] Type d'archive: RAR
    --> Call.Of.Duty.World.At.War-RELOADED NoCD.Crack.Patch.KEYGEN by d33VV\GetKEY.exe
    [RESULTAT] Contient le cheval de Troie TR/Dldr.Agent.aqid.8
    --> Call.Of.Duty.World.At.War-RELOADED NoCD.Crack.Patch.KEYGEN by d33VV\Patch.exe
    [RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49e008cf.qua' !
    C:\Users\Matthieu\Desktop\restauration\Multimedia\Downloads\serials\wrar371fi.exe
    [RESULTAT] Contient le modèle de détection du dropper DR/Agent.airw.5
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49d509ec.qua' !
    C:\Users\Matthieu\Downloads\eMule\Incoming\Daniusoft Media Converter Pro 2.3.2.0\key_generator.exe
    [RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.alf
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49ed0bf0.qua' !
    C:\Windows\System32\drivers\sptd.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !

    Fin de la recherche : lundi 19 janvier 2009 06:29
    Temps nécessaire: 6:13:02 Heure(s)

    La recherche a été effectuée intégralement

    25307 Les répertoires ont été contrôlés
    567099 Des fichiers ont été contrôlés
    5 Des virus ou programmes indésirables ont été trouvés
    0 Des fichiers ont été classés comme suspects
    0 Des fichiers ont été supprimés
    0 Des virus ou programmes indésirables ont été réparés
    4 Les fichiers ont été déplacés dans la quarantaine
    0 Les fichiers ont été renommés
    2 Impossible de contrôler des fichiers
    567092 Fichiers non infectés
    4249 Les archives ont été contrôlées
    7 Avertissements
    4 Consignes
    112277 Des objets ont été contrôlés lors du Rootkitscan
    0 Des objets cachés ont été trouvés
    0
  13. Matalvis Messages postés 37 Statut Membre 9
     
    Voila c'est a peu près tout donc après lecture des rapports, je ne pense pas que ce fut un "beagle" mais je te laisse spécialiste de la chose et me dire si je dois faire ta dernière manipulation ou pas .
    Matalvis
    0
  14. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Re,

    Relis attentivement le post # 5
    ==> tu as oublié le plus important; à savoir:
    « Au menu principal,choisi l option 2 (Suppression) »

    Je te suggère de recommencer le post # 5 complètement.

    Termine également le post # 8, s'il te plaît.

    Merci
    Al.
    0
  15. Matalvis Messages postés 37 Statut Membre 9
     
    Ok je m'y met . je te posterai la suite .
    Merci
    Matalvis
    0
  16. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Bonjour,

    Pour bien travailler, tu dois supprimer ta version actuelle de FindyKill, et relancer un nouveau téléchargement.
    La dernière version est v4.714

    RAPPEL

    1°- Supprimer les 2 derniers cracks téléchargés !!
    2°- Désactiver le contrôle des comptes utilisateurs ou UAC (le réactiver seulement à la fin de la désinfection) :
    3°- Brancher tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d’avoir été infectées et sans les ouvrir.

    Il serait temps de retrousser tes manches pour combattre cette infection.

    0
  17. Matalvis Messages postés 37 Statut Membre 9
     
    Je m'aperçois ce matin que en fait j'avais tout bien fait mais c'est le message qui est trop long pour passer sur le forum alors je te l'envoie en deux fois :

    ----------------- FindyKill V4.713 ------------------

    * User : Matthieu - PC-DE-MATTHIEU
    * Executed from : C:\Program Files\FindyKill
    * Update on 17/01/09 by Chiquitine29
    * Start at 23:06:32 the 18/01/2009
    * Windows Vista - Internet Explorer 7.0.6001.18000

    ((((((((((((((( *** deleting *** ))))))))))))))))))

    --------------- [ Active Processes ] ----------------

    C:\Windows\System32\smss.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\wininit.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\services.exe
    C:\Windows\system32\lsass.exe
    C:\Windows\system32\lsm.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\winlogon.exe
    C:\Windows\system32\nvvsvc.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\LogonUI.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\SLsvc.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\rundll32.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\spoolsv.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\DllHost.exe
    C:\Windows\system32\userinit.exe
    C:\Windows\system32\userinit.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\svchost.exe
    C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\1\FTRTSVC.exe
    C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\Windows\system32\svchost.exe
    C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
    C:\Windows\system32\runonce.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\PnkBstrA.exe
    C:\Windows\system32\PnkBstrB.exe
    C:\Windows\system32\conime.exe
    C:\Windows\system32\svchost.exe
    C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
    C:\Windows\system32\DllHost.exe
    C:\Windows\System32\tcpsvcs.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\SearchIndexer.exe
    C:\Windows\system32\WUDFHost.exe

    --------------- [ Infected files / folders ] ----------------

    »»»» Supression files in C:

    Deleted ! - "C:\Avenger\m\shared"
    Deleted ! - "C:\Avenger\m"
    Deleted ! - C:\Avenger\flec006.exe
    Deleted ! - "C:\Avenger"

    »»»» Supression files in C:\Windows

    »»»» Supression files in C:\Windows\Prefetch

    Deleted ! - C:\Windows\prefetch\FGKEY.EXE-0433C4A6.pf
    Deleted ! - C:\Windows\prefetch\KEY_GENERATOR.EXE-5E2B111F.pf
    Deleted ! - C:\Windows\prefetch\WINUPGRO.EXE-1DBFD93C.pf

    »»»» Supression files in C:\Windows\system32

    »»»» Supression files in C:\Windows\system32\drivers

    »»»» Supression files in C:\Users\Matthieu\AppData\Roaming

    Deleted ! - "C:\Users\Matthieu\AppData\Roaming\inst.exe"
    Deleted ! - "C:\Users\Matthieu\AppData\Roaming\drivers\srosa.sys"
    Deleted ! - "C:\Users\Matthieu\AppData\Roaming\drivers\srosa2.sys"
    Deleted ! - "C:\Users\Matthieu\AppData\Roaming\drivers\winupgro.exe"
    Deleted ! - "C:\Users\Matthieu\AppData\Roaming\drivers\downld"
    Deleted ! - "C:\Users\Matthieu\AppData\Roaming\drivers"

    »»»» Supression files in C:\Users\Matthieu\AppData\Local\Temp

    Deleted ! - C:\Users\Matthieu\AppData\Local\Temp\Tom Clancy Rainbow Six Vegas 2 Keygen Serial Only.torrent

    »»»» Supression files in C:\Users\Matthieu\Local Settings\Temporary Internet Files\Content.IE5

    Deleted ! - C:\Users\Matthieu\Local Settings\Temporary Internet Files\Content.IE5\4MPDI33N\b64_1[1].jpg
    Deleted ! - C:\Users\Matthieu\Local Settings\Temporary Internet Files\Content.IE5\F6WGFLN0\b64_2[1].jpg
    Deleted ! - C:\Users\Matthieu\Local Settings\Temporary Internet Files\Content.IE5\LYM12AMB\b64[1].jpg
    Deleted ! - C:\Users\Matthieu\Local Settings\Temporary Internet Files\Content.IE5\PAM2BRUQ\b64_3[1].jpg
    Deleted ! - C:\Users\Matthieu\Local Settings\Temporary Internet Files\Content.IE5\WPMXHI3E\b64_3[1].jpg
    Deleted ! - C:\Users\Matthieu\Local Settings\Temporary Internet Files\Content.IE5\XWHET7ES\b64[1].jpg

    --------------- [ Registry / Infected keys ] ----------------

    Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
    Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S
    Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
    Deleted ! - HKEY_CURRENT_USER\Software\bisoft
    Deleted ! - HKEY_CURRENT_USER\Software\DateTime4
    Deleted ! - HKEY_CURRENT_USER\Software\FirtR
    Deleted ! - HKEY_CURRENT_USER\Software\MuleAppData
    Deleted ! - HKEY_CURRENT_USER\Software\FFC
    Deleted ! - HKEY_USERS\S-1-5-21-955767917-3014094492-260620026-1002\Software\Local AppWizard-Generated Applications\key_generator
    Deleted ! - HKEY_USERS\S-1-5-21-955767917-3014094492-260620026-1002\Software\Local AppWizard-Generated Applications\msnmsgr
    Deleted ! - HKEY_USERS\S-1-5-21-955767917-3014094492-260620026-1002\Software\Local AppWizard-Generated Applications\winupgro
    Deleted ! - HKEY_USERS\S-1-5-21-955767917-3014094492-260620026-1002\Software\FFC
    Deleted ! - HKEY_USERS\S-1-5-21-955767917-3014094492-260620026-1002\Software\MuleAppData
    Deleted ! - HKEY_USERS\S-1-5-21-955767917-3014094492-260620026-1002\Software\Ubisoft

    --------------- [ States / Restarting of services ] ----------------

    +- Services : [ Auto=2 / Request=3 / Disable=4 ]

    Ndisuio - Type of startup = 3

    EapHost - Type of startup = 2

    Wlansvc - Type of startup = 2

    SharedAccess - Type of startup = 2

    wuauserv - Type of startup = 2

    wscsvc - Type of startup = 2

    WinDefend - Type of startup = 2

    -> UAC is Enable

    --------------- [ Cleaning removable drives ] ----------------

    +- Informations :

    C: - Lecteur fixe
    E: - Lecteur amovible
    H: - Lecteur de CD-ROM

    +- deleting files :

    Not deleted !! - H:\autorun.inf

    --------------- [ Registry / Mountpoint2 ] ----------------

    -> Not found !

    --------------- [ Searching Other Infections ] ----------------

    Références de comparaison Bagle MD5 :

    ebe38e2fcd97bfaf184cd5386100b529 C:\Users\Matthieu\AppData\Roaming\drivers\winupgro.exe

    Suspect ! - ebe38e2fcd97bfaf184cd5386100b529 C:\Users\Matthieu\Downloads\eMule\Incoming\Daniusoft Media Converter Pro 2.3.2.0\key_generator.exe
    0
  18. Matalvis Messages postés 37 Statut Membre 9
     
    La suite ne passe pas la partie "searching cracks ans keygen" ne passe pas sur le forum connaitrais tu un moyen de t'envoyer le fichier txt??
    Et franchement si je ne l'avais pas fait je ne vois pas comment j'aurais pu te poster ces messages sans connexion internet et sache que mes manches sont très retroussées et que malgrès la possibilité d'accès à mon ordinateur impossible la semaine, je fais du mieux que je peux.
    Merci de me croire en vue des heures et des des gouttes de sueurs innombrables qui ont été versées à cause de ce virus .
    Matalvis
    0
  19. Matalvis Messages postés 37 Statut Membre 9
     
    tiens voila le lien de mon fichier de rapport :
    http://www.mediafire.com/?ymjz24ejimg
    0
  20. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    up
    Mes messages ne passent plus !?

    Je t'ai posté un MP (Messagerie privée) ==> clic sur la petite enveloppe clignotante au-dessus à droite de la page CCM (sous ton pseudo).
    0
  21. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    tu dois supprimer ta version actuelle de FindKill, et relancer un nouveau téléchargement.
    La dernière version est v4.714

    RAPPEL

    1°- Supprimer les 2 derniers cracks téléchargés !!
    2°- Désactiver le contrôle des comptes utilisateurs ou UAC (le réactiver seulement à la fin de la désinfection) :
    3°- Brancher tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d’avoir été infectées et sans les ouvrir.
    0
  • 1
  • 2