n'est pas une application win 32 valide+virusRésolu/Fermé

Question

Bonjour,
Voila mon problème: A la suite d'une infection d'un virus dont je ne connais pas le nom, avast a supprimé les fichiers infectés et depuis les services de sécurité tel que "centre de sécurité" ou "windows defender " sont désactivés et le service sans fil de windows n'est pas en cours d'exécution sur cet ordinateur. J'essaie de demarrer le service de configuration automatique WLAN mais erreur 1068 : " Le service n'a pas pu demarrer"
Après quelques dizaines d'heure de recherche à l'aide de l'ordinateur sur lequel je vous écrit, je m'aperçois de l'intrusion d'un second virus, Bagle.gen, responsable de l'inactivité du réseau sans fil de windows, qui change la valeur du registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ndisuio\Start de 3 à 4.
Une fois cette valeur remise à 3, les services remis en automatiques je redémarre et quelques secondes après le démarrage de windows "Blue screen" apparait avec son habituel "Windows has been shuting down to protect your system " et toutes les valeurs modifiées reviennent comme précédemment. 
Après cela j'essaye de lancer avast pour faire une analyse et il me dit :" ...n'est pas une application Win 32 valide" .Me voila reparti à rechercher et j essaie les processus indiqués ici  .exe n'est pas une application Win32 valide  
J'essaie d'analyser mon systeme avec les programmes donnés mais à chaque fois le même message s'affiche : "... n'est pas une appilcation Win 32 valide "
Je ne sais plus quoi faire et je vous demande de l'aide. Devrais-je formater mon disque dur ? Si oui comment procéder?
Merci 
Matalvis

afideg · Accepted Answer

Bonsoir vous deux A)- Attention Matalvis, suis bien toute cette procédure: outil "FindyKill" (merci Chiquitine et mOe) sous VISTA Supprime les 2 derniers cracks téléchargés !! 1°- Désactiver le contrôle des comptes utilisateurs ou UAC (le réactiver seulement à la fin de la désinfection) : Aller dans "démarrer" puis "panneau de configuration" : --->Sur la droite de la fenêtre , cliques sur " affichage classique " --->Double-Cliquer sur l'icône "Comptes d'utilisateurs" --->Cliquer ensuite sur "Activer ou désactiver le contrôle ..." . --->Décocher la case "utlisiser le contrôle ..." et cliquer sur OK . Puis redémarrer le PC quand il le vous saura demandé ... Tuto : https://forum.malekal.com/viewtopic.php?f=59&t=6517 2°- Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d’avoir été infectées et sans les ouvrir. 3°- Télécharge maintenant FindyKill http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe sur ton bureau : --> Lance l installation avec les parametres par default --> Fais un clic droit sur le raccourci FindyKill sur ton bureau --> Choisi executer en tant qu’administrateur --> Au menu principal,choisi l’option 1 (Recherche) --> Post le rapport FindyKill.txt qui s'affiche. Note : le rapport FindyKill.txt est sauvegardé à la racine du disque ----------------------------------------------------------------------------------------- Ensuite: Veille à ce que le contrôle des comptes utilisateurs (UAC) soit toujoursdésactivé. Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d’avoir été infectées et sans les ouvrir. --> Fais clic droit sur le raccourci FindyKill sur ton bureau --> Choisi executer en tant qu' administrateur --> Au menu principal,choisi l option 2 (Suppression) /!\ laisse travailler l outil jusqu a l apparition du message "nettoyage effectué" /!\ Ne te sers pas du pc durant la suppression , ton bureau ne sera pas accessible c est normal ! -------> ensuite post le rapport FindyKill.txt Note : le rapport FindyKill.txt est sauvegardé a la racine du disque /!\ Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides) /!\ B)- Après cela, commence par remplacer AVAST comme ceci: Avast ne te sert pas à grand-chose (sinon à t'avertir qu'il a laissé infecter ton PC !!). 1)- Télécharger ANTIVIR à partir de ce lien et tuto [ http://www.libellules.ch/tuto_antivir.php ] http://www.zebulon.fr/actualites/3001-antivir-francais.html Autres TUTORIELS : < [ https://www.astucesinternet.com/modules/news/article.php?storyid=253 ] > ==> enregistre-le sur ton bureau pour y accéder facilement. - ou < [ http://www.malekal.com/tutorial_antivir.html ] > - ou < [ http://www.vista-xp.fr/forum/topic227.html ] > Vidéo de configuration par Angélique https://www.malekal.com/fichiers/antivir/ConfigurationAntivir.avi 2)- Désinstaller AVAST: < https://www.avast.com/fr-fr/uninstall-utility > 3)- Attention, après le téléchargement, il faut se déconnecter du Net ( débrancher éventuellement le modem ) avant de lancer l'installation. - Attention : Sers-toi du tutoriel pour installer ANTIVIR, 4)- Procédure d'utilisation: Après l'installation du programme et avant de lancer l'analyse, ... ...il faut redémarrer le PC en mode sans échec, comme ceci: < http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 > L'analyse: - Lancer Antivir en Scan complet (analyse avancée) en faisant un click-droit sur l’icône d’Antivir dans la « barre des taches » en bas à droite (= Systray, à côté de l’horloge) et choisis « Configure Antivir » Dans la fenêtre, coche la case Expert Mode Juste en dessous, clique sur le menu SCAN Sur le panneau de droite, coche la case Search for Rootkits before scan Vérifier pour « Manuelle détection » (en développant avec la petite croix devant chacun d'eux) que tous les disques durs soient bien cochés, puis cliquer sur la loupe (en dessous de statut) . - Une fenêtre va s’ouvrir « Luke Filewalker » - Le scan va démarrer. - Mettre tout ce qu il trouve en "quarantine" Le rapport: Une fois le scan achevé, fermer les deux fenêtres d'Antivir et sauvegarder sur le bureau le rapport qui vient d'apparaître. Redémarrer en mode normal puis poster le rapport d'Antivir (qui est sur le bureau). Voici un lien pour ne plus avoir de popup intempestif pour acheter la version payante lors des mises à jour [ https://forum.malekal.com/viewtopic.php?p=45326#p45326 ] lou12 poursuivra alors. Bonne chance Bonne nuit Al

lou12 · Answer

telecharge et installe malware byte anti malware et fais le menage dans tout ca

Matalvis · Answer

Une analyse complète est en cours. Le message habituel pour les scans (...n'est pas une application win32 valide) n'est pas apparu. C'est plutôt bon signe je donne des nouvelles dès la fin de l'analyse . 
Merci pour ta si prompte réponse ;
Matalvis

Matalvis · Answer

Voila alors Malwarebyte se demarre normalement je peux faire un scan rapide mais quand je fais un scan minutieux, au bout de 1 h d'analyse windows s'éteint et apparait la "blue screen" avec " windows has been shuting down to protect your system" je copie le rapport de la suppression lors de le scan rapide.

Matalvis · Answer

Voila le rapport: 
Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1654
Windows 6.0.6001 Service Pack 1

18/01/2009 19:44:01
mbam-log-2009-01-18 (19-43-57).txt

Type de recherche: Examen rapide
Eléments examinés: 53621
Temps écoulé: 6 minute(s), 3 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 3
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d88e1558-7c2d-407a-953a-c044f5607cea} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpeedRunner (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\SpeedRunner (Adware.SurfAccuracy) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mule_st_key (Trojan.Agent) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
C:\Users\Matthieu\AppData\Roaming\gadcom (Trojan.Agent) -> No action taken.
C:\Users\Matthieu\AppData\Roaming\m (Trojan.Agent) -> No action taken.
C:\Users\Matthieu\AppData\Roaming\speedrunner (Adware.SurfAccuracy) -> No action taken.

Fichier(s) infecté(s):
C:\Users\Matthieu\AppData\Roaming\gadcom\gadcom.exe (Trojan.Agent) -> No action taken.
C:\Users\Matthieu\AppData\Roaming\m\data.oct (Trojan.Agent) -> No action taken.
C:\Users\Matthieu\AppData\Roaming\m\list.oct (Trojan.Agent) -> No action taken.
C:\Users\Matthieu\AppData\Roaming\m\srvlist.oct (Trojan.Agent) -> No action taken.
C:\Users\Matthieu\AppData\Roaming\speedrunner\config.cfg (Adware.SurfAccuracy) -> No action taken.
C:\Users\Matthieu\AppData\Roaming\m\flec006.exe (Trojan.Agent) -> No action taken.
C:\Users\Matthieu\AppData\Roaming\Twain\Twain.exe (Trojan.Agent) -> No action taken.





Et ensuite car après ce scan et la suppression des fichiers infectés, avast reste une application win32 invalide ?

Matalvis · Answer

Bonjour, j'ai fait toutes les manips et je te remercie car pour le moment tout marche comme sur des roulettes !! Je verai plus tard voir si les applications ex "win32 non valide" sont revenues à la normale . Mais tout le reste est vérifié et approuvé ! Merci beaucoup pour tout .
Matalvis

afideg · Answer

Bonjour Matalvis, Dommage que je n'aie reçu aucun rapport. Ce n'est pas pour nous aider. NON, ce n'est pas terminé. A)- Supprime FindKill de ton PC. B)- Exécute ceci, SVP: 1°- Veille à ce que le contrôle des comptes utilisateurs (UAC) soit toujours désactivé. 2°- As-tu correctement fait ceci: « Supprime les 2 derniers cracks téléchargés !! » ? En effet, Beagle est en réalité un ver informatique se propageant essentiellement par : - les logiciels p2p - via de faux cracks (=logiciels piratés !) - ainsi que par mail. •- L'internaute croyant “télécharger un crack pour un logiciel en faisant une recherche via un logiciel p2p” installe lui-même le ver sur son ordinateur ; car le fichier.exe contenu dans l'archive est en réalité le ver Beagle ! 3°- Télécharge ELIBAGLA en bas de cette page < http://www.zonavirus.com/datos/descargas/95/elibagla.asp > (Clique sur le bouton "Descargar Elibagla"en bas de la page pour le télécharger) Enregistre-le à la racine du disque dur en le renommant comme ceci : < http://img520.imageshack.us/img520/9307/screenshot312cm2.png >. Par clic-droit, fais-en un raccourci medelk.exe sur le bureau. Lance-le en mode sans échec; ou en mode normal si ça ne va pas. ==> Mais alors, il faut déconnecter ton PC du Net (débranche ton modem) ==> Double-clique sur l’icône medelk.exe du bureau pour l'ouvrir. Assure-toi que dans le menu déroulant “Unidad”, tu aies bien C:\ (NOTE : ==> tu relanceras avec les répertoires propres aux clés USB et disques durs éventuels ; par exemple F:\ ) Vérifie aussi que l'option en bas de la fenêtre “Eliminar Ficheros Automaticamente” soit bien cochée. Clique sur le bouton “Explorar” pour lancer l'analyse. Si tu vois ceci « Restaurada Clave: "SafeBoot\Minimal y Network" » dans le rapport, alors tu vas refaire la même manipulation (en mode sans échec cette fois, de préférence) mais 3 à 4 fois d'affilée (at a stretch) et sans redémarrer le PC. ==> : Comment redémarrer le PC en mode sans échec < http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 > Poste le dernier rapport ELIBAGLA stp. Si tu ne le vois pas, il se trouve ici > C:\InfoSat.txt qui se trouve dans Poste de travail > Disque C:\ Merci C)- Télécharge ComboFix.exe (par sUBs) sur ton Bureau: Clic-droit sur ce lien < http://download.bleepingcomputer.com/sUBs/ComboFix.exe > Puis choisis "Enregistrer sous .." ==> vers le 'bureau" ==> Attention : renomme-le sous le nom « TRISTAN.EXE » (très important). Tu le nommes à ce moment-là, et non pas après l'avoir enregistré ; ce serait trop tard. Puis clic sur [Enregistrer] Avant d'utiliser ComboFix : ==> imprime cette procédure ComboFix ==> Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours. ==> Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil). Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix - Clic-droit sur l'icône de ComboFix.exe ( TRISTAN.EXE ) du bureau ==> choisir "Exécuter en tant que Administrateur", [Exécuter] et suivre les invites. •- Si vous utilisez Windows Vista, et si vous recevez un avertissement de l'UAC (Contrôle de compte d'utilisateur) vous demandant si vous voulez continuer, il faut cliquer sur le bouton Continuer. Accepter les alertes éventuelles. Laisse se dérouler le scan. /!\ Pendant la durée de cette étape, ne te sers pas du pc et n'ouvre aucun programme. Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 50 étapes d’analyse). /!\ - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisse-le faire. - Un rapport s'ouvrira ensuite dans le bloc-notes sur le bureau. Note: ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt - ou TRISTAN.txt) ==> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet. ==> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt (TRISTAN.txt) dans ton prochain message. Bonne journée Al.

Matalvis · Answer

Alors tout d'abord dsl pour les rapports mais je viens de retrouver mon ordinateur à l'instant je t' envoi d'ici ce soir tous les rapports au dessus et ensuite je ferai ta dernière manipulations en fonction de tes dits .

Matalvis · Answer

alors voila le rapport Findykill d'analyse: ----------------- FindyKill V4.713 ------------------ * User : Matthieu - PC-DE-MATTHIEU * Emplacement : C:\Program Files\FindyKill * Outils Mis a jours le 17/01/09 par Chiquitine29 * Recherche effectuée à 23:01:08 le 18/01/2009 * Windows Vista - Internet Explorer 7.0.6001.18000 ((((((((((((((((( *** Recherche *** )))))))))))))))))) --------------- [ Processus actifs ] ---------------- C:\Windows\System32\smss.exe C:\Windows\system32\csrss.exe C:\Windows\system32\wininit.exe C:\Windows\system32\csrss.exe C:\Windows\system32\services.exe C:\Windows\system32\winlogon.exe C:\Windows\system32\lsass.exe C:\Windows\system32\lsm.exe C:\Windows\system32\svchost.exe C:\Windows\system32 vvsvc.exe C:\Windows\system32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\system32\SLsvc.exe C:\Windows\system32\svchost.exe C:\Windows\system32 undll32.exe C:\Windows\system32\svchost.exe C:\Windows\system32\Dwm.exe C:\Windows\System32\spoolsv.exe C:\Windows\system32\svchost.exe C:\Windows\Explorer.EXE C:\Windows\system32\svchost.exe C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\1\FTRTSVC.exe C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Windows\system32\svchost.exe C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe C:\Windows\System32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\system32\PnkBstrA.exe C:\Windows\system32\PnkBstrB.exe C:\Windows\system32\svchost.exe C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe C:\Windows\System32 cpsvcs.exe C:\Windows\system32\svchost.exe C:\Windows\system32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\system32\SearchIndexer.exe C:\Windows\system32\WUDFHost.exe C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe C:\Windows\system32 askeng.exe C:\Windows\RtHDVCpl.exe C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe C:\Program Files\Packard Bell\FIJI\ABoard.exe C:\Program Files\OrangeHSS\Systray\SystrayApp.exe C:\Windows\vsnpstd3.exe C:\Program Files\HP\HP Software Update\hpwuSchd2.exe C:\Program Files\Packard Bell\FIJI\AOSD.exe C:\Windows\system32\wbem\wmiprvse.exe C:\Windows\System32 undll32.exe C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\AlertModule\1\AlertModule.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe C:\Program Files\iPod\bin\iPodService.exe C:\Windows\ehome\ehtray.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Windows\ehome\ehmsas.exe C:\Program Files\Windows Media Player\wmpnetwk.exe C:\Windows\system32\SearchProtocolHost.exe C:\Windows\system32\SearchFilterHost.exe C:\Windows\system32\conime.exe --------------- [ Fichiers/Dossiers infectieux ] ---------------- »»»» Presence des fichiers dans C: Found ! [18/01/2009 19:45] - "C:\Avenger" »»»» Presence des fichiers dans C:\Windows »»»» Presence des fichiers dans C:\Windows\Prefetch Found ! - C:\Windows\prefetch\WINUPGRO.EXE-1DBFD93C.pf Found ! - C:\Windows\Prefetch\FGKEY.EXE-0433C4A6.pf Found ! - C:\Windows\Prefetch\KEY_GENERATOR.EXE-5E2B111F.pf »»»» Presence des fichiers dans C:\Windows\system32 »»»» Presence des fichiers dans C:\Windows\system32\drivers »»»» Presence des fichiers dans C:\Users\Matthieu\AppData\Roaming Found ! [17/01/2009 11:21] - "C:\Users\Matthieu\AppData\Roaming\drivers" Found ! [18/01/2009 22:59] - "C:\Users\Matthieu\AppData\Roaming\drivers\srosa.sys" Found ! [18/01/2009 22:58] - "C:\Users\Matthieu\AppData\Roaming\drivers\srosa2.sys" Found ! [08/02/2005 07:06] - "C:\Users\Matthieu\AppData\Roaming\drivers\winupgro.exe" Found ! [17/01/2009 23:53] - "C:\Users\Matthieu\AppData\Roaming\drivers\downld" »»»» Presence des fichiers dans C:\Users\Matthieu\AppData\Local\Temp Found ! - C:\Users\Matthieu\AppData\Local\Temp\Tom Clancy Rainbow Six Vegas 2 Keygen Serial Only.torrent --------------- [ Registre / Startup ] ---------------- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion un] Sidebar=C:\Program Files\Windows Sidebar\sidebar.exe /autoRun MsnMsgr="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background = ISUSPM="C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler BitTorrent DNA="C:\Program Files\DNA\btdna.exe" ehTray.exe=C:\Windows\ehome\ehTray.exe World Community Grid for Windows=C:\Program Files\BOINC\boincmgr.exe WMPNSCFG=C:\Program Files\Windows Media Player\WMPNSCFG.exe SpybotSD TeaTimer=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion un] Windows Defender=%ProgramFiles%\Windows Defender\MSASCui.exe -hide RtHDVCpl=RtHDVCpl.exe = RoxWatchTray="C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" toolbar_eula_launcher=C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe ACTIVBOARD=C:\Program Files\Packard Bell\FIJI\aboard.exe SystrayORAHSS="C:\Program Files\OrangeHSS\Systray\SystrayApp.exe" SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe" snpstd3=C:\Windows\vsnpstd3.exe HP Software Update=C:\Program Files\HP\HP Software Update\HPWuSchd2.exe TkBellExe="realsched.exe" -osboot Symantec PIF AlertEng="C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll" Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" NvCplDaemon=RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup NvMediaCenter=RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit AppleSyncNotifier=C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe QuickTime Task="C:\Program Files\QuickTime\QTTask.exe" -atboottime iTunesHelper="C:\Program Files\iTunes\iTunesHelper.exe" avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents= = HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents\IMAIL= Installed=1 = HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents\MAPI= NoChange=1 Installed=1 = HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents\MSFS= Installed=1 = [HKEY_CURRENT_USER\software\local appwizard-generated applications\DestComp] [HKEY_CURRENT_USER\software\local appwizard-generated applications\hprbui] [HKEY_CURRENT_USER\software\local appwizard-generated applications\key_generator] [HKEY_CURRENT_USER\software\local appwizard-generated applications\msnmsgr] [HKEY_CURRENT_USER\software\local appwizard-generated applications\winupgro] --------------- [ Registre / Clés infectieuses ] ---------------- Found ! - HKEY_USERS\S-1-5-21-955767917-3014094492-260620026-1002\Software\Local AppWizard-Generated Applications\key_generator Found ! - HKEY_USERS\S-1-5-21-955767917-3014094492-260620026-1002\Software\Local AppWizard-Generated Applications\msnmsgr Found ! - HKEY_USERS\S-1-5-21-955767917-3014094492-260620026-1002\Software\Local AppWizard-Generated Applications\winupgro Found ! - HKEY_USERS\S-1-5-21-955767917-3014094492-260620026-1002\Software\bisoft Found ! - HKEY_USERS\S-1-5-21-955767917-3014094492-260620026-1002\Software\DateTime4 Found ! - HKEY_USERS\S-1-5-21-955767917-3014094492-260620026-1002\Software\FFC Found ! - HKEY_USERS\S-1-5-21-955767917-3014094492-260620026-1002\Software\FirtR Found ! - HKEY_USERS\S-1-5-21-955767917-3014094492-260620026-1002\Software\MuleAppData Found ! - HKEY_USERS\S-1-5-21-955767917-3014094492-260620026-1002\Software\Ubisoft Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\key_generator Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\msnmsgr Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sK9Ou0s Found ! - HKEY_CURRENT_USER\Software\bisoft Found ! - HKEY_CURRENT_USER\Software\DateTime4 Found ! - HKEY_CURRENT_USER\Software\FirtR Found ! - HKEY_CURRENT_USER\Software\MuleAppData Found ! - HKEY_CURRENT_USER\Software\FFC Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sK9Ou0s Found ! - HKEY_CURRENT_USER\Software\bisoft Found ! - HKEY_CURRENT_USER\Software\DateTime4 Found ! - HKEY_CURRENT_USER\Software\FirtR Found ! - HKEY_CURRENT_USER\Software\MuleAppData Found ! - HKEY_CURRENT_USER\Software\FFC /!\ Infection active : HKLM\SYSTEM\...\Services\srosa -> Start = 0x1 /!\ Infection active : HKLM\SYSTEM\...\Services\sK9Ou0s -> Start = 0x1 --------------- [ Etat / Services ] ---------------- +- Services : [ Auto=2 / Demande=3 / Désactivé=4 ] /!\ Ndisuio - Type de démarrage = 4 EapHost - Type de démarrage = 3 Wlansvc - Type de démarrage = 2 /!\ SharedAccess - Type de démarrage = 4 /!\ wuauserv - Type de démarrage = 4 /!\ wscsvc - Type de démarrage = 4 /!\ WinDefend - Type de démarrage = 4 /!\ UAC is Disable --------------- [ Recherche dans supports amovibles] ---------------- +- Informations : C: - Lecteur fixe E: - Lecteur amovible H: - Lecteur de CD-ROM +- Contenu de l'autorun : H:\autorun.inf [autorun] open=setup src\Autorun.exe icon=Setup src\CoD4.ico shell\dinstall\command=Directx\dxsetup.exe shell\dinstall=DirectX(R)... +- presence des fichiers : Found ! [12/06/2007 03:27][-r-------] - H:\autorun.inf --------------- [ Registre / Mountpoint2 ] ---------------- -> Not found ! ------------------- ! Fin du rapport ! --------------------

Matalvis · Answer

et pour finir le rapport de l'analyse Avira Antivir: 


Avira AntiVir Personal
Date de création du fichier de rapport : lundi 19 janvier 2009  00:16

La recherche porte sur 1224506 souches de virus.

Détenteur de la licence :Avira AntiVir PersonalEdition Classic
Numéro de série : 0000149996-ADJIE-0001
Plateforme :      Windows Vista
Version de Windows :(Service Pack 1)  [6.0.6001]
Mode Boot :       Démarré normalement
Identifiant :     SYSTEM
Nom de l'ordinateur :PC-DE-MATTHIEU

Informations de version :
BUILD.DAT     : 8.2.0.52       16931 Bytes  02/12/2008 14:55:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  18/11/2008 08:21:00
AVSCAN.DLL    : 8.1.4.1        49921 Bytes  21/07/2008 13:44:27
LUKE.DLL      : 8.1.4.5       164097 Bytes  12/06/2008 12:44:16
LUKERES.DLL   : 8.1.4.0        13057 Bytes  04/07/2008 07:30:27
ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27/10/2008 11:30:36
ANTIVIR1.VDF  : 7.1.1.113    2817536 Bytes  14/01/2009 23:05:55
ANTIVIR2.VDF  : 7.1.1.114       2048 Bytes  14/01/2009 23:05:56
ANTIVIR3.VDF  : 7.1.1.137     304128 Bytes  18/01/2009 23:05:58
Version du moteur: 8.2.0.57  
AEVDF.DLL     : 8.1.0.6       102772 Bytes  14/10/2008 10:05:56
AESCRIPT.DLL  : 8.1.1.26      340347 Bytes  18/01/2009 23:06:08
AESCN.DLL     : 8.1.1.5       123251 Bytes  07/11/2008 15:06:41
AERDL.DLL     : 8.1.1.3       438645 Bytes  04/11/2008 13:58:38
AEPACK.DLL    : 8.1.3.5       393588 Bytes  18/01/2009 23:06:05
AEOFFICE.DLL  : 8.1.0.33      196987 Bytes  18/01/2009 23:06:04
AEHEUR.DLL    : 8.1.0.84     1540471 Bytes  18/01/2009 23:06:03
AEHELP.DLL    : 8.1.2.0       119159 Bytes  18/01/2009 23:06:01
AEGEN.DLL     : 8.1.1.10      323957 Bytes  18/01/2009 23:05:59
AEEMU.DLL     : 8.1.0.9       393588 Bytes  14/10/2008 10:05:56
AECORE.DLL    : 8.1.5.2       172405 Bytes  18/01/2009 23:05:58
AEBB.DLL      : 8.1.0.3        53618 Bytes  14/10/2008 10:05:56
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  09/07/2008 08:40:02
AVPREF.DLL    : 8.0.2.0        38657 Bytes  16/05/2008 09:27:58
AVREP.DLL     : 8.0.0.2        98344 Bytes  31/07/2008 12:02:15
AVREG.DLL     : 8.0.0.1        33537 Bytes  09/05/2008 11:26:37
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12/02/2008 08:29:19
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12/06/2008 12:27:46
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22/01/2008 17:28:02
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  12/06/2008 12:49:36
NETNT.DLL     : 8.0.0.1         7937 Bytes  25/01/2008 12:05:07
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  04/07/2008 07:23:16
RCTEXT.DLL    : 8.0.52.1       86273 Bytes  17/07/2008 10:08:43

Configuration pour la recherche actuelle :
Nom de la tâche..................: Contrôle intégral du système
Fichier de configuration.........: C:\program files\avira\antivir personaledition classic\sysscan.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:, 
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: marche
Fichier mode de recherche........: Tous les fichiers
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen

Début de la recherche : lundi 19 janvier 2009  00:16

La recherche d'objets cachés commence.
'112277' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TrustedInstaller.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqste08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CPSHelpRunner.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sidebar.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AlertModule.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmpnetwk.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehmsas.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mobsync.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqtra08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmpnscfg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'btdna.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ISUSPM.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sidebar.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpwuSchd2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'vsnpstd3.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AOSD.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SystrayApp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ABoard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WUDFHost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RoxWatchTray9.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RtHDVCpl.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TCPSVCS.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'RoxWatch9.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PnkBstrB.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PnkBstrA.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NBService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleUpdaterService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'FTRTSVC.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvvsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'76' processus ont été contrôlés avec '76' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD1
    [INFO]      Aucun virus trouvé !
    [AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt.
    [INFO]      Veuillez relancer la recherche avec les droits d'administrateur
Secteur d'amorçage maître HD2
    [INFO]      Aucun virus trouvé !
    [AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt.
    [INFO]      Veuillez relancer la recherche avec les droits d'administrateur
Secteur d'amorçage maître HD3
    [INFO]      Aucun virus trouvé !
    [AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt.
    [INFO]      Veuillez relancer la recherche avec les droits d'administrateur
Secteur d'amorçage maître HD4
    [INFO]      Aucun virus trouvé !
    [AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt.
    [INFO]      Veuillez relancer la recherche avec les droits d'administrateur
Secteur d'amorçage maître HD5
    [INFO]      Aucun virus trouvé !
    [AVERTISSEMENT] Erreur système [87]: Paramètre incorrect.
    [INFO]      Veuillez relancer la recherche avec les droits d'administrateur

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence.
Le registre a été contrôlé ( '47' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <HDD>
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\Program Files\Ubisoft\Tom Clancy's Rainbow Six Vegas 2\Binaries\R6Vegas2_Game.exe
    [RESULTAT]  Contient le cheval de Troie TR/Drop.Agent.acvm
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49ca044a.qua' !
C:\Users\Matthieu\Desktop\restauration\Multimedia\Downloads\Call.Of.Duty.World.At.War-RELOADED NoCD.Crack.Patch.KEYGEN by d33VV.rar
    [0] Type d'archive: RAR
    --> Call.Of.Duty.World.At.War-RELOADED NoCD.Crack.Patch.KEYGEN by d33VV\GetKEY.exe
      [RESULTAT]  Contient le cheval de Troie TR/Dldr.Agent.aqid.8
    --> Call.Of.Duty.World.At.War-RELOADED NoCD.Crack.Patch.KEYGEN by d33VV\Patch.exe
      [RESULTAT]  Contient le cheval de Troie TR/Dropper.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49e008cf.qua' !
C:\Users\Matthieu\Desktop\restauration\Multimedia\Downloads\serials\wrar371fi.exe
    [RESULTAT]  Contient le modèle de détection du dropper DR/Agent.airw.5
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49d509ec.qua' !
C:\Users\Matthieu\Downloads\eMule\Incoming\Daniusoft Media Converter Pro 2.3.2.0\key_generator.exe
    [RESULTAT]  Contient le cheval de Troie TR/Dldr.Bagle.alf
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49ed0bf0.qua' !
C:\Windows\System32\drivers\sptd.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !


Fin de la recherche : lundi 19 janvier 2009  06:29
Temps nécessaire:  6:13:02 Heure(s)

La recherche a été effectuée intégralement

  25307 Les répertoires ont été contrôlés
 567099 Des fichiers ont été contrôlés
      5 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      4 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      2 Impossible de contrôler des fichiers
 567092 Fichiers non infectés
   4249 Les archives ont été contrôlées
      7 Avertissements
      4 Consignes
 112277 Des objets ont été contrôlés lors du Rootkitscan
      0 Des objets cachés ont été trouvés

Matalvis · Answer

Voila c'est a peu près tout donc après lecture des rapports, je ne pense pas que ce fut un "beagle" mais je te laisse spécialiste de la chose et me dire si je dois faire ta dernière manipulation ou pas .
Matalvis

afideg · Answer

Re,

Relis attentivement le post # 5 
==> tu as oublié le plus important; à savoir:
 « Au menu principal,choisi l option 2 (Suppression) »

Je te suggère de recommencer le post # 5 complètement.

Termine également le post # 8, s'il te plaît.

Merci
Al.

Matalvis · Answer

Ok je m'y met . je te posterai la suite . 
Merci 
Matalvis

afideg · Answer

Bonjour,

Pour bien travailler, tu dois supprimer ta version actuelle de FindyKill, et relancer un nouveau téléchargement.
La dernière version est v4.714

RAPPEL

1°- Supprimer les 2 derniers cracks téléchargés !! 
2°- Désactiver le contrôle des comptes utilisateurs ou UAC (le réactiver seulement à la fin de la désinfection) : 
3°- Brancher tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d’avoir été infectées et sans les ouvrir. 


Il serait temps de retrousser tes manches pour combattre cette infection.

Matalvis · Answer

Je m'aperçois ce matin que en fait j'avais tout bien fait mais c'est le message qui est trop long pour passer sur le forum alors je te l'envoie en deux fois : 


----------------- FindyKill V4.713 ------------------

* User : Matthieu - PC-DE-MATTHIEU
* Executed from : C:\Program Files\FindyKill
* Update on 17/01/09 by Chiquitine29
* Start at 23:06:32 the 18/01/2009
* Windows Vista - Internet Explorer 7.0.6001.18000
 
 
((((((((((((((( *** deleting *** ))))))))))))))))))  
 
 
--------------- [ Active Processes ] ----------------  
 

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32
vvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32undll32.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\userinit.exe
C:\Windows\system32\userinit.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\1\FTRTSVC.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
C:\Windows\system32unonce.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\PnkBstrA.exe
C:\Windows\system32\PnkBstrB.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
C:\Windows\system32\DllHost.exe
C:\Windows\System32	cpsvcs.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
 
--------------- [ Infected files / folders ] ----------------  
 
 
»»»» Supression files in C: 
 
Deleted ! - "C:\Avenger\m\shared"  
Deleted ! - "C:\Avenger\m"  
Deleted ! - C:\Avenger\flec006.exe  
Deleted ! - "C:\Avenger"  
 
»»»» Supression files in C:\Windows 
 
 
»»»» Supression files in C:\Windows\Prefetch 
 
Deleted ! - C:\Windows\prefetch\FGKEY.EXE-0433C4A6.pf 
Deleted ! - C:\Windows\prefetch\KEY_GENERATOR.EXE-5E2B111F.pf 
Deleted ! - C:\Windows\prefetch\WINUPGRO.EXE-1DBFD93C.pf 
 
»»»» Supression files in C:\Windows\system32 
 
 
»»»» Supression files in C:\Windows\system32\drivers 
 
 
»»»» Supression files in C:\Users\Matthieu\AppData\Roaming 
 
Deleted ! - "C:\Users\Matthieu\AppData\Roaming\inst.exe"  
Deleted ! - "C:\Users\Matthieu\AppData\Roaming\drivers\srosa.sys"  
Deleted ! - "C:\Users\Matthieu\AppData\Roaming\drivers\srosa2.sys"  
Deleted ! - "C:\Users\Matthieu\AppData\Roaming\drivers\winupgro.exe"  
Deleted ! - "C:\Users\Matthieu\AppData\Roaming\drivers\downld"  
Deleted ! - "C:\Users\Matthieu\AppData\Roaming\drivers"  
 
»»»» Supression files in C:\Users\Matthieu\AppData\Local\Temp 
 
Deleted ! - C:\Users\Matthieu\AppData\Local\Temp\Tom Clancy Rainbow Six Vegas 2 Keygen Serial Only.torrent     
 
»»»» Supression files in C:\Users\Matthieu\Local Settings\Temporary Internet Files\Content.IE5 
 
Deleted ! - C:\Users\Matthieu\Local Settings\Temporary Internet Files\Content.IE5\4MPDI33N\b64_1[1].jpg    
Deleted ! - C:\Users\Matthieu\Local Settings\Temporary Internet Files\Content.IE5\F6WGFLN0\b64_2[1].jpg    
Deleted ! - C:\Users\Matthieu\Local Settings\Temporary Internet Files\Content.IE5\LYM12AMB\b64[1].jpg    
Deleted ! - C:\Users\Matthieu\Local Settings\Temporary Internet Files\Content.IE5\PAM2BRUQ\b64_3[1].jpg    
Deleted ! - C:\Users\Matthieu\Local Settings\Temporary Internet Files\Content.IE5\WPMXHI3E\b64_3[1].jpg    
Deleted ! - C:\Users\Matthieu\Local Settings\Temporary Internet Files\Content.IE5\XWHET7ES\b64[1].jpg    
 
--------------- [  Registry / Infected keys ] ---------------- 
 
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S   
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S   
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S   
Deleted ! - HKEY_CURRENT_USER\Software\bisoft   
Deleted ! - HKEY_CURRENT_USER\Software\DateTime4   
Deleted ! - HKEY_CURRENT_USER\Software\FirtR   
Deleted ! - HKEY_CURRENT_USER\Software\MuleAppData     
Deleted ! - HKEY_CURRENT_USER\Software\FFC    
Deleted ! - HKEY_USERS\S-1-5-21-955767917-3014094492-260620026-1002\Software\Local AppWizard-Generated Applications\key_generator   
Deleted ! - HKEY_USERS\S-1-5-21-955767917-3014094492-260620026-1002\Software\Local AppWizard-Generated Applications\msnmsgr   
Deleted ! - HKEY_USERS\S-1-5-21-955767917-3014094492-260620026-1002\Software\Local AppWizard-Generated Applications\winupgro   
Deleted ! - HKEY_USERS\S-1-5-21-955767917-3014094492-260620026-1002\Software\FFC   
Deleted ! - HKEY_USERS\S-1-5-21-955767917-3014094492-260620026-1002\Software\MuleAppData   
Deleted ! - HKEY_USERS\S-1-5-21-955767917-3014094492-260620026-1002\Software\Ubisoft   
 
--------------- [ States / Restarting of services ] ---------------- 
 


+- Services : [ Auto=2 / Request=3 / Disable=4 ] 

Ndisuio - Type of startup  = 3 
 
EapHost - Type of startup  = 2 
 
Wlansvc - Type of startup  = 2 
 
SharedAccess - Type of startup  = 2 
 
wuauserv - Type of startup  = 2 
 
wscsvc - Type of startup  = 2 
 
WinDefend - Type of startup  = 2 
 
-> UAC is Enable  
 
---------------   [ Cleaning removable drives ] ----------------  
 
+- Informations : 

C: - Lecteur fixe
E: - Lecteur amovible
H: - Lecteur de CD-ROM
 
+- deleting files : 
 
Not deleted !! - H:\autorun.inf  
 
--------------- [ Registry / Mountpoint2 ] ----------------  
 
 
 -> Not found ! 
 
 
--------------- [ Searching Other Infections ] ----------------  
 
 
Références de comparaison Bagle MD5 :

ebe38e2fcd97bfaf184cd5386100b529  C:\Users\Matthieu\AppData\Roaming\drivers\winupgro.exe 

Suspect ! - ebe38e2fcd97bfaf184cd5386100b529  C:\Users\Matthieu\Downloads\eMule\Incoming\Daniusoft Media Converter Pro 2.3.2.0\key_generator.exe

Matalvis · Answer

La suite ne passe pas la partie "searching cracks ans keygen" ne passe pas sur le forum connaitrais tu un moyen de t'envoyer le fichier txt??
Et franchement si je ne l'avais pas fait je ne vois pas comment j'aurais pu te poster ces messages sans connexion internet et sache que mes manches sont très retroussées et que malgrès la possibilité d'accès à mon ordinateur impossible la semaine, je fais du mieux que je peux.
Merci de me croire en vue des heures et des des gouttes de sueurs innombrables qui ont été versées à cause de ce virus .
Matalvis

Matalvis · Answer

tiens voila le lien de mon fichier de rapport :
http://www.mediafire.com/?ymjz24ejimg

afideg · Answer

up
Mes messages ne passent plus !?

Je t'ai posté un MP (Messagerie privée) ==> clic sur la petite enveloppe clignotante au-dessus à droite de la page CCM (sous ton pseudo).

afideg · Answer

tu dois supprimer ta version actuelle de FindKill, et relancer un nouveau téléchargement. 
La dernière version est v4.714 

RAPPEL 

1°- Supprimer les 2 derniers cracks téléchargés !! 
2°- Désactiver le contrôle des comptes utilisateurs ou UAC (le réactiver seulement à la fin de la désinfection) : 
3°- Brancher tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d’avoir été infectées et sans les ouvrir.

afideg · Answer

Tiens, lis ceci et tire les conclusions qui s'imposent
http://www.geekeden.com/index.php?s=af59bbe4eaacf4fe0a6de630945a52e2&showtopic=10570

Al.

Matalvis · Answer

voila c'est fait veux tu le rapport de suppression ? Et dois-je faire comme dis dans le post 8?

afideg · Answer

Re, Je suis désolé si je m'exprime mal, mais je ne peux pas faire mieux. Je vais tenter une dernière fois d'écrire ce quil y a lieu de faire. J'insiste sur le fait qu'il me faut tous les rapports au fur et à mesure de l'exécution des applications réalisées dans l'ordre demandé. Imprime tout sur une feuille pour lire les procédures (au mieux, tu crées un fichier sur le bureau; comme cela, tu sais le lire durant le mode sans échec). Et si souci, passe par MP. Procédure à réaliser dans l'ordre établi: A)- Supprime la version de FindyKill actuellement sur de ton PC. B)- Veille à ce que le contrôle des comptes utilisateurs (UAC) soit toujours désactivé. C)- « Supprime les 2 derniers cracks téléchargés !! » ==> toi seul sait pertinemment lesquels. En effet, Beagle est en réalité un ver informatique se propageant essentiellement par : - les logiciels p2p - via de faux cracks (=logiciels piratés !) - ainsi que par mail. •- L'internaute croyant “télécharger un crack pour un logiciel en faisant une recherche via un logiciel p2p” installe lui-même le ver sur son ordinateur ; car le fichier.exe contenu dans l'archive est en réalité le ver Beagle ! D)- Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d’avoir été infectées et sans les ouvrir. E)- Télécharge maintenant FindyKill http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe sur ton bureau : --> Lance l installation avec les parametres par default --> Fais un clic-droit sur le raccourci FindyKill sur ton bureau --> Choisi "Executer en tant qu’administrateur" --> Au menu principal,choisi l’option 1 (Recherche) --> Poste le rapport FindyKill.txt qui s'affiche. (Note : le rapport FindyKill.txt est sauvegardé à la racine du disque) Il me faut donc ce rapport (voir via fichier si trop long) F)- Veille à ce que le contrôle des comptes utilisateurs (UAC) soit toujoursdésactivé. --> Fais clic-droit sur le raccourci FindyKill sur ton bureau --> Choisi "Executer en tant qu' administrateur" --> Au menu principal,choisi l option 2 (Suppression) /!\ laisse travailler l outil jusqu a l apparition du message "nettoyage effectué" /!\ Ne te sers pas du pc durant la suppression , ton bureau ne sera pas accessible c est normal ! -------> ensuite poste le rapport FindyKill.txt Note : le rapport FindyKill.txt est sauvegardé a la racine du disque /!\ Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides) /!\ Il me faut donc ce rapport (voir via fichier si trop long) G)- Télécharge ELIBAGLA en bas de cette page < http://www.zonavirus.com/datos/descargas/95/elibagla.asp > (Clique sur le bouton "Descargar Elibagla"en bas de la page pour le télécharger) Enregistre-le à la racine du disque dur en le renommant comme ceci : < http://img520.imageshack.us/img520/9307/screenshot312cm2.png >. Par clic-droit, fais-en un raccourci medelk.exe sur le bureau. Lance-le en mode sans échec. ==> : Comment redémarrer le PC en mode sans échec< http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 > Lance-le en mode normal si ça ne va pas. ==> Mais alors, il faut déconnecter ton PC du Net (débranche ton modem) ==> Double-clique sur l’icône medelk.exe du bureau pour l'ouvrir. Assure-toi que dans le menu déroulant “Unidad”, tu aies bien C:\ (NOTE : ==> tu relanceras avec les répertoires propres aux clés USB et disques durs éventuels ; par exemple F:\ ) Vérifie aussi que l'option en bas de la fenêtre “Eliminar Ficheros Automaticamente” soit bien cochée. Clique sur le bouton “Explorar” pour lancer l'analyse. Si tu vois ceci « Restaurada Clave: "SafeBoot\Minimal y Network" » dans le rapport, alors tu vas refaire la même manipulation (en mode sans échec cette fois, de préférence) mais 3 à 4 fois d'affilée (at a stretch) et sans redémarrer le PC. ===> Poste le dernier rapport ELIBAGLA stp. Si tu ne le vois pas, il se trouve ici > C:\InfoSat.txt qui se trouve dans Poste de travail > Disque C:\ H)- Télécharge ComboFix.exe (par sUBs) sur ton Bureau: Clic-droit sur ce lien < http://download.bleepingcomputer.com/sUBs/ComboFix.exe > Puis choisis "Enregistrer sous .." ==> vers le 'bureau" ==> Attention : renomme-le sous le nom « TRISTAN.EXE » (très important). Tu le nommes à ce moment-là, et non pas après l'avoir enregistré ; ce serait trop tard. Puis clic sur [Enregistrer] Avant d'utiliser ComboFix : ==> imprime cette procédure ComboFix ==> Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours. ==> Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil). Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix - Clic-droit sur l'icône de ComboFix.exe ( TRISTAN.EXE ) du bureau ==> choisir "Exécuter en tant que Administrateur", [Exécuter] et suivre les invites. •- Si vous utilisez Windows Vista, et si vous recevez un avertissement de l'UAC (Contrôle de compte d'utilisateur) vous demandant si vous voulez continuer, il faut cliquer sur le bouton Continuer. Accepter les alertes éventuelles. Laisse se dérouler le scan. /!\ Pendant la durée de cette étape, ne te sers pas du pc et n'ouvre aucun programme. Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 50 étapes d’analyse). /!\ - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisse-le faire. - Un rapport s'ouvrira ensuite dans le bloc-notes sur le bureau. Note: ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt - ou TRISTAN.txt) ==> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet. ==> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt (TRISTAN.txt) dans ton prochain message. Bonne journée Al.

Matalvis · Answer

Envoyé par MP.

N'est pas une application win 32 valide+virus

23 réponses

Discussions similaires

Newsletters