Virus suscpecté mais lequel?

Ju de fruit -  
toptitbal Messages postés 5341 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

J'ai un gros soucis informatique,

un virus me bloque avast antivirus, c cleaner, spybot, ainsi que la restauration système.

Lorsque je démarre un de ces logiciels le message suivant apparaît:

C:\program files\avast\avast4\ashavast.exe n'est pas une application win32 valide.

ou bien rien ne se passe.

Ce problème est apparu après un reboot du pc qui c'est opéré tout seul.

A squared free fonctionne mais ne me détecte que des cookies traceurs à risque faible.

J'ai désinstalé, réinstalé C cleaner, dans le dossier mère aucune dll n'apparait.

Sous msconfig, rien de suspect au démarrage.

Please, Need Help!
Configuration: Windows XP
Firefox 3.0.5

6 réponses

  1. toptitbal Messages postés 5341 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 232
     
    Bonjour

    Télécharge FindyKill de Chiquitine29 :

    http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

    ->Enregistre-le sur ton bureau et pas ailleurs !

    !! Déconnecte toi et ferme toutes les applications en cours !!

    ( Si ton anti-virus s'affolle au moment de l'enregistrement ou de l'utilisation de l'outil , ignore l'alerte ...)

    -> Clique sur "FindyKill.exe" pour lancer l'installe de l'outil . Ne touche surtout pas aux paramètres d'installation.

    Tuto : https://www.malekal.com/tutorial-findykill/

    --> Double-clique sur le raccourci " FindyKill " qui est sur ton bureau .

    -->choisis l'option 1 ( recherche ) . Puis laisse travailler l'outil sans rien toucher ...

    Une fois terminé, poste le rapport FindyKill.txt qui est généré ...

    ( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )

    PS : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


    0
    1. Ju de fruit
       
      voici le rapport findykill

      ps: complément d'information le mode sans échec ne fonctionne pas non plus

      ###################### [ FindyKill V4.714 ]

      # User : Julien - FAMILLE-LAURENT
      # Emplacement : C:\Program Files\FindyKill
      # Outils Mis a jours le 19/01/09 par Chiquitine29
      # Recherche effectuée à 14:27:44 le 20/01/2009
      # Windows XP - Internet Explorer 7.0.5730.13

      # [ FindyKill V4.714 - Scan ] ##############

      \\\\\\\\\\\\\\\\\\\\ [ Processus actifs ] ///////////////////


      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      c:\program files\fichiers communs\logishrd\lvmvfm\LVPrcSrv.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\ctfmon.exe
      C:\Documents and Settings\Julien\Application Data\drivers\winupgro.exe
      C:\Documents and Settings\Julien\Application Data\m\flec006.exe
      C:\WINDOWS\system32\wintems.exe

      \\\\\\\\\\\\\\\\\\ [ Processus infectieux stoppés ] ///////////////////


      "C:\Documents and Settings\Julien\Application Data\drivers\winupgro.exe" (344)
      "C:\Documents and Settings\Julien\Application Data\m\flec006.exe" (2904)
      "C:\WINDOWS\system32\wintems.exe" (3404)


      \\\\\\\\\\\\\\\\\\ [ Fichiers/Dossiers infectieux ] ///////////////////


      ################## [ C:\ ]


      ################## [ C:\WINDOWS ]


      ################## [ C:\WINDOWS\Prefetch ]

      Found ! - C:\WINDOWS\prefetch\105937.EXE-189B38A7.pf
      Found ! - C:\WINDOWS\prefetch\154953.EXE-13C303DF.pf
      Found ! - C:\WINDOWS\prefetch\262406.EXE-07995432.pf
      Found ! - C:\WINDOWS\prefetch\296531.EXE-08915872.pf
      0
    2. Ju de fruit
       
      Suite à la recherche de FindyKill,

      C cleaner refonctionne, cependant en faisant la recherche d'erreur du registre, 1378 dll partagées sont manquantes:

      DLL partagées manquantes HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls

      ce que je redouté...
      0
  2. tsumens Messages postés 3084 Date d'inscription   Statut Membre 386
     
    Bonjour tu charges le log "hijackthis",il va analyser ton PC et tu postes le rapport ici.
    0
    1. Ju de fruit
       
      Bonjour Tsumens,

      idem que pour avast, un message d'erreur apparait lorsque j'instale hijackThis, n'est pas une application Win32 valide

      par contre findy kill marche.
      0
  3. tsumens Messages postés 3084 Date d'inscription   Statut Membre 386
     
    C:\WINDOWS\system32\wintems.exe
    C:\WINDOWS\system32\wintems.exe" (3404)

    la cause de tes malheurs !
    Fais une recherche sur le net(Google)afin de trouver la solution pour les éliminer.
    0
    1. Ju de fruit
       
      Merci pour ton aide,

      mais je n'arrive pas a trouver une solution pour l'éliminer, pas mal de personne ont attrapé ce virus en 2007 et la solution était Blacklight (de F-Secure) qui n'existe plus, ou est non disponible.

      Avec kill Box, le fichier wintems ou hldr dans system32 n'apparait pas.

      Que faire?
      0
  4. toptitbal Messages postés 5341 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 232
     
    Important :
    Branche toutes tes unités externes au PC ( DD externes , clé USB , lecteur mp3, ect...) mais sans les ouvrir !
    Tu les retireras après la manipe ...

    Ferme toutes les applications en cours !

    Relance FindyKill :

    -> choisis cette fois-ci l'option 2 (suppression).

    /!\ ton PC va redémarrer de lui même , c'est normal !... Laisse travailler l'outil jusqu' à l'apparition du message :
    "nettoyage terminé" .

    Note : lors du message d'avertissement , cliques sur " Ok " .

    --> Poste le nouveau rapport FindyKill.txt qui est généré.

    ( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )

    PS : Si le Bureau ne réapparaît pas, presse Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
    tapes explorer.exe et valide .

    0
    1. Ju de fruit
       
      Voici le rapport en ayant fais l'option 2

      Merci pour ton aide

      ###################### [ FindyKill V4.714 ]

      # User : Julien - FAMILLE-LAURENT
      # Executed from : C:\Program Files\FindyKill
      # Update on 19/01/09 by Chiquitine29
      # Start at 15:52:29 the 20/01/2009
      # Windows XP - Internet Explorer 7.0.5730.13

      # [ FindyKill V4.714 - Deleting ] ###############

      \\\\\\\\\\\\\\\\\\ [ Active Processes ] ///////////////////


      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\logonui.exe
      C:\WINDOWS\system32\spoolsv.exe
      c:\program files\fichiers communs\logishrd\lvmvfm\LVPrcSrv.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\userinit.exe

      \\\\\\\\\\\\\\\\\\ [ Infected Files / Folders ] ///////////////////


      ################## [ C:\ ]


      ################## [ C:\WINDOWS ]


      ################## [ C:\WINDOWS\Prefetch ]

      Deleted ! - C:\WINDOWS\prefetch\105937.EXE-189B38A7.pf
      Deleted ! - C:\WINDOWS\prefetch\154953.EXE-13C303DF.pf
      Deleted ! - C:\WINDOWS\prefetch\262406.EXE-07995432.pf
      Deleted ! - C:\WINDOWS\prefetch\296531.EXE-08915872.pf
      Deleted ! - C:\WINDOWS\prefetch\315406.EXE-1AD3E5D0.pf
      Deleted ! - C:\WINDOWS\prefetch\379031.EXE-24C75F8B.pf
      Deleted ! - C:\WINDOWS\prefetch\489218.EXE-234A5702.pf
      Deleted ! - C:\WINDOWS\prefetch\620234.EXE-085B56B3.pf
      Deleted ! - C:\WINDOWS\prefetch\632234.EXE-0CA1D753.pf
      Deleted ! - C:\WINDOWS\prefetch\FLEC006.EXE-33236028.pf
      Deleted ! - C:\WINDOWS\prefetch\MDELK.EXE-086F0B56.pf
      Deleted ! - C:\WINDOWS\prefetch\MDELK.EXE-0EF461CE.pf
      Deleted ! - C:\WINDOWS\prefetch\WINTEMS.EXE-377E42D4.pf
      Deleted ! - C:\WINDOWS\prefetch\WINUPGRO.EXE-348B3BAD.pf

      ################## [ C:\WINDOWS\system32 ]

      Deleted ! - C:\WINDOWS\system32\mdelk.exe
      Deleted ! - C:\WINDOWS\system32\wintems.exe
      Deleted ! - C:\WINDOWS\system32\ban_list.txt

      ################## [ C:\WINDOWS\system32\drivers ]


      ################## [ C:\Documents and Settings\Julien\Application Data ]

      Deleted ! - "C:\Documents and Settings\Julien\Application Data\m\flec006.exe"
      Deleted ! - "C:\Documents and Settings\Julien\Application Data\m\list.oct"
      Deleted ! - "C:\Documents and Settings\Julien\Application Data\m\data.oct"
      Deleted ! - "C:\Documents and Settings\Julien\Application Data\m\srvlist.oct"
      Deleted ! - "C:\Documents and Settings\Julien\Application Data\m\shared"
      Deleted ! - "C:\Documents and Settings\Julien\Application Data\m"
      Deleted ! - "C:\Documents and Settings\Julien\Application Data\drivers\srosa2.sys"
      Deleted ! - "C:\Documents and Settings\Julien\Application Data\drivers\wfsintwq.sys"
      Deleted ! - "C:\Documents and Settings\Julien\Application Data\drivers\winupgro.exe"
      Deleted ! - "C:\Documents and Settings\Julien\Application Data\drivers\downld"
      Deleted ! - "C:\Documents and Settings\Julien\Application Data\drivers"

      ################## [ C:\DOCUME~1\Julien\LOCALS~1\Temp ]


      ################## [ C:\Documents and Settings\Julien\Local Settings\Temporary Internet Files\Content.IE5 ]


      \\\\\\\\\\\\\\\\\\ [ Registry / Infected keys ] ///////////////////

      Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
      Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
      Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
      Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
      Deleted ! - HKEY_CURRENT_USER\Software\bisoft
      Deleted ! - HKEY_CURRENT_USER\Software\DateTime4
      Deleted ! - HKEY_CURRENT_USER\Software\FirtR
      Deleted ! - HKEY_USERS\S-1-5-21-1409082233-299502267-682003330-1005\Software\Local AppWizard-Generated Applications\winupgro
      Deleted ! - HKEY_USERS\S-1-5-21-1409082233-299502267-682003330-1005\Software\FFC
      Deleted ! - HKEY_USERS\S-1-5-21-1409082233-299502267-682003330-1005\Software\MuleAppData

      \\\\\\\\\\\\\\\\\\ [ States / Restarting of services ] ///////////////////

      # Safe boot mode restored !

      # Services : [ Auto=2 / Request=3 / Disable=4 ]

      Ndisuio - # Type of startup = 3

      Ip6Fw - # Type of startup = 2

      SharedAccess - # Type of startup = 2

      wuauserv - # Type of startup = 2

      wscsvc - # Type of startup = 2


      \\\\\\\\\\\\\\\\\\ [ Cleaning Removable drives ] ///////////////////

      # Informations :

      C: - Lecteur fixe

      D: - Lecteur fixe


      # deleting files :


      \\\\\\\\\\\\\\\\\\ [ Registry / Mountpoint2 ] ///////////////////


      -> Not found !


      \\\\\\\\\\\\\\\\\\ [ Searching Other Infections ] ///////////////////

      Références de comparaison Bagle MD5 :

      2a47bdb6 C:\Documents and Settings\Julien\Application Data\drivers\winupgro.exe
      1e8dcee42629aacc87cb0e61ec03b88d C:\Documents and Settings\Julien\Application Data\drivers\winupgro.exe


      \\\\\\\\\\\\\\\\\\ [ Searching Cracks / Keygen ] ///////////////////


      ################## [ ! End of report # FindyKill V4.714 ! ]
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. toptitbal Messages postés 5341 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 232
     
    OK
    Comment se comporte ton PC maintenant ?
    0
    1. Ju de fruit
       
      Tout semble rentré dans l'ordre,

      il redemarre en mode sans echec,
      Ccleaner, spybot fonctionne
      il ne me reste plus qu'a réinstaller avast.

      Merci beaucoup pour ton aide
      0
  7. toptitbal Messages postés 5341 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 232
     
    N'oublie pas que Bagle est amené par les cracks, je te laisse en tirer les conclusions.... ;-))
    0