Sujet Précédent Sujet Suivant

N'est pas une application Win32 valide!

Résolu/Fermé
mathieu - 27 oct. 2009 à 10:50
 mathieu - 28 oct. 2009 à 16:04
Bonjour,
Je vous écris car je suis complètement désarmé suite à des virus présents sur ma machine.
Seul souci, je ne peux pas executer Hijackthis (sauf sur une nouvelle session administrateur que j'ai créé pour l'occasion) et Nod32 naturellement ne veut plus s'exectuer non plus.

Pourriez-vous m'aider s'il vous plait, je ne peux pas reformatter ma machine.

Merci d'avance

19 réponses

Réponse 1 / 19
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
27 oct. 2009 à 10:51
Salut, commence par ceci :

-+-+-+-> Findykill ( Infections Bagle ) <-+-+-+-


▶ Le virus " Bagle " s'attrape via le P2P ( eMule, shareaza, etc.. ), il neutralise le fonctionnement de l'antivirus, désactive le mode sans échec,
désactive l'accès à la base de registre etc..

/!\ Désactive tes protections résidentes ( Antivirus, Pare-Feu, Antispyware ) /!\

[x] Télécharge Findykill.

[x] Branche tout tes médias amovibles sur ton PC

[x] Lance Findykill ( clique droit -> éxecuter en tant qu'administrateur sous vista )

[x] Choisis l'option F ( français ) puis l'option n°1 ( Recherche )

[x] Laisse le scan s'opérer.

[x] Copie/Colle le rapport qui s'ouvrira et poste le dans ta prochaine réponse

[x] Note : Le rapport FindyKill.txt est sauvegardé a la racine du disque. ( C:\FindyKill.txt )
0
mathieu
27 oct. 2009 à 11:24
meric de ta réponse, voici le rapport : 

############################## | FindyKill V5.016 |

# User : MathieuNew (Utilisateurs) # QUADCORE
# Update on 26/10/2009 by Chiquitine29
# Start at: 10:57:02 | 27/10/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# Intel(R) Core(TM)2 Quad CPU    Q6600  @ 2.40GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Enabled
# AV : NOD32 Antivirus System 2.51 2.51 [ Enabled | Updated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 59,57 Go (17,56 Go free) # NTFS
# D:\ # Disque CD-ROM
# G:\ # Disque fixe local # 292,98 Go (238,74 Go free) [DATAS] # NTFS

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\r_server.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\ASUS\EPU-4 Engine\FourEngine.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\OmniaAX\OmniaSrv.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Java\jre6\bin\jucheck.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | C: |


################## | C:\WINDOWS |


################## | C:\WINDOWS\system32 |


################## | C:\WINDOWS\system32\drivers |


################## | C:\Documents and Settings\MathieuNew\Application Data |

Présent ! C:\Documents and Settings\MathieuNew\Application Data\drivers  
Présent ! C:\Documents and Settings\MathieuNew\Application Data\drivers\downld  
################## | Autres detections ... |

################## | Temporary Internet Files |


################## | Registre / Clés infectieuses |

Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\srosa]  
Présent ! [HKLM\SYSTEM\ControlSet001\Services\srosa]  
Présent ! [HKLM\SYSTEM\ControlSet002\Services\srosa]  
Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA]  
Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]  
Présent ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA]  
Présent ! [HKCU\Software\bisoft]  
Présent ! [HKU\S-1-5-21-117609710-1425521274-839522115-1006\Software\bisoft]  
Présent ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"  
Présent ! [HKLM\software\microsoft\security center] "AntiVirusOverride"  
Présent ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"  
Présent ! [HKLM\software\microsoft\security center] "FirewallOverride"  

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK
 
Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !  
 
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )  
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )  
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )  
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )  


################## | Cracks / Keygens / Serials |

"C:\Documents and Settings\Mathieu\Local Settings\Temp\Rar$EX00.687\keygen.exe"  
10/07/2006 06:07 |Size 860160 |Crc32 6d2f4b36 |Md5 37226ad129ff15231b266b41847cdfc7  

################## | ! Fin du rapport # FindyKill V5.016 ! |
0
Réponse 2 / 19
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
27 oct. 2009 à 11:26
-+-+-+-> Findykill - Nettoyage <-+-+-+-


[x] Relance findykill mais choisis cette fois-ci l'option 2

[x] N'oublie pas de laisser tes médias amovibles branchés

[x] Le bureau disparaîtra et le PC redémarrera.

[x] Au redémarrage , FindyKill scannera ton PC, laisse travailler l'outil.

[x] Ensuite poste le rapport FindyKill.txt qui apparaîtra avec le Bureau.

[x] Note : le rapport FindyKill.txt est sauvegardé a la racine du disque. (C:\FindyKill.txt)
0
mathieu
27 oct. 2009 à 12:31
merci explode de t'intéresser à mon probleme, mais je suis dans l'incapacité de te poster le rapport qui est très long, et commentcamarche bug, je n'arrive pas à poster la réponse.
0
Réponse 3 / 19
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
27 oct. 2009 à 12:32
-+-+-+-> Héberger un rapport sur cjoint <-+-+-+-


[x] Rend toi sur Cjoint

[x] Clique sur " Parcourir " dans la partie " Joindre un fichier[...] "

[x] Séléctionne le rapport findykill.txt

[x] Clique ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message
0
Réponse 4 / 19
mathieu
27 oct. 2009 à 12:34
voici : https://www.cjoint.com/?kBmIhvOafA
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 19
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
27 oct. 2009 à 13:09
-+-+-+-> OTMoveIt <-+-+-+-


[x] Télécharge OTMoveIt (de Old_Timer) à cette adresse : https://www.luanagames.com/index.fr.html sur ton Bureau.

[x] Double-clique sur OTMoveIt.exe.

[x] Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.

[x] Copie le texte en gras ci dessous et colle le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved



:processes
explorer.exe

:files
C:\Documents and Settings\Mathieu\Application Data\drivers
C:\Documents and Settings\Mathieu\Application Data\drivers\winupgro.exe
C:\Documents and Settings\Mathieu\Application Data\drivers\wfsintwq.sys

:commands
[emptytemp]
[purity]
[start explorer]



[x] Clique sur MoveIt! pour lancer la suppression.

[x] Si OTMoveIt propose de redémarrer ton PC, accepte.

[x] Lorsque un résultat apparaît dans le cadre Results, clique sur Exit.

[x] Dans ta future réponse, envoie le rapport de OTMoveIt situé sous C:\_OTMoveIt\MovedFiles
0
mathieu
27 oct. 2009 à 13:51
Voici le rapport : 

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
C:\Documents and Settings\Mathieu\Application Data\drivers moved successfully.
File/Folder C:\Documents and Settings\Mathieu\Application Data\drivers\winupgro.exe not found.
File/Folder C:\Documents and Settings\Mathieu\Application Data\drivers\wfsintwq.sys not found.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\MATHIE~1\LOCALS~1\Temp\etilqs_LCguU4x0WMgGSJHzPCrI scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. C:\Documents and Settings\MathieuNew\Local Settings\Application Data\Mozilla\Firefox\Profiles\i7i2kajm.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\MathieuNew\Local Settings\Application Data\Mozilla\Firefox\Profiles\i7i2kajm.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\MathieuNew\Local Settings\Application Data\Mozilla\Firefox\Profiles\i7i2kajm.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\MathieuNew\Local Settings\Application Data\Mozilla\Firefox\Profiles\i7i2kajm.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\MathieuNew\Local Settings\Application Data\Mozilla\Firefox\Profiles\i7i2kajm.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.7.0 log created on 10272009_134056

Files moved on Reboot...
File C:\DOCUME~1\MATHIE~1\LOCALS~1\Temp\etilqs_LCguU4x0WMgGSJHzPCrI not found!
C:\Documents and Settings\MathieuNew\Local Settings\Application Data\Mozilla\Firefox\Profiles\i7i2kajm.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\MathieuNew\Local Settings\Application Data\Mozilla\Firefox\Profiles\i7i2kajm.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\MathieuNew\Local Settings\Application Data\Mozilla\Firefox\Profiles\i7i2kajm.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\MathieuNew\Local Settings\Application Data\Mozilla\Firefox\Profiles\i7i2kajm.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\MathieuNew\Local Settings\Application Data\Mozilla\Firefox\Profiles\i7i2kajm.default\urlclassifier3.sqlite moved successfully.
0
Réponse 6 / 19
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
27 oct. 2009 à 13:53
Bien, fais maintenant ceci pour qu'on analyse ton PC plus en profondeur :

-+-+-+-> ZHPDiag <-+-+-+-


[x] Télécharge ZHPDiag ( de Nicolas coolman ).

[x] Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

[x] Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau

[x] Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

[x] Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

[x] Rend toi sur www.cjoint.com

[x] Clique sur " Parcourir " dans la partie " Joindre un fichier[...] "

[x] Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

[x] Clique ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message
0
mathieu
27 oct. 2009 à 14:01
et voici : http://cjoint.com/data/kBobvPBKI0.htm
0
Réponse 7 / 19
mathieu
27 oct. 2009 à 14:02
Voici : http://cjoint.com/data/kBobvPBKI0.htm
0
mathieu
27 oct. 2009 à 14:10
une petite question : les diverses opérations que je réalise, sont valables sur toute la machine ou bien uniquement sur la session courante ? je vois bien que certains fichiers sont supprimés et sont communs à toutes les sessions, mais je demande de manière générale
0
Réponse 8 / 19
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
27 oct. 2009 à 14:11
Y'a des restes de bagle, on va les supprimer.

-+-+-+-> ZHPfix <-+-+-+-


[x] Relance ZHPDiag, fais un scan puis cette fois-ci cliques sur l'icone en forme d'écusson vert " ZHPFix ".

[x] ZHPFix se lancera, clique maintenant sur le " H " bleu ( coller les lignes helper ) puis copie/colle ce qui se trouve à ce lien :

https://www.cjoint.com/?kBokocUFib

[x] Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

[x] Copie/Colle le rapport à l'écran dans ton prochain message


------------------------------

-+-+-+-> Malwarebyte's Anti-Malware <-+-+-+-


[x] Télécharge Malwarebyte's anti-malware (MBAM) à cette adresse : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

[x] Installe le.

[x] Met le à jour.

[x] Lance un scan complet !

[x] Coche bien tout les éléments trouvés et supprime les !

[x] Un tutoriel pour son utilisation est disponible ici : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

[x] Suis les indications données sur le lien précédent puis copie/colle le rapport généré dans ton prochain message
0
mathieu
27 oct. 2009 à 14:15
lorsque je clique sur Helper, j'ai tout qui disparait, donc rien à copier !? c'est normal ?
0
mathieu > mathieu
27 oct. 2009 à 15:16
voici le rapport : 

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3040
Windows 5.1.2600 Service Pack 2

27/10/2009 15:13:56
mbam-log-2009-10-27 (15-13-56).txt

Type de recherche: Examen complet (C:\|G:\|)
Eléments examinés: 281758
Temps écoulé: 44 minute(s), 47 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 73

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\admdll.dll (PUP.RemoteAdmin) -> Delete on reboot.

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Documents and Settings\MathieuNew\Application Data\drivers\downld (Worm.Bagle) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\WINDOWS\system32\admdll.dll (PUP.RemoteAdmin) -> Delete on reboot.
C:\Documents and Settings\Mathieu\Local Settings\Temporary Internet Files\Content.IE5\7F92XMT1\b64_3[1].jpg (Email.Worm) -> Quarantined and deleted successfully.
C:\Documents and Settings\Mathieu\Local Settings\Temporary Internet Files\Content.IE5\C03C71RX\b64_4[1].jpg (Email.Worm) -> Quarantined and deleted successfully.
C:\Documents and Settings\Mathieu\Local Settings\Temporary Internet Files\Content.IE5\CH278P6N\b64[1].jpg (Worm.Bagle) -> Quarantined and deleted successfully.
C:\Documents and Settings\Mathieu\Local Settings\Temporary Internet Files\Content.IE5\CH278P6N\b64_3[1].jpg (Email.Worm) -> Quarantined and deleted successfully.
C:\Documents and Settings\Mathieu\Local Settings\Temporary Internet Files\Content.IE5\CPUNG5MV\b64[1].jpg (Worm.Bagle) -> Quarantined and deleted successfully.
C:\Program Files\Radmin\AdmDll.dll (PUP.RemoteAdmin) -> Quarantined and deleted successfully.
C:\Program Files\Radmin\raddrv.dll (PUP.RemoteAdmin) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014040.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014042.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014046.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014047.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014048.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014050.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014053.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014054.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014069.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014070.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014250.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014157.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014158.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014159.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014160.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014161.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014165.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014166.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014207.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014208.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014211.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014251.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014252.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014256.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014257.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014294.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014296.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014297.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014300.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014329.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014330.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014331.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014334.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014335.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014368.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014369.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014372.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014373.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014437.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014439.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014440.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014444.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014445.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014558.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014563.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014564.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014572.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014648.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014651.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014569.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014691.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014692.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014693.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014769.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014770.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014773.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014774.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014775.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014776.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014777.exe (Email.Worm) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014820.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014821.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\cmdow.exe (Malware.Tool) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\raddrv.dll (PUP.RemoteAdmin) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dll32.dll (Backdoor.Bot) -> Quarantined and deleted successfully.
0
Réponse 9 / 19
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
27 oct. 2009 à 14:22
normalement, quand tu cliques sur " helper " , tu as un encadré jaune vide qui s'ouvre, dedans tu colle ce que j'ai mis dans le lien cjoint. puis tu cliques sur " ok " , " tous " et enfin " nettoyer ".

Puis tu postes le rapport qui sera à l'écran
0
mathieu
27 oct. 2009 à 14:25
pardon j'avais mal compris, voici :

https://www.cjoint.com/?kBoy4NPGVY
0
Réponse 10 / 19
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
27 oct. 2009 à 14:33
Bien, fais la suite maintenant ( malwarebyte's )
0
mathieu
27 oct. 2009 à 14:34
c'est en cours... merci de ton aide.. as-tu lu ma question précédente ?
0
Réponse 11 / 19
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
27 oct. 2009 à 14:35
Désolé, j'avais pas remarqué.

Les opérations sont effectuées sur la machine entièrement
0
Réponse 12 / 19
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
27 oct. 2009 à 15:17
Ok, la majorité était dans la restauration système.

Refais un ZHPDiag
0
mathieu
27 oct. 2009 à 15:22
très bien, par contre j'ai un souci, Malware m'a demandé de rebooter, l'ordi a du le faire mais mon Radmin ne fonctionne plus, et je suis au bureau.. donc je te tiens au courant ce soir.
0
Réponse 13 / 19
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
27 oct. 2009 à 15:25
ok pas de soucis
0
mathieu
27 oct. 2009 à 18:58
De retour chez moi, voici le rapport Malware Bytes :
https://www.cjoint.com/?kBs55cbPJn
0
mathieu > mathieu
27 oct. 2009 à 19:05
je tiens à préciser que mon nod32 ne veut toujours pas s'executer.
Arrivons-nous à la fin ? ou est-ce mort d'après toi ?

voici : https://www.cjoint.com/?kBteJkU82V
0
Réponse 14 / 19
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
27 oct. 2009 à 19:01
Bien, fais un nouveau ZHPDiag
0
mathieu
27 oct. 2009 à 19:06
le post 26 correspondait à ton dernier post :
LE lien: https://www.cjoint.com/?kBteJkU82V
0
Réponse 15 / 19
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
27 oct. 2009 à 19:46
C'est normal que nod32 ne fonctionne plus, bagle l'a neutralisé et corrompu comme l'indique ces lignes du rapports FYK :


################## | PEH ... |

Corrompu : C:\Program Files\Eset\nod32.exe
[Offset = 00000104 - Valeur = 0x0001]

Corrompu : C:\Program Files\Eset\nod32krn.exe
[Offset = 0000010C - Valeur = 0x0001]

Corrompu : C:\Program Files\Eset\nod32kui.exe
[Offset = 0000011C - Valeur = 0x0001]


Il faut donc que tu le désinstalles puis réinstalle. Ensuite fais un scan avec et poste le rapport
0
mathieu
27 oct. 2009 à 21:41
j'ai installé le nouveau nod32 v4

voici le résultat du scan : 

27/10/2009 21:27:07	Protection en temps réel du système de fichiers	fichier	C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014052.exe	une variante probable de Win32/Statik application potentiellement indésirable	supprimé - mis en quarantaine	AUTORITE NT\SYSTEM	Un événement s'est produit sur un fichier modifié par l'application : C:\WINDOWS\system32\svchost.exe.
27/10/2009 21:27:06	Protection en temps réel du système de fichiers	fichier	C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014051.exe	une variante de Win32/Packed.Themida application potentiellement indésirable	supprimé - mis en quarantaine	AUTORITE NT\SYSTEM	Un événement s'est produit sur un fichier modifié par l'application : C:\WINDOWS\system32\svchost.exe.
27/10/2009 21:07:12	Protection en temps réel du système de fichiers	fichier	C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014055.sys	une variante de Win32/Bagle ver	nettoyé par suppression - mis en quarantaine	AUTORITE NT\SYSTEM	Un événement s'est produit sur un fichier modifié par l'application : C:\WINDOWS\system32\svchost.exe.
0
mathieu > mathieu
28 oct. 2009 à 10:00
Explode ? Je n'ai plus de nouvelles de toi?
0
Réponse 16 / 19
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
28 oct. 2009 à 12:10
Salut,

-+-+-+-> Scan en ligne Bitdefender <-+-+-+-


[x] Suis le tutoriel disponible à cette adresse ( en image ) :

https://www.commentcamarche.net/faq/8872-scanner-en-ligne-avec-bitdefender


-+-+-+-> RSIT <-+-+-+-


[x] Télécharge Random's System Information Tool à cette adresse : http://images.malwareremoval.com/random/RSIT.exe

[x] Double clique sur " RSIT.exe ".

[x] Clique sur " Continue ".

[x] Si hijackthis n'est pas présent il sera automatiquement téléchargé et tu devras accepter la license.

[x] Une fois l'analyse finie, deux fichiers ( info.txt & log.txt ) s'ouvriront.

[x] Rend toi sur www.cjoint.com

[x] Clique sur " Parcourir " dans la partie " Joindre un fichier[...] "

[x] Séléctionne le rapport info.txt qui se trouve sur ton bureau

[x] Clique ensuite sur " Créer le lien cjoint "

[x] Fais de même pour le log.txt

[x] Copie/colle ensuite les deux liens dans ton prochain message

[x] Note : si jamais tu as fermé les rapports sans faire attention, ils sont sous C:\rsit
0
mathieu
28 oct. 2009 à 12:44
info.txt > http://cjoint.com/data/kEctBK3DRq.htm

bit.html > http://cjoint.com/data/kEct5dPPIi.htm

log.txt > http://cjoint.com/data/kEcva7WQjU.htm

Yen a til pour longtemps encore, je suis très inquiet de tous ces fichiers infectés !
0
Réponse 17 / 19
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
28 oct. 2009 à 13:14
Les rapports sont clean, comment se porte le PC ? si tout va mieux on va procéder au nettoyage
0
mathieu
28 oct. 2009 à 13:47
il se porte très bien, si bien que je pensais que nous avions terminé.
Le son est revenu, il est nettement + rapide.
0
Réponse 18 / 19
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
28 oct. 2009 à 13:50
Ok, alors tout d'abord ton système est vulnérable ( IE 6, SP2 ). Il va falloir mettre à jour tout ça :

SP3 XP : https://www.clubic.com/telecharger-fiche242026-windows-xp-service-pack-3.html
IE 8 : http://www.infos-du-net.com/telecharger/Internet-Explorer,0301-20990.html

Ensuite,

1 - Nettoyage :

- Télécharge ATF-Cleaner

- Suis le tutoriel disponible à cette adresse

- Renouvelle l'opération régulièrement

-----------------

-+-+-+-> Tools Cleaner <-+-+-+-


[o] Afin de supprimer tout les logiciels qui ont été utilisés pour ta désinfection,

[o] Télécharge ToolsCleaner sur ton bureau à cette adresse : https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/

[o] Double-clique sur « Toolscleaner.exe »

[o] Clique sur "restauration" pour créer un point de restauration.

[o] Puis clique sur « recherche »

[o] Quand la recherche sera terminée, clique sur "suppression".

[o] A la fin (il y aura des indications dans le cadre en-dessous), clique sur "quitter" et poste le rapport qui se trouve dans C:\Tcleaner.txt
0
mathieu
28 oct. 2009 à 15:39
Et voici : 

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\FindyKill.txt: trouvé !
C:\FindyKill: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Isabelle\Bureau\Rsit.exe: trouvé !
C:\Documents and Settings\Mathieu\Local Settings\Temp\hijackthis.log: trouvé !
C:\Indy\LSPFix.exe: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files\trend micro\HijackThis.exe: trouvé !
C:\Program Files\trend micro\hijackthis.log: trouvé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Indy\LSPFix.exe: supprimé !
C:\Program Files\trend micro\HijackThis.exe: supprimé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
C:\FindyKill.txt: supprimé !
C:\Documents and Settings\Isabelle\Bureau\Rsit.exe: supprimé !
C:\Documents and Settings\Mathieu\Local Settings\Temp\hijackthis.log: supprimé !
C:\Program Files\trend micro\hijackthis.log: supprimé !
C:\FindyKill: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\ZHPDiag: supprimé !
0
Réponse 19 / 19
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
28 oct. 2009 à 15:48
Bien, tu peux supprimer toolscleaner et mettre ton post en " résolu " si tu n'as plus d'autres soucis.

-+-+-+-> Sécuriser son PC <-+-+-+-

I - Attitude sur le net


- Sécuriser son PC, c'est tout d'abord être responsable.

1-> Les sites de cracks sont à bannir ( Plus d'infos ici : https://forum.malekal.com/viewtopic.php?f=33&t=893 )

2-> Le P2P est également à éviter, source de nombreuses infections. ( Bagle par ex.) ( Plus d'infos ici : http://www.libellules.ch/... )

3-> Il est aussi très important de faire toutes les mises à jour de windows, qui sont nécessaire pour corriger les failles. ( IE, Mises à jour critiques, Service Pack etc.. ) ( Pourquoi mettre à jour son système : http://forum.malekal.com/ftopic3563.php )

4-> Adobe flash player, Java , et acrobat reader sont également à mettre à jour, pour éviter les exploits ( https://forum.malekal.com/viewtopic.php?f=33&t=13629 )

============================================================================================

II - Logiciels de protection


- Il faut ensuite avoir un bon antivirus, je recommande antivir qui est l'un de meilleur antivirus gratuit à ce jour ( et qui plus est en français ) :

Pour le télécharger --> http://www.commentcamarche.net/telecharger/telecharger-55-antivir

- Un bon pare-feu est aussi de rigueur, je recommande Comodo ( gratuit ) ou ZoneAlarm ( payant )

Comodo : https://www.commentcamarche.net/telecharger/securite/6291-comodo-firewall-free-windows/

ZoneAlarm : https://www.commentcamarche.net/telecharger/securite/24863-zonealarm/

- Pour complèter le tout, un anti-spyware est recommandé.

Malwarebyte's : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

SpywareTerminator ( Protection en temps réel ) : https://www.commentcamarche.net/telecharger/securite/20947-spyware-terminator/

============================================================================================

III - Liens utiles


-> Malekal - Sécuriser son PC : https://www.malekal.com/proteger-pc-virus-pirates/

-> Malekal - Les spywares/vers/malwares sous windows : http://www.malekal.com/spywares.php

-> Malekal - Les toolbars : https://forum.malekal.com/viewtopic.php?t=6173&start=
0
mathieu
28 oct. 2009 à 16:04
merci pour tout cela !
Très instructif ! A bientot !
0

Discussions similaires

"Aucune application permettant d'ouvrir cette URL"
sidojaice -
JIP -

24 réponses
Nom de champs du tableau croisé dynamique non valide
Kazooie123 -
SajDri -

6 réponses
Blocage sur tableau Excel par la mention "La référence n'est pas valide
OBP-P75 -
DjiDji59430 -

1 réponse
Detection PUA: win32 Installcore
Nat -
bazfile -

13 réponses
Installer une application non vérifiée Microsoft Store
Camtajoie -
Kori-Kori -

11 réponses