N'est pas une application Win32 valide!
Résolumathieu -
Je vous écris car je suis complètement désarmé suite à des virus présents sur ma machine.
Seul souci, je ne peux pas executer Hijackthis (sauf sur une nouvelle session administrateur que j'ai créé pour l'occasion) et Nod32 naturellement ne veut plus s'exectuer non plus.
Pourriez-vous m'aider s'il vous plait, je ne peux pas reformatter ma machine.
Merci d'avance
Configuration: Windows XP Firefox 3.0.1
19 réponses
Des infections virales lourdes affectent une machine sous Windows XP et Firefox 3.0.1, et l’utilisateur est bloqué car HijackThis et Nod32 ne s’exécutent plus, sans pouvoir reformatter la machine. Quelques interventions ont été tentées, notamment un scan Malwarebytes qui a détecté des éléments comme admdll.dll et des fichiers Worm.Bagle, puis des suppressions dans la restauration système et des mesures de nettoyage. D’autres échanges ont préconisé ZHPDiag et des nettoyages complémentaires, avec des rapports détaillés et des suggestions de sécurisation: mise à jour système, antivirus et pare-feu, et recommandations outils comme Malwarebytes. En cas de persistance du risque, des conseils avancés préconisent un nettoyage approfondi des restes et caches, puis une surveillance renforcée lors des prochaines sessions.
-
Salut, commence par ceci :
-+-+-+-> Findykill ( Infections Bagle ) <-+-+-+-
▶ Le virus " Bagle " s'attrape via le P2P ( eMule, shareaza, etc.. ), il neutralise le fonctionnement de l'antivirus, désactive le mode sans échec,
désactive l'accès à la base de registre etc..
/!\ Désactive tes protections résidentes ( Antivirus, Pare-Feu, Antispyware ) /!\
[x] Télécharge Findykill.
[x] Branche tout tes médias amovibles sur ton PC
[x] Lance Findykill ( clique droit -> éxecuter en tant qu'administrateur sous vista )
[x] Choisis l'option F ( français ) puis l'option n°1 ( Recherche )
[x] Laisse le scan s'opérer.
[x] Copie/Colle le rapport qui s'ouvrira et poste le dans ta prochaine réponse
[x] Note : Le rapport FindyKill.txt est sauvegardé a la racine du disque. ( C:\FindyKill.txt )-
meric de ta réponse, voici le rapport :
############################## | FindyKill V5.016 | # User : MathieuNew (Utilisateurs) # QUADCORE # Update on 26/10/2009 by Chiquitine29 # Start at: 10:57:02 | 27/10/2009 # Website : http://pagesperso-orange.fr/NosTools/index.html # Contact : FindyKill.Contact@gmail.com # Intel(R) Core(TM)2 Quad CPU Q6600 @ 2.40GHz # Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2 # Internet Explorer 6.0.2900.2180 # Windows Firewall Status : Enabled # AV : NOD32 Antivirus System 2.51 2.51 [ Enabled | Updated ] # A:\ # Lecteur de disquettes 3 ½ pouces # C:\ # Disque fixe local # 59,57 Go (17,56 Go free) # NTFS # D:\ # Disque CD-ROM # G:\ # Disque fixe local # 292,98 Go (238,74 Go free) [DATAS] # NTFS ############################## | Processus actifs | C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\r_server.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\ASUS\EPU-4 Engine\FourEngine.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\rundll32.exe C:\Program Files\OmniaAX\OmniaSrv.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\Java\jre6\bin\jucheck.exe C:\WINDOWS\system32\wbem\wmiprvse.exe ################## | C: | ################## | C:\WINDOWS | ################## | C:\WINDOWS\system32 | ################## | C:\WINDOWS\system32\drivers | ################## | C:\Documents and Settings\MathieuNew\Application Data | Présent ! C:\Documents and Settings\MathieuNew\Application Data\drivers Présent ! C:\Documents and Settings\MathieuNew\Application Data\drivers\downld ################## | Autres detections ... | ################## | Temporary Internet Files | ################## | Registre / Clés infectieuses | Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\srosa] Présent ! [HKLM\SYSTEM\ControlSet001\Services\srosa] Présent ! [HKLM\SYSTEM\ControlSet002\Services\srosa] Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA] Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA] Présent ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA] Présent ! [HKCU\Software\bisoft] Présent ! [HKU\S-1-5-21-117609710-1425521274-839522115-1006\Software\bisoft] Présent ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify" Présent ! [HKLM\software\microsoft\security center] "AntiVirusOverride" Présent ! [HKLM\software\microsoft\security center] "FirewallDisableNotify" Présent ! [HKLM\software\microsoft\security center] "FirewallOverride" ################## | Etat / Services / Informations | # Affichage des fichiers cachés : OK Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel ! # Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) # (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 ) # (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 ) # (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 ) # (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 ) ################## | Cracks / Keygens / Serials | "C:\Documents and Settings\Mathieu\Local Settings\Temp\Rar$EX00.687\keygen.exe" 10/07/2006 06:07 |Size 860160 |Crc32 6d2f4b36 |Md5 37226ad129ff15231b266b41847cdfc7 ################## | ! Fin du rapport # FindyKill V5.016 ! |
-
-
-+-+-+-> Findykill - Nettoyage <-+-+-+-
[x] Relance findykill mais choisis cette fois-ci l'option 2
[x] N'oublie pas de laisser tes médias amovibles branchés
[x] Le bureau disparaîtra et le PC redémarrera.
[x] Au redémarrage , FindyKill scannera ton PC, laisse travailler l'outil.
[x] Ensuite poste le rapport FindyKill.txt qui apparaîtra avec le Bureau.
[x] Note : le rapport FindyKill.txt est sauvegardé a la racine du disque. (C:\FindyKill.txt) -
-+-+-+-> Héberger un rapport sur cjoint <-+-+-+-
[x] Rend toi sur Cjoint
[x] Clique sur " Parcourir " dans la partie " Joindre un fichier[...] "
[x] Séléctionne le rapport findykill.txt
[x] Clique ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message -
-
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
-+-+-+-> OTMoveIt <-+-+-+-
[x] Télécharge OTMoveIt (de Old_Timer) à cette adresse : https://www.luanagames.com/index.fr.html sur ton Bureau.
[x] Double-clique sur OTMoveIt.exe.
[x] Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.
[x] Copie le texte en gras ci dessous et colle le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved
:processes
explorer.exe
:files
C:\Documents and Settings\Mathieu\Application Data\drivers
C:\Documents and Settings\Mathieu\Application Data\drivers\winupgro.exe
C:\Documents and Settings\Mathieu\Application Data\drivers\wfsintwq.sys
:commands
[emptytemp]
[purity]
[start explorer]
[x] Clique sur MoveIt! pour lancer la suppression.
[x] Si OTMoveIt propose de redémarrer ton PC, accepte.
[x] Lorsque un résultat apparaît dans le cadre Results, clique sur Exit.
[x] Dans ta future réponse, envoie le rapport de OTMoveIt situé sous C:\_OTMoveIt\MovedFiles-
Voici le rapport :
========== PROCESSES ========== Process explorer.exe killed successfully. ========== FILES ========== C:\Documents and Settings\Mathieu\Application Data\drivers moved successfully. File/Folder C:\Documents and Settings\Mathieu\Application Data\drivers\winupgro.exe not found. File/Folder C:\Documents and Settings\Mathieu\Application Data\drivers\wfsintwq.sys not found. ========== COMMANDS ========== File delete failed. C:\DOCUME~1\MATHIE~1\LOCALS~1\Temp\etilqs_LCguU4x0WMgGSJHzPCrI scheduled to be deleted on reboot. User's Temp folder emptied. User's Temporary Internet Files folder emptied. User's Internet Explorer cache folder emptied. Local Service Temp folder emptied. Local Service Temporary Internet Files folder emptied. Windows Temp folder emptied. Java cache emptied. File delete failed. C:\Documents and Settings\MathieuNew\Local Settings\Application Data\Mozilla\Firefox\Profiles\i7i2kajm.default\Cache\_CACHE_001_ scheduled to be deleted on reboot. File delete failed. C:\Documents and Settings\MathieuNew\Local Settings\Application Data\Mozilla\Firefox\Profiles\i7i2kajm.default\Cache\_CACHE_002_ scheduled to be deleted on reboot. File delete failed. C:\Documents and Settings\MathieuNew\Local Settings\Application Data\Mozilla\Firefox\Profiles\i7i2kajm.default\Cache\_CACHE_003_ scheduled to be deleted on reboot. File delete failed. C:\Documents and Settings\MathieuNew\Local Settings\Application Data\Mozilla\Firefox\Profiles\i7i2kajm.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot. File delete failed. C:\Documents and Settings\MathieuNew\Local Settings\Application Data\Mozilla\Firefox\Profiles\i7i2kajm.default\urlclassifier3.sqlite scheduled to be deleted on reboot. FireFox cache emptied. Temp folders emptied. Explorer started successfully OTMoveIt3 by OldTimer - Version 1.0.7.0 log created on 10272009_134056 Files moved on Reboot... File C:\DOCUME~1\MATHIE~1\LOCALS~1\Temp\etilqs_LCguU4x0WMgGSJHzPCrI not found! C:\Documents and Settings\MathieuNew\Local Settings\Application Data\Mozilla\Firefox\Profiles\i7i2kajm.default\Cache\_CACHE_001_ moved successfully. C:\Documents and Settings\MathieuNew\Local Settings\Application Data\Mozilla\Firefox\Profiles\i7i2kajm.default\Cache\_CACHE_002_ moved successfully. C:\Documents and Settings\MathieuNew\Local Settings\Application Data\Mozilla\Firefox\Profiles\i7i2kajm.default\Cache\_CACHE_003_ moved successfully. C:\Documents and Settings\MathieuNew\Local Settings\Application Data\Mozilla\Firefox\Profiles\i7i2kajm.default\Cache\_CACHE_MAP_ moved successfully. C:\Documents and Settings\MathieuNew\Local Settings\Application Data\Mozilla\Firefox\Profiles\i7i2kajm.default\urlclassifier3.sqlite moved successfully.
-
-
Bien, fais maintenant ceci pour qu'on analyse ton PC plus en profondeur :
-+-+-+-> ZHPDiag <-+-+-+-
[x] Télécharge ZHPDiag ( de Nicolas coolman ).
[x] Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
[x] Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau
[x] Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
[x] Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
[x] Rend toi sur www.cjoint.com
[x] Clique sur " Parcourir " dans la partie " Joindre un fichier[...] "
[x] Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
[x] Clique ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message -
-
Y'a des restes de bagle, on va les supprimer.
-+-+-+-> ZHPfix <-+-+-+-
[x] Relance ZHPDiag, fais un scan puis cette fois-ci cliques sur l'icone en forme d'écusson vert " ZHPFix ".
[x] ZHPFix se lancera, clique maintenant sur le " H " bleu ( coller les lignes helper ) puis copie/colle ce qui se trouve à ce lien :
https://www.cjoint.com/?kBokocUFib
[x] Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".
[x] Copie/Colle le rapport à l'écran dans ton prochain message
------------------------------
-+-+-+-> Malwarebyte's Anti-Malware <-+-+-+-
[x] Télécharge Malwarebyte's anti-malware (MBAM) à cette adresse : http://www.malwarebytes.org/mbam/program/mbam-setup.exe
[x] Installe le.
[x] Met le à jour.
[x] Lance un scan complet !
[x] Coche bien tout les éléments trouvés et supprime les !
[x] Un tutoriel pour son utilisation est disponible ici : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
[x] Suis les indications données sur le lien précédent puis copie/colle le rapport généré dans ton prochain message-
- voici le rapport :
Malwarebytes' Anti-Malware 1.41 Version de la base de données: 3040 Windows 5.1.2600 Service Pack 2 27/10/2009 15:13:56 mbam-log-2009-10-27 (15-13-56).txt Type de recherche: Examen complet (C:\|G:\|) Eléments examinés: 281758 Temps écoulé: 44 minute(s), 47 second(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 1 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 1 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 1 Fichier(s) infecté(s): 73 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): C:\WINDOWS\system32\admdll.dll (PUP.RemoteAdmin) -> Delete on reboot. Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully. Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): C:\Documents and Settings\MathieuNew\Application Data\drivers\downld (Worm.Bagle) -> Quarantined and deleted successfully. Fichier(s) infecté(s): C:\WINDOWS\system32\admdll.dll (PUP.RemoteAdmin) -> Delete on reboot. C:\Documents and Settings\Mathieu\Local Settings\Temporary Internet Files\Content.IE5\7F92XMT1\b64_3[1].jpg (Email.Worm) -> Quarantined and deleted successfully. C:\Documents and Settings\Mathieu\Local Settings\Temporary Internet Files\Content.IE5\C03C71RX\b64_4[1].jpg (Email.Worm) -> Quarantined and deleted successfully. C:\Documents and Settings\Mathieu\Local Settings\Temporary Internet Files\Content.IE5\CH278P6N\b64[1].jpg (Worm.Bagle) -> Quarantined and deleted successfully. C:\Documents and Settings\Mathieu\Local Settings\Temporary Internet Files\Content.IE5\CH278P6N\b64_3[1].jpg (Email.Worm) -> Quarantined and deleted successfully. C:\Documents and Settings\Mathieu\Local Settings\Temporary Internet Files\Content.IE5\CPUNG5MV\b64[1].jpg (Worm.Bagle) -> Quarantined and deleted successfully. C:\Program Files\Radmin\AdmDll.dll (PUP.RemoteAdmin) -> Quarantined and deleted successfully. C:\Program Files\Radmin\raddrv.dll (PUP.RemoteAdmin) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014040.exe (Worm.Bagle) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014042.exe (Worm.Bagle) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014046.exe (Email.Worm) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014047.exe (Email.Worm) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014048.exe (Email.Worm) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014050.exe (Email.Worm) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014053.exe (Worm.Bagle) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014054.exe (Worm.Bagle) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014069.exe (Worm.Bagle) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014070.exe (Worm.Bagle) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014250.exe (Email.Worm) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014157.exe (Email.Worm) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014158.exe (Email.Worm) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014159.exe (Email.Worm) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014160.exe (Email.Worm) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014161.exe (Email.Worm) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014165.exe (Worm.Bagle) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014166.exe (Worm.Bagle) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014207.exe (Email.Worm) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014208.exe (Email.Worm) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014211.exe (Worm.Bagle) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014251.exe (Email.Worm) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014252.exe (Email.Worm) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014256.exe (Worm.Bagle) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014257.exe (Worm.Bagle) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014294.exe (Email.Worm) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014296.exe (Email.Worm) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014297.exe (Email.Worm) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014300.exe (Worm.Bagle) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014329.exe (Email.Worm) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014330.exe (Email.Worm) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014331.exe (Email.Worm) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014334.exe (Worm.Bagle) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014335.exe (Worm.Bagle) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014368.exe (Email.Worm) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014369.exe (Email.Worm) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014372.exe (Worm.Bagle) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014373.exe (Worm.Bagle) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014437.exe (Email.Worm) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014439.exe (Email.Worm) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014440.exe (Email.Worm) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014444.exe (Worm.Bagle) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014445.exe (Worm.Bagle) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014558.exe (Email.Worm) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014563.exe (Email.Worm) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014564.exe (Email.Worm) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014572.exe (Email.Worm) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014648.exe (Worm.Bagle) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014651.exe (Worm.Bagle) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014569.exe (Email.Worm) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014691.exe (Email.Worm) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014692.exe (Email.Worm) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014693.exe (Email.Worm) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014769.exe (Worm.Bagle) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014770.exe (Worm.Bagle) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014773.exe (Email.Worm) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014774.exe (Email.Worm) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014775.exe (Email.Worm) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014776.exe (Email.Worm) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014777.exe (Email.Worm) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014820.exe (Worm.Bagle) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014821.exe (Worm.Bagle) -> Quarantined and deleted successfully. C:\WINDOWS\system32\cmdow.exe (Malware.Tool) -> Quarantined and deleted successfully. C:\WINDOWS\system32\raddrv.dll (PUP.RemoteAdmin) -> Quarantined and deleted successfully. C:\WINDOWS\system32\dll32.dll (Backdoor.Bot) -> Quarantined and deleted successfully.
-
-
normalement, quand tu cliques sur " helper " , tu as un encadré jaune vide qui s'ouvre, dedans tu colle ce que j'ai mis dans le lien cjoint. puis tu cliques sur " ok " , " tous " et enfin " nettoyer ".
Puis tu postes le rapport qui sera à l'écran -
Bien, fais la suite maintenant ( malwarebyte's )
-
Désolé, j'avais pas remarqué.
Les opérations sont effectuées sur la machine entièrement -
Ok, la majorité était dans la restauration système.
Refais un ZHPDiag -
-
De retour chez moi, voici le rapport Malware Bytes :
https://www.cjoint.com/?kBs55cbPJn- je tiens à préciser que mon nod32 ne veut toujours pas s'executer.
Arrivons-nous à la fin ? ou est-ce mort d'après toi ?
voici : https://www.cjoint.com/?kBteJkU82V
-
-
-
le post 26 correspondait à ton dernier post :
LE lien: https://www.cjoint.com/?kBteJkU82V
-
-
C'est normal que nod32 ne fonctionne plus, bagle l'a neutralisé et corrompu comme l'indique ces lignes du rapports FYK :
################## | PEH ... |
Corrompu : C:\Program Files\Eset\nod32.exe
[Offset = 00000104 - Valeur = 0x0001]
Corrompu : C:\Program Files\Eset\nod32krn.exe
[Offset = 0000010C - Valeur = 0x0001]
Corrompu : C:\Program Files\Eset\nod32kui.exe
[Offset = 0000011C - Valeur = 0x0001]
Il faut donc que tu le désinstalles puis réinstalle. Ensuite fais un scan avec et poste le rapport-
j'ai installé le nouveau nod32 v4
voici le résultat du scan :
27/10/2009 21:27:07 Protection en temps réel du système de fichiers fichier C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014052.exe une variante probable de Win32/Statik application potentiellement indésirable supprimé - mis en quarantaine AUTORITE NT\SYSTEM Un événement s'est produit sur un fichier modifié par l'application : C:\WINDOWS\system32\svchost.exe. 27/10/2009 21:27:06 Protection en temps réel du système de fichiers fichier C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014051.exe une variante de Win32/Packed.Themida application potentiellement indésirable supprimé - mis en quarantaine AUTORITE NT\SYSTEM Un événement s'est produit sur un fichier modifié par l'application : C:\WINDOWS\system32\svchost.exe. 27/10/2009 21:07:12 Protection en temps réel du système de fichiers fichier C:\System Volume Information\_restore{DC6C3D06-134C-44BD-AC64-E1EE61570C05}\RP174\A0014055.sys une variante de Win32/Bagle ver nettoyé par suppression - mis en quarantaine AUTORITE NT\SYSTEM Un événement s'est produit sur un fichier modifié par l'application : C:\WINDOWS\system32\svchost.exe.
-
-
Salut,
-+-+-+-> Scan en ligne Bitdefender <-+-+-+-
[x] Suis le tutoriel disponible à cette adresse ( en image ) :
https://www.commentcamarche.net/faq/8872-scanner-en-ligne-avec-bitdefender
-+-+-+-> RSIT <-+-+-+-
[x] Télécharge Random's System Information Tool à cette adresse : http://images.malwareremoval.com/random/RSIT.exe
[x] Double clique sur " RSIT.exe ".
[x] Clique sur " Continue ".
[x] Si hijackthis n'est pas présent il sera automatiquement téléchargé et tu devras accepter la license.
[x] Une fois l'analyse finie, deux fichiers ( info.txt & log.txt ) s'ouvriront.
[x] Rend toi sur www.cjoint.com
[x] Clique sur " Parcourir " dans la partie " Joindre un fichier[...] "
[x] Séléctionne le rapport info.txt qui se trouve sur ton bureau
[x] Clique ensuite sur " Créer le lien cjoint "
[x] Fais de même pour le log.txt
[x] Copie/colle ensuite les deux liens dans ton prochain message
[x] Note : si jamais tu as fermé les rapports sans faire attention, ils sont sous C:\rsit -
Les rapports sont clean, comment se porte le PC ? si tout va mieux on va procéder au nettoyage
-
Ok, alors tout d'abord ton système est vulnérable ( IE 6, SP2 ). Il va falloir mettre à jour tout ça :
SP3 XP : https://www.clubic.com/telecharger-fiche242026-windows-xp-service-pack-3.html
IE 8 : http://www.infos-du-net.com/telecharger/Internet-Explorer,0301-20990.html
Ensuite,
1 - Nettoyage :
- Télécharge ATF-Cleaner
- Suis le tutoriel disponible à cette adresse
- Renouvelle l'opération régulièrement
-----------------
-+-+-+-> Tools Cleaner <-+-+-+-
[o] Afin de supprimer tout les logiciels qui ont été utilisés pour ta désinfection,
[o] Télécharge ToolsCleaner sur ton bureau à cette adresse : https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/
[o] Double-clique sur « Toolscleaner.exe »
[o] Clique sur "restauration" pour créer un point de restauration.
[o] Puis clique sur « recherche »
[o] Quand la recherche sera terminée, clique sur "suppression".
[o] A la fin (il y aura des indications dans le cadre en-dessous), clique sur "quitter" et poste le rapport qui se trouve dans C:\Tcleaner.txt-
Et voici :
[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ] --> Recherche: C:\FindyKill.txt: trouvé ! C:\FindyKill: trouvé ! C:\Rsit: trouvé ! C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé ! C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé ! C:\Documents and Settings\Isabelle\Bureau\Rsit.exe: trouvé ! C:\Documents and Settings\Mathieu\Local Settings\Temp\hijackthis.log: trouvé ! C:\Indy\LSPFix.exe: trouvé ! C:\Program Files\ZHPDiag: trouvé ! C:\Program Files\trend micro\HijackThis.exe: trouvé ! C:\Program Files\trend micro\hijackthis.log: trouvé ! C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé ! --------------------------------- --> Suppression: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé ! C:\Indy\LSPFix.exe: supprimé ! C:\Program Files\trend micro\HijackThis.exe: supprimé ! C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé ! C:\FindyKill.txt: supprimé ! C:\Documents and Settings\Isabelle\Bureau\Rsit.exe: supprimé ! C:\Documents and Settings\Mathieu\Local Settings\Temp\hijackthis.log: supprimé ! C:\Program Files\trend micro\hijackthis.log: supprimé ! C:\FindyKill: supprimé ! C:\Rsit: supprimé ! C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé ! C:\Program Files\ZHPDiag: supprimé !
-
-
Bien, tu peux supprimer toolscleaner et mettre ton post en " résolu " si tu n'as plus d'autres soucis.
-+-+-+-> Sécuriser son PC <-+-+-+-
I - Attitude sur le net
- Sécuriser son PC, c'est tout d'abord être responsable.
1-> Les sites de cracks sont à bannir ( Plus d'infos ici : https://forum.malekal.com/viewtopic.php?f=33&t=893 )
2-> Le P2P est également à éviter, source de nombreuses infections. ( Bagle par ex.) ( Plus d'infos ici : http://www.libellules.ch/... )
3-> Il est aussi très important de faire toutes les mises à jour de windows, qui sont nécessaire pour corriger les failles. ( IE, Mises à jour critiques, Service Pack etc.. ) ( Pourquoi mettre à jour son système : http://forum.malekal.com/ftopic3563.php )
4-> Adobe flash player, Java , et acrobat reader sont également à mettre à jour, pour éviter les exploits ( https://forum.malekal.com/viewtopic.php?f=33&t=13629 )
============================================================================================
II - Logiciels de protection
- Il faut ensuite avoir un bon antivirus, je recommande antivir qui est l'un de meilleur antivirus gratuit à ce jour ( et qui plus est en français ) :
Pour le télécharger --> http://www.commentcamarche.net/telecharger/telecharger-55-antivir
- Un bon pare-feu est aussi de rigueur, je recommande Comodo ( gratuit ) ou ZoneAlarm ( payant )
Comodo : https://www.commentcamarche.net/telecharger/securite/6291-comodo-firewall-free-windows/
ZoneAlarm : https://www.commentcamarche.net/telecharger/securite/24863-zonealarm/
- Pour complèter le tout, un anti-spyware est recommandé.
Malwarebyte's : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
SpywareTerminator ( Protection en temps réel ) : https://www.commentcamarche.net/telecharger/securite/20947-spyware-terminator/
============================================================================================
III - Liens utiles
-> Malekal - Sécuriser son PC : https://www.malekal.com/proteger-pc-virus-pirates/
-> Malekal - Les spywares/vers/malwares sous windows : http://www.malekal.com/spywares.php
-> Malekal - Les toolbars : https://forum.malekal.com/viewtopic.php?t=6173&start=