Security tool et win32 app

Résolu/Fermé
Chuckyy2 Messages postés 98 Date d'inscription mercredi 22 avril 2009 Statut Membre Dernière intervention 21 octobre 2017 - 19 nov. 2010 à 02:47
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 - 27 nov. 2010 à 20:16
Bonjour,

J'ai regardé sur le forum pour tenter de règler le problème moi même, mais je n'y arrive plus.

Security tool est apparue. J'ai tenté de faire une restauration du système, mais elle n'a pas fonctionné... j'imagine à cause du malware.
J'ai ensuite tenté de l'enlever avec Malwarebytes et Rogue killer, mais je suis bloqué par la Win 32 application qui m'empêche d'ouvrir les 2 fichiers.

De win 32, avec l'autre page d'aide sur ccm, elle ne m'avancait pas trop. J'ai seulement compris que je crois que j'ai recu un Bagle...

J'ai utiliser [taskkill /f /im 95856900.exe] qui a au moins enlever les fenetres de security tool de mon écran.

Si vous pouvez m'aider pour le reste ce serait très apprécié!

Autres questions: Si je continues a utiliser microsoft word pendant ce temps, est ce que ca pose problème?
Et est-ce que je devrais fermer mon ordi ou la laisser ouverte jusqu'à temps que le problème ne se règle?

Merci davance pour votre aide.

Charles


A voir également:

54 réponses

moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
19 nov. 2010 à 06:23
bonjour

Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


(outil de diagnostic)


Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

Rend toi sur Cjoint : http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

0
Chuckyy2 Messages postés 98 Date d'inscription mercredi 22 avril 2009 Statut Membre Dernière intervention 21 octobre 2017
19 nov. 2010 à 19:53
http://www.cijoint.fr/cjlink.php?file=cj201011/cijFRnLztp.txt


Merci pour ton aide!
0
Chuckyy2 Messages postés 98 Date d'inscription mercredi 22 avril 2009 Statut Membre Dernière intervention 21 octobre 2017
19 nov. 2010 à 20:33
J'ai pu faire l'opération avec ZHPFix, mais je ne peux même pas faire l'installation de Malwarebytes, donc impossible de faire quoi que ce soit avec ca.

Voici le rapport:

Rapport de ZHPFix 1.12.3219 par Nicolas Coolman, Update du 18/11/2010
Fichier d'export Registre :
Run by Charles at 2010-11-19 15:31:14
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Processus mémoire ==========
C:\Users\Charles\AppData\Roaming\Microsoft\Windows\shell.exe [141824] => Supprimé et mis en quarantaine

========== Valeur(s) du Registre ==========
O4 - HKCU\..\Run: [svchost] . (.Pas de propriétaire - Windows Host Process.) -- C:\Users\Charles\AppData\Roaming\Microsoft\svchost.exe => Valeur supprimée avec succès
O4 - HKCU\..\RunOnce: [95856900] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Charles\AppData\Local\95856900.exe => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-3197797478-1381546659-3490569594-1000\..\Run: [svchost] . (.Pas de propriétaire - Windows Host Process.) -- C:\Users\Charles\AppData\Roaming\Microsoft\svchost.exe => Valeur absente
O4 - HKUS\S-1-5-21-3197797478-1381546659-3490569594-1000\..\RunOnce: [95856900] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Charles\AppData\Local\95856900.exe => Valeur absente

========== Elément(s) de donnée du Registre ==========
F3 - REG:win.ini: load=C:\Users\Charles\AppData\Local\Temp\dwm.exe => Donnée supprimée avec succès

========== Fichier(s) ==========
c:\users\charles\appdata\local\temp\dwm.exe => Supprimé et mis en quarantaine
c:\users\charles\appdata\roaming\microsoft\svchost.exe => Supprimé et mis en quarantaine
c:\users\charles\appdata\local\95856900.exe => Supprimé et mis en quarantaine
c:\users\charles\appdata\roaming\microsoft\windows\start menu\programs\security tool.lnk => Supprimé et mis en quarantaine


========== Récapitulatif ==========
1 : Processus mémoire
4 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
4 : Fichier(s)


End of the scan
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
19 nov. 2010 à 20:37
ok

essaie maintenant

Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller


Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Chuckyy2 Messages postés 98 Date d'inscription mercredi 22 avril 2009 Statut Membre Dernière intervention 21 octobre 2017
19 nov. 2010 à 20:42
J'ai retenté et je ne peux toujours pas l'ouvrir.

Ce qui apparait que mbam is not a valid Win32 application.

C'est la que je bloque...
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
19 nov. 2010 à 20:45
????????

* Téléchargez FindyKill sur le Bureau.

http://www.teamxscript.org/findykillTelechargement.html

ou

http://teamxscript.changelog.fr/FindyKill.html

* Double-cliquez sur FindyKill présent sur le Bureau.

* Choisissez l'option 1 (Recherche).

* Laissez travailler l'outil.

* Ensuite postez le rapport FindyKill.txt qui apparaîtra (si vous avez créé un sujet sur un forum pour vous faire aider).

* Note : Le rapport FindyKill.txt est sauvegardé à la racine du disque (C:\FindyKill.txt).

(CTRL+A pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller)

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

* Tuto : http://pagesperso-orange.fr/NosTools/index.html

0
Chuckyy2 Messages postés 98 Date d'inscription mercredi 22 avril 2009 Statut Membre Dernière intervention 21 octobre 2017
19 nov. 2010 à 20:54
############################## | FindyKill V5.052 |

# User : Charles (Administrators) # CHARLES-PC
# Update on 23/10/2010 by El Desaparecido
# Start at: 15:54:01 | 2010-11-19
# Website : http://www.teamxscript.org/
# Contact : eldesaparecido@teamxscript.org

# Intel(R) Core(TM)2 Duo CPU T5550 @ 1.83GHz
# Microsoft® Windows Vista(TM) Home Premium (6.0.6002 32-bit) # Service Pack 2
# Internet Explorer 8.0.6001.18975
# Windows Firewall Status : Enabled

# C:\ # Local Fixed Disk # 220,81 Go (76,88 Go free) # NTFS
# D:\ # Local Fixed Disk # 12,07 Go (1,44 Go free) [HP_RECOVERY] # NTFS
# E:\ # CD-ROM Disc

################## | Eléments infectieux |

C:\Windows\prefetch\95856900.EXE-BB9E098E.pf
C:\Windows\prefetch\WINUPGRO.EXE-3A2FD0C8.pf

################## | Registre |


################## | Etat |

# Affichage des fichiers cachés : OK

# Mode sans echec : OK

# Uac : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )
# windefend -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | ! Fin du rapport # FindyKill V5.052 ! |
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
19 nov. 2010 à 21:00
pas convaincu

! Déconnecte toi et ferme toutes application en cours (navigateur compris ) .

* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...

* Double clique sur setup.exe présent sur ton bureau pour lancer l'outil.

* Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

* Au second menu choisis l'option 2 (suppression) et tape sur [entrée]

* Le pc va redémarrer automatiquement ...

? le programme va travailler, ne touche à rien ... , ton bureau ne sera pas accessible c est normal !

? Poste le rapport qui apparaît à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt)

Si le Bureau ne réapparaît pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide

0
Chuckyy2 Messages postés 98 Date d'inscription mercredi 22 avril 2009 Statut Membre Dernière intervention 21 octobre 2017
19 nov. 2010 à 21:28
############################## | FindyKill V5.052 |

# User : Charles (Administrators) # CHARLES-PC
# Update on 23/10/2010 by El Desaparecido
# Start at: 16:09:11 | 2010-11-19
# Website : http://www.teamxscript.org/
# Contact : eldesaparecido@teamxscript.org

# Intel(R) Core(TM)2 Duo CPU T5550 @ 1.83GHz
# Microsoft® Windows Vista(TM) Home Premium (6.0.6002 32-bit) # Service Pack 2
# Internet Explorer 8.0.6001.18975
# Windows Firewall Status : Enabled

# C:\ # Local Fixed Disk # 220,81 Go (76,79 Go free) # NTFS
# D:\ # Local Fixed Disk # 12,07 Go (1,44 Go free) [HP_RECOVERY] # NTFS
# E:\ # CD-ROM Disc
# F:\ # Removable Disk # 1,89 Go (1,43 Go free) [USB CHARLES] # FAT

################## | Eléments infectieux |

Supprimé ! C:\Windows\prefetch\95856900.EXE-BB9E098E.pf
Supprimé ! C:\Windows\prefetch\WINUPGRO.EXE-3A2FD0C8.pf

################## | CRC32 ... |


################## | Registre |


################## | Etat |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Uac : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# windefend -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | Fichiers corrompus |

... OK !

################## | Upload |

Veuillez envoyer le fichier : C:\FindyKill_Upload_Me_Charles-PC.zip : http://www.teamxscript.org/Sample/Upload.php
Merci pour votre contribution .

################## | ! Fin du rapport # FindyKill V5.052 ! |
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
19 nov. 2010 à 21:40
et MBAM toujours bloqué ?
0
Chuckyy2 Messages postés 98 Date d'inscription mercredi 22 avril 2009 Statut Membre Dernière intervention 21 octobre 2017
19 nov. 2010 à 21:41
Malheureusement oui
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
19 nov. 2010 à 21:43

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)


Télécharge ici :List_Kill'em et enregistre le sur ton bureau

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe



si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

Clique sur Parcourir et cherche le fichier ci-dessus.

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Fais de même avec more.txt qui se trouve sur ton bureau
0
Chuckyy2 Messages postés 98 Date d'inscription mercredi 22 avril 2009 Statut Membre Dernière intervention 21 octobre 2017
Modifié par Chuckyy2 le 19/11/2010 à 22:04
List'em:

http://www.cijoint.fr/cjlink.php?file=cj201011/cijG7rptNC.txt


More:

http://www.cijoint.fr/cjlink.php?file=cj201011/cij6MjG2l9.txt

J'imagine que rements l'antivirus et parefeu??
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
19 nov. 2010 à 22:20
Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

choisis le bouton TOOLS
puis le bouton KILLPROXY
poste le rapport


..............

ensuite

choisis l'option CLEAN


laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

colle le contenu dans ta reponse



0
Chuckyy2 Messages postés 98 Date d'inscription mercredi 22 avril 2009 Statut Membre Dernière intervention 21 octobre 2017
Modifié par Chuckyy2 le 19/11/2010 à 23:44
¤¤¤¤¤¤¤¤¤¤ Proxy_Kill by Gen-Hackman

¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings : ProxyServer Deleted !!

¤¤¤¤¤¤¤¤¤¤ Firefox ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤


Ensuite j'ai essayé de faire l'option Clean mais voici ce qui apparait:

erreur lors de la sauvegarde du fichier
C:\Kill'em\Save\SECURITY

Continuer avec le fichier suivant
[RegCreateKeyEx:5 - Access is denied]

Ensuite il apparait une fenêtre qui dit:

Disk Cleanup Options
Choose wich files to clean up

(2 choix)

-My files only
-Files from all users on this computer

Qu'est ce que je fais?
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
19 nov. 2010 à 23:47
-Files from all users on this computer
0
Chuckyy2 Messages postés 98 Date d'inscription mercredi 22 avril 2009 Statut Membre Dernière intervention 21 octobre 2017
19 nov. 2010 à 23:53
Je l'ai fait, mais aucun rapport n'est apparu.

Et l'installation de Malwarebytes ne fonctionne tjrs pas.
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
19 nov. 2010 à 23:56
Attention, avant de commencer, lit attentivement la procédure, et imprime la

Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix



Télécharge ComboFix de sUBs sur ton Bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et <gras>DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ </gras>

---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt



0
Chuckyy2 Messages postés 98 Date d'inscription mercredi 22 avril 2009 Statut Membre Dernière intervention 21 octobre 2017
20 nov. 2010 à 00:23
...Je ne peux même pas ouvrir ComboFix non plus
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
20 nov. 2010 à 00:26
et en mode sans echec avec prise en charge reseau
https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php
0
Chuckyy2 Messages postés 98 Date d'inscription mercredi 22 avril 2009 Statut Membre Dernière intervention 21 octobre 2017
20 nov. 2010 à 00:53
Aucune différence.
En safe mode, ni malwarebytes et combofix ne fonctionne.
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
20 nov. 2010 à 09:57
ok

retélécharge combofix mais tu le renommes CHUK.exe avant le l'enregistrer sur le bureau
0
Chuckyy2 Messages postés 98 Date d'inscription mercredi 22 avril 2009 Statut Membre Dernière intervention 21 octobre 2017
20 nov. 2010 à 17:56
Encore aucun changement.
Toujours la même chose.
0