n'est pas une application Win32 valide ??? Fermé

Question

Bonsoir, 

alors voila , je demande de l'aide avant ma dernière solution, le formatage...
J'ai fais pas mal de recherche, et je n'ai pas réussi.

Apparament j'aurais chopé un virus : "BAGLE" ou "BEAGLE"
Qui me fait ramer mon ordi, me le redémarre et impossible d'ouvrir tout les logiciels de sécurité (avast, kaskpersky, spybot, ccleaner ) même message d'erreur pour tous : "tel logiciel" n'est pas une application Win32 valide...

J'ai tenté de désinstaller avast, mais j'ai un message d'erreur, impossible de réparer égallement.


J'ai testé pas mal de logiciel contre ce virus : FxBeagle par exemple.

voila, je suis vraiment déséspéré ...

Quelqu'un pour m'aider ??

Merci d'avance !

Utilisateur anonyme · Answer

Salut,

Telecharge FindB :

- Fas un clic droit sur le lien, enregistrer sous .... sur le bureau 


---> http://sd-1.archive-host.com/membres/up/116615172019703188/FindB.exe

--> Double clic sur FindB.exe

--> Choisi option 1 (recherche) et post le rapport stp

Note :  le rapport FindB.txt est sauvegardé a la racine du disque

Piermitch · Answer

Merci de ton aide !!

Voila, je comprend rien, mais apparament certain trucs sont présent, avec des points d'exclamation. Ca doit pas sentir très bon ^^


+- FindB mis a jours le  30/08/08 par Chiquitine29



 +- Recherche de fichier infectueux :




 +- Recherche dans : C:\WINDOWS\Prefetch :




 +- Recherche dans : C:\WINDOWS\system32 :


C:\WINDOWS\system32\mdelk.exe Présent!! 
C:\WINDOWS\system32\wintems.exe Présent!! 
C:\WINDOWS\system32\ban_list.txt Présent!! 


 +- Recherche dans : C:\WINDOWS\system32\drivers :


C:\WINDOWS\system32\drivers\srosa.sys Présent!! 
C:\WINDOWS\system32\drivers\hldrrr.exe Présent!! 
C:\WINDOWS\system32\drivers\downld Présent!! 


 +- Recherche dans : C:\Documents and Settings\Breton\Application Data :




 +- Registre :


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    NvCplDaemon	REG_SZ	RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    nwiz	REG_SZ	nwiz.exe /install
    NvMediaCenter	REG_SZ	RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    AppleSyncNotifier	REG_SZ	C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
    QuickTime Task	REG_SZ	"C:\Program Files\QT Lite\QTTask.exe" -atboottime
    iTunesHelper	REG_SZ	"C:\Program Files\iTunes\iTunesHelper.exe"
    AVP	REG_SZ	"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
    au	REG_SZ	C:\Program Files\Dealio\DealioAU.exe
    SearchSettings	REG_SZ	C:\Program Files\Search Settings\SearchSettings.exe
    MaxtorOneTouch	REG_SZ	C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
    MXO Auto Loader	REG_SZ	C:\WINDOWS\MXOALDR.EXE
    KernelFaultCheck	REG_EXPAND_SZ	%systemroot%\system32\dumprep 0 -k
    combofix	REG_SZ	"C:\WINDOWS\system32\CF8470.exe" /c "C:\Combo-Fix\C.bat"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    SuperCopier2.exe	REG_SZ	C:\Program Files\SuperCopier2\SuperCopier2.exe
    ctfmon.exe	REG_SZ	C:\WINDOWS\system32\ctfmon.exe
    Steam	REG_SZ	"C:\Program Files\Steam\Steam.exe" -silent
    Google Update	REG_SZ	"C:\Documents and Settings\Breton\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
    SpybotSD TeaTimer	REG_SZ	C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe


 +- Registre, recherche Srosa :


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
    NextInstance	REG_DWORD	0x1

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA\0000

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
    NextInstance	REG_DWORD	0x1

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA\0000

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
    Type	REG_DWORD	0x1
    Start	REG_DWORD	0x1
    ErrorControl	REG_DWORD	0x0
    ImagePath	REG_EXPAND_SZ	\??\C:\WINDOWS\system32\drivers\srosa.sys
    DisplayName	REG_SZ	Megadrv3

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
    Type	REG_DWORD	0x1
    Start	REG_DWORD	0x1
    ErrorControl	REG_DWORD	0x0
    ImagePath	REG_EXPAND_SZ	\??\C:\WINDOWS\system32\drivers\srosa.sys
    DisplayName	REG_SZ	Megadrv3

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
    Type	REG_DWORD	0x1
    Start	REG_DWORD	0x1
    ErrorControl	REG_DWORD	0x0
    ImagePath	REG_EXPAND_SZ	\??\C:\WINDOWS\system32\drivers\srosa.sys
    DisplayName	REG_SZ	Megadrv3

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\DateTime4
    wdrn	REG_DWORD	0x1
    uid	REG_SZ	16397389
    port	REG_DWORD	0x3ded

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\FirtR
    Fir076syj0Run	REG_DWORD	0x1

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\FirstRRRun
    First12Ru123n	REG_DWORD	0x1


 +- Recherche d autres infections :

 


+- Recherche terminee !



merci encore

Utilisateur anonyme · Answer

télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau. 
double-clique sur OTMoveIt.exe pour le lancer. 
Assure toi que la case Unregister Dll's and Ocx's soit bien cochée 
copie la liste qui se trouve en gras ci-dessous, 
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved. 

C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\downld
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\ban_list.txt

clique sur MoveIt! pour lancer la suppression. 
le résultat apparaitra dans le cadre "Results". 
clique sur Exit pour fermer. 
poste le rapport situé dans C:\_OTMoveIt\MovedFiles. 

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

Piermitch · Answer

mon ordi vient de redémarrer 3 fois de suite sans que je fasse rien, je sais pas si ça va encore recommencer alors je te poste ça vite fais

File move failed. C:\WINDOWS\system32\drivers\srosa.sys scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\drivers\hldrrr.exe scheduled to be moved on reboot.
C:\WINDOWS\system32\drivers\downld moved successfully.
File move failed. C:\WINDOWS\system32\mdelk.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\wintems.exe scheduled to be moved on reboot.
C:\WINDOWS\system32\ban_list.txt moved successfully.
 
OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 09052008_211007

Files moved on Reboot...
File move failed. C:\WINDOWS\system32\drivers\srosa.sys scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\drivers\hldrrr.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\mdelk.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\wintems.exe scheduled to be moved on reboot.

Files moved on Reboot...
File move failed. C:\WINDOWS\system32\drivers\srosa.sys scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\drivers\hldrrr.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\mdelk.exe scheduled to be moved on reboot.
File move failed. C:\WINDOWS\system32\wintems.exe scheduled to be moved on reboot.

Files moved on Reboot...
C:\WINDOWS\system32\drivers\srosa.sys moved successfully.
C:\WINDOWS\system32\drivers\hldrrr.exe moved successfully.
C:\WINDOWS\system32\mdelk.exe moved successfully.
C:\WINDOWS\system32\wintems.exe moved successfully.

Piermitch · Answer

ptit up :)

Utilisateur anonyme · Answer

Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

Avant de telecharger clic sur enregistrer renome le en killbagle et enregistre le sur le bureau 


-> Double clique sur killbagle.exe. 
-> Tape sur la touche 1 (Yes) pour démarrer le scan. 
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt 

Avant d'utiliser ComboFix : 

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours. 


Une fois fait, sur ton bureau double-clic sur killbagle.exe. 

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. 

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 


-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

piermitch · Answer

combofix est entrain de travailler, il a redémarrer mon ordi plusieurs fois en me disant qu'il a trouvé des erreus ou je ne sais quoi, je sais pas si c'est normal les redémarrage multiples ?

Si non au dernier redémarage j'ai eu 2 messages d'erreurs qui faisait que revenir :

probleme avec winlogan, envoyer rapport d'erreur machin

et avec windows : le systeme a recup une erreur serieuse machin machin
il a encore redémarrer là, je te post le log juste aprés

merci encore pour ton aide

Piermitch · Answer

J'ai envoyer le dernier message d'un autre ordi.

Combo fix a apparament fini mais je ne trouve pas le log ? rien ne s'est affiché au dernier redémarrage à part Steam qui ne s'est pas connecté car j'ai coupé internet.

je comprend pas trop ?

Piermitch · Answer

Kaspersky et spybot ne veulent toujours pas s'ouvrir...

ça me souuule de devoir formater !

Il est balèze ce virus!

Utilisateur anonyme · Answer

va dans poste de travail entre dasn le disque C cherche : Combofix.txt 

Kaspersky et spybot ne veulent toujours pas s'ouvrir...  --->il faudra les réinstaller

Piermitch · Answer

impossible à trouver. :(

ce fichier n'existe pas

Piermitch · Answer

Je relance ComboFix ou quoi ?

j'ai vraiment pas envie de réinstaller kaspersky, je l'ai eu avec mon cd de windows et j'ai pas les clef CD et rien :(

Utilisateur anonyme · Answer

Telecharge malwarebytes 

-> http://www.malwarebytes.org/mbam/program/mbam-setup.exe 

Tu l´instale; le programme va se mettre automatiquement a jour. 

Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression". 

Click maintenant sur l´onglet recherche et coche la case : "executer un examen complet". 

Puis click sur "rechercher". 

Laisse le scanner le pc... 

Si des elements on ete trouvés > click sur supprimer la selection. 

si il t´es demandé de redemarrer > click sur "yes". 

A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum. 

Copie et colle le rapport stp.

PS : les rapport sont aussi rangé dans l onglet rapport/log

Piermitch · Answer

Il est entrain d'analyser, il met fachment longtemps ! 

Le pire c'est que j'ai formaté mon ordi ya 3 jours... Apparament je protége mal mes PC.

Tu as des bons logiciels à me conseiller, comme pare feu, etc ? J'utilise seulement kaspersky moi.

Utilisateur anonyme · Answer

oui on verra a la fin du nettoyage si tu veux bien 

apres le scan malewarebyte relance combofix (kill bagle) et post les rapports

Piermitch · Answer

Ok je fais ça tout ça dés malewarebyte a fini.

Merci encore du temps que tu m'accordes pour m'aider avec mon ordi :)

Piermitch · Answer

Voila le rapport de malwarebytes déja , apparament des éléments n'ont pas pu être supprimé d'aprés ce qu'il me dit.

Je go redémarrer mon pc!

Malwarebytes' Anti-Malware 1.26
Version de la base de données: 1113
Windows 5.1.2600 Service Pack 3

2008-09-05 22:35:41
mbam-log-2008-09-05 (22-35-41).txt

Type de recherche: Examen complet (C:\|H:\|J:\|)
Eléments examinés: 105940
Temps écoulé: 24 minute(s), 56 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 26

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\AntiWPA.dll (Malware.Tool) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\antiwpa (Malware.Tool) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\WINDOWS\system32\drivers\downld (Trojan.Agent) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\downld\109015.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\115093.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\329359.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\454843.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\52031.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\53531.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\63625.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\71000.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\72187.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\772718.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\781406.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\782703.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\789234.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\795765.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\837578.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\839921.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\85000.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\86937.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\892750.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\901265.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\downld\95765.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\AntiWPA.dll (Malware.Tool) -> Delete on reboot.
C:\WINDOWS\system32\mdelk.exe (Trojan.Spammer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wintems.exe (Trojan.Spammer) -> Delete on reboot.
C:\WINDOWS\system32\drivers\hldrrr.exe (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\srosa.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.


je go ensuite faire le combox fix au démarage

Utilisateur anonyme · Answer

des soucis avec combofix ??

ludobern · Answer

bonjour j'ai le meme probleme que toi.chiquitine29 peux tu m'aider stp

Utilisateur anonyme · Answer

créé toi un topic donne moi le lien et je viens t aider

ludobern · Answer

peux tu m'aider comme tu as aider piermitch stp meme souci que lui.aide moi stp

Utilisateur anonyme · Answer

edit

N'est pas une application Win32 valide ???

22 réponses

Discussions similaires