Virus qui supprime avast et bloque ccleaner
pilou
-
jorginho67 Messages postés 15447 Statut Contributeur sécurité -
jorginho67 Messages postés 15447 Statut Contributeur sécurité -
Bonjour,
un virus m'a supprimer avast et bloque ccleanner
impossible de lancer hijackthis
il me dit que ce n'est pas une application win 32 valide
j'ai telecharger findykill
voici son rapport
----------------- FindyKill V4.095 ------------------
* User : herve - ACER-DC6C4D74B4
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 31/10/08 par Chiquitine29
* Recherche effectuée à 8:26:51 le 03/11/2008
* Windows XP - Internet Explorer 7.0.5730.11
((((((((((((((((( *** Recherche *** ))))))))))))))))))
--------------- [ Processus actifs ] ----------------
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\drivers\winfilse.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\WINDOWS\eHome\ehRecvr.exe
c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\wintems.exe
C:\Program Files\Internet Explorer\iexplore.exe
--------------- [ Processus infectieux stoppés ] ----------------
"C:\WINDOWS\system32\wintems.exe" (2464)
"C:\WINDOWS\system32\drivers\winfilse.exe" (300)
--------------- [ Fichiers/Dossiers infectieux ] ----------------
»»»» Presence des fichiers dans C:
»»»» Presence des fichiers dans C:\WINDOWS
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch
Present ! - C:\WINDOWS\prefetch\167781.EXE-25F0F3FF.pf
Present ! - C:\WINDOWS\prefetch\171921.EXE-0C107272.pf
Present ! - C:\WINDOWS\prefetch\172984.EXE-2DB483C4.pf
Present ! - C:\WINDOWS\prefetch\MDELK.EXE-0EF461CE.pf
Present ! - C:\WINDOWS\prefetch\WINTEMS.EXE-377E42D4.pf
»»»» Presence des fichiers dans C:\WINDOWS\system32
Présent ! [03/11/2008 08:16] - C:\WINDOWS\system32\mdelk.exe
Présent ! [03/11/2008 08:16] - C:\WINDOWS\system32\wintems.exe
Présent ! [03/11/2008 08:16] - C:\WINDOWS\system32\ban_list.txt
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers
Présent ! [03/11/2008 08:16] - C:\WINDOWS\system32\drivers\srosa.sys
Présent ! [18/05/2006 10:05] - C:\WINDOWS\system32\drivers\winfilse.exe
Présent ! [03/11/2008 08:18] - "C:\WINDOWS\system32\drivers\downld"
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\159843.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\160937.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\167781.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\171921.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\172984.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\179546.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\183640.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\186812.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\187906.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\204203.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\209156.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\226218.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\262546.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\272734.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\275734.exe
»»»» Presence des fichiers dans C:\Documents and Settings\herve\Application Data
»»»» Presence des fichiers dans C:\DOCUME~1\herve\LOCALS~1\Temp
--------------- [ Registre / Startup ] ----------------
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
avast! REG_SZ C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
QuickTime Task REG_SZ "C:\Program Files\QuickTime\qttask.exe" -atboottime
SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
KernelFaultCheck REG_EXPAND_SZ %systemroot%\system32\dumprep 0 -k
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe
msnmsgr REG_SZ "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
--------------- [ Registre / Clés infectieuses ] ----------------
Présent ! - HKEY_USERS\S-1-5-21-2968866943-1211281062-3979101247-1005\Software\Local AppWizard-Generated Applications\winfilse
Présent ! - HKEY_USERS\S-1-5-21-2968866943-1211281062-3979101247-1005\Software\bisoft
Présent ! - HKEY_USERS\S-1-5-21-2968866943-1211281062-3979101247-1005\Software\DateTime4
Présent ! - HKEY_USERS\S-1-5-21-2968866943-1211281062-3979101247-1005\Software\FFC
Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winfilse
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Présent ! - HKEY_CURRENT_USER\Software\bisoft
Présent ! - HKEY_CURRENT_USER\Software\DateTime4
--------------- [ Etat / Services ] ----------------
Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
-> Mode sans echec non fonctionnel !!
Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
-> Mode sans echec non fonctionnel !!
Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
-> Mode sans echec non fonctionnel !!
+- Services : [ Auto=2 Demande=3 Désactivé=4 ]
/!\ Ndisuio - Type de démarrage = 4
/!\ Ip6Fw - Type de démarrage = 4
/!\ SharedAccess - Type de démarrage = 4
/!\ wuauserv - Type de démarrage = 4
/!\ wscsvc - Type de démarrage = 4
--------------- [ Recherche dans supports amovibles] ----------------
+- Informations :
C: - Lecteur fixe
D: - Lecteur fixe
+- presence des fichiers :
--------------- [ Registre / Moutpoint2 ] ----------------
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1f757816-3af1-11dc-a01b-0019216e94d6}\Shell\AutoRun\command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4f76e9cf-44eb-11dc-a02a-0019216e94d6}\Shell\AutoRun\command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8363beca-43eb-11dc-a029-0019216e94d6}\Shell\AutoRun\command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{896ac1e8-ea90-11dc-a115-0019216e94d6}\Shell\AutoRun\command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{93572942-fdf2-11db-9fe7-0019216e94d6}\Shell\AutoRun\command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{996c8d57-00c9-11dd-a12c-0019216e94d6}\Shell\AutoRun\command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a4008c64-edac-11db-9fd7-0019216e94d6}\Shell\AutoRun\command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c409fa30-3f3f-11dc-a021-0019216e94d6}\Shell\AutoRun\command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ca7f87fa-1463-11dd-a147-0019216e94d6}\Shell\AutoRun\command
------------------- ! Fin du rapport ! --------------------
un virus m'a supprimer avast et bloque ccleanner
impossible de lancer hijackthis
il me dit que ce n'est pas une application win 32 valide
j'ai telecharger findykill
voici son rapport
----------------- FindyKill V4.095 ------------------
* User : herve - ACER-DC6C4D74B4
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 31/10/08 par Chiquitine29
* Recherche effectuée à 8:26:51 le 03/11/2008
* Windows XP - Internet Explorer 7.0.5730.11
((((((((((((((((( *** Recherche *** ))))))))))))))))))
--------------- [ Processus actifs ] ----------------
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\drivers\winfilse.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\WINDOWS\eHome\ehRecvr.exe
c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\wintems.exe
C:\Program Files\Internet Explorer\iexplore.exe
--------------- [ Processus infectieux stoppés ] ----------------
"C:\WINDOWS\system32\wintems.exe" (2464)
"C:\WINDOWS\system32\drivers\winfilse.exe" (300)
--------------- [ Fichiers/Dossiers infectieux ] ----------------
»»»» Presence des fichiers dans C:
»»»» Presence des fichiers dans C:\WINDOWS
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch
Present ! - C:\WINDOWS\prefetch\167781.EXE-25F0F3FF.pf
Present ! - C:\WINDOWS\prefetch\171921.EXE-0C107272.pf
Present ! - C:\WINDOWS\prefetch\172984.EXE-2DB483C4.pf
Present ! - C:\WINDOWS\prefetch\MDELK.EXE-0EF461CE.pf
Present ! - C:\WINDOWS\prefetch\WINTEMS.EXE-377E42D4.pf
»»»» Presence des fichiers dans C:\WINDOWS\system32
Présent ! [03/11/2008 08:16] - C:\WINDOWS\system32\mdelk.exe
Présent ! [03/11/2008 08:16] - C:\WINDOWS\system32\wintems.exe
Présent ! [03/11/2008 08:16] - C:\WINDOWS\system32\ban_list.txt
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers
Présent ! [03/11/2008 08:16] - C:\WINDOWS\system32\drivers\srosa.sys
Présent ! [18/05/2006 10:05] - C:\WINDOWS\system32\drivers\winfilse.exe
Présent ! [03/11/2008 08:18] - "C:\WINDOWS\system32\drivers\downld"
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\159843.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\160937.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\167781.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\171921.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\172984.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\179546.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\183640.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\186812.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\187906.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\204203.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\209156.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\226218.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\262546.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\272734.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\275734.exe
»»»» Presence des fichiers dans C:\Documents and Settings\herve\Application Data
»»»» Presence des fichiers dans C:\DOCUME~1\herve\LOCALS~1\Temp
--------------- [ Registre / Startup ] ----------------
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
avast! REG_SZ C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
QuickTime Task REG_SZ "C:\Program Files\QuickTime\qttask.exe" -atboottime
SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
KernelFaultCheck REG_EXPAND_SZ %systemroot%\system32\dumprep 0 -k
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe
msnmsgr REG_SZ "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
--------------- [ Registre / Clés infectieuses ] ----------------
Présent ! - HKEY_USERS\S-1-5-21-2968866943-1211281062-3979101247-1005\Software\Local AppWizard-Generated Applications\winfilse
Présent ! - HKEY_USERS\S-1-5-21-2968866943-1211281062-3979101247-1005\Software\bisoft
Présent ! - HKEY_USERS\S-1-5-21-2968866943-1211281062-3979101247-1005\Software\DateTime4
Présent ! - HKEY_USERS\S-1-5-21-2968866943-1211281062-3979101247-1005\Software\FFC
Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winfilse
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Présent ! - HKEY_CURRENT_USER\Software\bisoft
Présent ! - HKEY_CURRENT_USER\Software\DateTime4
--------------- [ Etat / Services ] ----------------
Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
-> Mode sans echec non fonctionnel !!
Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
-> Mode sans echec non fonctionnel !!
Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network
-> Mode sans echec non fonctionnel !!
+- Services : [ Auto=2 Demande=3 Désactivé=4 ]
/!\ Ndisuio - Type de démarrage = 4
/!\ Ip6Fw - Type de démarrage = 4
/!\ SharedAccess - Type de démarrage = 4
/!\ wuauserv - Type de démarrage = 4
/!\ wscsvc - Type de démarrage = 4
--------------- [ Recherche dans supports amovibles] ----------------
+- Informations :
C: - Lecteur fixe
D: - Lecteur fixe
+- presence des fichiers :
--------------- [ Registre / Moutpoint2 ] ----------------
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1f757816-3af1-11dc-a01b-0019216e94d6}\Shell\AutoRun\command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4f76e9cf-44eb-11dc-a02a-0019216e94d6}\Shell\AutoRun\command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8363beca-43eb-11dc-a029-0019216e94d6}\Shell\AutoRun\command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{896ac1e8-ea90-11dc-a115-0019216e94d6}\Shell\AutoRun\command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{93572942-fdf2-11db-9fe7-0019216e94d6}\Shell\AutoRun\command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{996c8d57-00c9-11dd-a12c-0019216e94d6}\Shell\AutoRun\command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a4008c64-edac-11db-9fd7-0019216e94d6}\Shell\AutoRun\command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c409fa30-3f3f-11dc-a021-0019216e94d6}\Shell\AutoRun\command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ca7f87fa-1463-11dd-a147-0019216e94d6}\Shell\AutoRun\command
------------------- ! Fin du rapport ! --------------------
A voir également:
- Virus qui supprime avast et bloque ccleaner
- Telecharger ccleaner gratuit - Télécharger - Nettoyage
- Ccleaner pro gratuit - Télécharger - Optimisation
- Recuperer message whatsapp supprimé - Guide
- Code puk bloqué - Guide
- Désinstaller avast - Télécharger - Antivirus & Antimalwares
2 réponses
BONJOUR
Faite attention a ccleaner il vous supprime des fichier du pc (win32) s'en que vous lui demander deja passer par la ,donc j'ai du faire une restauration d'usine a plus
Faite attention a ccleaner il vous supprime des fichier du pc (win32) s'en que vous lui demander deja passer par la ,donc j'ai du faire une restauration d'usine a plus
Salut !
Il s'agit bien de l'infection Bagle, suite à l'installation d'un crack piégé ou e-mail vérolé), d'ou le message spécifique "....win32 application non valide" que tu dois avoir souvent.....
lorsque tu essaye d'installer ou exécuter un logiciel de sécurité, Le ver les neutralise.
Première chose a faire, supprimer ces cracks, sinon, a chaque fois que tu les lanceras, tu relances l'infection.
Branches toutes tes unités externes au PC ( DD externes , clé USB , lecteur mp3, ect...) mais sans les ouvrir !
Tu les retireras après la manip' ...
Relance FindyKill , choisi cette fois ci l'option 2 (suppression)
il y aura 2 redémarrages, laisse travailler l'outil jusqu'a l'apparition du message "nettoyage effectué"
un rapport va s'ouvrir, poste le dans ta prochaine réponse stp
Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
PS : Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche"-> tapes explorer.exe et valides .
Il s'agit bien de l'infection Bagle, suite à l'installation d'un crack piégé ou e-mail vérolé), d'ou le message spécifique "....win32 application non valide" que tu dois avoir souvent.....
lorsque tu essaye d'installer ou exécuter un logiciel de sécurité, Le ver les neutralise.
Première chose a faire, supprimer ces cracks, sinon, a chaque fois que tu les lanceras, tu relances l'infection.
Branches toutes tes unités externes au PC ( DD externes , clé USB , lecteur mp3, ect...) mais sans les ouvrir !
Tu les retireras après la manip' ...
Relance FindyKill , choisi cette fois ci l'option 2 (suppression)
il y aura 2 redémarrages, laisse travailler l'outil jusqu'a l'apparition du message "nettoyage effectué"
un rapport va s'ouvrir, poste le dans ta prochaine réponse stp
Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
PS : Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche"-> tapes explorer.exe et valides .
