Sujet Précédent Sujet Suivant

Virus qui supprime avast et bloque ccleaner

Fermé
pilou - 3 nov. 2008 à 08:34
jorginho67 Messages postés 14716 Date d'inscription mardi 11 septembre 2007 Statut Contributeur sécurité Dernière intervention 11 février 2011 - 3 nov. 2008 à 10:04
Bonjour,
un virus m'a supprimer avast et bloque ccleanner
impossible de lancer hijackthis
il me dit que ce n'est pas une application win 32 valide
j'ai telecharger findykill
voici son rapport


----------------- FindyKill V4.095 ------------------

* User : herve - ACER-DC6C4D74B4
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 31/10/08 par Chiquitine29
* Recherche effectuée à 8:26:51 le 03/11/2008
* Windows XP - Internet Explorer 7.0.5730.11

((((((((((((((((( *** Recherche *** ))))))))))))))))))


--------------- [ Processus actifs ] ----------------


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\drivers\winfilse.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\WINDOWS\eHome\ehRecvr.exe
c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\wintems.exe
C:\Program Files\Internet Explorer\iexplore.exe

--------------- [ Processus infectieux stoppés ] ----------------


"C:\WINDOWS\system32\wintems.exe" (2464)
"C:\WINDOWS\system32\drivers\winfilse.exe" (300)


--------------- [ Fichiers/Dossiers infectieux ] ----------------


»»»» Presence des fichiers dans C:


»»»» Presence des fichiers dans C:\WINDOWS


»»»» Presence des fichiers dans C:\WINDOWS\Prefetch

Present ! - C:\WINDOWS\prefetch\167781.EXE-25F0F3FF.pf
Present ! - C:\WINDOWS\prefetch\171921.EXE-0C107272.pf
Present ! - C:\WINDOWS\prefetch\172984.EXE-2DB483C4.pf
Present ! - C:\WINDOWS\prefetch\MDELK.EXE-0EF461CE.pf
Present ! - C:\WINDOWS\prefetch\WINTEMS.EXE-377E42D4.pf

»»»» Presence des fichiers dans C:\WINDOWS\system32

Présent ! [03/11/2008 08:16] - C:\WINDOWS\system32\mdelk.exe
Présent ! [03/11/2008 08:16] - C:\WINDOWS\system32\wintems.exe
Présent ! [03/11/2008 08:16] - C:\WINDOWS\system32\ban_list.txt

»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers

Présent ! [03/11/2008 08:16] - C:\WINDOWS\system32\drivers\srosa.sys
Présent ! [18/05/2006 10:05] - C:\WINDOWS\system32\drivers\winfilse.exe
Présent ! [03/11/2008 08:18] - "C:\WINDOWS\system32\drivers\downld"
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\159843.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\160937.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\167781.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\171921.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\172984.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\179546.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\183640.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\186812.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\187906.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\204203.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\209156.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\226218.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\262546.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\272734.exe
Présent ! [03/11/2008 08:18] C:\WINDOWS\system32\drivers\downld\275734.exe

»»»» Presence des fichiers dans C:\Documents and Settings\herve\Application Data


»»»» Presence des fichiers dans C:\DOCUME~1\herve\LOCALS~1\Temp


--------------- [ Registre / Startup ] ----------------


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
avast! REG_SZ C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
QuickTime Task REG_SZ "C:\Program Files\QuickTime\qttask.exe" -atboottime
SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
KernelFaultCheck REG_EXPAND_SZ %systemroot%\system32\dumprep 0 -k

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe
msnmsgr REG_SZ "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

--------------- [ Registre / Clés infectieuses ] ----------------


Présent ! - HKEY_USERS\S-1-5-21-2968866943-1211281062-3979101247-1005\Software\Local AppWizard-Generated Applications\winfilse
Présent ! - HKEY_USERS\S-1-5-21-2968866943-1211281062-3979101247-1005\Software\bisoft
Présent ! - HKEY_USERS\S-1-5-21-2968866943-1211281062-3979101247-1005\Software\DateTime4
Présent ! - HKEY_USERS\S-1-5-21-2968866943-1211281062-3979101247-1005\Software\FFC
Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winfilse
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Présent ! - HKEY_CURRENT_USER\Software\bisoft
Présent ! - HKEY_CURRENT_USER\Software\DateTime4

--------------- [ Etat / Services ] ----------------

Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot

-> Mode sans echec non fonctionnel !!

Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal

-> Mode sans echec non fonctionnel !!

Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

-> Mode sans echec non fonctionnel !!



+- Services : [ Auto=2 Demande=3 Désactivé=4 ]

/!\ Ndisuio - Type de démarrage = 4

/!\ Ip6Fw - Type de démarrage = 4

/!\ SharedAccess - Type de démarrage = 4

/!\ wuauserv - Type de démarrage = 4

/!\ wscsvc - Type de démarrage = 4



--------------- [ Recherche dans supports amovibles] ----------------


+- Informations :

C: - Lecteur fixe

D: - Lecteur fixe


+- presence des fichiers :



--------------- [ Registre / Moutpoint2 ] ----------------

Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1f757816-3af1-11dc-a01b-0019216e94d6}\Shell\AutoRun\command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4f76e9cf-44eb-11dc-a02a-0019216e94d6}\Shell\AutoRun\command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8363beca-43eb-11dc-a029-0019216e94d6}\Shell\AutoRun\command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{896ac1e8-ea90-11dc-a115-0019216e94d6}\Shell\AutoRun\command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{93572942-fdf2-11db-9fe7-0019216e94d6}\Shell\AutoRun\command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{996c8d57-00c9-11dd-a12c-0019216e94d6}\Shell\AutoRun\command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a4008c64-edac-11db-9fd7-0019216e94d6}\Shell\AutoRun\command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c409fa30-3f3f-11dc-a021-0019216e94d6}\Shell\AutoRun\command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ca7f87fa-1463-11dd-a147-0019216e94d6}\Shell\AutoRun\command


------------------- ! Fin du rapport ! --------------------
A voir également:

2 réponses

Réponse 1 / 2
barracuda67 Messages postés 2 Date d'inscription lundi 3 novembre 2008 Statut Membre Dernière intervention 3 novembre 2008
3 nov. 2008 à 08:58
BONJOUR

Faite attention a ccleaner il vous supprime des fichier du pc (win32) s'en que vous lui demander deja passer par la ,donc j'ai du faire une restauration d'usine a plus
0
Réponse 2 / 2
jorginho67 Messages postés 14716 Date d'inscription mardi 11 septembre 2007 Statut Contributeur sécurité Dernière intervention 11 février 2011 1 169
3 nov. 2008 à 10:04
Salut !

Il s'agit bien de l'infection Bagle, suite à l'installation d'un crack piégé ou e-mail vérolé), d'ou le message spécifique "....win32 application non valide" que tu dois avoir souvent.....
lorsque tu essaye d'installer ou exécuter un logiciel de sécurité, Le ver les neutralise.

Première chose a faire, supprimer ces cracks, sinon, a chaque fois que tu les lanceras, tu relances l'infection.

Branches toutes tes unités externes au PC ( DD externes , clé USB , lecteur mp3, ect...) mais sans les ouvrir !
Tu les retireras après la manip' ...

Relance FindyKill , choisi cette fois ci l'option 2 (suppression)

il y aura 2 redémarrages, laisse travailler l'outil jusqu'a l'apparition du message "nettoyage effectué"

un rapport va s'ouvrir, poste le dans ta prochaine réponse stp

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque


PS : Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche"-> tapes explorer.exe et valides .
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Prélèvement dri Avast software
Ml -
dadout -

2 réponses