[Résolu] Win32 n'est pas une application valide...
Forum Sécurité - Virus : [Résolu] Win32 n'est pas une application valide...
Bonjour,
J'ouvre donc un nouveau sujet, le similaire ayant été résolu 
| Citation : Avast a disparu, Hijackthis ne se lance pas. J'ai réinstallé Avast... toujours le même message ".exe n'est pas une application win32 valide"
|
| Citation :
|
Je n'en ai aucun.
ELIBAGLA ne trouve rien, ComboFix bug manifestement.
J'ai lancé Gmer qui trouve des Rootkits mais je ne trouve pas de tuto pour qu'il "répare".
Dans l'onglet Rootkits, j'ai plusieurs fichiers rouges, donc infectés, de type Library. Mais le clic droit dessus ne me permet pas de les supprimer.
Dans l'onglet Processes, pas mal de trucs rouges aussi, dans C/ProgramFiles, dans C/Windows/System32, dans C/Acer ...
Là je peux par un clic droit choisir Kill process ou Kill all, mais pour un par exemple, j'ai le message Warning ! "Si vous le tuez, vous allez avoir l'écran bleu de win !"
La plupart des fichiers donnés comme infectés sont dans les programmes que je ne peux plus ouvrir justement.
Y'en a dans C/programfiles/intel/wireless, dans C/windows/system32/csrss.exe, C/windows/system32/LSASS.exe C/windows/system32/SVChost.exe, C/Acer/EmpoweringTechnologies, dans C/ProgramFiles/Lavasoft/AdAware ...
Message édité par Norimael le 11-03-2008 à 21:09:59
Bonjour,
Essaie de télécharger hijackthis en suivant cette astuce :
Rends-toi sur cette page :
http://www.trendsecure.com/portal/ [...] s/download
Sur la page tu as trois possibilités de téléchargement : le fichier install, un .zip ou l'"executable" (HJT lui meme quoi)
Fais un clique droit sur le troisième lien( dowload hijackthis executable ), enregistre la cible sous et là tu crées un dossier Hijackthis sur C: et tu renommes le fichier .exe avant meme qu'il ne soit installé... Renomme le par exemple : "etHop"
Dis-moi si tu peux faire un scan avec hijackthis
Poste ensuite un rapport dans ta prochaine réponse.
AIDE : Comment utiliser Hijackthis v2.0.2
Message édité par Egwene le 09-03-2008 à 14:39:00
Sécurité / Prévention
Répondre à Egwene
etHop a trompé l'ennemi 
Le rapport HiJackThis :
Message édité par Norimael le 11-03-2008 à 21:32:26
Le rapport présente des signes d'infections autre qu'un beagle éventuel.
On va d'abord vérifier pour Bagle ( beagle )
Si tu es sous Vista, désactive l'uac : http://bibou0007.com/tutos-f45/tut [...] a-t132.htm
Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : http://forum.pcastuces.com/sujet.asp?f=25&s=37315
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !
Aide à l’utilisation de combofix ici: http://bibou0007.forumpro.fr/tutos [...] x-t121.htm
Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Bonne aprem 
Sécurité / Prévention
Répondre à Egwene
Oh non je suis pas sous Vista.... juste XPf... c'est tout pareil sauf que j'ai pas à désactiver l'uac ?
Oups j'ai rien dit, la phrase c'était "SI tu es sous Vista"...
Bon ben je m'y mets... mais tout à l'heure, j'avais lancé Combofix selon le tuto et je n'ai jamais eu la fameuse question...
Je réessaie 
Message édité par Norimael le 09-03-2008 à 14:56:31
Alors... J'ai lancé KillBagle et j'ai eu le message suivant :
grep : SystPath.dat = No such file or directory
SED : Can't read SystPath.dat = no such file or directory
Il n'y a pas eu de changement d'heure, mais j'en ai eu l'annonce et en quelques petites minutes, il y a eu une quarantaine d'étapes. Et j'ai pas eu la question
Puis, j'ai eu le message "Compte rendu en cours de préparation, ne lancez aucun programme avant la fin"
Les icônes présentent sur mon bureau "clignotaient" comme si un processus avait lieu, ma barre explorer apparaissait et disparaissait.
Puis ... plus rien.
Ça m'avait fait ça ce matin, ça avait duré plus d'une heure alors comme les étapes ont duré moins longtemps que les 10' annoncées, je n'étais pas sure que ce soit normal que la préparation du compte rendu dure plus de 20 minutes....
C'est normal ? 
Message édité par Norimael le 09-03-2008 à 15:28:51
Re,
As-tu un rapport disponible ici : C:\Combofix.txt ? Si oui poste-le moi.
Si non fais la manip' ci-dessous 
Télécharge Deckard's System Scanner (DSS) (ou DSS) sur ton Bureau.
NB : Tu dois être connecté avec des droits d'Administrateur.
- ferme toutes les applications et fenêtres
- double-clique sur dss.exe pour le lancer et suis les instructions ci-dessous
Attention, il est conseillé de stopper temporairement les logiciels résidents de protection (pare-feu, antivirus, etc.)
- s'il s'agit d'une première utilisation ou d'une nouvelle version de DSS :
- tu devras cliquer 2 fois sur le OK des boîtes de dialogue
Attention, si tu tardes trop, la réponse Abandon sera automatiquement validée
- quand le traitement est terminé (clique sur OK), deux fichiers texte s'affichent :
main.txt <- ouvert en premier plan et en plein écran
extra.txt <- ouvert en second plan et en fenêtré (regarde la barre des taches)
S'il s'agit d'une utilisation supplémentaire de DSS :
- tu n'auras pas de boîte de dialogue (pas de OK)
- quand le traitement est terminé, un fichier texte s'affiche :
main.txt <- ouvert en premier plan et en plein écran
- copie (Ctrl+A puis Ctrl+C) et colle (Ctrl+V) le contenu de main.txt dans ton prochain post
- copie de même le contenu de extra.txt dans ton prochain post, si tu as ce fichier (première utilisation)
- n'oublie pas de réactiver les protections si elles ont été stoppées.
Ce que fait DSS :
- crée un point de restauration dans Windows XP et Vista
- nettoie les fichiers temporaires, DPF-Downloaded Program Files et le Cache Internet, vide la Corbeille de tous les lecteurs
- vérifie quelques zones importantes de ton système et établit un rapport pour examen par ton conseiller en sécurité. DSS lance automatiquement HijackThis pour toi; il va aussi créer un raccourci HijackThis sur ton Bureau si tu n'as pas déjà HijackThis d'installé.
Sécurité / Prévention
Répondre à Egwene
Re,
Héhé 
On a bien avancé là !
Je vais te demander de ne pas tenter de relancer tes programmes de protection, ni d'éteindre ton PC jusqu'à nouvel ordre. C'est important pour la suite de la désinfection
Fais un scan en ligne ici http://webscanner.kaspersky.fr/ (A faire avec Internet Explorer)
- En bas à droite clique sur Démarrer Online-scanner dans la nouvelle fenêtre qui s'affiche clique sur J'accepte
- Accepte les Contrôle ActivX
- Choisis Poste de travail pour le scan. Celui-ci terminé clique sur Enregistrer rapport sous (Choisis fichier texte)
- Poste le rapport
Tutorial ici :
http://www.infos-du-net.com/forum/ [...] -kaspersky
- Si tu as un problème pour l'installation du Contrôle ActivX lis ceci http://www.inoculer.com/activex.php3
Sécurité / Prévention
Répondre à Egwene
15 minutes d'analyse, 15000 fichiers analysés... Progression : 0%
Peut être la semaine prochaine pour le rapport ?
Faut être patient J'ai déjà vu plus de 30h de scan
Sécurité / Prévention
Répondre à Egwene
Lol ah vi d'accord 
Ah ben j'étais pas si loin avec "ma semaine prochaine"
Bon ben je saurai faire preuve de patience
Et en cas de coupure de courant (ce qui reste fréquent chez moi 
) faut tout reprendre à zéro ?
Message édité par Norimael le 09-03-2008 à 17:07:22
Code :
|
8%.... ça avance 
Suis bête, j'ai pas pensé à vider mon cache avant, j'aurai gagné du temps...
Pense à bien me poster le rapport en entier, quand le scan sera fini !!!
Sécurité / Prévention
Répondre à Egwene
Ah ben finalement ça a été plus vite que prévu
Message édité par Norimael le 11-03-2008 à 21:33:45
Re,
/!\Supprime tous les cracks présents sur ton PC, ils sont à l'origine de ton infection et si tu les relances, tu seras de nouveau infecté(e)/!\
Supprime les dossiers/fichiers en gras suivants :
D:\PDA\Absolutist Mahjong v1.0\keygen.exe
D:\PDA\Bubble Shooter\keygen.exe
J:\Disque Dur Flo\PDA\Bubble Shooter\keygen.exe
J:\Disque Dur Flo\PDA\Absolutist Mahjong v1.0\keygen.exe
Désinstalle puis réinstalle tous tes logiciels de protection.
Redémarre le PC et reviens me voir pour me dire si ton antivirus remarche à nouveau
Bonne soirée
Sécurité / Prévention
Répondre à Egwene
Tout fonctionne tout bien !
Un grand grand merci
Ai-je une dernière vérification à faire avec HiJackThis ou autre ?
Dans le rapport d'erreur il y avait beaucoup de "Firefox Profile" et "Thunderbird"
J'ai depuis longtemps régulièrement des bug qui me faisaient perdre tous mes profils. Cela pouvait venir de là ?
J'ai aussi depuis un moment un gros problème de reconnaissance des périphériques USB de stockage (genre SD, Gmini...)
Ça pouvait aussi être le responsable ?
Attends, on n'a pas fini ! Il reste deux trois trucs à faire
Re,
Désinstalle avast, redémarre et supprime ~~>C:\Program Files\Alwil Software
Télécharge ccleaner (>>tuto à lire !<<), tu download «the latest version » puis installe le en décochant - Ajouter la Barre d'Outils Yahoo! CCleaner
Puis lance le nettoyage, puis fais chercher des erreurs et sauvegardes si tu le souhaites.
Télécharge et installe Antivir. (tuto)
Pourquoi changer ? Avast vs Antivir
Vérifie qu’il soit bien à jour ! Fais une analyse complète en mode sans échec, sauvegarde le rapport et poste le moi.
Sécurité / Prévention
Répondre à Egwene
Ah lol c'était pas fini... Je venais de rebuger justement :s
Bloquée sur Firefox, même le CRTL ALT SUPPR ne faisait rien. J'ai dû appuyer sur le bouton power et j'ai eu "les réparations" au rallumage.
Antivir vs Avast je l'ai lu il y a quelques mois. L'anglais n'est pas mon fort mais le tuto est très bien fait alors je l'avais installé.
Mais, si je me souviens bien, j'utilise Sygate et j'en ai toujours été contente...et donc je crois qu'il y avait une incompatibilité avec Antivir... mais peut-être était-ce autre chose qui m'avait fait abandonner Antivir (les mises à jour ne se faisaient plus aussi)
Bon, je vais désinstaller Avast, lancer ccleaner.
Pour Sygate je fais quoi ?
Bon ben effectivement, j'avais déjà installé Antivir. Du coup il me dit que ma licence est invalide et il ne veut pas mettre à jour la liste de virus.
J'ai le report d'erreur suivant :
| Citation :
|
Donc je coince là...
J'ai fait nuit blanche et mes yeux ne restent plus ouverts...
Je ré-attaque demain matin
Une bonne nuit et un grand merci...
A demain
Re,
Laisse tomber antivir et garde ton antivirus si tu en es satisfait(e).
Télécharge AVG Anti-Spyware Installes-le.
Si le lien ne fonctionne pas : >Clique ici<
Lance AVG et fais une mise à jour.
Clique sur le bouton Analyse (de la barre d'outils)
Puis sur l'onglet comment réagir, clique sur Actions recommandées. Choisis Quarantaine.
Ne fais pas d’analyse pour le moment.
Redémarre en mode sans échec
/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\
Relance Avg.
Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
A la fin du scan, choisis l'option " Appliquer toutes les actions " en bas.
Clique sur "Enregistrer le rapport". Ceci génère un rapport qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.
Poste le ici.
Bonne nuit et à demain
Sécurité / Prévention
Répondre à Egwene
Bonjour
Bon... ça commence 
Je peux pas démarrer en mode sans échec. Je passe par F8 puis je choisis le mode sans échec et là il y a plein de lignes de code qui défilent puis en bas, j'ai le message suivant :
Press esc pour quitter loading d357bus.sys
Que je "press esc" ou pas, j'ai l'écran bleu de win et le pc redémarre.
Redémarre en mode normal et fais la manip' ci-dessous
Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace ci-dessous (copie/colle) :
| Citation : REGEDIT4
|
-Enregistrer ce fichier dans : Bureau
-Nom du fichier : fix.reg
-Type : tous les fichiers !!!
-cliquer sur Enregistrer
-quitter le Bloc Notes
Utilisation du fichier: fix.reg
- double cliquer sur le fichier (Bureau) / Accepter l'avertissement concernant la fusion / ne pas s'étonner de ne rien voir / valider le message disant que la fusion est terminée.
Redémarre l'ordinateur pour que la modification soit prise en compte.
Essaie ensuite le mode sans échec et tiens nous au courant
Sécurité / Prévention
Répondre à Egwene
C'est toujours pareil 
- Télécharge DiagHelp.zip sur ton bureau - Tuto : http://www.malekal.com/DiagHelp/DiagHelp.php
- Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout
- Un nouveau dossier chercher va être créé DiagHelp
- Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître)
- Une fenêtre va s'ouvrir, choisis l'option 1
- L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande.
ATTENTION : pendant l'analyse, après le rapport catchme, il te sera demandé d'appuyer sur une touche afin de poursuivre le scan, suis bien les instructions à l'écran !
- A la fin de l'analyse, il peut-être (pas obligatoire) demandé de redémarrer l'ordinateur... Une fois l'ordinateur redémarré, le rapport va apparaître sur le bloc-note.. Ce dernier se trouve sur C:\resultat.txt
- Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :
- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout
- A nouveau menu Edition / copier
- Dans un nouveau message ici, faire un clic droit / coller
Sécurité / Prévention
Répondre à Egwene
Re,
Tu réessayera pour le site de Malekal plus tard, dès que tu peux poste-moi le rapport demandé ci-dessus
Télécharge ELIBAGLA en bas de cette page:
==> http://www.zonavirus.com/datos/des [...] ibagla.asp
Lance Elibagla en double cliquant dessus.
assure toi que le bouton "Eliminar Ficheros Automaticamente" soit coché.
Vérifie que C:\ soit sélectionné dans Unidad (ou la partition contenant ton OS).
Clique sur le bouton Explorar.
à la fin poste le rapport C:\infoSat.txt
Sécurité / Prévention
Répondre à Egwene
Re,
Pour avancer, il me faut maintenant le rapport de diaghelp + un nouveau rapport hijackthis
Au fait, tes logiciels de protection marchent-ils toujours correctement ?
Sécurité / Prévention
Répondre à Egwene
1) Vas dans le menu démarrer -> exécuter et tu tapes : services.msc
Cherche le service suivant : DirectX Service (Nafyj)
Double clic dessus : dans le champ "Status du service" mets-le sur "arrêté"
dans le champ "Type de démarrage" mets-le sur "désactivé" puis "Appliquer" puis"ok"
Quitte les services.
Passe par hijackthis :" Misc Tools Section"=> "Delete an NT service" et tu rentres le nom du service dans la case: Nafyj (ou DirectX Service) et tu cliques sur "ok".
2) Redémarre le PC et refais un scan hijack pour voir si ça a fonctionné.
Message édité par Egwene le 10-03-2008 à 11:35:56
Sécurité / Prévention
Répondre à Egwene
Il a dit "success"... une fois n'est pas coutume
Rapport OTMoveIt
| Citation : C:\WINDOWS\system32\directx.exe moved successfully.
|
Rapport HiJack
Message édité par Norimael le 11-03-2008 à 21:36:00
Je viens de ressayer de mettre DirectX désactivé au démarrage via services.msc et en fait il me le valide, je ferme services.msc, je réouvre services.msc et DirectX est à nouveau en Automatique.
J'ai testé pour d'autres services et quand je change, ben le changement reste après fermeture et réouverture de services.msc.
Mais pas pour DirectX...
[Edit] Remarque c'est p't'être normal vu qu'on a supprimé directX.exe 
Message édité par Norimael le 10-03-2008 à 14:53:26
Re,
Pour ce qui est de directX on l'a bien supprimé, il ne reste que la clé de registre à nettoyer, on s'en occupera plus tard
Maintenant j'attends le rapport de diaghelp. Le site de Malekal ne restera pas indéfiniment HS, donc réessaye régulièrement et fais-moi le scan demandé
Sécurité / Prévention
Répondre à Egwene
Bon ben je réessayerai régulièrement...
diaghelp ne se trouve nulle part ailleurs ?
[Edit] Malekal est manifestement bien attaqué depuis février. Le site était accessible hier, mais pas depuis ce matin. J'ai trouvé le tuto en cache, mais le téléchargement en cache ça le fait pas
Message édité par Norimael le 10-03-2008 à 16:02:45
Fais analyser ce(s) fichier(s) sur VirusTotal :
| Citation :
|
ici: http://www.virustotal.com/fr/
Tutorial ici : http://bibou0007.com/tutos-f45/tut [...] l-t190.htm
Une fois sur le site, faites "Parcourir", Naviguez dans l'explorateur Windows, jusqu'à trouver le fichier concerné, une fois le fichier trouvé, faites "Ouvrir". Puis cliquez sur "Envoyer le fichier".
Patientez pendant la file d'attente et le temps de l'analyse du fichier...
Une fois le scan du fichier fini, copiez-moi tous les résultats de tous les Antivirus, et collez les dans votre prochaine réponse.
Sécurité / Prévention
Répondre à Egwene
Les résultats
| Citation : Fichier ActiveToolBand.dll reçu le 2008.03.10 19:43:38 (CET)
|
| Citation : Fichier Ifp700.sys reçu le 2008.03.10 19:56:05 (CET)
|
| Citation : j'ai une fenêtre AVG qui s'est ouverte pour m'annoncer un Trojan.Inject.mf (Risque Elevé) situé dans C/DOCUME~1\Flo\LOCALS~1\Temp\udoxyolcBLE.dll
|
J'avais fini par faire "Nettoyer et mettre en quarantaine" et il y en avait eu deux autres après au même endroit.
Poste un nouveau hijackthis
Sécurité / Prévention
Répondre à Egwene
Vala
Pourquoi ces R1 R0 de MSN ?? Il est pas ouvert mon MSN. Il tourne quand même en fond ?
Message édité par Norimael le 11-03-2008 à 21:29:31
Re,
Sauf erreur de ma part, ton rapport est propre
Comment va le PC ?
- Télécharge et installe Malwarebyte's Anti-Malware: http://www.malwarebytes.org/mbam/p [...] -setup.exe
- A la fin de l'installation, veille à ce que l'option Update Malwarebyte's Anti-Malware soit cochée. >>> clique sur finish
- Lance Malwarebyte's Anti-Malware en double-cliquant sur l'icône sur le bureau.
- Au premier lancement, une fenêtre t'annonce que la version est Free >>> clique sur ok
- Clique sur l'onglet Update >>> Check for Update
- Referme le programme
- Redémarre en "Mode sans échec"
- Lance Malwarebyte's Anti-Malware
- Onglet "Scanner" >>> coche Perform full scan >>> Start Scan
- A la fin du scan >>> clique sur Show Results
- Suppression des éléments détectés >>>> clique sur Remove Selected
- S'il t'es demandé de redémarrer >>> clique sur "Yes"
- Un rapport de scan s'ouvre, enregistre/ poste le rapport.
Sécurité / Prévention
Répondre à Egwene
Bon ben je n'ai pas pu redémarrer en mode sans échec 
J'ai eu une nouvelle "animation" à la demande de fermeture. D'habitude j'ai Arrêter / Redémarrer / Annuler sur une "bannière", là c'était une petite fenêtre XP familial avec un menu déroulant
Et à la demande du mode sans échec via F8, j'ai eu la proposition de "Press Esc" pour quitter le chargement de d347bus.sys puis sans que je fasse rien idem pour a347bus.sys et enfin l'écran bleu...
[Edit] Sinon le Pc a l'air d'aller bien.
Je n'arrive pas à refaire gérer mon wifi par windows qui le gérait très bien jusqu'à présent.
Depuis mes problèmes, c'est Acer qui s'est mis à le faire et c'est pas la joie...
Mais je ne sais pas comment "redonner la main" à windows. Si je demande de rechercher les réseaux sans fil il me répond que j'ai autorisé un autre programme à gérer la connexion.
Mais même en désactivant Acer eNet management, ça marche toujours pas
Message édité par Norimael le 10-03-2008 à 23:30:00
