( résolu ) N'est pas une application Win32 valide.

Salut,

Tu es infecté par Bagle.

XP ou Vista ?

vista

aaaaaaaaarrrrffff

Même mon horloge a pris 20 mns de retard!!!!!!!    

Désactive l'UAC le temps de la désinfection.

Télécharge FindyKill (par Chiquitine29) sur ton Bureau.

Lance l'installation avec les paramètres par défaut.

Clique droit sur le raccourci FindyKill sur ton Bureau et choisis Exécuter en tant qu'administrateur.

Choisis F pour Français.

Au menu principal, choisis l'option 1 (Recherche).

Poste le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.

merci bcp, l'analyse est en cours je poste le rapport dès qu'il est cuit!!!  

Bonsoir

Normal que cela prenne autant de temps???
L'analyse n'est tjrs pas terminée!!!  

Non, pas normal.

[#ff0000]/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\[/#f]

Télécharge ComboFix ([#ff0000]sUBs[/#f]) en prenant soin de le renommer en KillBagle avant de l'enregistrer sur ton Bureau.

Clique droit sur KillBagle.exe (le .exe n'est pas forcément visible) et choisis Exécuter en tant qu'administrateur.

Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix

cela ne marche pas, j'ai le même message d'erreur!!!  

Il faut renommer ComboFix AVANT de l'enregistrer sur ton Bureau et non l'enregistrer puis le renommer.

c'est a dire modifier le nom avant de l'enregistrer???
Je n'ai que le choix de l'enregistrer et seulement après je peux le renommer!!!

---> Exactement.

Avec Internet Explorer, tu peux le faire  

combofix tourne mais il me demande de désactivé les scanneurs de norton et avast???

Donc fais-le  

comment????

désolé je suis un peu neuneu!!!

Mais non, faut pas dire ça, c'est de ma faute, j'ai pas expliqué.

ben peux tu m'expliquer stp?

Je ne sais pas exactement, je n'utilise pas ces antivirus.

Pour Avast, je crois qu'il faut que tu cliques droit sur la boule bleue d'Avast et que tu désactives la protection résidente.

voila le rapport!!!
############################## [ FindyKill V4.716 ]

# User : Galliez (Administrateurs) # PC-DE-GALLIEZ
# Update on 10/02/09 by Chiquitine29
# Start at: 21:25:37 | 13/02/2009

# Intel(R) Core(TM)2 Duo CPU E4500 @ 2.20GHz
# Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Disabled
# AV : Norton Internet Security 2007 [ Enabled | (!) Outdated ]
# FW : Norton Internet Security[ (!) Disabled ]2007

# C:\ # Disque fixe local (ACER) # NTFS
# D:\ # Disque fixe local (DATA) # NTFS
# E:\ # Disque CD-ROM
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible
# J:\ # Disque amovible

############################## [ Processus actifs ]

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\acrotray.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Logitech\QuickCam\Quickcam.exe
C:\Windows\WindowsMobile\wmdc.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe
C:\Program Files\Neuf\Media Center\MediaCenter.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Windows\system32\WUDFHost.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
C:\Windows\system32\iashost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Neuf\Media Center\httpd\httpd.exe
C:\Program Files\Neuf\Media Center\httpd\httpd.exe
C:\Program Files\Defenza\pcd-as.exe
C:\Windows\explorer.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\taskeng.exe

################## [ Fichiers / Dossiers infectieux C:\ ]

Found ! - C:\InfoSat.txt

################## [ C:\Windows ]


################## [ C:\Windows\Prefetch ]


################## [ C:\Windows\system32 ]

Found ! - C:\Windows\system32\mdelk.exe
Found ! - C:\Windows\system32\wintems.exe

################## [ C:\Windows\system32\drivers ]


################## [ C:\Users\Galliez\AppData\Roaming ]

Found ! - "C:\Users\Galliez\AppData\Roaming\m\flec006.exe"
Found ! - "C:\Users\Galliez\AppData\Roaming\m\shared"
Found ! - "C:\Users\Galliez\AppData\Roaming\m"
Found ! - "C:\Users\Galliez\AppData\Roaming\drivers"
Found ! - "C:\Users\Galliez\AppData\Roaming\drivers\wfsintwq.sys"
Found ! - "C:\Users\Galliez\AppData\Roaming\drivers\winupgro.exe"
Found ! - "C:\Users\Galliez\AppData\Roaming\drivers\downld"

################## [ C:\Users\Galliez\AppData\Local\Temp ]


################## [ Registre / Clés infectieuses ]

Found ! - HKEY_USERS\S-1-5-21-87625056-2586111468-1538637851-1000\Software\Local AppWizard-Generated Applications\install_patch
Found ! - HKEY_USERS\S-1-5-21-87625056-2586111468-1538637851-1000\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_USERS\S-1-5-21-87625056-2586111468-1538637851-1000\Software\FirtR
Found ! - HKEY_USERS\S-1-5-21-87625056-2586111468-1538637851-1000\Software\MuleAppData
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\install_patch
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_CURRENT_USER\Software\FirtR
Found ! - HKEY_CURRENT_USER\Software\MuleAppData
Found ! - [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] | drvsyskit
Found ! - [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] | german.exe
Found ! - [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] | mule_st_key

# Infection active : HKLM\SYSTEM\...\Services\srosa -> Start = 0x1
# Infection active : HKLM\SYSTEM\...\Services\sK9Ou0s -> Start = 0x1

################## [ Etat / Services ]

# Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

Ndisuio # Type de démarrage = 4

EapHost # Type de démarrage = 3

Wlansvc # Type de démarrage = 3

SharedAccess # Type de démarrage = 2

wuauserv # Type de démarrage = 2

wscsvc # Type de démarrage = 4

WinDefend # Type de démarrage = 4


################## [ Recherche dans supports amovibles]

# presence des fichiers :


################## [ Registre / Mountpoint2 ]

# -> Not found !

################## [ ! Fin du rapport # FindyKill V4.716 ! ]

Supprime le fichier qui t'a infecté (Crack par exemple).

Clique droit sur le raccourci FindyKill sur ton Bureau et choisis Exécuter en tant qu'administrateur.

Au menu principal, choisis l'option 2 (Suppression).

/!\ Il y aura un redémarrage, laisse travailler l'outil jusqu'à l'apparition du message "nettoyage effectué" /!\

Ensuite, poste le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.

comment je le supprime???
c'est findykill qui le fait en choisissant l option 2 ou je dois faire qqchose avant???

Bagle n'est pas venu tout seul, tu as forcément exécuté un mauvais fichier.

ben j en vois qu'un : la version d'essai de microsoft office !!!!!

Tu l'as récupéré où ?

sur leur site
c est bizarre

a moins que ce ne soit autre chose
j ai télécharger un fichier excell un classeur
je vais voir tout ca

Moué...

Passe à FindyKill.

c 'est parti

le cleaning est en cours

Ok.

merci pour tout c'est sympa de me consacrer du temps comme ça!!!

j'ai un écran noir la!!!

Ça change de l'écran bleu.

il ne se passe plus rien

c'est clair

non désolé, c'est tjrs cleaning temp files

ça me semble bien long !!!

tjrs sur les temp files

Ok.

c normal????

Normalement, il ne prend pas autant de temps mais pour toi, l'option 1 avait duré longtemps.

ben je l'avais interrompu et la 2e fois c'était plus rapide

Tu peux toujours essayer ComboFix.

Bonjour

J'ai désinstallé toutes mes protections, j'ai fait retourner killbagle, et j'ai installé antivir.
J'ai fait un scan complet de ma machine et il m'a trouvé bagle à 22 reprises!!  
Visiblement il est arrivée par la barre de notification de mail de google  

Je te remercie vraiment beaucoup pour ta patience.

Cordialement

Disdonc

Est-il possible d'avoir le rapport ?

tu veux quel rapport??

Antivir?

Tu n'as pas celui de KillBagle ?

ben en fait j'ai tout désinstallé après!!!
Je vais regarder si je peux le retrouver
Il l'archive où normalement?

Fais plutôt ceci :

Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

Double-clique sur RSIT.exe afin de lancer le programme.

Clique sur Continue à l'écran Disclaimer.

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparait à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

Note : les rapports sont sauvegardés dans le dossier C:\rsit\.

c'est en cours