Votre question

AIDE SVP - hldrr.exe / gusano bagle / avcenter pas app Win32 valide

Tags :
  • Win32
  • Sécurité
Dernière réponse : dans Sécurité et virus
28 Septembre 2008 20:20:51

Bonjour,


j'ai été (ou suis encore) infectée par ce hldrr.exe, qui semble être une énième version de Bagle (ma faute, p 2 p quand tu nous tiens...), et je voudrais savoir ce que je dois faire pour bien désinfecter.


L'histoire = j'ai cliqué sur un exécutable qui, bien sûr ne s'est pas exécuté. Comme je trouvais ça louche, je tente un scan avec mon antivirus (antivir premium security suite en version d'évaluation) et là, "tun", "avcenter.exe n'est pas une application Win32 valide". Puis mon CPU se met à tourner à fond et j'ai tout juste le temps d'ouvrir le gestionnaire des tâches pour découvrir ce processus, hldrr.exe, qui bouffe toutes mes ressources, avant que l'ordi ne freeze et que je doive faire un reset. Je tente de redémarrer en mode sans échec mais ça ne marche pas. Je redémarre en mode normal et j'ai tout juste le temps de décocher ce processus louche dans "msconfig", onglet "démarrage" avant que ça ne refreeze.


Après ça, l'ordi arrive à démarrer et mon cpu semble normal mais avcenter n'est toujours pas une application Win32 valide. Je dl Elibagla et je le lance, il me met qu'il a éliminé "Gusano Bagle", puis je clique sur "explorar" pour C: et il ne trouve rien.



Je dl Combofix et je le lance. Voici le rapport :
-------------------------------------------------------------------------------------------------------------------------------------------------
ComboFix 08-09-27.03 - User M 2008-09-28 14:30:57.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1217 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\User M\Bureau\Combo--Fix.exe


AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.


((((((((((((((((((((((((((((( Fichiers créés du 2008-08-28 au 2008-09-28 ))))))))))))))))))))))))))))))))))))
.


2008-09-28 14:03 . 2008-09-28 14:03 <REP> d-------- C:\Muestras
2008-09-28 14:02 . 2008-09-28 14:02 56,843 --a------ C:\ELIBAGLA.CABH.EXE
2008-09-28 12:58 . 2008-09-28 12:58 <REP> d-------- C:\Program Files\FontUtilities
2008-09-27 14:13 . 2008-09-27 14:14 <REP> d-------- C:\Program Files\GetDiz
2008-09-27 11:26 . 2008-09-27 11:26 <REP> d-------- C:\Documents and Settings\User M\Application Data\vlc
2008-09-27 11:24 . 2008-09-27 11:24 <REP> d-------- C:\Program Files\VideoLAN
2008-09-27 09:39 . 2008-09-27 09:40 <REP> d-------- C:\Program Files\Fichiers communs\Adobe
2008-09-26 23:26 . 2008-09-26 23:26 <REP> d-------- C:\Program Files\Extensis
2008-09-26 19:24 . 2008-09-26 19:24 <REP> d-------- C:\Program Files\X-Fonter
2008-09-26 18:40 . 2008-09-26 18:59 <REP> d-------- C:\Font Cases
2008-09-26 18:39 . 2008-09-26 18:39 <REP> d-------- C:\Program Files\OT1 Font Manager
2008-09-26 17:56 . 2008-09-26 18:15 40 --a------ C:\WINDOWS\BELOTEXP.INI
2008-09-26 17:55 . 2008-09-26 17:55 <REP> d-------- C:\Program Files\Ludi
2008-09-25 20:37 . 2008-09-25 20:37 82,380 --a------ C:\WINDOWS\system32\drivers\AFS2K.SYS
2008-09-25 20:33 . 2008-09-25 20:37 20,458 --a------ C:\WINDOWS\hpoins01.dat
2008-09-25 20:33 . 2003-04-06 06:33 16,622 --------- C:\WINDOWS\hpomdl01.dat
2008-09-25 20:02 . 2008-09-27 10:36 488 --a------ C:\hpfr5550.xml
2008-09-25 19:30 . 2008-09-25 20:21 <REP> d-------- C:\temp
2008-09-25 19:19 . 2008-09-25 20:29 <REP> d-------- C:\WINDOWS\system32\NtmsData
2008-09-25 18:55 . 2008-09-25 18:55 <REP> d-------- C:\Documents and Settings\User M\Application Data\Hewlett-Packard
2008-09-25 18:52 . 2008-04-13 11:45 32,128 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2008-09-25 18:52 . 2008-04-13 11:45 32,128 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys
2008-09-25 18:51 . 2008-09-25 18:51 <REP> d-------- C:\Program Files\Fichiers communs\Hewlett-Packard
2008-09-25 18:50 . 2008-09-25 20:37 <REP> d-------- C:\Program Files\Hewlett-Packard
2008-09-23 19:34 . 2008-09-23 19:34 <REP> d-------- C:\Program Files\Microsoft Works
2008-09-23 19:32 . 2008-09-23 19:32 <REP> d-------- C:\WINDOWS\SHELLNEW
2008-09-23 19:32 . 2008-09-23 19:32 <REP> dr-h----- C:\MSOCache
2008-09-23 19:32 . 2008-09-23 19:34 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Microsoft Help
2008-09-22 19:20 . 2008-09-22 19:20 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo!
2008-09-22 19:19 . 2008-09-22 19:19 <REP> d-------- C:\Program Files\Yahoo!
2008-09-21 22:30 . 2008-09-21 22:33 <REP> d-------- C:\Program Files\The Font Thing
2008-09-21 22:30 . 1998-02-06 21:37 299,520 --a------ C:\WINDOWS\uninst.exe
2008-09-20 19:02 . 2008-09-20 19:02 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Trymedia
2008-09-20 19:01 . 2008-09-20 19:01 <REP> d-------- C:\Program Files\BFG
2008-09-20 18:19 . 2008-09-20 18:19 <REP> d-------- C:\WINDOWS\Sun
2008-09-20 18:17 . 2008-09-21 11:32 <REP> d-------- C:\Program Files\Java
2008-09-20 18:17 . 2008-09-20 18:17 <REP> d-------- C:\Program Files\Fichiers communs\Java
2008-09-20 18:17 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-09-20 17:46 . 2008-09-28 12:54 <REP> d-------- C:\Program Files\eMule
2008-09-19 20:46 . 2008-09-19 20:47 <REP> d-------- C:\Program Files\foobar2000
2008-09-19 20:46 . 2008-09-28 02:23 <REP> d-------- C:\Documents and Settings\User M\Application Data\foobar2000
2008-09-19 20:28 . 2008-09-27 13:07 <REP> d-------- C:\Documents and Settings\User M\Application Data\OpenOffice.org2
2008-09-19 19:48 . 2008-09-19 19:51 <REP> d-------- C:\Program Files\CCleaner
2008-09-19 19:41 . 2008-09-19 19:41 <REP> d-------- C:\Program Files\OpenOffice.org 2.4
2008-09-19 19:18 . 2008-09-19 19:18 <REP> d--h----- C:\WINDOWS\PIF
2008-09-19 17:22 . 2008-09-27 19:35 <REP> d-------- C:\Program Files\Vietcong
2008-09-19 17:11 . 2008-09-19 17:11 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2008-09-19 13:20 . 2008-09-19 13:26 <REP> d-------- C:\Program Files\Audacity
2008-09-19 10:22 . 2008-09-19 10:22 <REP> d-------- C:\Program Files\7-Zip
2008-09-17 21:46 . 2008-06-14 19:33 272,768 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-09-17 21:46 . 2008-06-14 19:33 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-09-17 21:45 . 2008-09-18 19:49 <REP> d--h----- C:\WINDOWS\$hf_mig$
2008-09-17 21:45 . 2006-09-06 17:43 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-09-17 18:34 . 2008-09-17 18:34 <REP> d-------- C:\Documents and Settings\User M\Application Data\Avira
2008-09-17 18:31 . 2008-09-28 13:58 74,066 --a------ C:\WINDOWS\system32\oodbs.lor
2008-09-16 22:49 . 2008-09-16 22:49 0 --a------ C:\WINDOWS\oodcnt.INI
2008-09-16 22:48 . 2008-09-16 22:48 <REP> d-------- C:\WINDOWS\system32\oodag
2008-09-16 22:40 . 2008-09-16 22:40 <REP> d-------- C:\Program Files\OO Software
2008-09-16 22:13 . 2008-09-16 22:13 0 --a------ C:\WINDOWS\nsreg.dat
2008-09-16 22:06 . 2008-09-16 22:06 <REP> d-------- C:\Program Files\Avira
2008-09-16 22:06 . 2008-09-16 22:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-09-16 22:06 . 2008-05-07 14:20 71,592 --a------ C:\WINDOWS\system32\drivers\avfwot.sys
2008-09-16 22:06 . 2008-05-07 10:51 71,464 --a------ C:\WINDOWS\system32\drivers\avfwim.sys


.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-28 12:02 56,843 ----a-w C:\ELIBAGLA.ØCAØBØØH.EXE
2008-09-27 12:19 90,112 ----a-w C:\WINDOWS\DUMP32f6.tmp
2008-09-27 00:54 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-09-27 00:54 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-09-16 19:55 --------- d-----w C:\Program Files\C-Media
2008-09-16 19:24 --------- d-----w C:\Program Files\microsoft frontpage
2008-09-16 19:23 --------- d-----w C:\Program Files\Services en ligne
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-07 20:28 253,952 ----a-w C:\WINDOWS\system32\es.dll
2001-11-23 04:08 712,704 ----a-r C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
.


((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-12-08 7340032]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-12-08 86016]
"avgnt"="C:\Program Files\Avira\Avira Premium Security Suite\avgnt.exe" [2008-06-12 266497]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2008-04-14 172544]
"nwiz"="nwiz.exe" [2005-12-08 C:\WINDOWS\system32\nwiz.exe]
"C-Media Mixer"="Mixer.exe" [2002-07-12 C:\WINDOWS\mixer.exe]


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\msaudite32]
2004-09-28 14:39 12800 C:\WINDOWS\system32\msaudite32.dll


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr]
@="Service"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wd.sys]
@="Driver"


[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^hp psc 2000 Series.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\hp psc 2000 Series.lnk
backup=C:\WINDOWS\pss\hp psc 2000 Series.lnkCommon Startup


[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^hpoddt01.exe.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\hpoddt01.exe.lnk
backup=C:\WINDOWS\pss\hpoddt01.exe.lnkCommon Startup


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-06-12 02:38 34672 C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OODefragTray]
--a------ 2007-05-11 02:08 2512392 C:\WINDOWS\system32\oodtray.exe


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-06-10 04:27 144784 C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Program Files\\Vietcong\\vietcong.exe"=


R0 viasraid;viasraid;C:\WINDOWS\system32\drivers\viasraid.sys [2003-10-31 77312]
S2 AntiVirMailService;Avira Premium Security Suite MailGuard;C:\Program Files\Avira\Avira Premium Security Suite\avmailc.exe [2008-07-11 164097]
S2 antivirwebservice;Avira Premium Security Suite WebGuard;C:\Program Files\Avira\Avira Premium Security Suite\AVWEBGRD.EXE [2008-06-12 258305]
S4 AVEService;Avira Premium Security Suite MailGuard helper service;C:\Program Files\Avira\Avira Premium Security Suite\avesvc.exe [2008-05-09 41217]


*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
.
------- Examen supplémentaire -------
.
FireFox -: Profile - C:\Documents and Settings\User M\Application Data\Mozilla\Firefox\Profiles\4oeo0q87.default\
FF -: plugin - C:\Program Files\Yahoo!\Shared\npYState.dll
.


**************************************************************************


catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-28 14:31:33
Windows 5.1.2600 Service Pack 3 NTFS


Recherche de processus cachés ...


Recherche d'éléments en démarrage automatique cachés ...


Recherche de fichiers cachés ...


Scan terminé avec succès
Fichiers cachés: 0


**************************************************************************
.
Heure de fin: 2008-09-28 14:31:58
ComboFix-quarantined-files.txt 2008-09-28 12:31:56
ComboFix2.txt 2008-09-28 12:26:47


Avant-CF: 140ÿ580ÿ294ÿ656 octets libres
Après-CF: 140,570,472,448 octets libres


165 --- E O F --- 2008-09-18 17:49:36
------------------------------------------------------------------------------------------------------------------------------------------------



Puis j'ai réinstallé mon antivirus, qui arrive à tourner sans problèmes, dirait-on. Voici le rapport du scan complet :
------------------------------------------------------------------------------------------------------------------------------------------------
Premium Security Suite
Date de création du fichier de rapport : dimanche 28 septembre 2008 15:14


La recherche porte sur 1646367 souches de virus.


Détenteur de la licence :Murrayy Bozinskii
Numéro de série : 2200236767-ISECE-0001
Plateforme : Windows XP
Version de Windows :( Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur :o RDIM


Informations de version :
BUILD.DAT : 8.1.0.39 27419 Bytes 19/08/2008 11:49:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26/06/2008 08:57:49
AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16
LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24/06/2008 13:54:15
ANTIVIR2.VDF : 7.0.6.217 3773440 Bytes 26/09/2008 13:02:36
ANTIVIR3.VDF : 7.0.6.219 14336 Bytes 27/09/2008 13:02:36
Version du moteur: 8.1.1.35
AEVDF.DLL : 8.1.0.5 102772 Bytes 25/02/2008 09:58:21
AESCRIPT.DLL : 8.1.0.76 319867 Bytes 28/09/2008 13:02:49
AESCN.DLL : 8.1.0.23 119156 Bytes 10/07/2008 12:44:49
AERDL.DLL : 8.1.1.2 438644 Bytes 28/09/2008 13:02:48
AEPACK.DLL : 8.1.2.3 364918 Bytes 28/09/2008 13:02:46
AEOFFICE.DLL : 8.1.0.25 196986 Bytes 28/09/2008 13:02:44
AEHEUR.DLL : 8.1.0.59 1438071 Bytes 28/09/2008 13:02:43
AEHELP.DLL : 8.1.0.15 115063 Bytes 10/07/2008 12:44:48
AEGEN.DLL : 8.1.0.36 315764 Bytes 28/09/2008 13:02:39
AEEMU.DLL : 8.1.0.7 430452 Bytes 31/07/2008 08:33:21
AECORE.DLL : 8.1.1.11 172406 Bytes 28/09/2008 13:02:38
AEBB.DLL : 8.1.0.1 53617 Bytes 10/07/2008 12:44:48
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 28/09/2008 13:02:37
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2904321 Bytes 21/07/2008 13:48:19
RCTEXT.DLL : 8.0.46.1 90369 Bytes 14/07/2008 10:43:19


Configuration pour la recherche actuelle :
Nom de la tâche..................: Contrôle intégral du système
Fichier de configuration.........: c:\program files\avira\avira premium security suite\sysscan.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:, E:, F:, G:,
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: arrêt
Fichier mode de recherche........: Sélection de fichiers intelligente
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen


Début de la recherche : dimanche 28 septembre 2008 15:14


La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avmailc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wscntfy.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avwebgrd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mixer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'oodag.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avesvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'28' processus ont été contrôlés avec '28' modules


La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD2
[INFO] Aucun virus trouvé !


La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'E:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'F:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'G:\'
[INFO] Aucun virus trouvé !


La recherche sur les renvois aux fichiers exécutables (registre) commence.
C:\WINDOWS\system32\msaudite32.dll
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003
[AVERTISSEMENT] Impossible de supprimer le fichier!
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b7fa9cc.qua' !


Le registre a été contrôlé ( '54' fichiers).



La recherche sur les fichiers sélectionnés commence :


Recherche débutant dans 'C:\'
C:\ARK2.tmp
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003
[AVERTISSEMENT] Impossible de supprimer le fichier!
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b68d199.qua' !
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\System Volume Information\_restore{051553AA-C069-4633-A73F-E120C311AF84}\RP40\A0021766.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '490f84cb.qua' !
C:\System Volume Information\_restore{051553AA-C069-4633-A73F-E120C311AF84}\RP40\A0026772.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '490f84d1.qua' !
C:\System Volume Information\_restore{051553AA-C069-4633-A73F-E120C311AF84}\RP41\A0026828.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '490f84d6.qua' !
Recherche débutant dans 'E:\'
E:\Fonts\Programmes\Font agent\FontAgent_Pro_3.1.zip
[0] Type d'archive: ZIP
--> FontAgent_Pro_3.1.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dac2a.qua' !
E:\Fonts\Programmes\Font expert\FontExpert_2007_9.0_Release_1_(KeyGen).zip
[0] Type d'archive: ZIP
--> FontExpert_2007_9.0_Release_1_(KeyGen).exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dac31.qua' !
E:\Fonts\Programmes\Fontonizer\1 only patches\Fontonizer_1.3.zip
[0] Type d'archive: ZIP
--> Fontonizer_1.3.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dac34.qua' !
E:\Fonts\Programmes\Fontonizer\1 only patches\Fontonizer_1.3_[Patch].zip
[0] Type d'archive: ZIP
--> Fontonizer_1.3_[Patch].exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dac36.qua' !
E:\Fonts\Programmes\Fontonizer\2 only patch\Fontonizer v1.01 b95.zip
[0] Type d'archive: ZIP
--> fff-crack.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dac39.qua' !
E:\Fonts\Programmes\Fontonizer\4\Fontonizer_1.02_build_105.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dac3b.qua' !
E:\Fonts\Programmes\Fontonizer\4\Fontonizer_1.02_build_105.zip
[0] Type d'archive: ZIP
--> Fontonizer_1.02_build_105.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dac3e.qua' !
E:\Fonts\Programmes\Fontonizer\4\a\Fontonizer.1.02.WinALL-ViRiLiTY.rar
[0] Type d'archive: RAR
--> keygen.exe
[RESULTAT] Contient le cheval de Troie TR/Hijack.Explor.3157
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dac42.qua' !
E:\Fonts\Programmes\Fontonizer\4\a\keygen.exe
[RESULTAT] Contient le cheval de Troie TR/Hijack.Explor.3157
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4958ac3a.qua' !
E:\Fonts\Programmes\Maintype\MainType 2.1.1(1).zip
[0] Type d'archive: ZIP
--> MainType 2.1.1.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4948ac39.qua' !
E:\Fonts\Programmes\Maintype\MainType_2.1.1.zip
[0] Type d'archive: ZIP
--> MainType_2.1.1.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4948ac3c.qua' !
E:\Fonts\Programmes\Maintype\MainType_2.1.1_(KeyGen).zip
[0] Type d'archive: ZIP
--> MainType_2.1.1_(KeyGen).exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4948ac3e.qua' !
E:\Fonts\Programmes\Maintype\MainType_2.zip
[0] Type d'archive: ZIP
--> MainType_2.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4948ac41.qua' !
E:\Fonts\Programmes\Maintype\[Appz] High-Logic Maintype v2.0 (+crack) -Dvt.rar
[0] Type d'archive: RAR
--> PATCH.EXE
[RESULTAT] Contient le code suspect : HEUR/Crypted
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494fac23.qua' !
E:\Fonts\Programmes\Typograph\Typograf_4.8f.zip
[0] Type d'archive: ZIP
--> Typograf_4.8f.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494fac5f.qua' !
E:\Fonts\Programmes\Typograph\Typograf_font_manager_4.8f.zip
[0] Type d'archive: ZIP
--> Typograf_font_manager_4.8f.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494fac62.qua' !
E:\Fonts\Programmes\Typograph\Typograf_font_manager_4.8f_(Key).zip
[0] Type d'archive: ZIP
--> Typograf_font_manager_4.8f_(Key).exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494fac64.qua' !
E:\System Volume Information\_restore{051553AA-C069-4633-A73F-E120C311AF84}\RP45\A0029323.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '490fac4f.qua' !
E:\System Volume Information\_restore{051553AA-C069-4633-A73F-E120C311AF84}\RP45\A0029324.exe
[RESULTAT] Contient le cheval de Troie TR/Hijack.Explor.3157
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '490fac52.qua' !
Recherche débutant dans 'F:\' <Disque>
F:\Petits jeux\Dream chronicles 2\Dream Chronicles 2 + crack bone111.rar
[0] Type d'archive: RAR
--> Dream Chronicles 2 + crack bone111\Crack\dream2.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.PEPM.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4944acfa.qua' !
F:\Utilitaires\EliBaglA.exe
[RESULTAT] Contient le cheval de Troie TR/Mitglieder.ST
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4948ad65.qua' !
Recherche débutant dans 'G:\' <Disque>
G:\E-ter\10 TALISMANS + CRACK.rar
[0] Type d'archive: RAR
--> 10 TALISMANS CRACK.exe
[RESULTAT] Contient le cheval de Troie TR/Patch.DZ
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '48ffb98d.qua' !
G:\E-ter\Big Money v1.2.2.zip
[0] Type d'archive: ZIP
--> WinBM.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.XDR.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4946b9eb.qua' !
G:\E-ter\Dream Chronicles 2 + crack bone111.rar
[0] Type d'archive: RAR
--> Dream Chronicles 2 + crack bone111\Crack\dream2.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.PEPM.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4944ba6f.qua' !
G:\E-ter\FontAgent_Pro_3.1.zip
[0] Type d'archive: ZIP
--> FontAgent_Pro_3.1.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dba72.qua' !
G:\E-ter\FontExpert_2007_9.0_Release_1_(KeyGen).zip
[0] Type d'archive: ZIP
--> FontExpert_2007_9.0_Release_1_(KeyGen).exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dba77.qua' !
G:\E-ter\Fontonizer v1.01 b95.zip
[0] Type d'archive: ZIP
--> fff-crack.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dba7a.qua' !
G:\E-ter\Fontonizer.1.02.WinALL-ViRiLiTY.rar
[0] Type d'archive: RAR
--> keygen.exe
[RESULTAT] Contient le cheval de Troie TR/Hijack.Explor.3157
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dba7d.qua' !
G:\E-ter\Fontonizer_1.02_build_105.zip
[0] Type d'archive: ZIP
--> Fontonizer_1.02_build_105.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dba80.qua' !
G:\E-ter\Fontonizer_1.3.zip
[0] Type d'archive: ZIP
--> Fontonizer_1.3.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dba83.qua' !
G:\E-ter\Fontonizer_1.3_[Patch].zip
[0] Type d'archive: ZIP
--> Fontonizer_1.3_[Patch].exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dba85.qua' !
G:\E-ter\MainType 2.1.1(1).zip
[0] Type d'archive: ZIP
--> MainType 2.1.1.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4948babc.qua' !
G:\E-ter\MainType_2.1.1.zip
[0] Type d'archive: ZIP
--> MainType_2.1.1.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4948bac0.qua' !
G:\E-ter\MainType_2.1.1_(KeyGen).zip
[0] Type d'archive: ZIP
--> MainType_2.1.1_(KeyGen).exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4948bac3.qua' !
G:\E-ter\MainType_2.zip
[0] Type d'archive: ZIP
--> MainType_2.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4948bac5.qua' !
G:\E-ter\The Great Tree v1.33 Shared By Blow-II.rar
[0] Type d'archive: RAR
--> The Great Tree v1.33 Shared By Blow-II\The Great Tree.exe
[1] Type d'archive: RAR SFX (self extracting)
--> Uninstall.exe
[RESULTAT] Contient le cheval de Troie TR/Spy.Gampass.CV
--> The Great Tree v1.33 Shared By Blow-II\THETA.nfo.exe
[RESULTAT] Le fichier contient un programme exécutable. Cependant, celui-ci se dissimule sous une extension de fichier inoffensive (HIDDENEXT/Crypted)
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4944bb40.qua' !
G:\E-ter\Typograf_4.8f.zip
[0] Type d'archive: ZIP
--> Typograf_4.8f.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494fbb78.qua' !
G:\E-ter\Typograf_font_manager_4.8f.zip
[0] Type d'archive: ZIP
--> Typograf_font_manager_4.8f.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494fbb7a.qua' !
G:\E-ter\Typograf_font_manager_4.8f_(Key).zip
[0] Type d'archive: ZIP
--> Typograf_font_manager_4.8f_(Key).exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494fbb7c.qua' !
G:\E-ter\[Appz] High-Logic Maintype v2.0 (+crack) -Dvt.rar
[0] Type d'archive: RAR
--> PATCH.EXE
[RESULTAT] Contient le code suspect : HEUR/Crypted
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494fbb85.qua' !



Fin de la recherche : dimanche 28 septembre 2008 19:13
Temps nécessaire: 3:59:54 Heure(s)


La recherche a été effectuée intégralement


8926 Les répertoires ont été contrôlés
585955 Des fichiers ont été contrôlés
44 Des virus ou programmes indésirables ont été trouvés
2 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
45 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
1 Impossible de contrôler des fichiers
585908 Fichiers non infectés
6480 Les archives ont été contrôlées
3 Avertissements
45 Consignes
-------------------------------------------------------------------------------------------------------------------------------------------------
J'ai mis tout ce qu'il a trouvé en quarantaine.


Pour finir, voici le log Hijackthis :
-----------------------------------------------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:44:12, on 28/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\Avira Premium Security Suite\sched.exe
C:\Program Files\Avira\Avira Premium Security Suite\avguard.exe
C:\Program Files\Avira\Avira Premium Security Suite\avesvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Avira\Avira Premium Security Suite\avmailc.exe
C:\Program Files\Avira\Avira Premium Security Suite\avgnt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
F:\Utilitaires\Hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\Avira Premium Security Suite\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: msaudite32 - C:\WINDOWS\
O23 - Service: Avira Premium Security Suite MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\Avira Premium Security Suite\avmailc.exe
O23 - Service: Planificateur Avira Premium Security Suite (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\Avira Premium Security Suite\sched.exe
O23 - Service: Avira Premium Security Suite Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\Avira Premium Security Suite\avguard.exe
O23 - Service: Avira Premium Security Suite WebGuard (antivirwebservice) - Avira GmbH - C:\Program Files\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
O23 - Service: Service d'assistance Avira Premium Security Suite MailGuard (AVEService) - Avira GmbH - C:\Program Files\Avira\Avira Premium Security Suite\avesvc.exe
O23 - Service: WinFast(R) Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 4712 bytes
------------------------------------------------------------------------------------------

Quelqu'un peut-il me dire ce que je dois faire à présent, s'il vous plaît ? En plus, il semble que j'ai un fichier svchost.exe dans mon dossier System32, j'ai lu quelque part qu'il pouvait s'agir d'un keylogger...


Voilà. Merci aux helpers qui voudront m'aider à réparer ma connerie (non, pas taper, j'recommencerai plus).

Autres pages sur : aide svp hldrr exe gusano bagle avcenter app win32 valide

28 Septembre 2008 20:44:26

En plus, j'ai fait évaluer mon rapport Hijackthis en ligne et apparemment il y une ligne qui a l'air louche :
O20 - Winlogon Notify: msaudite32 - C:\WINDOWS\ ... Que faire ?
a b 8 Sécurité
28 Septembre 2008 21:59:08

Bonjour,

Télécharge ELIBAGLA en bas de cette page.
Clique sur le bouton Descargar Elibagla, cela va télécharger le fichier, place-le sur ton Bureau.
Double-clique dessus pour l'ouvrir.
Assure-toi que dans le menu déroulant Unidad, vous ayez bien C:\
Vérifie aussi aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente soit bien cochée.
Clique sur le bouton Explorar pour lancer l'analyse.
Poste le rapport généré en fin fin d'analyse.

AIDE : Comment supprimer Bagle ?
Contenus similaires
Pas de réponse à votre question ? Demandez !
28 Septembre 2008 22:09:40

Tout d'abord, merci pour ton aide!

Ce que tu me décris est la première chose que j'ai faite. Je l'ai lancé, puis il m'a mis qu'il avait eliminé "Gusano Bagle" (??) et après il m'a affiché la fenêtre dont tu parles, j'avais bien C: sous Unidad et l'elimination des fichiers était bien activée. A la fin de l'analyse, il n'avait trouvé aucun fichier suspect ni supprimé aucun fichier.

Je l'ai refait tourner et voici le rapport (je suppose que c'est le fichier "infosat.text") :
------------------------------------------------------------------------------------------
Sun Sep 28 22:03:03 2008
EliBagle v11.76 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

Sun Sep 28 22:03:12 2008
EliBagle v11.76 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 23 de Septiembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 2154
Nº Total de Ficheros: 23865
Nº de Ficheros Analizados: 6738
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
---------------------------------------------------------------------------------------
a b 8 Sécurité
28 Septembre 2008 22:17:40

C'est apparemment ok.
28 Septembre 2008 22:39:08

Merci, je suis rassurée.

Je suis désolée pour les logs ultra longs mais je les ai postés tels qu'ils étaient à la suite des scans car je ne sais pas repérer les trucs qui peuvent potentiellement clocher.

Encore 2 petites questions :
- la ligne suspecte O20 - Winlogon Notify: msaudite32 - C:\WINDOWS\ dans Hijackthis ? Je la coche et je fais Fix checked ?
- le fichier svchost dans System32, c'est normal ou c'est un key logger ?

Merci encore.
a b 8 Sécurité
29 Septembre 2008 17:23:46

Citation :
- la ligne suspecte O20 - Winlogon Notify: msaudite32 - C:\WINDOWS\ dans Hijackthis ? Je la coche et je fais Fix checked ?

Tu peux fixer.

Citation :
- le fichier svchost dans System32, c'est normal ou c'est un key logger ?

Nan.
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS