AIDE SVP - hldrr.exe / Gusano Bagle / avcenter pas app Win32 valide

AIDE SVP - hldrr.exe / Gusano Bagle / avcenter pas app Win32 valide - Virus/Spywares - Windows & Software

Marsh Posté le 28-09-2008 à 19:52:45    

Bonjour,

 

j'ai été (ou suis encore) infectée  par ce hldrr.exe, qui semble être une énième version de Bagle (ma faute, p 2 p quand tu nous tiens...), et je voudrais savoir ce que je dois faire pour bien désinfecter.

 

L'histoire = j'ai cliqué sur un exécutable qui, bien sûr ne s'est pas exécuté. Comme je trouvais ça louche, je tente un scan avec mon antivirus (antivir premium security suite en version d'évaluation) et là, "tun", "avcenter.exe n'est pas une application Win32 valide". Puis mon CPU se met à tourner à fond et j'ai tout juste le temps d'ouvrir le gestionnaire des tâches pour découvrir ce processus, hldrr.exe, qui bouffe toutes mes ressources, avant que l'ordi ne freeze et que je doive faire un reset. Je tente de redémarrer en mode sans échec mais ça ne marche pas. Je redémarre en mode normal et j'ai tout juste le temps de décocher ce processus louche dans "msconfig", onglet "démarrage" avant que ça ne refreeze.

 

Après ça, l'ordi arrive à démarrer et mon cpu semble normal mais avcenter n'est toujours pas une application Win32 valide. Je dl Elibagla et je le lance, il me met qu'il a éliminé "Gusano Bagle", puis je clique sur "explorar" pour C: et il ne trouve rien.

 


Je dl Combofix et je le lance. Voici le rapport :
-------------------------------------------------------------------------------------------------------------------------------------------------
ComboFix 08-09-27.03 - User M 2008-09-28 14:30:57.2 - NTFSx86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.1.1036.18.1217 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\User M\Bureau\Combo--Fix.exe

 

[color=red]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/color]
.

 

(((((((((((((((((((((((((((((   Fichiers créés du 2008-08-28 au 2008-09-28  ))))))))))))))))))))))))))))))))))))
.

 

2008-09-28 14:03 . 2008-09-28 14:03 <REP> d-------- C:\Muestras
2008-09-28 14:02 . 2008-09-28 14:02 56,843 --a------ C:\ELIBAGLA.CABH.EXE
2008-09-28 12:58 . 2008-09-28 12:58 <REP> d-------- C:\Program Files\FontUtilities
2008-09-27 14:13 . 2008-09-27 14:14 <REP> d-------- C:\Program Files\GetDiz
2008-09-27 11:26 . 2008-09-27 11:26 <REP> d-------- C:\Documents and Settings\User M\Application Data\vlc
2008-09-27 11:24 . 2008-09-27 11:24 <REP> d-------- C:\Program Files\VideoLAN
2008-09-27 09:39 . 2008-09-27 09:40 <REP> d-------- C:\Program Files\Fichiers communs\Adobe
2008-09-26 23:26 . 2008-09-26 23:26 <REP> d-------- C:\Program Files\Extensis
2008-09-26 19:24 . 2008-09-26 19:24 <REP> d-------- C:\Program Files\X-Fonter
2008-09-26 18:40 . 2008-09-26 18:59 <REP> d-------- C:\Font Cases
2008-09-26 18:39 . 2008-09-26 18:39 <REP> d-------- C:\Program Files\OT1 Font Manager
2008-09-26 17:56 . 2008-09-26 18:15 40 --a------ C:\WINDOWS\BELOTEXP.INI
2008-09-26 17:55 . 2008-09-26 17:55 <REP> d-------- C:\Program Files\Ludi
2008-09-25 20:37 . 2008-09-25 20:37 82,380 --a------ C:\WINDOWS\system32\drivers\AFS2K.SYS
2008-09-25 20:33 . 2008-09-25 20:37 20,458 --a------ C:\WINDOWS\hpoins01.dat
2008-09-25 20:33 . 2003-04-06 06:33 16,622 --------- C:\WINDOWS\hpomdl01.dat
2008-09-25 20:02 . 2008-09-27 10:36 488 --a------ C:\hpfr5550.xml
2008-09-25 19:30 . 2008-09-25 20:21 <REP> d-------- C:\temp
2008-09-25 19:19 . 2008-09-25 20:29 <REP> d-------- C:\WINDOWS\system32\NtmsData
2008-09-25 18:55 . 2008-09-25 18:55 <REP> d-------- C:\Documents and Settings\User M\Application Data\Hewlett-Packard
2008-09-25 18:52 . 2008-04-13 11:45 32,128 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2008-09-25 18:52 . 2008-04-13 11:45 32,128 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys
2008-09-25 18:51 . 2008-09-25 18:51 <REP> d-------- C:\Program Files\Fichiers communs\Hewlett-Packard
2008-09-25 18:50 . 2008-09-25 20:37 <REP> d-------- C:\Program Files\Hewlett-Packard
2008-09-23 19:34 . 2008-09-23 19:34 <REP> d-------- C:\Program Files\Microsoft Works
2008-09-23 19:32 . 2008-09-23 19:32 <REP> d-------- C:\WINDOWS\SHELLNEW
2008-09-23 19:32 . 2008-09-23 19:32 <REP> dr-h----- C:\MSOCache
2008-09-23 19:32 . 2008-09-23 19:34 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Microsoft Help
2008-09-22 19:20 . 2008-09-22 19:20 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo!
2008-09-22 19:19 . 2008-09-22 19:19 <REP> d-------- C:\Program Files\Yahoo!
2008-09-21 22:30 . 2008-09-21 22:33 <REP> d-------- C:\Program Files\The Font Thing
2008-09-21 22:30 . 1998-02-06 21:37 299,520 --a------ C:\WINDOWS\uninst.exe
2008-09-20 19:02 . 2008-09-20 19:02 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Trymedia
2008-09-20 19:01 . 2008-09-20 19:01 <REP> d-------- C:\Program Files\BFG
2008-09-20 18:19 . 2008-09-20 18:19 <REP> d-------- C:\WINDOWS\Sun
2008-09-20 18:17 . 2008-09-21 11:32 <REP> d-------- C:\Program Files\Java
2008-09-20 18:17 . 2008-09-20 18:17 <REP> d-------- C:\Program Files\Fichiers communs\Java
2008-09-20 18:17 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-09-20 17:46 . 2008-09-28 12:54 <REP> d-------- C:\Program Files\eMule
2008-09-19 20:46 . 2008-09-19 20:47 <REP> d-------- C:\Program Files\foobar2000
2008-09-19 20:46 . 2008-09-28 02:23 <REP> d-------- C:\Documents and Settings\User M\Application Data\foobar2000
2008-09-19 20:28 . 2008-09-27 13:07 <REP> d-------- C:\Documents and Settings\User M\Application Data\OpenOffice.org2
2008-09-19 19:48 . 2008-09-19 19:51 <REP> d-------- C:\Program Files\CCleaner
2008-09-19 19:41 . 2008-09-19 19:41 <REP> d-------- C:\Program Files\OpenOffice.org 2.4
2008-09-19 19:18 . 2008-09-19 19:18 <REP> d--h----- C:\WINDOWS\PIF
2008-09-19 17:22 . 2008-09-27 19:35 <REP> d-------- C:\Program Files\Vietcong
2008-09-19 17:11 . 2008-09-19 17:11 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2008-09-19 13:20 . 2008-09-19 13:26 <REP> d-------- C:\Program Files\Audacity
2008-09-19 10:22 . 2008-09-19 10:22 <REP> d-------- C:\Program Files\7-Zip
2008-09-17 21:46 . 2008-06-14 19:33 272,768 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-09-17 21:46 . 2008-06-14 19:33 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-09-17 21:45 . 2008-09-18 19:49 <REP> d--h----- C:\WINDOWS\$hf_mig$
2008-09-17 21:45 . 2006-09-06 17:43 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-09-17 18:34 . 2008-09-17 18:34 <REP> d-------- C:\Documents and Settings\User M\Application Data\Avira
2008-09-17 18:31 . 2008-09-28 13:58 74,066 --a------ C:\WINDOWS\system32\oodbs.lor
2008-09-16 22:49 . 2008-09-16 22:49 0 --a------ C:\WINDOWS\oodcnt.INI
2008-09-16 22:48 . 2008-09-16 22:48 <REP> d-------- C:\WINDOWS\system32\oodag
2008-09-16 22:40 . 2008-09-16 22:40 <REP> d-------- C:\Program Files\OO Software
2008-09-16 22:13 . 2008-09-16 22:13 0 --a------ C:\WINDOWS\nsreg.dat
2008-09-16 22:06 . 2008-09-16 22:06 <REP> d-------- C:\Program Files\Avira
2008-09-16 22:06 . 2008-09-16 22:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-09-16 22:06 . 2008-05-07 14:20 71,592 --a------ C:\WINDOWS\system32\drivers\avfwot.sys
2008-09-16 22:06 . 2008-05-07 10:51 71,464 --a------ C:\WINDOWS\system32\drivers\avfwim.sys

 

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-28 12:02 56,843 ----a-w C:\ELIBAGLA.ØCAØBØØH.EXE
2008-09-27 12:19 90,112 ----a-w C:\WINDOWS\DUMP32f6.tmp
2008-09-27 00:54 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-09-27 00:54 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-09-16 19:55 --------- d-----w C:\Program Files\C-Media
2008-09-16 19:24 --------- d-----w C:\Program Files\microsoft frontpage
2008-09-16 19:23 --------- d-----w C:\Program Files\Services en ligne
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-07 20:28 253,952 ----a-w C:\WINDOWS\system32\es.dll
2001-11-23 04:08 712,704 ----a-r C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
.

 

(((((((((((((((((((((((((((((((((   Point de chargement Reg   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-12-08 7340032]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-12-08 86016]
"avgnt"="C:\Program Files\Avira\Avira Premium Security Suite\avgnt.exe" [2008-06-12 266497]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2008-04-14 172544]
"nwiz"="nwiz.exe" [2005-12-08 C:\WINDOWS\system32\nwiz.exe]
"C-Media Mixer"="Mixer.exe" [2002-07-12 C:\WINDOWS\mixer.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\msaudite32]
2004-09-28 14:39 12800 C:\WINDOWS\system32\msaudite32.dll

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr]
@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wd.sys]
@="Driver"

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^hp psc 2000 Series.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\hp psc 2000 Series.lnk
backup=C:\WINDOWS\pss\hp psc 2000 Series.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^hpoddt01.exe.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\hpoddt01.exe.lnk
backup=C:\WINDOWS\pss\hpoddt01.exe.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-06-12 02:38 34672 C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OODefragTray]
--a------ 2007-05-11 02:08 2512392 C:\WINDOWS\system32\oodtray.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-06-10 04:27 144784 C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Program Files\\Vietcong\\vietcong.exe"=

 

R0 viasraid;viasraid;C:\WINDOWS\system32\drivers\viasraid.sys [2003-10-31 77312]
S2 AntiVirMailService;Avira Premium Security Suite MailGuard;C:\Program Files\Avira\Avira Premium Security Suite\avmailc.exe [2008-07-11 164097]
S2 antivirwebservice;Avira Premium Security Suite WebGuard;C:\Program Files\Avira\Avira Premium Security Suite\AVWEBGRD.EXE [2008-06-12 258305]
S4 AVEService;Avira Premium Security Suite MailGuard helper service;C:\Program Files\Avira\Avira Premium Security Suite\avesvc.exe [2008-05-09 41217]

 

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
.
------- Examen supplémentaire -------
.
FireFox -: Profile - C:\Documents and Settings\User M\Application Data\Mozilla\Firefox\Profiles\4oeo0q87.default\
FF -: plugin - C:\Program Files\Yahoo!\Shared\npYState.dll
.

 

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-28 14:31:33
Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès
Fichiers cachés: 0

 

**************************************************************************
.
Heure de fin: 2008-09-28 14:31:58
ComboFix-quarantined-files.txt  2008-09-28 12:31:56
ComboFix2.txt  2008-09-28 12:26:47

 

Avant-CF: 140ÿ580ÿ294ÿ656 octets libres
Après-CF: 140,570,472,448 octets libres

 

165 --- E O F --- 2008-09-18 17:49:36
------------------------------------------------------------------------------------------------------------------------------------------------

 


Puis j'ai réinstallé mon antivirus, qui arrive à tourner sans problèmes, dirait-on. Voici le rapport du scan complet :
------------------------------------------------------------------------------------------------------------------------------------------------
Premium Security Suite
Date de création du fichier de rapport : dimanche 28 septembre 2008  15:14

 

La recherche porte sur 1646367 souches de virus.

 

Détenteur de la licence :Murrayy Bozinskii
Numéro de série : 2200236767-ISECE-0001
Plateforme :      Windows XP
Version de Windows :(Service Pack 3)  [5.1.2600]
Mode Boot :       Démarré normalement
Identifiant :     SYSTEM
Nom de l'ordinateur :ORDIM

 

Informations de version :
BUILD.DAT     : 8.1.0.39       27419 Bytes  19/08/2008 11:49:00
AVSCAN.EXE    : 8.1.4.7       315649 Bytes  26/06/2008 08:57:49
AVSCAN.DLL    : 8.1.4.1        49921 Bytes  21/07/2008 13:44:27
LUKE.DLL      : 8.1.4.5       164097 Bytes  12/06/2008 12:44:16
LUKERES.DLL   : 8.1.4.0        13057 Bytes  04/07/2008 07:30:27
ANTIVIR0.VDF  : 6.40.0.0    11030528 Bytes  18/07/2007 10:33:34
ANTIVIR1.VDF  : 7.0.5.1      8182784 Bytes  24/06/2008 13:54:15
ANTIVIR2.VDF  : 7.0.6.217    3773440 Bytes  26/09/2008 13:02:36
ANTIVIR3.VDF  : 7.0.6.219      14336 Bytes  27/09/2008 13:02:36
Version du moteur: 8.1.1.35  
AEVDF.DLL     : 8.1.0.5       102772 Bytes  25/02/2008 09:58:21
AESCRIPT.DLL  : 8.1.0.76      319867 Bytes  28/09/2008 13:02:49
AESCN.DLL     : 8.1.0.23      119156 Bytes  10/07/2008 12:44:49
AERDL.DLL     : 8.1.1.2       438644 Bytes  28/09/2008 13:02:48
AEPACK.DLL    : 8.1.2.3       364918 Bytes  28/09/2008 13:02:46
AEOFFICE.DLL  : 8.1.0.25      196986 Bytes  28/09/2008 13:02:44
AEHEUR.DLL    : 8.1.0.59     1438071 Bytes  28/09/2008 13:02:43
AEHELP.DLL    : 8.1.0.15      115063 Bytes  10/07/2008 12:44:48
AEGEN.DLL     : 8.1.0.36      315764 Bytes  28/09/2008 13:02:39
AEEMU.DLL     : 8.1.0.7       430452 Bytes  31/07/2008 08:33:21
AECORE.DLL    : 8.1.1.11      172406 Bytes  28/09/2008 13:02:38
AEBB.DLL      : 8.1.0.1        53617 Bytes  10/07/2008 12:44:48
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  09/07/2008 08:40:02
AVPREF.DLL    : 8.0.2.0        38657 Bytes  16/05/2008 09:27:58
AVREP.DLL     : 8.0.0.2        98344 Bytes  28/09/2008 13:02:37
AVREG.DLL     : 8.0.0.1        33537 Bytes  09/05/2008 11:26:37
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12/02/2008 08:29:19
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12/06/2008 12:27:46
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22/01/2008 17:28:02
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  12/06/2008 12:49:36
NETNT.DLL     : 8.0.0.1         7937 Bytes  25/01/2008 12:05:07
RCIMAGE.DLL   : 8.0.0.51     2904321 Bytes  21/07/2008 13:48:19
RCTEXT.DLL    : 8.0.46.1       90369 Bytes  14/07/2008 10:43:19

 

Configuration pour la recherche actuelle :
Nom de la tâche..................: Contrôle intégral du système
Fichier de configuration.........: c:\program files\avira\avira premium security suite\sysscan.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:, E:, F:, G:,
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: arrêt
Fichier mode de recherche........: Sélection de fichiers intelligente
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen

 

Début de la recherche : dimanche 28 septembre 2008  15:14

 

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avmailc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wscntfy.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avwebgrd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mixer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'oodag.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avesvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'28' processus ont été contrôlés avec '28' modules

 

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD1
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD2
    [INFO]      Aucun virus trouvé !

 

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage 'E:\'
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage 'F:\'
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage 'G:\'
    [INFO]      Aucun virus trouvé !

 

La recherche sur les renvois aux fichiers exécutables (registre) commence.
C:\WINDOWS\system32\msaudite32.dll
      [RESULTAT]  Contient le cheval de Troie TR/Crypt.XPACK.Gen
    [AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003
    [AVERTISSEMENT] Impossible de supprimer le fichier!
    [REMARQUE]  Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b7fa9cc.qua' !

 

Le registre a été contrôlé ( '54' fichiers).

 


La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\'
C:\ARK2.tmp
      [RESULTAT]  Contient le cheval de Troie TR/Crypt.XPACK.Gen
    [AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003
    [AVERTISSEMENT] Impossible de supprimer le fichier!
    [REMARQUE]  Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b68d199.qua' !
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\System Volume Information\_restore{051553AA-C069-4633-A73F-E120C311AF84}\RP40\A0021766.sys
    [RESULTAT]  Contient le cheval de Troie TR/Rootkit.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '490f84cb.qua' !
C:\System Volume Information\_restore{051553AA-C069-4633-A73F-E120C311AF84}\RP40\A0026772.exe
    [RESULTAT]  Contient le cheval de Troie TR/Dldr.Bagle.acc
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '490f84d1.qua' !
C:\System Volume Information\_restore{051553AA-C069-4633-A73F-E120C311AF84}\RP41\A0026828.exe
    [RESULTAT]  Contient le cheval de Troie TR/Dldr.Bagle.acc
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '490f84d6.qua' !
Recherche débutant dans 'E:\'
E:\Fonts\Programmes\Font agent\FontAgent_Pro_3.1.zip
    [0] Type d'archive: ZIP
    --> FontAgent_Pro_3.1.exe
      [RESULTAT]  Contient le cheval de Troie TR/Dldr.Bagle.acc
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dac2a.qua' !
E:\Fonts\Programmes\Font expert\FontExpert_2007_9.0_Release_1_(KeyGen).zip
    [0] Type d'archive: ZIP
    --> FontExpert_2007_9.0_Release_1_(KeyGen).exe
      [RESULTAT]  Contient le cheval de Troie TR/Dldr.Bagle.acc
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dac31.qua' !
E:\Fonts\Programmes\Fontonizer\1 only patches\Fontonizer_1.3.zip
    [0] Type d'archive: ZIP
    --> Fontonizer_1.3.exe
      [RESULTAT]  Contient le cheval de Troie TR/Dldr.Bagle.acc
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dac34.qua' !
E:\Fonts\Programmes\Fontonizer\1 only patches\Fontonizer_1.3_[Patch].zip
    [0] Type d'archive: ZIP
    --> Fontonizer_1.3_[Patch].exe
      [RESULTAT]  Contient le cheval de Troie TR/Dldr.Bagle.acc
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dac36.qua' !
E:\Fonts\Programmes\Fontonizer\2 only patch\Fontonizer v1.01 b95.zip
    [0] Type d'archive: ZIP
    --> fff-crack.exe
      [RESULTAT]  Contient le cheval de Troie TR/Crypt.XPACK.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dac39.qua' !
E:\Fonts\Programmes\Fontonizer\4\Fontonizer_1.02_build_105.exe
    [RESULTAT]  Contient le cheval de Troie TR/Dldr.Bagle.acc
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dac3b.qua' !
E:\Fonts\Programmes\Fontonizer\4\Fontonizer_1.02_build_105.zip
    [0] Type d'archive: ZIP
    --> Fontonizer_1.02_build_105.exe
      [RESULTAT]  Contient le cheval de Troie TR/Dldr.Bagle.acc
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dac3e.qua' !
E:\Fonts\Programmes\Fontonizer\4\a\Fontonizer.1.02.WinALL-ViRiLiTY.rar
    [0] Type d'archive: RAR
    --> keygen.exe
      [RESULTAT]  Contient le cheval de Troie TR/Hijack.Explor.3157
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dac42.qua' !
E:\Fonts\Programmes\Fontonizer\4\a\keygen.exe
    [RESULTAT]  Contient le cheval de Troie TR/Hijack.Explor.3157
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4958ac3a.qua' !
E:\Fonts\Programmes\Maintype\MainType 2.1.1(1).zip
    [0] Type d'archive: ZIP
    --> MainType 2.1.1.exe
      [RESULTAT]  Contient le cheval de Troie TR/Dldr.Bagle.acc
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4948ac39.qua' !
E:\Fonts\Programmes\Maintype\MainType_2.1.1.zip
    [0] Type d'archive: ZIP
    --> MainType_2.1.1.exe
      [RESULTAT]  Contient le cheval de Troie TR/Dldr.Bagle.acc
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4948ac3c.qua' !
E:\Fonts\Programmes\Maintype\MainType_2.1.1_(KeyGen).zip
    [0] Type d'archive: ZIP
    --> MainType_2.1.1_(KeyGen).exe
      [RESULTAT]  Contient le cheval de Troie TR/Dldr.Bagle.acc
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4948ac3e.qua' !
E:\Fonts\Programmes\Maintype\MainType_2.zip
    [0] Type d'archive: ZIP
    --> MainType_2.exe
      [RESULTAT]  Contient le cheval de Troie TR/Dldr.Bagle.acc
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4948ac41.qua' !
E:\Fonts\Programmes\Maintype\[Appz] High-Logic Maintype v2.0 (+crack) -Dvt.rar
    [0] Type d'archive: RAR
      --> PATCH.EXE
          [RESULTAT]  Contient le code suspect : HEUR/Crypted
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494fac23.qua' !
E:\Fonts\Programmes\Typograph\Typograf_4.8f.zip
    [0] Type d'archive: ZIP
    --> Typograf_4.8f.exe
      [RESULTAT]  Contient le cheval de Troie TR/Dldr.Bagle.acc
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494fac5f.qua' !
E:\Fonts\Programmes\Typograph\Typograf_font_manager_4.8f.zip
    [0] Type d'archive: ZIP
    --> Typograf_font_manager_4.8f.exe
      [RESULTAT]  Contient le cheval de Troie TR/Dldr.Bagle.acc
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494fac62.qua' !
E:\Fonts\Programmes\Typograph\Typograf_font_manager_4.8f_(Key).zip
    [0] Type d'archive: ZIP
    --> Typograf_font_manager_4.8f_(Key).exe
      [RESULTAT]  Contient le cheval de Troie TR/Dldr.Bagle.acc
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494fac64.qua' !
E:\System Volume Information\_restore{051553AA-C069-4633-A73F-E120C311AF84}\RP45\A0029323.exe
    [RESULTAT]  Contient le cheval de Troie TR/Dldr.Bagle.acc
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '490fac4f.qua' !
E:\System Volume Information\_restore{051553AA-C069-4633-A73F-E120C311AF84}\RP45\A0029324.exe
    [RESULTAT]  Contient le cheval de Troie TR/Hijack.Explor.3157
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '490fac52.qua' !
Recherche débutant dans 'F:\' <Disque>
F:\Petits jeux\Dream chronicles 2\Dream Chronicles 2 + crack bone111.rar
    [0] Type d'archive: RAR
    --> Dream Chronicles 2 + crack bone111\Crack\dream2.exe
      [RESULTAT]  Contient le cheval de Troie TR/Crypt.PEPM.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4944acfa.qua' !
F:\Utilitaires\EliBaglA.exe
    [RESULTAT]  Contient le cheval de Troie TR/Mitglieder.ST
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4948ad65.qua' !
Recherche débutant dans 'G:\' <Disque>
G:\E-ter\10 TALISMANS + CRACK.rar
    [0] Type d'archive: RAR
    --> 10 TALISMANS CRACK.exe
      [RESULTAT]  Contient le cheval de Troie TR/Patch.DZ
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '48ffb98d.qua' !
G:\E-ter\Big Money v1.2.2.zip
    [0] Type d'archive: ZIP
    --> WinBM.exe
      [RESULTAT]  Contient le cheval de Troie TR/Crypt.XDR.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4946b9eb.qua' !
G:\E-ter\Dream Chronicles 2 + crack bone111.rar
    [0] Type d'archive: RAR
    --> Dream Chronicles 2 + crack bone111\Crack\dream2.exe
      [RESULTAT]  Contient le cheval de Troie TR/Crypt.PEPM.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4944ba6f.qua' !
G:\E-ter\FontAgent_Pro_3.1.zip
    [0] Type d'archive: ZIP
    --> FontAgent_Pro_3.1.exe
      [RESULTAT]  Contient le cheval de Troie TR/Dldr.Bagle.acc
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dba72.qua' !
G:\E-ter\FontExpert_2007_9.0_Release_1_(KeyGen).zip
    [0] Type d'archive: ZIP
    --> FontExpert_2007_9.0_Release_1_(KeyGen).exe
      [RESULTAT]  Contient le cheval de Troie TR/Dldr.Bagle.acc
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dba77.qua' !
G:\E-ter\Fontonizer v1.01 b95.zip
    [0] Type d'archive: ZIP
    --> fff-crack.exe
      [RESULTAT]  Contient le cheval de Troie TR/Crypt.XPACK.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dba7a.qua' !
G:\E-ter\Fontonizer.1.02.WinALL-ViRiLiTY.rar
    [0] Type d'archive: RAR
    --> keygen.exe
      [RESULTAT]  Contient le cheval de Troie TR/Hijack.Explor.3157
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dba7d.qua' !
G:\E-ter\Fontonizer_1.02_build_105.zip
    [0] Type d'archive: ZIP
    --> Fontonizer_1.02_build_105.exe
      [RESULTAT]  Contient le cheval de Troie TR/Dldr.Bagle.acc
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dba80.qua' !
G:\E-ter\Fontonizer_1.3.zip
    [0] Type d'archive: ZIP
    --> Fontonizer_1.3.exe
      [RESULTAT]  Contient le cheval de Troie TR/Dldr.Bagle.acc
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dba83.qua' !
G:\E-ter\Fontonizer_1.3_[Patch].zip
    [0] Type d'archive: ZIP
    --> Fontonizer_1.3_[Patch].exe
      [RESULTAT]  Contient le cheval de Troie TR/Dldr.Bagle.acc
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dba85.qua' !
G:\E-ter\MainType 2.1.1(1).zip
    [0] Type d'archive: ZIP
    --> MainType 2.1.1.exe
      [RESULTAT]  Contient le cheval de Troie TR/Dldr.Bagle.acc
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4948babc.qua' !
G:\E-ter\MainType_2.1.1.zip
    [0] Type d'archive: ZIP
    --> MainType_2.1.1.exe
      [RESULTAT]  Contient le cheval de Troie TR/Dldr.Bagle.acc
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4948bac0.qua' !
G:\E-ter\MainType_2.1.1_(KeyGen).zip
    [0] Type d'archive: ZIP
    --> MainType_2.1.1_(KeyGen).exe
      [RESULTAT]  Contient le cheval de Troie TR/Dldr.Bagle.acc
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4948bac3.qua' !
G:\E-ter\MainType_2.zip
    [0] Type d'archive: ZIP
    --> MainType_2.exe
      [RESULTAT]  Contient le cheval de Troie TR/Dldr.Bagle.acc
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4948bac5.qua' !
G:\E-ter\The Great Tree v1.33 Shared By Blow-II.rar
    [0] Type d'archive: RAR
      --> The Great Tree v1.33 Shared By Blow-II\The Great Tree.exe
        [1] Type d'archive: RAR SFX (self extracting)
        --> Uninstall.exe
          [RESULTAT]  Contient le cheval de Troie TR/Spy.Gampass.CV
    --> The Great Tree v1.33 Shared By Blow-II\THETA.nfo.exe
      [RESULTAT]  Le fichier contient un programme exécutable. Cependant, celui-ci se dissimule sous une extension de fichier inoffensive (HIDDENEXT/Crypted)
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4944bb40.qua' !
G:\E-ter\Typograf_4.8f.zip
    [0] Type d'archive: ZIP
    --> Typograf_4.8f.exe
      [RESULTAT]  Contient le cheval de Troie TR/Dldr.Bagle.acc
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494fbb78.qua' !
G:\E-ter\Typograf_font_manager_4.8f.zip
    [0] Type d'archive: ZIP
    --> Typograf_font_manager_4.8f.exe
      [RESULTAT]  Contient le cheval de Troie TR/Dldr.Bagle.acc
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494fbb7a.qua' !
G:\E-ter\Typograf_font_manager_4.8f_(Key).zip
    [0] Type d'archive: ZIP
    --> Typograf_font_manager_4.8f_(Key).exe
      [RESULTAT]  Contient le cheval de Troie TR/Dldr.Bagle.acc
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494fbb7c.qua' !
G:\E-ter\[Appz] High-Logic Maintype v2.0 (+crack) -Dvt.rar
    [0] Type d'archive: RAR
      --> PATCH.EXE
          [RESULTAT]  Contient le code suspect : HEUR/Crypted
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494fbb85.qua' !

 


Fin de la recherche : dimanche 28 septembre 2008  19:13
Temps nécessaire:  3:59:54 Heure(s)

 

La recherche a été effectuée intégralement

 

  8926 Les répertoires ont été contrôlés
 585955 Des fichiers ont été contrôlés
     44 Des virus ou programmes indésirables ont été trouvés
      2 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
     45 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      1 Impossible de contrôler des fichiers
 585908 Fichiers non infectés
   6480 Les archives ont été contrôlées
      3 Avertissements
     45 Consignes
-------------------------------------------------------------------------------------------------------------------------------------------------
J'ai mis tout ce qu'il a trouvé en quarantaine.

 


Quelqu'un peut-il me dire ce que je dois faire à présent, s'il vous plaît ? En plus, il semble que j'ai un fichier svchost.exe dans mon dossier System32, j'ai lu quelque part qu'il pouvait s'agir d'un keylogger...

  

Voilà. Merci aux helpers qui voudront m'aider à réparer ma connerie (non, pas taper, j'recommencerai plus).

 

EDIT : Aïe Aïe Aïe!!! J'ai oublié que les posts Hijackthis étaient interdits, je l'enlève de suite.


Message édité par Pastourelle le 28-09-2008 à 19:57:40
Reply

Marsh Posté le 28-09-2008 à 19:52:45   

Reply

Marsh Posté le 28-09-2008 à 20:02:24    

J'ai fait évaluer mon log Hijackthis en ligne et il y a un truc avec un gros point d'interrogation jaune :
O20 - Winlogon Notify: msaudite32 - C:\WINDOWS\
 
Que faire ?

Reply

Marsh Posté le 28-09-2008 à 20:05:30    

Bonjour.
 
Edite ton post, les logs hijackthis balancés sur le forum direct sont interdits.

Reply

Marsh Posté le 28-09-2008 à 20:16:48    

Je l'avais déjà fait avant même que tu me le dises. Je m'en suis souvenue juste après avoir valider mon post et j'ai édité direct (c'est pas mon jour...). Merci qd même. ;-)

Reply

Marsh Posté le 28-09-2008 à 21:43:09    

Les logs illisibles, non.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed