AIDE SVP - hldrr.exe / gusano bagle / avcente Résolu

Question

Bonjour, j'ai été (ou suis encore) infectée par ce hldrr.exe, qui semble être une énième version de Bagle (ma faute, p 2 p quand tu nous tiens...), et je voudrais savoir ce que je dois faire pour bien désinfecter. L'histoire = j'ai cliqué sur un exécutable qui, bien sûr ne s'est pas exécuté. Comme je trouvais ça louche, je tente un scan avec mon antivirus (antivir premium security suite en version d'évaluation) et là, "tun", "avcenter.exe n'est pas une application Win32 valide". Puis mon CPU se met à tourner à fond et j'ai tout juste le temps d'ouvrir le gestionnaire des tâches pour découvrir ce processus, hldrr.exe, qui bouffe toutes mes ressources, avant que l'ordi ne freeze et que je doive faire un reset. Je tente de redémarrer en mode sans échec mais ça ne marche pas. Je redémarre en mode normal et j'ai tout juste le temps de décocher ce processus louche dans "msconfig", onglet "démarrage" avant que ça ne refreeze. Après ça, l'ordi arrive à démarrer et mon cpu semble normal mais avcenter n'est toujours pas une application Win32 valide. Je dl Elibagla et je le lance, il me met qu'il a éliminé "Gusano Bagle", puis je clique sur "explorar" pour C: et il ne trouve rien. Je dl Combofix et je le lance. Voici le rapport : ------------------------------------------------------------------------------------------------------------------------------------------------- ComboFix 08-09-27.03 - User M 2008-09-28 14:30:57.2 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1217 [GMT 2:00] Lancé depuis: C:\Documents and Settings\User M\Bureau\Combo--Fix.exe [color=red]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/color] . ((((((((((((((((((((((((((((( Fichiers créés du 2008-08-28 au 2008-09-28 )))))))))))))))))))))))))))))))))))) . 2008-09-28 14:03 . 2008-09-28 14:03 d-------- C:\Muestras 2008-09-28 14:02 . 2008-09-28 14:02 56,843 --a------ C:\ELIBAGLA.CABH.EXE 2008-09-28 12:58 . 2008-09-28 12:58 d-------- C:\Program Files\FontUtilities 2008-09-27 14:13 . 2008-09-27 14:14 d-------- C:\Program Files\GetDiz 2008-09-27 11:26 . 2008-09-27 11:26 d-------- C:\Documents and Settings\User M\Application Data\vlc 2008-09-27 11:24 . 2008-09-27 11:24 d-------- C:\Program Files\VideoLAN 2008-09-27 09:39 . 2008-09-27 09:40 d-------- C:\Program Files\Fichiers communs\Adobe 2008-09-26 23:26 . 2008-09-26 23:26 d-------- C:\Program Files\Extensis 2008-09-26 19:24 . 2008-09-26 19:24 d-------- C:\Program Files\X-Fonter 2008-09-26 18:40 . 2008-09-26 18:59 d-------- C:\Font Cases 2008-09-26 18:39 . 2008-09-26 18:39 d-------- C:\Program Files\OT1 Font Manager 2008-09-26 17:56 . 2008-09-26 18:15 40 --a------ C:\WINDOWS\BELOTEXP.INI 2008-09-26 17:55 . 2008-09-26 17:55 d-------- C:\Program Files\Ludi 2008-09-25 20:37 . 2008-09-25 20:37 82,380 --a------ C:\WINDOWS\system32\drivers\AFS2K.SYS 2008-09-25 20:33 . 2008-09-25 20:37 20,458 --a------ C:\WINDOWS\hpoins01.dat 2008-09-25 20:33 . 2003-04-06 06:33 16,622 --------- C:\WINDOWS\hpomdl01.dat 2008-09-25 20:02 . 2008-09-27 10:36 488 --a------ C:\hpfr5550.xml 2008-09-25 19:30 . 2008-09-25 20:21 d-------- C:\temp 2008-09-25 19:19 . 2008-09-25 20:29 d-------- C:\WINDOWS\system32\NtmsData 2008-09-25 18:55 . 2008-09-25 18:55 d-------- C:\Documents and Settings\User M\Application Data\Hewlett-Packard 2008-09-25 18:52 . 2008-04-13 11:45 32,128 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys 2008-09-25 18:52 . 2008-04-13 11:45 32,128 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys 2008-09-25 18:51 . 2008-09-25 18:51 d-------- C:\Program Files\Fichiers communs\Hewlett-Packard 2008-09-25 18:50 . 2008-09-25 20:37 d-------- C:\Program Files\Hewlett-Packard 2008-09-23 19:34 . 2008-09-23 19:34 d-------- C:\Program Files\Microsoft Works 2008-09-23 19:32 . 2008-09-23 19:32 d-------- C:\WINDOWS\SHELLNEW 2008-09-23 19:32 . 2008-09-23 19:32 dr-h----- C:\MSOCache 2008-09-23 19:32 . 2008-09-23 19:34 d-------- C:\Documents and Settings\All Users\Application Data\Microsoft Help 2008-09-22 19:20 . 2008-09-22 19:20 d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! 2008-09-22 19:19 . 2008-09-22 19:19 d-------- C:\Program Files\Yahoo! 2008-09-21 22:30 . 2008-09-21 22:33 d-------- C:\Program Files\The Font Thing 2008-09-21 22:30 . 1998-02-06 21:37 299,520 --a------ C:\WINDOWS\uninst.exe 2008-09-20 19:02 . 2008-09-20 19:02 d-------- C:\Documents and Settings\All Users\Application Data\Trymedia 2008-09-20 19:01 . 2008-09-20 19:01 d-------- C:\Program Files\BFG 2008-09-20 18:19 . 2008-09-20 18:19 d-------- C:\WINDOWS\Sun 2008-09-20 18:17 . 2008-09-21 11:32 d-------- C:\Program Files\Java 2008-09-20 18:17 . 2008-09-20 18:17 d-------- C:\Program Files\Fichiers communs\Java 2008-09-20 18:17 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl 2008-09-20 17:46 . 2008-09-28 12:54 d-------- C:\Program Files\eMule 2008-09-19 20:46 . 2008-09-19 20:47 d-------- C:\Program Files\foobar2000 2008-09-19 20:46 . 2008-09-28 02:23 d-------- C:\Documents and Settings\User M\Application Data\foobar2000 2008-09-19 20:28 . 2008-09-27 13:07 d-------- C:\Documents and Settings\User M\Application Data\OpenOffice.org2 2008-09-19 19:48 . 2008-09-19 19:51 d-------- C:\Program Files\CCleaner 2008-09-19 19:41 . 2008-09-19 19:41 d-------- C:\Program Files\OpenOffice.org 2.4 2008-09-19 19:18 . 2008-09-19 19:18 d--h----- C:\WINDOWS\PIF 2008-09-19 17:22 . 2008-09-27 19:35 d-------- C:\Program Files\Vietcong 2008-09-19 17:11 . 2008-09-19 17:11 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll 2008-09-19 13:20 . 2008-09-19 13:26 d-------- C:\Program Files\Audacity 2008-09-19 10:22 . 2008-09-19 10:22 d-------- C:\Program Files\7-Zip 2008-09-17 21:46 . 2008-06-14 19:33 272,768 --------- C:\WINDOWS\system32\drivers\bthport.sys 2008-09-17 21:46 . 2008-06-14 19:33 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys 2008-09-17 21:45 . 2008-09-18 19:49 d--h----- C:\WINDOWS\$hf_mig$ 2008-09-17 21:45 . 2006-09-06 17:43 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe 2008-09-17 18:34 . 2008-09-17 18:34 d-------- C:\Documents and Settings\User M\Application Data\Avira 2008-09-17 18:31 . 2008-09-28 13:58 74,066 --a------ C:\WINDOWS\system32\oodbs.lor 2008-09-16 22:49 . 2008-09-16 22:49 0 --a------ C:\WINDOWS\oodcnt.INI 2008-09-16 22:48 . 2008-09-16 22:48 d-------- C:\WINDOWS\system32\oodag 2008-09-16 22:40 . 2008-09-16 22:40 d-------- C:\Program Files\OO Software 2008-09-16 22:13 . 2008-09-16 22:13 0 --a------ C:\WINDOWS\nsreg.dat 2008-09-16 22:06 . 2008-09-16 22:06 d-------- C:\Program Files\Avira 2008-09-16 22:06 . 2008-09-16 22:06 d-------- C:\Documents and Settings\All Users\Application Data\Avira 2008-09-16 22:06 . 2008-05-07 14:20 71,592 --a------ C:\WINDOWS\system32\drivers\avfwot.sys 2008-09-16 22:06 . 2008-05-07 10:51 71,464 --a------ C:\WINDOWS\system32\drivers\avfwim.sys . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-28 12:02 56,843 ----a-w C:\ELIBAGLA.ØCAØBØØH.EXE 2008-09-27 12:19 90,112 ----a-w C:\WINDOWS\DUMP32f6.tmp 2008-09-27 00:54 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-09-27 00:54 --------- d-----w C:\Program Files\Fichiers communs\InstallShield 2008-09-16 19:55 --------- d-----w C:\Program Files\C-Media 2008-09-16 19:24 --------- d-----w C:\Program Files\microsoft frontpage 2008-09-16 19:23 --------- d-----w C:\Program Files\Services en ligne 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-07 20:28 253,952 ----a-w C:\WINDOWS\system32\es.dll 2001-11-23 04:08 712,704 ----a-r C:\WINDOWS\inf\OTHER\AUDIO3D.DLL . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-12-08 7340032] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-12-08 86016] "avgnt"="C:\Program Files\Avira\Avira Premium Security Suite\avgnt.exe" [2008-06-12 266497] "MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2008-04-14 172544] "nwiz"="nwiz.exe" [2005-12-08 C:\WINDOWS\system32\nwiz.exe] "C-Media Mixer"="Mixer.exe" [2002-07-12 C:\WINDOWS\mixer.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\msaudite32] 2004-09-28 14:39 12800 C:\WINDOWS\system32\msaudite32.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sacsvr] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wd.sys] @="Driver" [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^hp psc 2000 Series.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\hp psc 2000 Series.lnk backup=C:\WINDOWS\pss\hp psc 2000 Series.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^hpoddt01.exe.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\hpoddt01.exe.lnk backup=C:\WINDOWS\pss\hpoddt01.exe.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2008-06-12 02:38 34672 C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OODefragTray] --a------ 2007-05-11 02:08 2512392 C:\WINDOWS\system32\oodtray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2008-06-10 04:27 144784 C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\Network Diagnostic\xpnetdiag.exe"= "%windir%\system32\sessmgr.exe"= "C:\Program Files\eMule\emule.exe"= "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe"= "C:\Program Files\Yahoo!\Messenger\YServer.exe"= "C:\Program Files\Vietcong\vietcong.exe"= R0 viasraid;viasraid;C:\WINDOWS\system32\drivers\viasraid.sys [2003-10-31 77312] S2 AntiVirMailService;Avira Premium Security Suite MailGuard;C:\Program Files\Avira\Avira Premium Security Suite\avmailc.exe [2008-07-11 164097] S2 antivirwebservice;Avira Premium Security Suite WebGuard;C:\Program Files\Avira\Avira Premium Security Suite\AVWEBGRD.EXE [2008-06-12 258305] S4 AVEService;Avira Premium Security Suite MailGuard helper service;C:\Program Files\Avira\Avira Premium Security Suite\avesvc.exe [2008-05-09 41217] *Newly Created Service* - CATCHME *Newly Created Service* - PROCEXP90 . . ------- Examen supplémentaire ------- . FireFox -: Profile - C:\Documents and Settings\User M\Application Data\Mozilla\Firefox\Profiles\4oeo0q87.default\ FF -: plugin - C:\Program Files\Yahoo!\Shared\npYState.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-28 14:31:33 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . Heure de fin: 2008-09-28 14:31:58 ComboFix-quarantined-files.txt 2008-09-28 12:31:56 ComboFix2.txt 2008-09-28 12:26:47 Avant-CF: 140ÿ580ÿ294ÿ656 octets libres Après-CF: 140,570,472,448 octets libres 165 --- E O F --- 2008-09-18 17:49:36 ------------------------------------------------------------------------------------------------------------------------------------------------ Puis j'ai réinstallé mon antivirus, qui arrive à tourner sans problèmes, dirait-on. Voici le rapport du scan complet : ------------------------------------------------------------------------------------------------------------------------------------------------ Premium Security Suite Date de création du fichier de rapport : dimanche 28 septembre 2008 15:14 La recherche porte sur 1646367 souches de virus. Détenteur de la licence :Murrayy Bozinskii Numéro de série : 2200236767-ISECE-0001 Plateforme : Windows XP Version de Windows :(Service Pack 3) [5.1.2600] Mode Boot : Démarré normalement Identifiant : SYSTEM Nom de l'ordinateur :ORDIM Informations de version : BUILD.DAT : 8.1.0.39 27419 Bytes 19/08/2008 11:49:00 AVSCAN.EXE : 8.1.4.7 315649 Bytes 26/06/2008 08:57:49 AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27 LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16 LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 10:33:34 ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24/06/2008 13:54:15 ANTIVIR2.VDF : 7.0.6.217 3773440 Bytes 26/09/2008 13:02:36 ANTIVIR3.VDF : 7.0.6.219 14336 Bytes 27/09/2008 13:02:36 Version du moteur: 8.1.1.35 AEVDF.DLL : 8.1.0.5 102772 Bytes 25/02/2008 09:58:21 AESCRIPT.DLL : 8.1.0.76 319867 Bytes 28/09/2008 13:02:49 AESCN.DLL : 8.1.0.23 119156 Bytes 10/07/2008 12:44:49 AERDL.DLL : 8.1.1.2 438644 Bytes 28/09/2008 13:02:48 AEPACK.DLL : 8.1.2.3 364918 Bytes 28/09/2008 13:02:46 AEOFFICE.DLL : 8.1.0.25 196986 Bytes 28/09/2008 13:02:44 AEHEUR.DLL : 8.1.0.59 1438071 Bytes 28/09/2008 13:02:43 AEHELP.DLL : 8.1.0.15 115063 Bytes 10/07/2008 12:44:48 AEGEN.DLL : 8.1.0.36 315764 Bytes 28/09/2008 13:02:39 AEEMU.DLL : 8.1.0.7 430452 Bytes 31/07/2008 08:33:21 AECORE.DLL : 8.1.1.11 172406 Bytes 28/09/2008 13:02:38 AEBB.DLL : 8.1.0.1 53617 Bytes 10/07/2008 12:44:48 AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02 AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58 AVREP.DLL : 8.0.0.2 98344 Bytes 28/09/2008 13:02:37 AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37 AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36 NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07 RCIMAGE.DLL : 8.0.0.51 2904321 Bytes 21/07/2008 13:48:19 RCTEXT.DLL : 8.0.46.1 90369 Bytes 14/07/2008 10:43:19 Configuration pour la recherche actuelle : Nom de la tâche..................: Contrôle intégral du système Fichier de configuration.........: c:\program files\avira\avira premium security suite\sysscan.avp Documentation....................: bas Action principale................: interactif Action secondaire................: ignorer Recherche sur les secteurs d'amorçage maître: marche Recherche sur les secteurs d'amorçage: marche Secteurs d'amorçage..............: C:, E:, F:, G:, Recherche dans les programmes actifs: marche Recherche en cours sur l'enregistrement: marche Recherche de Rootkits............: arrêt Fichier mode de recherche........: Sélection de fichiers intelligente Recherche sur les archives.......: marche Limiter la profondeur de récursivité: 20 Archive Smart Extensions.........: marche Heuristique de macrovirus........: marche Heuristique fichier..............: moyen Début de la recherche : dimanche 28 septembre 2008 15:14 La recherche sur les processus démarrés commence : Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés Processus de recherche 'avmailc.exe' - '1' module(s) sont contrôlés Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés Processus de recherche 'wscntfy.exe' - '1' module(s) sont contrôlés Processus de recherche 'avwebgrd.exe' - '1' module(s) sont contrôlés Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés Processus de recherche 'mixer.exe' - '1' module(s) sont contrôlés Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'oodag.exe' - '1' module(s) sont contrôlés Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés Processus de recherche 'avesvc.exe' - '1' module(s) sont contrôlés Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés Processus de recherche 'services.exe' - '1' module(s) sont contrôlés Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés '28' processus ont été contrôlés avec '28' modules La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD1 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD2 [INFO] Aucun virus trouvé ! La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'E:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'F:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'G:\' [INFO] Aucun virus trouvé ! La recherche sur les renvois aux fichiers exécutables (registre) commence. C:\WINDOWS\system32\msaudite32.dll [RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen [AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003 [AVERTISSEMENT] Impossible de supprimer le fichier! [REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK. [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b7fa9cc.qua' ! Le registre a été contrôlé ( '54' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' C:\ARK2.tmp [RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen [AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003 [AVERTISSEMENT] Impossible de supprimer le fichier! [REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK. [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b68d199.qua' ! C:\pagefile.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! C:\System Volume Information\_restore{051553AA-C069-4633-A73F-E120C311AF84}\RP40\A0021766.sys [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '490f84cb.qua' ! C:\System Volume Information\_restore{051553AA-C069-4633-A73F-E120C311AF84}\RP40\A0026772.exe [RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '490f84d1.qua' ! C:\System Volume Information\_restore{051553AA-C069-4633-A73F-E120C311AF84}\RP41\A0026828.exe [RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '490f84d6.qua' ! Recherche débutant dans 'E:\' E:\Fonts\Programmes\Font agent\FontAgent_Pro_3.1.zip [0] Type d'archive: ZIP --> FontAgent_Pro_3.1.exe [RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dac2a.qua' ! E:\Fonts\Programmes\Font expert\FontExpert_2007_9.0_Release_1_(KeyGen).zip [0] Type d'archive: ZIP --> FontExpert_2007_9.0_Release_1_(KeyGen).exe [RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dac31.qua' ! E:\Fonts\Programmes\Fontonizer\1 only patches\Fontonizer_1.3.zip [0] Type d'archive: ZIP --> Fontonizer_1.3.exe [RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dac34.qua' ! E:\Fonts\Programmes\Fontonizer\1 only patches\Fontonizer_1.3_[Patch].zip [0] Type d'archive: ZIP --> Fontonizer_1.3_[Patch].exe [RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dac36.qua' ! E:\Fonts\Programmes\Fontonizer\2 only patch\Fontonizer v1.01 b95.zip [0] Type d'archive: ZIP --> fff-crack.exe [RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dac39.qua' ! E:\Fonts\Programmes\Fontonizer\4\Fontonizer_1.02_build_105.exe [RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dac3b.qua' ! E:\Fonts\Programmes\Fontonizer\4\Fontonizer_1.02_build_105.zip [0] Type d'archive: ZIP --> Fontonizer_1.02_build_105.exe [RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dac3e.qua' ! E:\Fonts\Programmes\Fontonizer\4\a\Fontonizer.1.02.WinALL-ViRiLiTY.rar [0] Type d'archive: RAR --> keygen.exe [RESULTAT] Contient le cheval de Troie TR/Hijack.Explor.3157 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dac42.qua' ! E:\Fonts\Programmes\Fontonizer\4\a\keygen.exe [RESULTAT] Contient le cheval de Troie TR/Hijack.Explor.3157 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4958ac3a.qua' ! E:\Fonts\Programmes\Maintype\MainType 2.1.1(1).zip [0] Type d'archive: ZIP --> MainType 2.1.1.exe [RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4948ac39.qua' ! E:\Fonts\Programmes\Maintype\MainType_2.1.1.zip [0] Type d'archive: ZIP --> MainType_2.1.1.exe [RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4948ac3c.qua' ! E:\Fonts\Programmes\Maintype\MainType_2.1.1_(KeyGen).zip [0] Type d'archive: ZIP --> MainType_2.1.1_(KeyGen).exe [RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4948ac3e.qua' ! E:\Fonts\Programmes\Maintype\MainType_2.zip [0] Type d'archive: ZIP --> MainType_2.exe [RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4948ac41.qua' ! E:\Fonts\Programmes\Maintype\[Appz] High-Logic Maintype v2.0 (+crack) -Dvt.rar [0] Type d'archive: RAR --> PATCH.EXE [RESULTAT] Contient le code suspect : HEUR/Crypted [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494fac23.qua' ! E:\Fonts\Programmes\Typograph\Typograf_4.8f.zip [0] Type d'archive: ZIP --> Typograf_4.8f.exe [RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494fac5f.qua' ! E:\Fonts\Programmes\Typograph\Typograf_font_manager_4.8f.zip [0] Type d'archive: ZIP --> Typograf_font_manager_4.8f.exe [RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494fac62.qua' ! E:\Fonts\Programmes\Typograph\Typograf_font_manager_4.8f_(Key).zip [0] Type d'archive: ZIP --> Typograf_font_manager_4.8f_(Key).exe [RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494fac64.qua' ! E:\System Volume Information\_restore{051553AA-C069-4633-A73F-E120C311AF84}\RP45\A0029323.exe [RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '490fac4f.qua' ! E:\System Volume Information\_restore{051553AA-C069-4633-A73F-E120C311AF84}\RP45\A0029324.exe [RESULTAT] Contient le cheval de Troie TR/Hijack.Explor.3157 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '490fac52.qua' ! Recherche débutant dans 'F:\' F:\Petits jeux\Dream chronicles 2\Dream Chronicles 2 + crack bone111.rar [0] Type d'archive: RAR --> Dream Chronicles 2 + crack bone111\Crack\dream2.exe [RESULTAT] Contient le cheval de Troie TR/Crypt.PEPM.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4944acfa.qua' ! F:\Utilitaires\EliBaglA.exe [RESULTAT] Contient le cheval de Troie TR/Mitglieder.ST [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4948ad65.qua' ! Recherche débutant dans 'G:\' G:\E-ter\10 TALISMANS + CRACK.rar [0] Type d'archive: RAR --> 10 TALISMANS CRACK.exe [RESULTAT] Contient le cheval de Troie TR/Patch.DZ [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '48ffb98d.qua' ! G:\E-ter\Big Money v1.2.2.zip [0] Type d'archive: ZIP --> WinBM.exe [RESULTAT] Contient le cheval de Troie TR/Crypt.XDR.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4946b9eb.qua' ! G:\E-ter\Dream Chronicles 2 + crack bone111.rar [0] Type d'archive: RAR --> Dream Chronicles 2 + crack bone111\Crack\dream2.exe [RESULTAT] Contient le cheval de Troie TR/Crypt.PEPM.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4944ba6f.qua' ! G:\E-ter\FontAgent_Pro_3.1.zip [0] Type d'archive: ZIP --> FontAgent_Pro_3.1.exe [RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dba72.qua' ! G:\E-ter\FontExpert_2007_9.0_Release_1_(KeyGen).zip [0] Type d'archive: ZIP --> FontExpert_2007_9.0_Release_1_(KeyGen).exe [RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dba77.qua' ! G:\E-ter\Fontonizer v1.01 b95.zip [0] Type d'archive: ZIP --> fff-crack.exe [RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dba7a.qua' ! G:\E-ter\Fontonizer.1.02.WinALL-ViRiLiTY.rar [0] Type d'archive: RAR --> keygen.exe [RESULTAT] Contient le cheval de Troie TR/Hijack.Explor.3157 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dba7d.qua' ! G:\E-ter\Fontonizer_1.02_build_105.zip [0] Type d'archive: ZIP --> Fontonizer_1.02_build_105.exe [RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dba80.qua' ! G:\E-ter\Fontonizer_1.3.zip [0] Type d'archive: ZIP --> Fontonizer_1.3.exe [RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dba83.qua' ! G:\E-ter\Fontonizer_1.3_[Patch].zip [0] Type d'archive: ZIP --> Fontonizer_1.3_[Patch].exe [RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494dba85.qua' ! G:\E-ter\MainType 2.1.1(1).zip [0] Type d'archive: ZIP --> MainType 2.1.1.exe [RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4948babc.qua' ! G:\E-ter\MainType_2.1.1.zip [0] Type d'archive: ZIP --> MainType_2.1.1.exe [RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4948bac0.qua' ! G:\E-ter\MainType_2.1.1_(KeyGen).zip [0] Type d'archive: ZIP --> MainType_2.1.1_(KeyGen).exe [RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4948bac3.qua' ! G:\E-ter\MainType_2.zip [0] Type d'archive: ZIP --> MainType_2.exe [RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4948bac5.qua' ! G:\E-ter\The Great Tree v1.33 Shared By Blow-II.rar [0] Type d'archive: RAR --> The Great Tree v1.33 Shared By Blow-II\The Great Tree.exe [1] Type d'archive: RAR SFX (self extracting) --> Uninstall.exe [RESULTAT] Contient le cheval de Troie TR/Spy.Gampass.CV --> The Great Tree v1.33 Shared By Blow-II\THETA.nfo.exe [RESULTAT] Le fichier contient un programme exécutable. Cependant, celui-ci se dissimule sous une extension de fichier inoffensive (HIDDENEXT/Crypted) [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4944bb40.qua' ! G:\E-ter\Typograf_4.8f.zip [0] Type d'archive: ZIP --> Typograf_4.8f.exe [RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494fbb78.qua' ! G:\E-ter\Typograf_font_manager_4.8f.zip [0] Type d'archive: ZIP --> Typograf_font_manager_4.8f.exe [RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494fbb7a.qua' ! G:\E-ter\Typograf_font_manager_4.8f_(Key).zip [0] Type d'archive: ZIP --> Typograf_font_manager_4.8f_(Key).exe [RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.acc [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494fbb7c.qua' ! G:\E-ter\[Appz] High-Logic Maintype v2.0 (+crack) -Dvt.rar [0] Type d'archive: RAR --> PATCH.EXE [RESULTAT] Contient le code suspect : HEUR/Crypted [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '494fbb85.qua' ! Fin de la recherche : dimanche 28 septembre 2008 19:13 Temps nécessaire: 3:59:54 Heure(s) La recherche a été effectuée intégralement 8926 Les répertoires ont été contrôlés 585955 Des fichiers ont été contrôlés 44 Des virus ou programmes indésirables ont été trouvés 2 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 45 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 1 Impossible de contrôler des fichiers 585908 Fichiers non infectés 6480 Les archives ont été contrôlées 3 Avertissements 45 Consignes ------------------------------------------------------------------------------------------------------------------------------------------------- J'ai mis tout ce qu'il a trouvé en quarantaine. Pour finir, voici le log Hijackthis : ----------------------------------------------------------------------------------------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:44:12, on 28/09/2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Avira\Avira Premium Security Suite\sched.exe C:\Program Files\Avira\Avira Premium Security Suite\avguard.exe C:\Program Files\Avira\Avira Premium Security Suite\avesvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\Mixer.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Avira\Avira Premium Security Suite\AVWEBGRD.EXE C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Avira\Avira Premium Security Suite\avmailc.exe C:\Program Files\Avira\Avira Premium Security Suite\avgnt.exe C:\Program Files\Mozilla Firefox\firefox.exe F:\Utilitaires\Hijackthis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\Avira Premium Security Suite\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O20 - Winlogon Notify: msaudite32 - C:\WINDOWS\ O23 - Service: Avira Premium Security Suite MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\Avira Premium Security Suite\avmailc.exe O23 - Service: Planificateur Avira Premium Security Suite (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\Avira Premium Security Suite\sched.exe O23 - Service: Avira Premium Security Suite Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\Avira Premium Security Suite\avguard.exe O23 - Service: Avira Premium Security Suite WebGuard (antivirwebservice) - Avira GmbH - C:\Program Files\Avira\Avira Premium Security Suite\AVWEBGRD.EXE O23 - Service: Service d'assistance Avira Premium Security Suite MailGuard (AVEService) - Avira GmbH - C:\Program Files\Avira\Avira Premium Security Suite\avesvc.exe O23 - Service: WinFast(R) Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 4712 bytes ------------------------------------------------------------------------------------------ Quelqu'un peut-il me dire ce que je dois faire à présent, s'il vous plaît ? En plus, il semble que j'ai un fichier svchost.exe dans mon dossier System32, j'ai lu quelque part qu'il pouvait s'agir d'un keylogger... Voilà. Merci aux helpers qui voudront m'aider à réparer ma connerie (non, pas taper, j'recommencerai plus). P.S. : En plus, j'ai fait évaluer mon rapport Hijackthis en ligne et apparemment il y une ligne qui a l'air louche : O20 - Winlogon Notify: msaudite32 - C:\WINDOWS\ ... Que faire ?

benurrr · Answer

salut essaye ceci

Telecharge FindyKill sur ton bureau : 

--> Lance l installation avec les parametres par default 

--> Double clic sur le raccourci FindyKill sur ton bureau 

--> Au menu principal,choisi l option 1 (Recherche) 

--> Post le rapport FindyKill.txt 

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque

Margoulinette · Answer

Merci pour ton aide!

Voici le rapport Findykill :
--------------------------------------------------------------------------------------------------------------------------------------------------------------
----------------- FindyKill V3.095 ------------------

* User : User M - ORDIM
* Emplacement : C:\Program Files\FindyKill\FindyKill.exe
* Outils Mis a jours le 28/09/08 par Chiquitine29
* Recherche effectuée à 22:46:41 le 28/09/2008
* Windows XP - Internet Explorer 7.0.5730.13
 
((((((((((((((((( *** Recherche *** ))))))))))))))))))  
 
 
»»»» Presence des fichiers dans C: 
 
Présent ! - "C:\Muestras" 
Présent ! - C:\InfoSat.txt 
 
»»»» Presence des fichiers dans C:\WINDOWS 
 
 
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch 
 
Present ! - C:\WINDOWS\prefetch\HLDRRR.EXE-106798BB.pf 
Present ! - C:\WINDOWS\Prefetch\KEYGEN.EXE-07F3A618.pf 
Present ! - C:\WINDOWS\Prefetch\KEYGEN.EXE-0B1FD712.pf 
Present ! - C:\WINDOWS\Prefetch\OT1 FONT MANAGER V2.0 KEYGEN.-0AD27DC8.pf 
 
»»»» Presence des fichiers dans C:\WINDOWS\system32 
 
 
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers 
 
 
»»»» Presence des fichiers dans C:\Documents and Settings\User M\Application Data 
 
 
»»»» Presence des fichiers dans C:\DOCUME~1\USERM~1\LOCALS~1\Temp 
 
 
»»»» Registre :  
 

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    NvCplDaemon	REG_SZ	RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    nwiz	REG_SZ	nwiz.exe /install
    NvMediaCenter	REG_SZ	RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    C-Media Mixer	REG_SZ	Mixer.exe /startup
    MSConfig	REG_SZ	C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    avgnt	REG_SZ	"C:\Program Files\Avira\Avira Premium Security Suite\avgnt.exe" /min

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    CTFMON.EXE	REG_SZ	C:\WINDOWS\system32\ctfmon.exe
 
Présent ! - HKEY_USERS\S-1-5-21-1993962763-1757981266-1644491937-1003\Software\Local AppWizard-Generated Applications\hldrrr 
Présent ! - HKEY_USERS\S-1-5-21-1993962763-1757981266-1644491937-1003\Software\bisoft 
Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\hldrrr 
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa 
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA 
Présent ! - HKEY_CURRENT_USER\Software\bisoft 
 
 
»»»» Presence d infections dans Support amovible : 
 
 
 
 
----------------- ! Fin du rapport ! -------------------------------------------------------------------------------------------------------------------

chimay8 · Answer

faut balancer tes cracks à la poubelle avant de commencer ta désinfection

Si tu as des clés ou un disque dur externe,branche les sans les ouvrir sur ton pc

réouvre findykill, 

choisi cette fois ci l option 2 (suppression) 

il y aura 2 redémarrage, laisse travailler l outils jusqu a l apparition du message "nettoyage effectué" 

un rapport va s ouvrir, post le dans ta prochaine réponse stp 

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque


appuis sur entré .. et le rapport va s ouvrir


entre dans le disque C 
post le rapport FindyKill.txt

Margoulinette · Answer

J'ai mis tout ce que m'a signalé Antivir en quarantaine, en attendant un avis éclairé. Tu veux dire qu'il faut que je les supprime de la quarantaine , c'est ça ?

Je n'ai pas de disque dur externe et aucune clé USB n'est branchée.

chimay8 · Answer

la quarantaine d'antivir,tu peux la vider mais les cracks,je parle des fichiers,qui sont sur ton pc
faut les détruire
ils sont infectés

FontExpert_2007_9.0_Release_1_(KeyGen).zip <----comme celui-ci

* L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci : 

* Les dangers des cracks :
http://forum.malekal.com/ftopic893.php 

->Le crack dans toute sa splendeur, journal d'une infection attendue : 
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/ 

->autre exemple en image , où comment s'infiltre une infection par un pseudo crack :
http://secuboxlabs.fr/archives/computertoday.html

chimay8 · Answer

salut ben
non,non
va s'y continue
ps:y a aucun lien pour findykill dans ton canned

Margoulinette · Answer

Oui mais je l'ai trouvé quand même en tapant le nom du programme dans Google (d'ailleurs beaucoup des liens que j'ai trouvé étaient morts).

J'ai vidé la quarantaine d'antivir et j'ai refait tourner Findykill en choisissant l'option 2 pour supprimer les fichiers louches.

JE PROMETS DE TOUS LES SUPPRIMER mais, pour pouvoir te répondre rapidement, j'ai refait tourner Findykill sans l'avoir fait car cela va prendre pas mal de temps vu que mes disques esclaves sont d'anciens disques systèmes sur lesquels j'en avais déjà téléchargé un paquet. Aucun n'est stocké sur mon disque maître.

--------------------------------------------------------------------------------------------------------------------------------------------------------------


----------------- FindyKill V3.O85 ------------------

* User : User M - ORDIM
* Emplacement : C:\Program Files\FindyKill\FindyKill.exe
* Outils Mis a jours le 28/09/08 par Chiquitine29
* Suppression effectuée à 23:16:23 le 28/09/2008
* Windows XP - Internet Explorer 7.0.5730.13
 
 
((((((((((((((( *** Suppression *** ))))))))))))))))))  
 
 
 
»»»» Suppression des fichiers dans C: 
 
Supprimé ! - "C:\Muestras"  
Supprimé ! - C:\InfoSat.txt  
 
»»»» Suppression des fichiers dans C:\WINDOWS 
 
 
»»»» Suppression des fichiers dans C:\WINDOWS\Prefetch 
 
Supprimé ! - C:\WINDOWS\Prefetch\DAMNNF~1.EXE-00CC2979.pf 
Supprimé ! - C:\WINDOWS\Prefetch\HPOTDD01.EXE-05D63AB9.pf 
Supprimé ! - C:\WINDOWS\Prefetch\HPOWRP01.EXE-322B1591.pf 
Supprimé ! - C:\WINDOWS\Prefetch\HPZPNP01.EXE-364A4750.pf 
Supprimé ! - C:\WINDOWS\Prefetch\HPZSCR01.EXE-26018470.pf 
Supprimé ! - C:\WINDOWS\Prefetch\HPZWIS01.EXE-1632CD3D.pf 
Supprimé ! - C:\WINDOWS\Prefetch\ACRORD32.EXE-3A1F13AE.pf 
Supprimé ! - C:\WINDOWS\Prefetch\FO102.EXE-20C90C0A.pf 
Supprimé ! - C:\WINDOWS\Prefetch\MSINFO32.EXE-002AF0E6.pf 
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-127FCC83.pf 
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-147710F4.pf 
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-188DF14E.pf 
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-19BEF2D8.pf 
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-1BC55A4F.pf 
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-2576181F.pf 
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-26541440.pf 
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-2A94BB85.pf 
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-2BF3472E.pf 
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-2E5AF1D7.pf 
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-30B797A2.pf 
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-37323852.pf 
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-3AF10E20.pf 
Supprimé ! - C:\WINDOWS\Prefetch\RUNDLL32.EXE-451FC2C0.pf 
Supprimé ! - C:\WINDOWS\Prefetch\SNDVOL32.EXE-383480B7.pf 
Supprimé ! - C:\WINDOWS\Prefetch\VLC-0.8.6I-WIN32.EXE-2B941449.pf 
Supprimé ! - C:\WINDOWS\Prefetch\FONTONIZER_1.3.EXE-280F272C.pf 
Supprimé ! - C:\WINDOWS\Prefetch\LCPLUGIN24.EXE-037C6282.pf 
Supprimé ! - C:\WINDOWS\Prefetch\FONTONIZER_1.02_BUILD_105.EXE-121AE35E.pf 
Supprimé ! - C:\WINDOWS\Prefetch\X-FONTER-6.EXE-0B242E45.pf 
Supprimé ! - C:\WINDOWS\Prefetch\HPQFRU07.EXE-297DB19F.pf 
Supprimé ! - C:\WINDOWS\Prefetch\HPZENG07.EXE-3732AEC1.pf 
Supprimé ! - C:\WINDOWS\Prefetch\HPZSTC07.EXE-14965F81.pf 
Supprimé ! - C:\WINDOWS\Prefetch\HPOBNZ08.EXE-1535DBEA.pf 
Supprimé ! - C:\WINDOWS\Prefetch\HPOSDN08.EXE-24AFFEC2.pf 
Supprimé ! - C:\WINDOWS\Prefetch\HPQVWR08.EXE-0C288093.pf 
Supprimé ! - C:\WINDOWS\Prefetch\FOOBAR2000.EXE-1007AE10.pf 
Supprimé ! - C:\WINDOWS\Prefetch\HLDRRR.EXE-106798BB.pf 
Supprimé ! - C:\WINDOWS\Prefetch\KEYGEN.EXE-07F3A618.pf 
Supprimé ! - C:\WINDOWS\Prefetch\KEYGEN.EXE-0B1FD712.pf 
Supprimé ! - C:\WINDOWS\Prefetch\OT1 FONT MANAGER V2.0 KEYGEN.-0AD27DC8.pf 
 
»»»» Suppression des fichiers dans C:\WINDOWS\system32 
 
 
»»»» Suppression des fichiers dans C:\WINDOWS\system32\drivers 
 
 
»»»» Suppression des fichiers dans C:\Documents and Settings\User M\Application Data 
 
 
»»»» Suppression des fichiers dans C:\DOCUME~1\USERM~1\LOCALS~1\Temp 
 
 
»»»» Suppression des clefs du registre.. 
 
Supprimé ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA   
Supprimé ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_SROSA   
Supprimé ! - HKEY_USERS\S-1-5-21-1993962763-1757981266-1644491937-1003\Software\Local AppWizard-Generated Applications\hldrrr   
 
»»»» Suppression des clefs du registre effectuée ! 
 
 
»»»» Mode sans echec restauré ! 
 
»»»» Services de securité Windows redemarré ! 
 
 
»»»» Suppression des fichiers dans Support amovible : 
 
 
 
»»»» Recherche d autres infections : 
 
 
 
---------------- ! Fin du rapport ! ------------------  

Je vais aller voir tes liens sans faute. De toutes façons, faut que j'arrête toutes ces conneries, on chope vraiment trop de merdes avec ça!! J'en profite pour le dire à tout ceux qui me liront, les gens dans mon cas sont légions sur les forums d'aide du web dans toutes les langues. Si vous ne voulez pas vous retrouver constamment dans la m.... , contentez-vous de ce que vous avez déjà. Il y a déjà assez de m.....ouilles qui traînent sur le net sans avoir besoin de donner le bâton pour se faire battre.

La morale de cette histoire, en termes un peu crus = MATERIEL INCONNU, TOUCHE A TON C.......

Enfin, c'est ça la "pédagogie par l'erreur"... Je reconnais que là, c'est la goutte d'eau qui fait déborder le vase de ma stupidité (pour rester polie). Cette semaine, je supprime tout, je refait tourner Findykill, Combofix, Hijackthis et Antivir. Et après ça, une bonne défragmentation, na!

Merci encore, chimay8 et benurr (pseudos cinématographiques ? Ben Hur et Chi mai=un morceau de Morricone... comment ça, une ville ardennaise "ou qu'y n'y a" de la bière et du fromage ??...), c'est très gentil à vous d'aider une quichonne dans mon genre.

chimay8 · Answer

attention que ta désinfection n'est pas terminée
y a encore du nettoyage à faire
demain car moi dodo...trop bu de chimay 8°

Margoulinette · Answer

Hé hé hé! Bonne nuit! Et encore merci!

Moi, demain, après le boulot, je commence à plancher sur la suppression de tous mes cracks.

Dès que j'ai fini, je renvoie le log Findykill.

@ plouche!

Margoulinette · Answer

Re!

la suppression des cracks est en cours et j'en profite en même temps pour nettoyer et reformater mes disques esclaves. L'un d'eux a été installé en maître à un moment alors faut que je vire toutes les traces de l'ancien OS installé dessus. Je devais le faire depuis un moment et, voilà, l'occasion fait le larron...
Quand à l'autre, je viens de finir de formater sa première partition. Je te tiens au courant et je m'excuse pour ce contretemps. C'est juste que je voudrais que tout soit bien carré avant de lancer la désinfection.

chimay8 · Answer

salut,
je renvoie le log Findykill

je n'en aurai pas besoin,mais d'autres choses seront à faires...

Margoulinette · Answer

Re!

Je suis désolée pour le retard mais entre le boulot et les repas de famille, je suis un peu HS.

Ca y est, je pense avoir "fait le ménage" sur mon ordi (j'éspère qu'il ne reste rien, j'ai déjà assez galéré).

Par contre, un service bizarre est apparu dans ma liste de services (@%SystemRoot%\System32\wlansvc.dll,-257). Je t'envoie un lien vers un fichier image où j'ai mis deux "screenshots" pris en faisant clic droit "propriétés" sur le nom du service ; l'un où l'on voit ce qu'il y a dans l'onglet "général", et l'autre où l'on voit ce qu'il y a dans l'onglet "dépendances". --> https://www.unibet.de/general-info/info/about-us?mktid=1:1419722:8389-3231

Dans l'onglet récupération, j'ai tout réglé sur "ne rien faire" et j'ai mis le service en état "désactivé" mais il se relance tout seul au redémarrage, semble-t-il.

Je ne poste pas de log car je ne voudrais pas faire de c...erie... J'attends les instructions du "chef" ;-). L'ordi est fin prêt et le moral est bon!

Merci encore, Chimay!

chimay8 · Answer

super
a part ton lien qui est un peu "mort"
mais pas grave

Télécharge SDfix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. Tu peux suivre le tutorial SDFix de Malekal pour t'aider : 

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : 
Redémarre ton ordinateur 
Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde). 
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. 
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". 
Choisis ton compte. 
Déroule la liste des instructions ci-dessous : 
Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script. 
Appuie sur Y pour commencer le processus de nettoyage. 
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. 
Appuie sur une touche pour redémarrer le PC. 
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. 
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. 
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. 
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. 
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis ! 

Si SDFix ne se lance pas 
Clique sur Démarrer > Exécuter 
Copie/colle ceci : 
%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe 

Clique sur Ok. 
Redémarre et essaie de relance SDFix.

Margoulinette · Answer

Mon lien ne marche pas ? C'est bizarre, quand je clique dessus, il est bon. C'est un site où il faut attendre qques secondes pour pouvoir dl le fichier, avant ça, on dirait qu'il n'y a que de la pub mais il faut attendre le décompte et il propose le fichier. Mince alors.

Ok, j'effectue le SDFix de suite.

Margoulinette · Answer

[b]SDFix: Version 1.231 [/b]
Run by User M on 05/10/2008 at 23:06

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]: 

No Trojan Files Found






Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-05 23:08:47
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System]
"OODEFRAG10.00.00.01WORKSTATION"="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"

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\eMule\emule.exe"="C:\Program Files\eMule\emule.exe:*:Enabled:eMule"
"C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe"="C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe:*:Enabled:Yahoo! Messenger"
"C:\Program Files\Yahoo!\Messenger\YServer.exe"="C:\Program Files\Yahoo!\Messenger\YServer.exe:*:Enabled:Yahoo! FT Server"
"C:\Program Files\Vietcong\vietcong.exe"="C:\Program Files\Vietcong\vietcong.exe:*:Enabled:vietcong"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[b]Remaining Files [/b]:



[b]Files with Hidden Attributes [/b]:


[b]Finished![/b]

Margoulinette · Answer

Désolée, je reposte mon log car je ne vois pas ce qui est écrit à droite. Tain, c'est quoi cette clé de registre de 10 pieds de long ??



[b]SDFix: Version 1.231 [/b]
Run by User M on 05/10/2008 at 23:06

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]: 

No Trojan Files Found






Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-05 23:08:47
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System]
"OODEFRAG10.00.00.01WORKSTATION"="4F0CEAAF16754935453CB7ECBD7EC70BDF
66721DE0E3DA057D8080BA241421F128906BDA19BE4F73C39B05CFFC2C99BACA731A
8A77EEAD9E22BFB4D5F3DA3DF7EF6D6BDD0B561855905ACA89F473D7F792DF41240F
5D1AA7C42323CF79164AD0533E425635027B767CFEBC9E127BECC74CFEBC9E127BECC
74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A
0AC4980AC79338EDD5E5BE2F6E667A6A0AC4980AC7933A2D97226D213B55540B70BBA
DD9BF2E6DC090B9E5BBE117C46E370D618F05DFE4C5136AF7D9D36FC53EABA1B10A624
CDFBE88757FDBC4FBC14C9EB27FE4F3F4BDC7F62137B00E8799F384BC70FB2122F92AB75
764F24809E8C00754CE997F9CA873BCE7B968E1612F846ECD1C817DCCF7400E859C822B
9871F5E2897036F39A577243CCC42891C4DE59C234DA04EB6B72376CB69D9892020ECA0
EFE06623B6460CBD3BEC69546A78A229C553EAF364B4D886D90E65D2EFD84C658F82A2A
4C25C55F2B349E77987A29D3F7F0072CC4058818B23B4431878E2C5AF9CDABC0643DA1D
8E5FCF10268C21FB91517475BBBAF7BD428D503D979D349668804D2D7E30F85B414FF525
2A278B94BB8FD5A5CDD3AB624D52D69435D506B05AF93F5EEB1432BF9F6332617A173EF1
B8E0CBA8AE245177B47D40F9F6AB593A351A1CB14D9045ACA15481F0B0B3D955ECC10399
31530B39E1EE0C15883F6D8B8BC6527A465AB5B724AC6176096441B19A80AD854B203C99
A1DDB9013844CA34D4B9D4021F39C92D684BD68564A79C2DED427D6E15DE0EBA29D0D04
DF802B9F36C809A03C2888D8A90E2E928498DDAA573FEAE4ACFF4EE788D25DA7CE253484
093FD1DADC33ACF0326F8A5595E3D28A89B027B84DADA8F5CC88C64062F274AC2EAE65C2
6D251A37B1769998D716EFBFABCEB25F93C21E4A8B90AFED33D02D4D9FA45D905C966608
F316359A674EF8C93102E707D1FE8285123F8C24611794296B0F61D55A3A6210FAAE8FCFE
F921D59DB29326D250E856FEAA83C5B0CFB9313ED9AD3098805045F99AD1A0E3BDF719F82
6B592B6C16A310EDAABA8D74682824BA8EE22C0253AEF887FC6E215997EDA3ACF0506D60B
CCBD0FA2C68A7862A55DE8B79506B778CA08A5B7C9E74811D1E12779C4D653E30344C5D4F
C1441B58BAB7C00CD715907FE38ED882AD6A74822BA3CD00E5C44AB1252ACA6C96C56F9B0
9B97E19A7E737FE6F03519115BCF87B5B629E5CB7233E293396E3201C14D082220869FD1CDCC
B727E402F778A6503CE5E85130BD7B9CB0B70F6CF7C447315F03EDC5629B811DA5778A0F14A
EEA2F779E294B06F75A745FBF2BBB588E3002A20D0007B5F7400EE6249C49C2D65FE5EB63146
428627A215B822CA39AAA37B0990914AF8637B2423A0F1CD53CE8C0E0F647891B353845F93669"

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy
\standardprofile\authorizedapplications\list]"%windir%\Network Diagnostic\xpnetdiag.exe"="
%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,
-22019"
"C:\Program Files\eMule\emule.exe"="C:\Program Files\eMule\emule.exe:*:Enabled:eMule"
"C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe"="C:\Program Files\Yahoo!\
\Messenger\YahooMessenger.exe:*:Enabled:Yahoo! Messenger"
"C:\Program Files\Yahoo!\Messenger\YServer.exe"="C:\Program Files\Yahoo!\Messenger\YServer.exe:*:Enabled:Yahoo! FT Server"
"C:\Program Files\Vietcong\vietcong.exe"="C:\Program Files\Vietcong\vietcong.exe:*:
Enabled:vietcong"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy
\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,
-22019"

[b]Remaining Files [/b]:



[b]Files with Hidden Attributes [/b]:


[b]Finished![/b]

Margoulinette · Answer

http://www.commentcamarche.net/forum/affich 4709975 wifi hs du a un service windows

Peut-être que ce service n'a rien d'alarmant en fait. Je ne sais pas. Qu'est-ce que "wlan" ? Mon service au nom bizarre a l'air d'être lié à ça.

Edit : Au fait, je l'avais désactivé et out et tout, et quand j'ai redémarré, il ne s'est pas relancé en automatique et il est resté désactivé.

Edit : Je l'ai remis en démarrage auto et j'ai refait un scan mais le log est le même.

chimay8 · Answer

wlan:Wireless Local Area Network

Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton Bureau. 
https://www.malwarebytes.com/ 

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le ici : https://www.malekal.com/tutorial-aboutbuster/ )

A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci. 
Double-clique sur l'icône "Download_mbam-setup.exe" sur ton bureau pour démarrer le programme d'installation. 
Pendant l'installation, suis les indications n'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées. 
MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. 
Ferme MBAM 
Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier. 

Relance MBAM 
La fenêtre principale de MBAM s'affiche : 
Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse. 
MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement. 

A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre. 
Si des malwares ont été détectés, leur liste s'affiche. 
***EN CLIQUANT SUR SUPPRESSION(?)FAIT LE***, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 

MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs) 
Ferme MBAM en cliquant sur Quitter. 
Poste le rapport dans ta réponse

Margoulinette · Answer

Alors Wlan, c'est pour le Wifi ? Comment ça se fait que j'aie ça, je suis en ethernet ??!!

Je fais la manip avec Malwarebytes (si j'y arrive parce que déjà, avec SDFix, c'était chaud car en plus de tout ça, mon ordi a un problème de freeze (du, je pense, à ma vieille carte graphique qui chauffe car elle n'est pas faite pour un écran LCD de 19 pouces, à la base), pour SDFix, j'ai du redémarrer 6 fois avant que "ça passe") et je te poste le og dans la soirée.

Encore merci!

Margoulinette · Answer

Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1234
Windows 5.1.2600 Service Pack 3

06/10/2008 23:36:14
mbam-log-2008-10-06 (23-36-14).txt

Type de recherche: Examen complet (C:\|E:\|F:\|G:\|)
Eléments examinés: 124739
Temps écoulé: 3 hour(s), 5 minute(s), 49 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\eMule\emule.exe (Rogue.Fake!emule.exe) -> Not selected for removal.
C:\Program Files\eMule\LinkCreator.exe (Rogue.Fake!emule.exe) -> Not selected for removal.
F:\System Volume Information\_restore{2F2B33FB-7F80-4F1C-9DB5-3EBDBB7FE8E0}\RP31\A0020562.exe (Adware.Agent) -> Quarantined and deleted successfully.


Je n'ai pas supprimé emule.exe car je pense que c'est un faux positif mais j'ai noté les chemins d'accès et s'il faut, je peux le faire. Voili voilou!

chimay8 · Answer

ok,
alors,il faut quand même vérifier si il sont néfastes
et je doit avouer que je n'ai jamais vu de faux-positifs de emule sur MBAM et pourtant très présent chez les internautes

fait ceci

Rends toi sur ce site : 
https://www.virustotal.com/gui/ 
Clique sur parcourir et cherche ce fichier : C:\Program Files\eMule\emule.exe
Clique sur "Send File".
Un rapport va s'élaborer ligne à ligne. 
Attends la fin. Il doit comprendre la taille du fichier envoyé. 
Sauvegarde le rapport avec le bloc-note. 
Copie le dans ta réponse.

En cas de problèmes: http://pageperso.aol.fr/loraline60/virus_total.htm 

fais la même chose pour: C:\Program Files\eMule\LinkCreator.exe


si tu ne trouve pas les fichiers,essaye en affichant les fichiers cachés

"Démarrer" dans la Barre des tâches
Cliquer sur "Panneau de configuration"
Cliquer sur "Options des dossiers"
Cliquer sur l'onglet "Affichage"
**dans fichiers et dossiers cachés:
Cocher "Afficher les fichiers et dossiers cachés"
Décocher "Masquer les extensions des fichiers dont le type est connu"
Décocher "masquer les fichiers protégés du système d'exploitation(recommandé)"
**Note**il ne faut pas tenir compte de l'avertissement.==>Cliquer sur  OUI 
Cliquer sur "Appliquer à tous les dossiers"
Cliquer sur "Ok"

Margoulinette · Answer

Euh, voilà ce qu'il me met comme réponse pour emule.exe :


Le fichier a déjà été analysé:
MD5: 	5a8c3f6286680de02e90ebfa6f3ebd07
First received: 	-
Date 	2008.10.09 17:06:23 (CET) [<1D]
Résultats 	0/36
Permalink: 	analisis/971e7020d106eb9d67ffbe4dae810e6d



Ensuite, il y avait deux choix "affiche le dernier rapport" et "reanalyse le fichier". J'ai cliqué sur "affiche le dernier rapport" et ça donne :



 Fichier emule.exe reçu le 2008.10.09 17:05:14 (CET)
Situation actuelle: terminé
Résultat: 0/36 (0.00%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus 	Version 	Dernière mise à jour 	Résultat
AhnLab-V3 	2008.10.9.3 	2008.10.09 	-
AntiVir 	7.8.1.34 	2008.10.09 	-
Authentium 	5.1.0.4 	2008.10.09 	-
Avast 	4.8.1248.0 	2008.10.09 	-
AVG 	8.0.0.161 	2008.10.09 	-
BitDefender 	7.2 	2008.10.09 	-
CAT-QuickHeal 	9.50 	2008.10.08 	-
ClamAV 	0.93.1 	2008.10.09 	-
DrWeb 	4.44.0.09170 	2008.10.09 	-
eSafe 	7.0.17.0 	2008.10.08 	-
eTrust-Vet 	31.6.6137 	2008.10.09 	-
Ewido 	4.0 	2008.10.09 	-
F-Prot 	4.4.4.56 	2008.10.08 	-
F-Secure 	8.0.14332.0 	2008.10.09 	-
Fortinet 	3.113.0.0 	2008.10.09 	-
GData 	19 	2008.10.09 	-
Ikarus 	T3.1.1.34.0 	2008.10.09 	-
K7AntiVirus 	7.10.489 	2008.10.09 	-
Kaspersky 	7.0.0.125 	2008.10.09 	-
McAfee 	5401 	2008.10.09 	-
Microsoft 	1.4005 	2008.10.09 	-
NOD32 	3507 	2008.10.09 	-
Norman 	5.80.02 	2008.10.08 	-
Panda 	9.0.0.4 	2008.10.09 	-
PCTools 	4.4.2.0 	2008.10.09 	-
Prevx1 	V2 	2008.10.09 	-
Rising 	20.65.32.00 	2008.10.09 	-
SecureWeb-Gateway 	6.7.6 	2008.10.09 	-
Sophos 	4.34.0 	2008.10.09 	-
Sunbelt 	3.1.1708.1 	2008.10.09 	-
Symantec 	10 	2008.10.09 	-
TheHacker 	6.3.1.0.103 	2008.10.07 	-
TrendMicro 	8.700.0.1004 	2008.10.09 	-
VBA32 	3.12.8.6 	2008.10.09 	-
ViRobot 	2008.10.9.1414 	2008.10.09 	-
VirusBuster 	4.5.11.0 	2008.10.09 	-
Information additionnelle
File size: 5480448 bytes
MD5...: 5a8c3f6286680de02e90ebfa6f3ebd07
SHA1..: 5b1bc5b7e031c12006f1d59c53398ead7f5c8f4f
SHA256: a714f9916e3d1d19fce4bc01a91805f3156ebfe531a3ff31c60adaca00bd7777
SHA512: 0b94712f1528c035bde44665c85c1d6636ede52b67dda4cf061d7cb30a5bf6b0
8cd6fd6a9cfb7f97bdfe312ec608d3f5b8414870fd9769cede47b5acd7a07a81
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x68b07c
timedatestamp.....: 0x48934ac0 (Fri Aug 01 17:41:20 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2fbe16 0x2fc000 6.59 f92524dba1514f265f7e4237525f76c0
.rdata 0x2fd000 0xa797c 0xa8000 4.76 dc02d60e0da4d0482bf1dd19b2b98a12
.data 0x3a5000 0x234a98 0x11000 3.93 a058ae3b3dc367c1a39e1f960ec204c8
.rsrc 0x5da000 0x183778 0x184000 5.29 d4c8e66232941ce48f91092636be503b

( 14 imports )
> KERNEL32.dll: GetStartupInfoA, SetHandleCount, GetCommandLineW, GetCommandLineA, GetEnvironmentStrings, FreeEnvironmentStringsA, UnhandledExceptionFilter, GetStdHandle, HeapSize, SetStdHandle, CreateThread, ExitThread, VirtualQuery, HeapDestroy, HeapCreate, VirtualFree, LCMapStringA, IsBadWritePtr, GetOEMCP, GetStringTypeA, GetCurrentDirectoryA, GetUserDefaultLCID, EnumSystemLocalesA, IsValidLocale, IsBadReadPtr, IsBadCodePtr, GetDriveTypeA, SetEnvironmentVariableA, GlobalSize, CreateFileA, GetWindowsDirectoryA, GetModuleFileNameA, GetModuleHandleA, CompareStringA, SetThreadPriority, InterlockedDecrement, InterlockedIncrement, FreeResource, SetFilePointer, WaitForMultipleObjects, ResetEvent, QueryPerformanceFrequency, QueryPerformanceCounter, GetLocalTime, GetSystemDirectoryA, ReadFile, WriteFile, GetOverlappedResult, GetProcessHeap, HeapAlloc, HeapFree, TerminateThread, DeviceIoControl, Beep, SetLastError, GetSystemInfo, VirtualAlloc, GetDateFormatA, GetTimeFormatA, PeekNamedPipe, GetFileInformationByHandle, GetFileType, TerminateProcess, LocalFree, MulDiv, GetTimeZoneInformation, FindClose, lstrlenA, SetUnhandledExceptionFilter, GetCurrentProcessId, GetCurrentProcess, ExitProcess, SetEvent, ResumeThread, WritePrivateProfileStringA, GetPrivateProfileStringA, SetThreadLocale, GetSystemDefaultLCID, GlobalAlloc, GlobalFree, SetConsoleCtrlHandler, GlobalLock, GlobalUnlock, LoadLibraryA, FreeLibrary, RaiseException, GetFileSize, GetTickCount, GetCurrentThreadId, GetLastError, LeaveCriticalSection, EnterCriticalSection, DeleteCriticalSection, InitializeCriticalSection, WaitForSingleObject, CloseHandle, Sleep, LoadResource, LockResource, SizeofResource, GetThreadLocale, GetLocaleInfoA, GetACP, InterlockedExchange, GetSystemTimeAsFileTime, HeapReAlloc, RtlUnwind, GlobalFlags, SetErrorMode, VirtualProtect, TlsFree, LocalReAlloc, TlsSetValue, TlsAlloc, TlsGetValue, GlobalHandle, GlobalReAlloc, GetCurrentThread, lstrcmpiA, ConvertDefaultLocale, GetVersion, EnumResourceLanguagesW, GlobalDeleteAtom, GetVersionExA, GetFileTime, FileTimeToLocalFileTime, FileTimeToSystemTime, ReleaseMutex, DuplicateHandle, UnlockFile, LockFile, FlushFileBuffers, SuspendThread, lstrcmpA, LocalAlloc, SetEndOfFile
> ADVAPI32.dll: CryptReleaseContext, CryptGenRandom, CryptAcquireContextA, OpenProcessToken, LookupPrivilegeValueW, AdjustTokenPrivileges, RegCloseKey
> USER32.dll: DestroyWindow, MessageBoxA, SetForegroundWindow, GetDlgItem, wsprintfA, IsWindow, IsWindowVisible, TranslateMessage, FrameRect, UpdateWindow, InvalidateRect, CreateIconIndirect, GetIconInfo, CopyRect, InflateRect, OffsetRect, DrawFocusRect, GetClientRect, GetActiveWindow, GetNextDlgTabItem, GetParent, WindowFromPoint, DestroyMenu, DestroyCursor, SetCursor, GetSubMenu, CreatePopupMenu, ScreenToClient, RedrawWindow, GetCursorPos, GetDesktopWindow, GetAsyncKeyState, CloseClipboard, DrawEdge, DrawFrameControl, SetRect, GetCapture, SetCapture, ReleaseCapture, GetMessagePos, GetWindow, GetFocus, GetWindowDC, MapWindowPoints, LockWindowUpdate, GetDCEx, GetNextDlgGroupItem, DeleteMenu, SetParent, UnpackDDElParam, ReuseDDElParam, SetMenu, InvalidateRgn, SetWindowContextHelpId, MapDialogRect, EndDialog, ShowOwnedPopups, EndPaint, BeginPaint, PostQuitMessage, GetSysColor, FillRect, GetClassNameA, GetDC, ReleaseDC, ClientToScreen, GetWindowRect, SetTimer, ExitWindowsEx, KillTimer, UnhookWindowsHookEx, CallNextHookEx, EmptyClipboard, SetClipboardData, EnumWindows, GetSystemMetrics, SetWindowPos, OpenClipboard, IsWindowEnabled, MoveWindow, IsDlgButtonChecked, SetDlgItemInt, DestroyIcon, PtInRect, RemoveMenu, IsChild, ChildWindowFromPointEx, SubtractRect, ShowWindow, SetWindowRgn, ShowCursor, SetRectEmpty, GetWindowTextA, SetDlgItemTextA, SetWindowTextA, ScrollDC, CheckMenuRadioItem, AdjustWindowRectEx, IsRectEmpty, CopyIcon, ShowScrollBar, DrawIconEx, CopyImage, SetMenuDefaultItem, EqualRect, MessageBeep, FlashWindow, SetActiveWindow, BringWindowToTop, IsIconic, GetSystemMenu, GetDlgItemInt, GetMenuItemCount, EnableMenuItem, CheckMenuItem, CreateMenu, DrawIcon, IntersectRect, GetDoubleClickTime, GetSysColorBrush, GetKeyState, GetMenu, IsMenu, GetWindowRgn, GetScrollInfo, EndDeferWindowPos, DeferWindowPos, BeginDeferWindowPos, IsZoomed, GetMenuItemID, GetMenuState, ValidateRect, GetMenuCheckMarkDimensions, SetMenuItemBitmaps, GetWindowPlacement, SystemParametersInfoA, GetDlgCtrlID, SetWindowPlacement, SetScrollInfo, GetScrollPos, SetScrollPos, GetScrollRange, SetScrollRange, TrackPopupMenu, ScrollWindow, GetMessageTime, GetTopWindow, GetLastActivePopup, GetForegroundWindow, SetFocus, SendDlgItemMessageA, CheckDlgButton, CheckRadioButton
> GDI32.dll: PtVisible, GetWindowExtEx, GetWindowOrgEx, GetViewportExtEx, GetViewportOrgEx, GetMapMode, GetBkColor, CreateRectRgn, GetBitmapBits, SetBitmapBits, CreateDIBSection, SetDIBColorTable, GdiFlush, CreateRectRgnIndirect, Rectangle, RealizePalette, RectVisible, Escape, CombineRgn, SetBkMode, SetBitmapDimensionEx, CreatePalette, CreatePen, GetBitmapDimensionEx, Ellipse, LPtoDP, CreateEllipticRgn, GetRgnBox, SelectPalette, SetBoundsRect, ScaleWindowExtEx, SetWindowExtEx, SetWindowOrgEx, ScaleViewportExtEx, SetViewportExtEx, OffsetViewportOrgEx, SetViewportOrgEx, SelectClipRgn, MoveToEx, LineTo, IntersectClipRect, ExcludeClipRect, SetMapMode, SetROP2, SetPolyFillMode, CreatePolygonRgn, FillRgn, OffsetRgn, SetRectRgn, SaveDC, GetClipBox, ExtSelectClipRgn, SetStretchBltMode, SetDIBitsToDevice, RestoreDC, GetDIBits, PatBlt, SetPixelV, CreatePatternBrush, SetTextAlign, CreateSolidBrush, Polygon, GetTextColor, CreateCompatibleBitmap, GetPixel, SetPixel, CreateCompatibleDC, SelectObject, SetBkColor, BitBlt, SetTextColor, DeleteDC, GetStockObject, DPtoLP, GetDeviceCaps, CreateBitmap, CreateBrushIndirect, DeleteObject
> SHELL32.dll: SHGetMalloc, DragFinish, SHAppBarMessage
> WINMM.dll: timeGetTime, timeGetDevCaps, timeBeginPeriod, timeEndPeriod
> CRYPT32.dll: CryptEncryptMessage, CertOpenSystemStoreW, CertFreeCertificateContext, CertCloseStore, CertFindCertificateInStore, CertNameToStrW, CertGetNameStringW, CertGetCertificateContextProperty
> COMCTL32.dll: ImageList_Remove, ImageList_DragLeave, ImageList_DragEnter, ImageList_DragShowNolock, ImageList_DragMove, ImageList_EndDrag, ImageList_BeginDrag, ImageList_SetOverlayImage, ImageList_GetImageCount, CreatePropertySheetPageW, DestroyPropertySheetPage, ImageList_Destroy, ImageList_AddMasked, ImageList_GetIconSize, ImageList_GetIcon, ImageList_GetImageInfo, ImageList_SetBkColor, ImageList_Draw, ImageList_ReplaceIcon, _TrackMouseEvent, -, PropertySheetW, ImageList_LoadImageW, ImageList_Create
> SHLWAPI.dll: PathFileExistsW, PathRenameExtensionW, PathRemoveFileSpecW, PathIsRelativeW, PathRemoveExtensionW, PathFindExtensionW, PathFindFileNameW, PathRemoveBackslashW, PathCanonicalizeW, PathAddBackslashW, PathStripToRootW, PathStripPathW, PathGetArgsW, PathIsUNCW, PathCombineW, UrlUnescapeW, PathMatchSpecW
> ole32.dll: CreateILockBytesOnHGlobal, StgCreateDocfileOnILockBytes, OleCreateStaticFromData, OleSetContainedObject, CreateStreamOnHGlobal, CoTaskMemAlloc, StgOpenStorage, CoTaskMemFree, CoCreateInstance, CoInitialize, CoInitializeSecurity, ReleaseStgMedium, CLSIDFromProgID, CLSIDFromString, OleUninitialize, CoFreeUnusedLibraries, OleInitialize, RegisterDragDrop, RevokeDragDrop, OleGetClipboard, CoGetClassObject, StgOpenStorageOnILockBytes, CoRevokeClassObject, OleIsCurrentClipboard, OleFlushClipboard, CoRegisterMessageFilter, OleDuplicateData, CoUninitialize, CoLockObjectExternal
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> urlmon.dll: FindMimeFromData
> WININET.dll: InternetGetLastResponseInfoW, InternetSetFilePointer, InternetCrackUrlW, HttpQueryInfoW, InternetCanonicalizeUrlW, InternetReadFile, InternetCloseHandle, InternetErrorDlg, HttpSendRequestW, HttpAddRequestHeadersW, HttpOpenRequestW, InternetConnectW, InternetSetStatusCallbackW, InternetOpenW, InternetQueryOptionW, InternetQueryDataAvailable, InternetOpenUrlW, InternetWriteFile
> WINSPOOL.DRV: ClosePrinter

( 0 exports )

Margoulinette · Answer

Pour LinkCreator.exe :

MD5:  	9f18f88ad53b4e424a118b06edaed811
First received: 	2007.04.07 20:34:24 (CET)
Date 	2008.10.08 21:35:26 (CET) [<1D]
Résultats 	1/36
Permalink: 	analisis/87a72d503a569cb78815f2bb6335cd9c

Puis le rapport : 


 Fichier LinkCreator.exe reçu le 2008.10.08 21:35:26 (CET)
Situation actuelle: terminé
Résultat: 1/36 (2.78%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus 	Version 	Dernière mise à jour 	Résultat
AhnLab-V3 	- 	- 	-
AntiVir 	- 	- 	-
Authentium 	- 	- 	-
Avast 	- 	- 	-
AVG 	- 	- 	-
BitDefender 	- 	- 	-
CAT-QuickHeal 	- 	- 	-
ClamAV 	- 	- 	-
DrWeb 	- 	- 	-
eSafe 	- 	- 	Win32.Luder.a
eTrust-Vet 	- 	- 	-
Ewido 	- 	- 	-
F-Prot 	- 	- 	-
F-Secure 	- 	- 	-
Fortinet 	- 	- 	-
GData 	- 	- 	-
Ikarus 	- 	- 	-
K7AntiVirus 	- 	- 	-
Kaspersky 	- 	- 	-
McAfee 	- 	- 	-
Microsoft 	- 	- 	-
NOD32 	- 	- 	-
Norman 	- 	- 	-
Panda 	- 	- 	-
PCTools 	- 	- 	-
Prevx1 	- 	- 	-
Rising 	- 	- 	-
SecureWeb-Gateway 	- 	- 	-
Sophos 	- 	- 	-
Sunbelt 	- 	- 	-
Symantec 	- 	- 	-
TheHacker 	- 	- 	-
TrendMicro 	- 	- 	-
VBA32 	- 	- 	-
ViRobot 	- 	- 	-
VirusBuster 	- 	- 	-
Information additionnelle
MD5: 9f18f88ad53b4e424a118b06edaed811
SHA1: cfc2cd8ed8a57f5c67e9355a99b15bf7b6432c20
SHA256: dec5f9be2593e80a4f00e1290ce026eab7327ea89a6cbb63ef1558dee9fa5d04
SHA512: 07960b4a7668f368dc111aece9b245c678af951778ef523ab34a5442c22f9c623c47e001bfee66250a5700e6ef05a9ecf7a1c0732531f466ad0a9b20b5f8ba1f

Il semble que celui-ci soit potentiellement suspect, en effet. Je me suis demandé ce que c'était que ce truc creator mais bon, j'avais pas osé le supprimer. C'est bizarre, il n'y a qu'un seul anti-virus qui le détecte....

chimay8 · Answer

pour eSafe - - Win32.Luder.a,
je pense que c'est un faux positif aussi

je pense que c'est bon
tu as encore des problèmes?

si c'est non,nous allons passer à la petite partie nettoyage

Margoulinette · Answer

Non, plus de trucs bizarres (à part mes freezes mais bon, je ne pense pas que ça soit viral). Mon ordi a l'air de marcher normalement. Encore merci de m'aider, c'est vraiment sympa.

chimay8 · Answer

pour combo
demarrer-->executer
tape combofix /u
clic sur ok

Télécharge ToolsCleaner sur ton bureau. 
--> 
http://www.commentcamarche.net/telecharger/telechargement 34055291 toolscleaner

# Clique sur "Recherche" et laisse le scan agir ... 
# Clique sur "Suppression" pour finaliser. 
# Tu peux, si tu le souhaites, te servir des Options facultatives. 
# Clique sur Quitter pour obtenir le rapport. 
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

ensuite

Télécharges : - CCleaner 
https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corrigé ton registre .Lors de l'installation, avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 première. 
Une fois le prg instalé et lancé, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures"( Par la suite, laisse-le avec ses réglages par défaut. C'est tout ). 

Un tuto ( aide ): 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 

---> Utilisation: 
! déconnectes toi et fermes toutes applications en cours ! 
* vas dans "nettoyeur" : fait analyse puis nettoyage 
* vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) . 

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

***très important***

Suppression des points de restauration : 
1.Ouvre le Menu Démarrer 
2.Clique-droit sur Poste de travail 
3.Clique sur Propriétés 
4.Positionne-toi dans l'onglet Restauration du système 
5.Coche "Désactiver la restauration système" 
6.Valide par Ok 
7.Redémarre ton pc
8.Reproduis les manipulations 1 à 3 
9.Décoche "Désactiver la restauration système" 
10.Valide par Ok

Margoulinette · Answer

Re!

Désolée pour le gros retard, j'ai eu pas mal de boulot et j'étais crevée, la finalisation de la désinfection m'est sortie de la tête. Encore mille excuses.

Voici le raport de Toolscleaner: 

[ Rapport ToolsCleaner version 2.2.4 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\Combofix.txt: trouvé !
C:\FindyKill.txt: trouvé !
C:\SDFIX: trouvé !
C:\Documents and Settings\User M\Menu Démarrer\Programmes\FindyKill: trouvé !
C:\Program Files\FindyKill: trouvé !

---------------------------------
-->- Suppression: 

C:\Combofix.txt: supprimé !
C:\FindyKill.txt: supprimé !
C:\SDFIX: supprimé !
C:\Documents and Settings\User M\Menu Démarrer\Programmes\FindyKill: supprimé !
C:\Program Files\FindyKill: supprimé !

J'ai déjà Ccleaner, je vais le faire tourner.

Margoulinette · Answer

Voilà, ça y est, j'ai fait tout ce que tu as indiqué dans ton message.

Je n'avais rien fait de spécial sur mon ordi depuis le 9 octobre de toutes façons, vu que je n'ai pas trop eu le temps ou l'énergie de trainer dessus (ah si, j'ai installé l'extension NoScript pour Firefox). Tout semble également fonctionner normalement.

Je te remercie encore pour ton aide et tes conseils. Y a-t-il autre chose que je doive faire ?

AIDE SVP - hldrr.exe / gusano bagle / avcente - Page 2

Discussions similaires

Newsletters