Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e) (modifié)

Bonjour à tous !

Hier soir, j'ai chopé un terrible ver qui m'a d'abord désactivé avast, ewido et sans doute le pare-feu de windows (je n'ai plus accès aux réglages)

C'est entièrement de ma faute, j'ai voulu installer un soft que l'on m'a passé, je l'ai quand même analysé avant avec avast, qui n'y a vu que du feu. En double cliquant sur l'éxécutable, une fenêtre d'un soit-disant System Doctor s'est ouverte me conseillant de le télécharger pour résoudre un problème de sécurité. Je n'en ai bien sûr rien fait mais il était trop tard, le ver était dans le fruit...

En scannant en ligne sur le site de Ewido, il me trouve le ver suivant : worm.bagle.il. J'ai fait le nécessaire ensuite pour qu'il m'éradique l'indésirable (j'ai auparavant désactivé la restauration windows).

Je poste ci-joit le rapport de ewido :

__________________________________________________

 

ewido anti-spyware online scanner

http://www.ewido.net

__________________________________________________

 

 

Name: TrackingCookie.247realmedia

Path: C:\Documents and Settings\Jm\Cookies\jm@247realmedia[1].txt

Risk: Medium

 

Name: TrackingCookie.Yieldmanager

Path: C:\Documents and Settings\Jm\Cookies\jm@ad.yieldmanager[2].txt

Risk: Medium

 

Name: TrackingCookie.Bluestreak

Path: C:\Documents and Settings\Jm\Cookies\jm@bluestreak[2].txt

Risk: Medium

 

Name: TrackingCookie.Smartadserver

Path: C:\Documents and Settings\Jm\Cookies\jm@www.smartadserver[1].txt

Risk: Medium

 

Name: TrackingCookie.Zedo

Path: C:\Documents and Settings\Jm\Cookies\jm@zedo[1].txt

Risk: Medium

 

Name: TrackingCookie.Weborama

Path: :mozilla.9:C:\Documents and Settings\Jm\Application Data\Mozilla\Firefox\Profiles\bq2s71jn.default\cookies.txt

Risk: Medium

 

Name: TrackingCookie.Smartadserver

Path: :mozilla.14:C:\Documents and Settings\Jm\Application Data\Mozilla\Firefox\Profiles\bq2s71jn.default\cookies.txt

Risk: Medium

 

Name: TrackingCookie.Smartadserver

Path: :mozilla.15:C:\Documents and Settings\Jm\Application Data\Mozilla\Firefox\Profiles\bq2s71jn.default\cookies.txt

Risk: Medium

 

Name: TrackingCookie.Smartadserver

Path: :mozilla.16:C:\Documents and Settings\Jm\Application Data\Mozilla\Firefox\Profiles\bq2s71jn.default\cookies.txt

Risk: Medium

 

Name: TrackingCookie.Bluestreak

Path: :mozilla.19:C:\Documents and Settings\Jm\Application Data\Mozilla\Firefox\Profiles\bq2s71jn.default\cookies.txt

Risk: Medium

 

Name: TrackingCookie.247realmedia

Path: :mozilla.20:C:\Documents and Settings\Jm\Application Data\Mozilla\Firefox\Profiles\bq2s71jn.default\cookies.txt

Risk: Medium

 

Name: Worm.Bagle.il

Path: C:\Documents and Settings\Jm\Local Settings\Temp\~10.exe

Risk: High

 

Name: Worm.Bagle.il

Path: C:\Documents and Settings\Jm\Local Settings\Temp\~9.exe

Risk: High

 

Name: Worm.Bagle.il

Path: C:\Documents and Settings\Jm\Local Settings\Temp\~A.exe

Risk: High

 

Name: Worm.Bagle.il

Path: C:\Documents and Settings\Jm\Local Settings\Temp\~D.exe

Risk: High

 

Name: Worm.Bagle.il

Path: C:\Documents and Settings\Jm\Local Settings\Temp\~E.exe

Risk: High

 

Name: Worm.Bagle.il

Path: C:\Documents and Settings\Jm\Local Settings\Temp\~F.exe

Risk: High

 

Name: Not-A-Virus.Downloader.Win32.WinFixer.q

Path: C:\Documents and Settings\Jm\Local Settings\Temporary Internet Files\Content.IE5\HXY9CUIA\SystemDoctor2006FreeInstall_fr[1].cab/USDR6V_0001_N19M2604NetInstaller.exe

Risk: Low

 

Name: Worm.Bagle.il

Path: C:\WINDOWS\exefld\95171.exe

Risk: High

 

Name: Worm.Bagle.il

Path: C:\WINDOWS\exefld\98203.exe

Risk: High

 

_____________________________________________________________

 

Et le rapport de Hijackthis après désinfection :

_____________________________________________________________

 

Logfile of HijackThis v1.99.1

Scan saved at 11:13:06, on 14/06/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\TPPALDR.EXE

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Program Files\Microsoft Hardware\Keyboard\type32.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Quoiquipasse\qqp_agent.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\Program Files\TimeLeft3\TimeLeft.exe

C:\WINDOWS\System32\DRIVERS\dcfssvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\Jm\Bureau\revestor.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\applications\Acrobat Reader 505\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Applications\Spybot\SDHelper.dll

O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\TPPALDR.EXE

O4 - HKLM\..\Run: [sW24] C:\WINDOWS\System32\sw24.exe

O4 - HKLM\..\Run: [sW20] C:\WINDOWS\System32\sw20.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [soundFusion] RunDll32 hercplgs.cpl,BootEntryPoint

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [intelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe"

O4 - HKLM\..\Run: [HGTXPEI] C:\WINDOWS\System32\FirstReboot.exe

O4 - HKLM\..\Run: [avast!] E:\APPLIC~1\Avast4-7\ashDisp.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [sSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [Quoiquipasse] C:\Program Files\Quoiquipasse\qqp_agent.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: TimeLeft.lnk = C:\Program Files\TimeLeft3\TimeLeft.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: D-Link AirPlus.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\Office\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O15 - Trusted Zone: http://www.msi.com.tw

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1151446378140

O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E338B828-C110-4376-A1E4-4D12D27A3F72}: NameServer = 192.168.0.1

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: dcfssvc (Dcfssvc) - Eastman Kodak Company - C:\WINDOWS\System32\DRIVERS\dcfssvc.exe

O23 - Service: ewido anti-spyware 4.0 guard - Unknown owner - E:\Applications\Outils zebulon\ewido anti-spyware 4.0\guard.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - E:\Applications\SiSoftware Sandra Lite 2007\RpcSandraSrv.exe

 

________________________________________________________________________________________

 

Merci pour votre aide...

Modifié par revestor

Posté(e)

Salut,

 

Bha Avast! est une passoire...

 

Télécharge F-Secure Blacklight : https://europe.f-secure.com/blacklight/try.shtml

- Clic en bas sur "I accept"

- Dans la nouvelle fenêtre, clic sur le bouton en haut du tableau Download.

- Lance-le en double-cliquant sur le fichier blbeta.exe

- Accepte la licence, et clique enfin sur "Scan" puis Next et exit.

- Un rapport fsbl-bxxxx.log va être créé dans le même dossier que blbeta.exe

- Ouvre fsbl-bxxxx.log et copie/colle le contenu ici, pour cela :

- Menu Edition / copier

- ici dans un nouveau message : clic droit / coller

Aide : Tu peux consulter le tutorial de F-Secure BlackLight

Posté(e)

Merci de ta réponse ultra rapide

J'ai lancé le scan avec F-secure- (La restauration avait été réactivée)

 

...

 

(Ca va être long, j'ai plein de trucs sur mes disques durs)

Posté(e)

Finalement cela a été plus rapide que prévu. Voilà le résultat de l'analyse de F-Secure :

____________________________________________________

 

06/14/07 11:57:25 [info]: BlackLight Engine 1.0.61 initialized

06/14/07 11:57:25 [info]: OS: 5.1 build 2600 (Service Pack 2)

06/14/07 11:57:26 [Note]: 7019 4

06/14/07 11:57:26 [Note]: 7005 0

06/14/07 11:57:46 [Note]: 7006 0

06/14/07 11:57:46 [Note]: 7011 1312

06/14/07 11:57:46 [Note]: 7026 0

06/14/07 11:57:46 [Note]: 7026 0

06/14/07 11:57:46 [Note]: 7024 3

06/14/07 11:57:46 [info]: Hidden process: C:\WINDOWS\system32\hldrrr.exe

06/14/07 11:57:46 [Note]: 7024 3

06/14/07 11:57:46 [info]: Hidden process: C:\WINDOWS\system32\hldrrr.exe

06/14/07 11:57:48 [Note]: FSRAW library version 1.7.1021

06/14/07 11:57:50 [info]: Hidden file: c:\Documents and Settings\Jm\Application Data\hidires\hidr.exe

06/14/07 11:57:50 [Note]: 10002 2

06/14/07 11:57:50 [info]: Hidden file: c:\Documents and Settings\Jm\Application Data\hidires\m_hook.sys

06/14/07 11:57:50 [Note]: 10002 2

06/14/07 11:57:50 [Note]: 10002 3

06/14/07 11:57:50 [Note]: 10002 3

06/14/07 11:57:50 [Note]: 10002 2

06/14/07 11:57:50 [Note]: 10002 2

06/14/07 11:58:31 [info]: Hidden file: c:\Program Files\Movie Maker\shared\empty.txt

06/14/07 11:58:31 [Note]: 10002 3

06/14/07 11:58:31 [info]: Hidden file: c:\Program Files\Movie Maker\shared\filters.xml

06/14/07 11:58:31 [Note]: 10002 3

06/14/07 11:58:31 [info]: Hidden file: c:\Program Files\Movie Maker\shared\news.png

06/14/07 11:58:31 [Note]: 10002 3

06/14/07 11:58:31 [info]: Hidden file: c:\Program Files\Movie Maker\shared\paint.png

06/14/07 11:58:31 [Note]: 10002 3

06/14/07 11:58:31 [info]: Hidden file: c:\Program Files\Movie Maker\shared\profiles\blank.txt

06/14/07 11:58:31 [Note]: 10002 3

06/14/07 11:58:31 [info]: Hidden file: c:\Program Files\Movie Maker\shared\sample1.jpg

06/14/07 11:58:31 [Note]: 10002 3

06/14/07 11:58:31 [info]: Hidden file: c:\Program Files\Movie Maker\shared\sample2.jpg

06/14/07 11:58:31 [Note]: 10002 3

06/14/07 11:58:31 [Note]: 10002 2

06/14/07 11:58:31 [Note]: 10002 2

06/14/07 12:01:33 [Note]: 10002 2

06/14/07 12:01:33 [Note]: 10002 2

06/14/07 12:01:56 [info]: Hidden file: c:\WINDOWS\system32\wintems.exe

06/14/07 12:01:56 [Note]: 10002 2

06/14/07 12:01:56 [info]: Hidden file: C:\WINDOWS\system32\hldrrr.exe

06/14/07 12:01:56 [Note]: 10002 2

06/14/07 12:03:18 [Note]: 2000 1012

06/14/07 12:03:18 [Note]: 2000 1012

06/14/07 12:24:43 [Note]: 7007 0

Posté(e)

Je pense que j'ai toujours le virus, car j'ai réinstallé Spybot, et lorsque je suis allé dans le répertoire d'installation de ce programme, l'éxécutable "SpybotSD.exe" a disparu sous mes yeux en à peine une seconde. Pareil pour avast, la réinstallation n'a pas fait réapparaitre l'éxécutable ashAvast.exe !

Posté(e)

SpytBot ne te sauvera pas.

 

Suis la procédure avec ELIBAGLA de cette page : http://www.malekal.com/W32.Beagle.KF_Trojan.Tooso.R.php

Poste le rapport ELIBAGLA

 

Ensuite :

 

Sur Hijackthis coche cette ligne :

 

O4 - HKLM\..\Run: [avast!] E:\APPLIC~1\Avast4-7\ashDisp.exe

 

--> clic sur fix checked

 

Redémarre l'ordinateur

 

Supprime : E:\APPLIC~1\Avast4-7\

 

Avast! est loin de ce que l'on a fait de mieux en matière de protection, voir ce lien pour plus d'informations : http://forum.malekal.com/ftopic3123.php

 

Clairement, Antivir est beaucoup plus performant, c'est pourquoi, je te conseille TRES VIVEMENT de désinstaller Avast! et installer Antivir à la place : http://www.malekal.com/tutorial_antivir.php

- Après l'installation, mets le à jour - si ton firewall fait une alerte.. accepte la connexion.

- Assure toi qu'Antivir est bien à jour, vérifie la date d'update.

 

 

- Ouvre Antivir par le menu Démarrer / Programmes

- Cliquez sur l'onglet Scanner.

- Sélectionne Manual Selection

- Sélectionne le disque C

- Lance le scan - Mets en quarantaine tous les éléments détectés.

- Une fois le scan terminé Enregistre le rapport.

 

Redémarre en mode normal.

 

Poste le rapport ici.

Posté(e)

Petit souci avec Elibagla : A la fin du scan il me trouve un fichier infecté : WINTEMS.EXE.VIR -> Bagle

La case Eliminar Ficheros Automaticamente est cochée, je quitte avec "Salir", mais si je refais un scan, il me retrouve le même fichier...

Posté(e)

Bizarre, ça marche bien d'habitude :P

 

Bon on va faire autrement.

Relance un Scan BlackLight comme fait plus haut.

 

ensuite une fois la liste des fichies détectés, sélectionne ces fichiers :

C:\WINDOWS\system32\hldrrr.exe

c:\WINDOWS\system32\wintems.exe

c:\Documents and Settings\Jm\Application Data\hidires\hidr.exe

c:\Documents and Settings\Jm\Application Data\hidires\m_hook.sys

 

Tu laisses appuyer sur la touche CTRL et tu clics sur chaque fichier, ça va les surligner.

Clic sur rename.

Ca va ouvrir une fenetre, coche la case en bas pour le rémarrage, fais OK et l'ordinateur va redémarrer.

 

Refais un scan BlackLight et poste le rapport ici.

Posté(e)

Entretemps, l'ordi a planté (écran bleu), et au redémarrage Elibagla s'est lancé tout seul avant l'affichage des icônes, et il ne trouve plus rien d'inquiétant.

Je reprends la thérapie là où j'avais abandonné..

Posté(e)

Voilà, j'ai fait comme tu m'as dit, et tout semble être rentré dans l'ordre. J'avais même retrouvé l'icône d'Avast et toutes les fonctionnalités de ce programme... avant que jene l'éradique complètement de mon disque dur !

Je l'ai remplacé par antivir, je viens de terminer le scan. Il m'a trouvé apparemment deux traces de Bagle, mais pour la première on dirait les références de Elibagle. Quoiqu'il en soit, j'ai tout mis en quarantaine, voici le rapport d'antivir :

_________________________________________________

 

AntiVir PersonalEdition Classic

Report file date: jeudi 14 juin 2007 16:08

 

Scanning for 825856 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Username: Jm

Computer name: JM-MAISON

 

Version information:

BUILD.DAT : 247 14437 Bytes 10/05/2007 11:55:00

AVSCAN.EXE : 7.0.4.15 282664 Bytes 20/04/2007 11:37:14

AVSCAN.DLL : 7.0.4.4 33832 Bytes 27/03/2007 11:31:54

LUKE.DLL : 7.0.4.11 143400 Bytes 27/03/2007 11:26:04

LUKERES.DLL : 7.0.4.0 10280 Bytes 19/03/2007 11:18:59

ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31/05/2006 13:08:58

ANTIVIR1.VDF : 6.38.1.170 5569024 Bytes 21/05/2007 13:49:37

ANTIVIR2.VDF : 6.38.2.24 492032 Bytes 12/06/2007 13:49:37

ANTIVIR3.VDF : 6.39.0.16 107520 Bytes 14/06/2007 13:49:37

AVEWIN32.DLL : 7.4.0.32 2478592 Bytes 14/06/2007 13:49:37

AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26

AVPREF.DLL : 7.0.2.1 24616 Bytes 27/03/2007 11:31:50

AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24

AVPACK32.DLL : 7.3.0.12 360488 Bytes 14/06/2007 13:49:37

AVREG.DLL : 7.0.1.2 31784 Bytes 15/03/2007 08:05:08

AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 27/03/2007 11:16:05

AVARKT.DLL : 1.0.0.17 278568 Bytes 02/05/2007 10:32:26

NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42

RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 13/03/2007 09:46:18

RCTEXT.DLL : 7.0.45.0 86056 Bytes 19/03/2007 11:42:42

 

Configuration settings for the scan:

Jobname..........................: Manual Selection

Configuration file...............: C:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic\PROFILES\folder.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: off

Scan boot sector.................: on

Boot sectors.....................: C:,

Scan memory......................: on

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: off

Scan all files...................: Intelligent file selection

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Macro heuristic..................: on

File heuristic...................: medium

 

Start of the scan: jeudi 14 juin 2007 16:08

 

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'alg.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'dcfssvc.exe' - '1' Module(s) have been scanned

Scan process 'sched.exe' - '1' Module(s) have been scanned

Scan process 'TimeLeft.exe' - '1' Module(s) have been scanned

Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned

Scan process 'ctfmon.exe' - '1' Module(s) have been scanned

Scan process 'avgnt.exe' - '1' Module(s) have been scanned

Scan process 'qqp_agent.exe' - '1' Module(s) have been scanned

Scan process 'qttask.exe' - '1' Module(s) have been scanned

Scan process 'OpWareSE4.exe' - '1' Module(s) have been scanned

Scan process 'rundll32.exe' - '1' Module(s) have been scanned

Scan process 'type32.exe' - '1' Module(s) have been scanned

Scan process 'rundll32.exe' - '1' Module(s) have been scanned

Scan process 'jusched.exe' - '1' Module(s) have been scanned

Scan process 'tppaldr.exe' - '1' Module(s) have been scanned

Scan process 'avguard.exe' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'spoolsv.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

32 processes with 32 modules were scanned

 

Start scanning boot sectors:

Boot sector 'C:\'

[NOTE] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( '28' files ).

 

 

Starting the file scan:

 

Begin scan in 'C:\'

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.41

[DETECTION] Is the Trojan horse TR/Dldr.Bagle.by

[iNFO] The file was moved to '46b54e37.qua'!

C:\WINDOWS\system32\flec003.exe

[DETECTION] Is the Trojan horse TR/Dldr.Bagle.by

[iNFO] The file was moved to '46d6566b.qua'!

C:\WINDOWS\system32\drivers\atapi.sys

[WARNING] The file could not be opened!

 

 

End of the scan: jeudi 14 juin 2007 16:53

Used time: 45:29 min

 

The scan has been done completely.

 

4623 Scanning directories

284870 Files were scanned

2 viruses and/or unwanted programs were found

0 classified as suspicious:

0 files were deleted

0 files were repaired

2 files were moved to quarantine

0 files were renamed

2 Files cannot be scanned

284868 Files not concerned

1763 Archives were scanned

2 Warnings

0 Notes

0 Hidden objects were found

 

Voilà ...

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...