Bonjour,

J'ai apparement chopé un virus ou autre hier qui a désactivé le centre de sécurité de mon portable (sous vista), pu de windows defender, de par feu et d'anti virus donc, j'ai vite remarqué que mon fixe avait exactement le même problème (sous xp lui). J'ai donc ce message à chaque fois que j'essaie de lancer un antivirus, un antispyware ou autre, j'ai déjà essayé d'en installer une dizaine différent sans succès. HijackThis m'est également inaccessible, la fenêtre explorer d'où je le lance plante. Enfin je ne pouvais plus passez en mode sans echec, toutes options. Après avoir cherché un peu partout sur le net je vois qu'il est question d'un 'bagle' détecté hier par un antivirus en ligne.

J'ai reformaté le portable et il n'y a plus de problème dessus (pour l'instant...).
J'ai restauré le fixe pour conserver mes données et il n'y avait pas de problèmes au début. C'est en lançant le raccourci de ma box internet qu'il s'est remit en place ( l'icône de l'exe était bizarre : un losange vert que j'avais vu hier aussi et qui semble être l'origine du problème).

Les problèmes similaires au mien demandeant une procédure au cas par cas, je poste ici le mien.

J'ai déjà installé et scanné mes 3 disques avec elibagla dont voici le rapport :

~~~~~~

Wed Feb 20 12:29:27 2008
EliBagle v11.02 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v11.02
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.02
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"

Wed Feb 20 12:29:51 2008
EliBagle v11.02 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETRAY.EXE --> Eliminado Bagle.dldr

Nº Total de Directorios: 18698
Nº Total de Ficheros: 258766
Nº de Ficheros Analizados: 20806
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 1

Wed Feb 20 12:48:55 2008
EliBagle v11.02 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Nº Total de Directorios: 684
Nº Total de Ficheros: 15561
Nº de Ficheros Analizados: 2989
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Wed Feb 20 12:50:05 2008
EliBagle v11.02 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad M:\

Nº Total de Directorios: 1305
Nº Total de Ficheros: 13906
Nº de Ficheros Analizados: 458
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

~~~~~

Je rappelle que je n'arrive pas à lancer Hijackthis, j'ai essayé aussi en le renommant avant de l'installer.

Merci d'avance pour votre aide.

Désactive l'uac : http://bibou0007.com/tutos-f45/tut [...] a-t132.htm

Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : http://forum.pcastuces.com/sujet.asp?f=25&s=37315

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !

Aide à l’utilisation de combofix ici: http://bibou0007.forumpro.fr/tutos [...] x-t121.htm

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

N.B : Si combofix ne marche pas même renommé, pas de souci, j'ai plus d'une cartouche dans mon sac

Salut Merillym,

Le pc infécté est sous xp , pas d'uac à desactiver donc ( je l'ai quand même désactivé sur mon portable sous vista le jour où je l'ai eu ).

Sinon, Combofix s'est bien installé, et le scan s'est bien déroulé également. Voici le rapport :

~~~~

ComboFix 08-02-20.2 - Aknez 2008-02-20 14:06:17.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1497 [GMT 1:00]
Endroit: C:\Documents and Settings\HP_Administrateur\Bureau\Killbagle2.exe
* Création d'un nouveau point de restauration
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\mdelk.exe
C:\Documents and Settings\HP_Administrateur\Application Data\inst.exe
C:\WINDOWS\system32\drivers\down
C:\WINDOWS\system32\drivers\down\348921.exe
C:\WINDOWS\system32\drivers\down\357156.exe
C:\WINDOWS\system32\drivers\down\358078.exe
C:\WINDOWS\system32\drivers\down\359453.exe
C:\WINDOWS\system32\drivers\down\361093.exe
C:\WINDOWS\system32\drivers\down\371687.exe
C:\WINDOWS\system32\drivers\down\372062.exe
C:\WINDOWS\system32\drivers\down\376046.exe
C:\WINDOWS\system32\drivers\down\377093.exe
C:\WINDOWS\system32\drivers\down\378359.exe
C:\WINDOWS\system32\drivers\down\380453.exe
C:\WINDOWS\system32\drivers\down\383984.exe
C:\WINDOWS\system32\drivers\down\385828.exe
C:\WINDOWS\system32\drivers\down\484484.exe
C:\WINDOWS\system32\drivers\down\486406.exe
C:\WINDOWS\system32\drivers\down\487531.exe
C:\WINDOWS\system32\drivers\down\489640.exe
C:\WINDOWS\system32\drivers\down\492000.exe
C:\WINDOWS\system32\drivers\down\517828.exe
C:\WINDOWS\system32\drivers\down\519187.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\mdelk.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_SROSA
-------\srosa


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-20 to 2008-02-20 ))))))))))))))))))))))))))))))))))))
.

2008-02-20 12:52 . 2008-02-20 12:53 <REP> d-------- C:\Program Files\HJT
2008-02-20 12:29 . 2008-02-20 12:29 <REP> d-------- C:\Muestras
2008-02-20 12:25 . 2008-02-20 12:25 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-02-20 12:24 . 2008-02-20 12:25 <REP> d-------- C:\WINDOWS\LastGood.Tmp
2008-02-20 11:51 . 2007-02-28 17:02 2,182,400 --------- C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-02-20 11:51 . 2007-02-28 17:02 2,138,112 --------- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-02-20 11:51 . 2007-02-28 17:02 2,059,648 --------- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-02-20 11:51 . 2007-02-28 17:02 2,017,792 --------- C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-02-20 11:36 . 2008-02-20 11:37 <REP> d-------- C:\WINDOWS\system32\fr-fr
2008-02-20 11:31 . 2008-02-20 11:31 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-02-20 11:31 . 2007-12-07 03:08 6,066,176 --------- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-02-20 11:31 . 2007-07-01 04:31 2,455,488 --------- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-02-20 11:31 . 2007-07-01 04:36 1,048,576 --------- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-02-20 11:31 . 2007-12-07 03:08 459,264 --------- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-02-20 11:31 . 2007-12-07 03:08 383,488 --------- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-02-20 11:31 . 2007-12-07 03:08 267,776 --------- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-02-20 11:31 . 2007-12-07 03:08 63,488 --------- C:\WINDOWS\system32\dllcache\icardie.dll
2008-02-20 11:31 . 2007-12-07 03:08 52,224 --------- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-02-20 11:31 . 2007-12-06 12:00 13,824 --------- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-02-20 10:15 . 1997-03-05 08:53 48,128 --a------ C:\WINDOWS\system32\SMMSCRPT.DLL
2008-02-20 10:15 . 1996-10-15 08:40 9,728 --a------ C:\WINDOWS\system32\RNAPH.DLL
2008-02-20 05:13 . 2008-02-20 12:15 <REP> dr-hs---- C:\WINDOWS\system32\dllcache
2008-02-20 05:13 . 2008-02-20 05:26 <REP> dr------- C:\WINDOWS\system32\config\systemprofile\Menu D‚marrer
2008-02-19 21:43 . 2008-02-19 21:43 1,913 -rahs---- C:\WINDOWS\system32\drivers\103C_HP_CPC_RH962AA-ABF a1606.fr_YC_0Pavi_QCZB645_E64FRemMPA3_48_ILEUCITE3_SASUSTek Computer INC._V2.00_B3.17_T060915_WXP2_L40C_M2047_J250_7Intel_8Pentium D_92.8_#061125_N808627DC_Z_G10DE01D1.MRK
2008-02-19 21:41 . 2006-01-02 19:44 <REP> d-------- C:\Documents and Settings\HP_Administrateur\WINDOWS
2008-02-19 21:41 . 2008-02-19 21:46 <REP> d--h----- C:\Documents and Settings\HP_Administrateur\Voisinage r‚seau
2008-02-19 21:41 . 2005-11-12 01:08 <REP> d--h----- C:\Documents and Settings\HP_Administrateur\Voisinage d'impression
2008-02-19 21:41 . 2008-02-19 21:46 <REP> d--h----- C:\Documents and Settings\HP_Administrateur\ModŠles
2008-02-19 21:41 . 2008-02-20 11:46 <REP> dr------- C:\Documents and Settings\HP_Administrateur\Mes documents
2008-02-19 21:41 . 2008-02-19 21:45 <REP> dr------- C:\Documents and Settings\HP_Administrateur\Menu D‚marrer
2008-02-19 21:41 . 2008-02-20 11:54 <REP> dr------- C:\Documents and Settings\HP_Administrateur\Favoris
2008-02-19 21:41 . 2008-02-20 14:11 <REP> d-------- C:\Documents and Settings\HP_Administrateur\Bureau
2008-02-19 21:40 . 2006-01-02 19:44 <REP> d-------- C:\WINDOWS\system32\config\systemprofile\WINDOWS
2008-02-19 21:40 . 2006-01-02 20:15 <REP> d-------- C:\WINDOWS\system32\config\systemprofile\Application Data\Symantec
2008-02-19 21:36 . 2001-08-23 17:04 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2008-02-19 21:36 . 2001-08-17 22:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2008-02-19 19:49 . 2008-02-19 19:49 <REP> d-------- C:\Program Files\Avira
2008-02-19 19:49 . 2008-02-19 19:49 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-02-19 14:46 . 2008-02-19 14:46 <REP> d-------- C:\Documents and Settings\HP_Administrateur\Application Data\GibbHill Properties Ltd
2008-02-19 12:56 . 2008-02-19 12:56 <REP> d-------- C:\Program Files\Player Tool
2008-02-19 00:02 . 2008-02-19 00:02 <REP> d-------- C:\Program Files\Live_TV
2008-02-17 18:19 . 2008-02-17 18:20 <REP> d-------- C:\Documents and Settings\HP_Administrateur\Application Data\Winamp
2008-02-17 18:13 . 2008-02-17 18:13 876 --a------ C:\WINDOWS\$_hpcst$.hpc
2008-02-12 17:31 . 2008-02-12 18:03 <REP> d-------- C:\Program Files\Microsoft Games
2008-02-12 17:31 . 2008-02-12 17:31 <REP> d-------- C:\Documents and Settings\All Users\Menudm~1
2008-02-10 13:46 . 2008-02-10 13:46 <REP> d-------- C:\Program Files\WiFiConnector
2008-02-10 13:36 . 2008-02-10 13:36 <REP> d-------- C:\WINDOWS\Cegetel
2008-02-10 12:45 . 2008-02-10 12:44 691,545 --a------ C:\WINDOWS\unins001.exe
2008-02-10 12:45 . 2008-02-10 12:45 3,447 --a------ C:\WINDOWS\unins001.dat
2008-02-09 21:31 . 2008-02-20 12:00 <REP> d-------- C:\Program Files\Lavasoft
2008-02-09 21:31 . 2008-02-09 21:33 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-02-09 21:22 . 2008-02-09 21:23 <REP> d-------- C:\Program Files\Speedy Video Capture
2008-02-07 20:42 . 2008-02-07 20:42 <REP> d-------- C:\Program Files\Softick
2008-02-02 11:45 . 2008-02-02 21:01 <REP> d-------- C:\Program Files\Hex Editor 3.x
2008-01-27 12:42 . 2008-01-27 12:42 <REP> d-------- C:\Program Files\IcoFX
2008-01-27 12:42 . 2008-01-27 12:43 <REP> d-------- C:\Documents and Settings\HP_Administrateur\Application Data\IcoFX
2008-01-26 12:48 . 2008-01-26 12:48 <REP> d-------- C:\Program Files\Fichiers communs\eDrawings2005
2008-01-26 12:39 . 2008-02-17 20:28 <REP> d-------- C:\Program Files\SolidWorks 2005
2008-01-26 12:39 . 2008-01-26 12:39 <REP> d-------- C:\Program Files\Fichiers communs\Solidworks Data 2005
2008-01-26 12:27 . 2008-01-26 12:27 <REP> d-------- C:\Program Files\SolidWorks Installation Manager
2008-01-26 12:19 . 2008-01-26 12:26 <REP> d-------- C:\Program Files\Fichiers communs\eDrawings2007
2008-01-26 12:15 . 2008-01-26 15:42 <REP> d-------- C:\Program Files\SolidWorks 2007
2008-01-26 12:15 . 2008-01-26 12:29 <REP> d-------- C:\Program Files\Fichiers communs\SolidWorks Shared
2008-01-26 12:15 . 2008-01-26 12:15 <REP> d-------- C:\Program Files\Fichiers communs\Solidworks Data 2007
2008-01-26 11:22 . 2008-01-26 11:36 <REP> d-------- C:\Documents and Settings\All Users\Application Data\SolidWorks
2008-01-26 11:16 . 2008-01-26 11:16 <REP> d-------- C:\Program Files\MSECache

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-20 11:14 --------- d-----w C:\Program Files\a-squared Free
2008-02-20 10:32 --------- d-----w C:\Program Files\Messenger Plus! Live
2008-02-20 10:02 --------- d-----w C:\Documents and Settings\All Users\Application Data\avg7
2008-02-20 09:07 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2008-02-20 09:07 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
2008-02-20 09:03 --------- d-----w C:\Program Files\muvee Technologies
2008-02-20 08:43 --------- d-----w C:\Program Files\Fichiers communs\Real
2008-02-19 20:43 1,913 --sha-r C:\WINDOWS\system32\drivers\103C_HP_CPC_RH962AA-ABF a1606.fr_YC_0Pavi_QCZB645_E64FRemMPA3_48_ILEUCITE3_SASUSTek Computer INC._V2.00_B3.17_T060915_WXP2_L40C_M2047_J250_7Intel_8Pentium D_92.8_#061125_N808627DC_Z_G10DE01D1.MRK
2008-02-19 18:44 --------- d-----w C:\Documents and Settings\HP_Administrateur\Application Data\PrevxCSI
2008-02-19 10:40 --------- d-----w C:\Program Files\Tomb Raider - Anniversary
2008-02-19 10:40 --------- d-----w C:\Program Files\adagide
2008-02-19 10:40 --------- d-----w C:\Program Files\ActivIcons
2008-02-18 12:05 --------- d-----w C:\Program Files\Minesweeper Clone 2007
2008-02-17 17:23 --------- d-----w C:\Program Files\Winamp
2008-02-17 14:10 --------- d-----w C:\Program Files\MSN Messenger
2008-02-13 22:05 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help
2008-02-12 21:17 --------- d-----w C:\Program Files\Microsoft ActiveSync
2008-02-10 11:46 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-02-10 11:43 --------- d-----w C:\Program Files\SpywareBlaster
2008-02-09 20:30 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-02-09 20:30 --------- d-----w C:\Documents and Settings\HP_Administrateur\Application Data\Lavasoft
2008-01-29 16:12 --------- d-----w C:\Documents and Settings\HP_Administrateur\Application Data\BitTorrent
2008-01-26 14:44 --------- d-----w C:\Documents and Settings\HP_Administrateur\Application Data\SolidWorks
2008-01-26 12:17 42,526 ----a-w C:\Program Files\SolidWorks 2005swxJRNL.BAK
2008-01-23 18:19 --------- d-----w C:\Program Files\LeConjugueur
2008-01-19 11:01 --------- d-----w C:\Program Files\XiaoXiao
2008-01-04 08:19 --------- d-----w C:\Program Files\DVDx
2008-01-02 21:54 --------- d-----w C:\Program Files\K-Lite Codec Pack
2007-12-31 12:18 --------- d-----r C:\Program Files\Tomb Raider
2007-12-30 19:48 --------- d-----w C:\Program Files\GTA San Andreas
2007-12-30 10:39 --------- d-----w C:\Documents and Settings\HP_Administrateur\Application Data\Vso
2007-12-29 23:23 --------- d-----w C:\Program Files\PeerTV
2007-12-27 15:40 --------- d-----w C:\Program Files\IVT Corporation
2007-12-27 15:40 --------- d-----w C:\Documents and Settings\All Users\Application Data\Bluetooth
2007-12-27 14:02 --------- d-----w C:\Program Files\DXSDK
2007-12-27 14:01 --------- d-----w C:\Program Files\Microsoft Visual Studio .NET
2007-12-27 13:20 --------- d-----w C:\Documents and Settings\All Users\Application Data\Prevx
2007-12-27 13:10 --------- d-----w C:\Program Files\Windows Live Safety Center
2007-12-27 11:01 --------- d-----w C:\Documents and Settings\All Users\Application Data\CanonIJPLM
2007-12-23 22:14 --------- d-----w C:\Program Files\Screensaver
2007-12-23 20:52 --------- d-----w C:\Program Files\Les Sims
2007-12-23 16:24 --------- d-----w C:\Program Files\EA GAMES
2007-12-23 16:19 --------- d-----w C:\Documents and Settings\HP_Administrateur\Application Data\muvee Technologies
2007-12-23 16:19 --------- d-----w C:\Documents and Settings\All Users\Application Data\muvee Technologies
2007-12-21 12:15 --------- d-----w C:\Program Files\MegaWorld
2007-12-20 16:53 98,304 ----a-w C:\WINDOWS\DUMP3ce9.tmp
2007-12-17 19:12 98,304 ----a-w C:\WINDOWS\DUMP3a88.tmp
2007-08-03 09:59 47,360 ----a-w C:\Documents and Settings\HP_Administrateur\Application Data\pcouffin.sys
2007-02-08 18:04 693 -c--a-w C:\Program Files\SolidWorksswxJRNL.BAK
2006-11-29 17:16 251 -c--a-w C:\Program Files\wt3d.ini
2006-11-29 16:46 0 -c--a-w C:\Documents and Settings\HP_Administrateur\Application Data\wklnhst.dat
1995-09-20 14:16 456,976 ----a-w C:\Program Files\Fichiers communs\dao3032.dll
2007-01-05 07:59 8,192 --sha-w C:\WINDOWS\o2cLicStore.bin
2007-05-30 05:22 22 --sha-w C:\WINDOWS\SMINST\HPCD.sys
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 12:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ftutil2"="ftutil2.dll" [2004-06-07 13:05 106496 C:\WINDOWS\system32\ftutil2.dll]
"IAAnotif"="C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2006-02-22 01:59 143360]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-06-21 01:06 7622656]
"nwiz"="nwiz.exe" [2006-06-21 01:06 1519616 C:\WINDOWS\system32\nwiz.exe]
"Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [2005-07-22 22:14 237568]
"HPBootOp"="C:\Program Files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" [2006-02-15 22:34 249856]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-02-20 14:07 579072]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-02-20 14:06 219136]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

R3 usbstor;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-10 12:00]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-20 14:11:14
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology Drivers\Elservice.exe
C:\WINDOWS\system32\dllhost.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-02-20 14:16:19 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-20 13:16:16
.
2008-02-20 11:11:32 --- E O F ---

Re,

Bon je t'explique vite fait comment on va procéder, histoire que tu saches un peu ce que je te fais faire
Comme tu as pu le remarquer, Bagle est très coriace. Là combofix a supprimé les principaux fichiers à l'origine de ton infection.
Seulement, dans 50% des cas, bagle se propage et infecte certains de tes .exe liés à des programmes de démarrage. Donc, à chaque fois que tu vas redémarrer ton pc, l'infection risque de revenir.
C'est pourquoi je vais te demander de ne pas redémarrer ton PC ( si cela est possible bien sûr ) tant que je ne te l'aurais pas dit
On va maintenant effectuer un scan online kaspersky, qui peut parfois être très long ( j'ai déjà vu plus de 30h... ), en général c'est quelques heures.
Kaspersky online voit très bien les .exe infectés par bagle.
Voilà pour l'explication
Ah, dernière chose, n'essaie pas de relancer ton antivirus etc, tant que je ne te l'aurais pas dit ^^

***********************************************************

Fais un scan en ligne ici http://webscanner.kaspersky.fr/ (A faire avec Internet Explorer)

- En bas à droite clique sur Démarrer Online-scanner dans la nouvelle fenêtre qui s'affiche clique sur J'accepte
- Accepte les Contrôle ActivX

- Choisis Poste de travail pour le scan. Celui-ci terminé clique sur Enregistrer rapport sous (Choisis fichier texte)
- Poste le rapport

Tutorial ici :
http://www.infos-du-net.com/forum/ [...] -kaspersky

- Si tu as un problème pour l'installation du Contrôle ActivX lis ceci http://www.inoculer.com/activex.php3

Me revoilà après 5h de scan

Rapport de KasperSky:
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Wednesday, February 20, 2008 7:34:51 PM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 20/02/2008
Enregistrements dans la base antivirus Kaspersky : 530867
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
M:\

Statistiques de l'analyse:
Total d'objets analysés: 295034
Nombre de virus trouvés: 5
Nombre d'objets infectés: 11 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 04:57:25

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\All Users\Application Data\Apple Computer\QuickTime\com.apple.QuickTime.plist L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\avg7\Log\emc.log L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\user.dmp L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\eHome\logs\ehRecvr.log L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré
C:\Documents and Settings\HP_Administrateur\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\HP_Administrateur\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\HP_Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\HP_Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\HP_Administrateur\Local Settings\Application Data\Microsoft\Windows Live Contacts\Jxmagnani@hotmail.fr\real\members.stg L'objet est verrouillé ignoré
C:\Documents and Settings\HP_Administrateur\Local Settings\Application Data\Microsoft\Windows Live Contacts\Jxmagnani@hotmail.fr\shadow\members.stg L'objet est verrouillé ignoré
C:\Documents and Settings\HP_Administrateur\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\HP_Administrateur\Local Settings\Historique\History.IE5\MSHist012008022020080221\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\HP_Administrateur\Local Settings\Temp\~DF352A.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\HP_Administrateur\Local Settings\Temp\~DF3537.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\HP_Administrateur\Local Settings\Temp\~DF40F3.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\HP_Administrateur\Local Settings\Temp\~DF4100.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\HP_Administrateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\HP_Administrateur\Mes documents\Mes Historiques de Conversation\l_winwin@hotmail.com\février 2008.html L'objet est verrouillé ignoré
C:\Documents and Settings\HP_Administrateur\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\HP_Administrateur\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Program Files\Player Tool\3wPlayer-1.0.0.3-setup-0312.exe/file8 Infecté : Trojan.Win32.Obfuscated.en ignoré
C:\Program Files\Player Tool\3wPlayer-1.0.0.3-setup-0312.exe Inno: infecté - 1 ignoré
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\348921.exe.vir Infecté : Trojan-PSW.Win32.Agent.xd ignoré
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\357156.exe.vir Infecté : Email-Worm.Win32.Bagle.of ignoré
C:\QooBox\Quarantine\catchme2008-02-20_141102.17.zip/mdelk.exe Infecté : Email-Worm.Win32.Bagle.of ignoré
C:\QooBox\Quarantine\catchme2008-02-20_141102.17.zip ZIP: infecté - 1 ignoré
C:\QooBox\Quarantine\Registry_backups\LEGACY_SROSA.reg.dat Infecté : Trojan-Downloader.Win32.Bagle.hp ignoré
C:\QooBox\Quarantine\Registry_backups\services_srosa.reg.dat Infecté : Trojan-Downloader.Win32.Bagle.hp ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP17\A0005987.exe Infecté : Trojan-Downloader.Win32.Bagle.jd ignoré
C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP18\A0006003.exe Infecté : Trojan-PSW.Win32.Agent.xd ignoré
C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP18\A0006004.exe Infecté : Email-Worm.Win32.Bagle.of ignoré
C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP18\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{B760468F-8DEB-4018-BACC-75AD619BAF94}.crmlog L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\EventCache\{CC1C5FD1-B5F3-4F78-BB9F-461A5C49D544}.bin L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\IntelDH.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Media Ce.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
D:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP18\change.log L'objet est verrouillé ignoré
M:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
M:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP18\change.log L'objet est verrouillé ignoré

Analyse terminée.


~~~~~~~

Je fais quoi d'autre avec le rapport ? ^^'

Merci pour les infos sinon, maintenant je sais ce qu'il se passe sur ce pc

Re,

Je dois m'absenter, je te réponds en fin de soirée

Le plus dur a été fait, normalement, après la prochaine marche à suivre que je vais te donner tu devrais être désinfecté(e).

Ne redémarre pas ton PC et n'essaie pas de relancer tes logiciels de protection

A ce soir ++

Ok, je laisse ça en suspens jusqu'à ce soir.
Bonne soirée et à plus tard

Supprime manuellement les fichiers en gras suivants :

C:\Program Files\Player Tool\3wPlayer-1.0.0.3-setup-0312.exe
C:\Program Files\Player Tool\3wPlayer-1.0.0.3-setup-0312.exe

Ne double clique pas dessus ! Clic droit, et supprimer

Et refais-moi un scan ELIBAGLA.

N.B : Normalement BAGLE a été éradiqué de ton pc

Re,

C:\Program Files\Player Tool\3wPlayer-1.0.0.3-setup-0312.exe <- fichier supprimé.

Quant à elibagla :

Wed Feb 20 22:50:51 2008
EliBagle v11.02 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Wed Feb 20 22:50:54 2008
EliBagle v11.02 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\down\357156.EXE.VIR --> Eliminado Bagle

Nº Total de Directorios: 18673
Nº Total de Ficheros: 262781
Nº de Ficheros Analizados: 20825
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

~~~~~

Plus de fichiers infectés ?

Oki, ça m'a l'air très bien tout ça.

Tu peux maintenant désinstaller et réinstaller TOUS tes logiciels de protection.
Une fois cela fait, redémarre ton pc.

Et viens me dire si ton problème est résolu, c'est-à-dire si tes logiciels de protection marchent comme il faut

Après désinstallation et réinstallation des logiciels de protection puis redémarrage du pc: plus de trace du problème. Tous les logiciels fonctionnent normalement, problème résolu donc

Merci beaucoup pour tout Merillym !

Re,

Si tu le permets, on va finir la désinfection Je vais dans un premier temps vérifier que tu n'as pas d'autres infections, puis je vais ensuite te faire finaliser la désinfection Mais je te rassure, on n'en a plus pour longtemps.

Télécharge puis installe Hijackthis (Trend Micro)
Poste ensuite un rapport dans ta prochaine réponse.
AIDE : Comment utiliser Hijackthis v2.0.2