Infection par bagle - rapport findykill

Bonjour,

J'ai eu une infection d'un rootkit Bagle, similaire à celle décrite ici: http://www.commentcamarche.net/forum/affich 9419418 infection par bagle rapport findykill

J'ai lancé Findykill qui a bien marché et a rétabli ma connexion sans fils. J'ai depuis installé Antivir et fait un scan complet (pas de trace du bagle). Malwarebytes a trouvé une trace. Il prétend l'avoir supprimé, mais je refais un scann complet après avoir redémarré.

(Fichier(s) infecté(s):
C:\System Volume Information\_restore{B0D22BE2-A227-4068-A48A-E6B79217B4BA}\RP641\A0120069.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.)

Point sur lequel je m'interroge, voici le rapport de Findykill si je fais une nouvelle recherche du virus:

# AMD Turion(tm) 64 X2
# Microsoft Windows XP dition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Enabled
# AV : Avira AntiVir PersonalEdition 8.0.1.30 [ Enabled | Updated ]
# FW : Norton Internet Worm Protection[ (!) Disabled ]2006

# C:\ # Disque fixe local # 84.95 Go (7.19 Go free) # NTFS
# D:\ # Disque fixe local # 7.19 Go (1.4 Go free) [HP_RECOVERY] # FAT32
# E:\ # Disque CD-ROM
# F:\ # Disque CD-ROM
# G:\ # Disque amovible # 1.89 Go (920.94 Mo free) # FAT

############################## [ Active Processes ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\VM305_STI.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe

################## [ Infected Files / Folders C:\ ]

################## [ C:\WINDOWS ]

################## [ C:\WINDOWS\system32 ]

################## [ C:\WINDOWS\system32\drivers ]

################## [ C:\.. Application Data ... ]

################## [ Registry / Infected keys ]

################## [ Searching in removable drives ]

# Presence of files :

################## [ Registry / Mountpoint2 ]

Found ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9ee15fce-b261-11dd-aa9b-0016d3064fd9}\Shell\AutoRun\command
Found ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9ee15fce-b261-11dd-aa9b-0016d3064fd9}\Shell\open\Command

################## [ ! End of report # FindyKill V4.720 ! ]

Comment est-ce que je peux virer les deux endroits du registre où il l'a encore trouvé ?

Est-ce que les scans de Findykill et un scan complet de malwarebyte sont suffisants pour déclarer mon système "propre" ?

Merci d'avance pour votre aide !

Cordialement,

Jonathan