virus bagle? Fermé

Question

Bonjour,
depuis quelque temps il m'est impossible d'activer mon antivirus (antivir). De même, le centre de sécurité windows ne s'active plus automatiquement (obligé de le faire en manuel en passant par outil d'administration).
J'ai désinstaller antivir en mode sans échec, installer avast pour voir mais rien n'y fait...toujours le même problème.
Après avoir utiliser findykill (option 1 puis 2), je rencontre toujours le même problème.
Je ne sais plus quoi faire :/ 
Si quelqu'un aurais une idée merci de bien vouloir me répondre.
je vous mets les rapports de findykill 
le premier :

############################## | FindyKill V5.022 |

# User : marc (Administrateurs) # MARC1
# Update on 24/12/2009 by Chiquitine29
# Start at: 13:46:04 | 29/12/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# AMD Sempron(tm) Processor 3000+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 6.0.2900.5512
# Windows Firewall Status : Enabled

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 58,59 Go (7,5 Go free) [Systeme & programmes] # NTFS
# D:\ # Disque fixe local # 127,71 Go (65,4 Go free) [Données & sauvegardes] # NTFS
# E:\ # Disque CD-ROM # 0 Mo (0 Mo free) [Audio CD] # CDFS
# J:\ # Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Program Files\HP\Smart Web Printing\hpswp_clipbook.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe

################## | C: |


################## | C:\WINDOWS |


################## | C:\WINDOWS\system32 |

Supprimé ! C:\WINDOWS\system32\autorun.inf  

################## | C:\WINDOWS\system32\drivers |


################## | C:\Documents and Settings\marc\Application Data |


################## | Autres suppressions ... |

################## | Temporary Internet Files |


################## | Registre / Clés infectieuses | 


################## | Etat / Services / Informations |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 ) 
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )  

################## | PEH ... |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # FindyKill V5.022 ! |

le second:

############################## | FindyKill V5.022 |

# User : marc (Administrateurs) # MARC1
# Update on 24/12/2009 by Chiquitine29
# Start at: 13:46:04 | 29/12/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# AMD Sempron(tm) Processor 3000+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 6.0.2900.5512
# Windows Firewall Status : Enabled

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 58,59 Go (7,5 Go free) [Systeme & programmes] # NTFS
# D:\ # Disque fixe local # 127,71 Go (65,4 Go free) [Données & sauvegardes] # NTFS
# E:\ # Disque CD-ROM # 0 Mo (0 Mo free) [Audio CD] # CDFS
# J:\ # Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Program Files\HP\Smart Web Printing\hpswp_clipbook.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe

################## | C: |


################## | C:\WINDOWS |


################## | C:\WINDOWS\system32 |

Supprimé ! C:\WINDOWS\system32\autorun.inf  

################## | C:\WINDOWS\system32\drivers |


################## | C:\Documents and Settings\marc\Application Data |


################## | Autres suppressions ... |

################## | Temporary Internet Files |


################## | Registre / Clés infectieuses | 


################## | Etat / Services / Informations |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 ) 
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )  

################## | PEH ... |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # FindyKill V5.022 ! |

Voila merci de m'avoir lu, si vous avez une idée n'hésitez pas.

Utilisateur anonyme · Answer

bonjour
Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

- http://images.malwareremoval.com/random/RSIT.exe

! Déconnecte toi et ferme toutes tes applications en cours !

* Double-clique sur RSIT.exe pour le lancer .
* Une première fenêtre s'ouvre avec en titre : Disclaimer of warranty .
* Devant l'option List files/folders created ... , tu choisis  2 months
* Clique ensuite sur Continue pour lancer l'analyse ...
* Laisse faire le scan et ne touche pas au PC ...
* Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).
* Héberge le contenu de log.txt (c'est celui qui apparait à l'écran), ainsi que de  info.txt ici.  
Clique sur parcourir
Une fois que tu as trouvé les rapports à héberger, clique sur ouvrir
Clique sur Cliquez ici pour déposer le fichier, puis donne le lien
qui apparait comme ceci http:/www.cijoint.fr/cjlink.php?file=cj200911/cijgAdC3Ch.txt

Note : les rapports seront en outre sauvegardés dans ce dossier C:\rsit

Utilisateur anonyme · Answer

Tu dois désactiver le TeaTimer de Spybot, car il va gêner les outils:
* Ouvre Spybot S&D
* Dans le menu Mode, séléctionne le mode avancé.
* Une fenêtre demande confirmation clique sur oui.
* Une fois le mode avancé actif, va dans l'onglet Outils.
* Clique sur Résident.
* La partie Résident comporte deux lignes qui sont normalement cochées :
=>Résident "SDHelper" (bloqueur de téléchargements nuisibles pour Internet Explorer) actif.
=>Résident "TeaTimer" (Protection des réglages système fondamentaux) actif
* Décoche la ligne TeaTimer.
* Redémarre Spybot (le fermer et le réouvrir)
* Retourne dans le menu Résident  et vérifie qu'il soit bien désactivé.

il y a une trace de la Crawler toolbar qui est néfaste

Télécharge Toolbar-S&D (Eric_71, Angeldark, Sham_Rock et XmichouX) sur ton Bureau.
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cpVobGk5bHnxrhQ4yaoEUDJvOYNnEGyYjgqHZz5GqZLfutR3fMFPlsC3-CGIilfupPAguYATNyua3csodN_frdMK8sSzUpit10Yac-QJCOkMqJKkbdKcP6ySs8trWPgoNVIq4TGGWCe6o0txXQv-ZueJF9vZzw3RXsGwFYIqN2lvF2LPdQzS8mE1d5kWOVOz6EMzQuE5-lClSJM869uq3oc7-t7yg%3D%3D&attredirects=3
http://eric71.geekstogo.com/tools/ToolBarSD.exe
!! Déconnecte toi et ferme toute tes applications en cours le temps de la manipe !! Désactive ton antivirus.
	
* Lance l'installation du programme en exécutant le fichier téléchargé.	
* Double-clique sur le raccourci de Toolbar-S&D.
* Sélectionne la langue souhaitée en tapant la lettre de ton choix, puis appuie sur la touche Entrée.
* Sélectionne l'option 1 (Recherche), puis appuie sur la touche entrée. Patiente jusqu'à la fin de la recherche.
* Poste le rapport généré. (C:\TB.txt)

Marc0757 · Answer

Hello, 
Merci pour ton aide :)
J'avais oublié de préciser qu'il m'est aussi impossible d'ouvrir Spybot s&d.
Est-il possible de le désactiver avec le gestionnaire des tâches? VTTimer.exe?
Bah, ece que j'essaye sans désactiver tea timer? 
D'ici 20 min je vais désactiver Vttimer.exe dans le gestionnaire des tâches et lancer Toolbar-S&D.
Encore merci.

edit:
Voila, je vien de lancer Toolbar-S&D.
Voici le rapport:
 -----------\  ToolBar S&D 1.2.9   XP/Vista

   Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
   X86-based PC ( Uniprocessor Free : AMD Sempron(tm) Processor 3000+ )
   BIOS : Phoenix - AwardBIOS v6.00PG
   USER : marc ( Administrator )
   BOOT : Normal boot
   Antivirus : AntiVir Desktop 9.0.1.26 (Not Activated)
   A:\ (USB)
   C:\ (Local Disk) - NTFS - Total:58 Go (Free:7 Go)
   D:\ (Local Disk) - NTFS - Total:127 Go (Free:65 Go)
   E:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
   J:\ (CD or DVD)

   "C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
   Option : [1] ( 29/12/2009|16:13 )

   -----------\  Recherche de Fichiers / Dossiers ...

   C:\Program Files\Crawler
   C:\Program Files\Crawler\Download
   C:\Program Files\Crawler\Toolbar
   C:\Program Files\Crawler\Toolbar\adrkeys.dat
   C:\Program Files\Crawler\Toolbar\Cache
   C:\Program Files\Crawler\Toolbar\COMMON_FF.dat
   C:\Program Files\Crawler\Toolbar\confirm.dat
   C:\Program Files\Crawler\Toolbar\ctbcomm.dll
   C:\Program Files\Crawler\Toolbar\CTConf.dat
   C:\Program Files\Crawler\Toolbar\CTipsDef.dll
   C:\Program Files\Crawler\Toolbar\CToolbar.exe
   C:\Program Files\Crawler\Toolbar\CUpdate.exe
   C:\Program Files\Crawler\Toolbar\firefox
   C:\Program Files\Crawler\Toolbar\Languages
   C:\Program Files\Crawler\Toolbar\lookfor.dat
   C:\Program Files\Crawler\Toolbar\majorse.dat
   C:\Program Files\Crawler\Toolbarootmenu.dat
   C:\Program Files\Crawler\Toolbar\services.dat
   C:\Program Files\Crawler\Toolbar\STWSGLanguageAct
   C:\Program Files\Crawler\Toolbar\svc_set.dat
   C:\Program Files\Crawler\Toolbar\TBR5LanguageAct
   C:\Program Files\Crawler\Toolbar\TempDir
   C:\Program Files\Crawler\Toolbar\update
   C:\Program Files\Crawler\Toolbar\WebSecurityGuard.dll
   C:\Program Files\Crawler\Toolbar\WSGData
   C:\Program Files\Crawler\Toolbar\Cache\COMMON
   C:\Program Files\Crawler\Toolbar\Cache\STERM
   C:\Program Files\Crawler\Toolbar\Cache\STWSG
   C:\Program Files\Crawler\Toolbar\Cache\COMMON\CLEANUP_CHBMP.dat
   C:\Program Files\Crawler\Toolbar\Cache\COMMON\CLEANUP_MENU.dat
   C:\Program Files\Crawler\Toolbar\Cache\COMMON\DIRLIST_CHBMP.dat
   C:\Program Files\Crawler\Toolbar\Cache\COMMON\DIRLIST_MENU.dat
   C:\Program Files\Crawler\Toolbar\Cache\COMMON\ECARDS_CHBMP.dat
   C:\Program Files\Crawler\Toolbar\Cache\COMMON\ECARDS_MENU.dat
   C:\Program Files\Crawler\Toolbar\Cache\COMMON\EMAIL_CHBMP.dat
   C:\Program Files\Crawler\Toolbar\Cache\COMMON\GAMES_CHBMP.dat
   C:\Program Files\Crawler\Toolbar\Cache\COMMON\GAMES_MENU.dat
   C:\Program Files\Crawler\Toolbar\Cache\COMMON\SHOP_CHBMP.dat
   C:\Program Files\Crawler\Toolbar\Cache\COMMON\SKINS_MENU.dat
   C:\Program Files\Crawler\Toolbar\Cache\COMMON\SPELL_CHBMP.dat
   C:\Program Files\Crawler\Toolbar\Cache\COMMON\TRAVEL_CHBMP.dat
   C:\Program Files\Crawler\Toolbar\Cache\COMMON\WAYBACK_CHBMP.dat
   C:\Program Files\Crawler\Toolbar\Cache\COMMON\WP_CHBMP.dat
   C:\Program Files\Crawler\Toolbar\Cache\COMMON\YP_CHBMP.dat
   C:\Program Files\Crawler\Toolbar\Cache\STERM\STERM_BMP.dat
   C:\Program Files\Crawler\Toolbar\Cache\STERM\STERM_CHBMP.dat
   C:\Program Files\Crawler\Toolbar\Cache\STERM\STERM_MENU.dat
   C:\Program Files\Crawler\Toolbar\Cache\STWSG\WSGBUTTON_BMP.dat
   C:\Program Files\Crawler\Toolbar\Cache\STWSG\WSGBUTTON_CHBMP.dat
   C:\Program Files\Crawler\Toolbar\Cache\STWSG\WSGBUTTON_MENU.dat
   C:\Program Files\Crawler\Toolbar\firefox\chrome
   C:\Program Files\Crawler\Toolbar\firefox\chrome.manifest
   C:\Program Files\Crawler\Toolbar\firefox\components
   C:\Program Files\Crawler\Toolbar\firefox\install.ini
   C:\Program Files\Crawler\Toolbar\firefox\install.rdf
   C:\Program Files\Crawler\Toolbar\firefox\chrome\crawlertbr.jar
   C:\Program Files\Crawler\Toolbar\firefox\components\xshared.dll
   C:\Program Files\Crawler\Toolbar\firefox\components\xshared.xpt
   C:\Program Files\Crawler\Toolbar\firefox\components\xsupport.dll
   C:\Program Files\Crawler\Toolbar\firefox\components\xsupport.xpt
   C:\Program Files\Crawler\Toolbar\firefox\components\xwsg.dll
   C:\Program Files\Crawler\Toolbar\firefox\components\xwsg.xpt
   C:\Program Files\Crawler\Toolbar\Languages\STWSG_CS.cab
   C:\Program Files\Crawler\Toolbar\Languages\STWSG_EN.cab
   C:\Program Files\Crawler\Toolbar\Languages\STWSG_ES.cab
   C:\Program Files\Crawler\Toolbar\Languages\STWSG_IT.cab
   C:\Program Files\Crawler\Toolbar\Languages\STWSG_PT-BR.cab
   C:\Program Files\Crawler\Toolbar\Languages\STWSG_PT.cab
   C:\Program Files\Crawler\Toolbar\Languages\TBR5_CS.cab
   C:\Program Files\Crawler\Toolbar\Languages\TBR5_EN.cab
   C:\Program Files\Crawler\Toolbar\Languages\TBR5_ES.cab
   C:\Program Files\Crawler\Toolbar\Languages\TBR5_IT.cab
   C:\Program Files\Crawler\Toolbar\Languages\TBR5_PT-BR.cab
   C:\Program Files\Crawler\Toolbar\Languages\TBR5_PT.cab
   C:\Program Files\Crawler\Toolbar\STWSGLanguageAct\info.ini
   C:\Program Files\Crawler\Toolbar\STWSGLanguageAct\language.ini
   C:\Program Files\Crawler\Toolbar\TBR5LanguageAct\info.ini
   C:\Program Files\Crawler\Toolbar\TBR5LanguageAct\language.ini
   C:\Program Files\Crawler\Toolbar\update\COMMON_FF.cab
   C:\Program Files\Crawler\Toolbar\update\ctbcomm.cab
   C:\Program Files\Crawler\Toolbar\update\ctbr.cab
   C:\Program Files\Crawler\Toolbar\update\CToolbar.cab
   C:\Program Files\Crawler\Toolbar\update\domains.cab
   C:\Program Files\Crawler\Toolbar\update\WebSecurityGuard.cab
   C:\Program Files\Crawler\Toolbar\WSGData\domains
   C:\Program Files\Crawler\Toolbar\WSGData\userData_S-1-5-21-4219280646-978366701-202566641-1005.dat
   C:\Program Files\Crawler\Toolbar\WSGData\wfilter.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_000.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_000_diff.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_001.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_001_diff.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_002.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_002_diff.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_003.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_003_diff.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_004.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_004_diff.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_005.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_005_diff.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_006.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_006_diff.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_007.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_007_diff.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_008.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_008_diff.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_009.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_009_diff.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_010.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_010_diff.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_011.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_011_diff.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_012.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_012_diff.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_013.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_013_diff.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_014.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_014_diff.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_015.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_015_diff.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_016.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_016_diff.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_017.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_017_diff.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_018.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_018_diff.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_019.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_019_diff.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_020.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_020_diff.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_021.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_021_diff.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_022.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_022_diff.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_023.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_023_diff.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_024.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_024_diff.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_025.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_025_diff.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_026.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_026_diff.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_027.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_027_diff.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_028.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_028_diff.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_029.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_029_diff.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_030.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\domains_030_diff.dat
   C:\Program Files\Crawler\Toolbar\WSGData\domains\index.dat
   C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\Crawler Toolbar
   C:\Program Files\Mozilla Firefox\searchplugins\crawlersrch.xml

   -----------\  Extensions

   (marc) - {20a82645-c095-46ed-80e3-08825760534b} => chrome_user
   (marc) - {3112ca9c-de6d-4884-a869-9855de68056c} => google-toolbar
   (marc) - {635abd67-4fe9-1b23-4f01-e679fa7484c1} => ytoolbar
   (marc) - {73a6fe31-595d-460b-a920-fcc0f8843232} => noscript


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\WINDOWS\system32\blank.htm"
   "Search Page"="https://www.bing.com/?fdr=lc&toHttps=1&redig=FA6AD360E0BE4C719380F8C470A3D3A8"
   "Search Bar"="http://www.bing.com/spresults.aspx"
   "Start Page"="https://www.msn.com/fr-fr/?ocid=iehp"
   "Prev Search Page"="https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC"
   "Prev Search Bar"="https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
   "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"


   --------------------\  Recherche d'autres infections

   C:\WINDOWS\Pack.epk
 
   C:\WINDOWS\System32\gedfpiksw.dat.ren
   C:\WINDOWS\System32\gedfpiksw_nav.dat.ren
   C:\WINDOWS\System32\gedfpiksw_navps.dat.ren
   C:\WINDOWS\System32\poqxbmksyj.dat.ren
   C:\WINDOWS\System32\poqxbmksyj_nav.dat.ren
   C:\WINDOWS\System32\poqxbmksyj_navps.dat.ren
   [b]==> EGDACCESS <==/b




   1 - "C:\ToolBar SD\TB_1.txt" - 29/12/2009|16:14 - Option : [1]

   -----------\  Fin du rapport a 16:14:02,15

Marc0757 · Answer

Bonjour,
Voila, je viens de relancer Toolbar-S&D option 2.
J'ai l'impression que mon pc est plus infecté que je le pensais. Si les procédures de formatage ne sont pas trop compliqué je vais m'y mettre. Je pense trouver de bon tuto par ici :).
Merci pour l'aide, voici le rapport :

   -----------\  ToolBar S&D 1.2.9   XP/Vista

   Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
   X86-based PC ( Uniprocessor Free : AMD Sempron(tm) Processor 3000+ )
   BIOS : Phoenix - AwardBIOS v6.00PG
   USER : marc ( Administrator )
   BOOT : Normal boot
   Antivirus : AntiVir Desktop 9.0.1.26 (Not Activated)
   A:\ (USB)
   C:\ (Local Disk) - NTFS - Total:58 Go (Free:7 Go)
   D:\ (Local Disk) - NTFS - Total:127 Go (Free:65 Go)
   E:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
   G:\ (USB)
   H:\ (USB)
   I:\ (USB)
   J:\ (CD or DVD)
   K:\ (USB)

   "C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
   Option : [2] ( 30/12/2009| 6:30 )

   -----------\ SUPPRESSION

   Supprime! - C:\Program Files\Crawler\Download
   Supprime! - C:\Program Files\Crawler\Toolbar
   Supprime! - C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\Crawler Toolbar
   Supprime! - C:\Program Files\Mozilla Firefox\searchplugins\crawlersrch.xml
   Supprime! - C:\Program Files\Crawler

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  Extensions

   (marc) - {20a82645-c095-46ed-80e3-08825760534b} => chrome_user
   (marc) - {3112ca9c-de6d-4884-a869-9855de68056c} => google-toolbar
   (marc) - {635abd67-4fe9-1b23-4f01-e679fa7484c1} => ytoolbar
   (marc) - {73a6fe31-595d-460b-a920-fcc0f8843232} => noscript


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\WINDOWS\system32\blank.htm"
   "Search Page"="https://www.bing.com/?fdr=lc&toHttps=1&redig=FA6AD360E0BE4C719380F8C470A3D3A8"
   "Search Bar"="http://www.bing.com/spresults.aspx"
   "Start Page"="https://www.msn.com/fr-fr/?ocid=iehp"
   "Prev Search Page"="https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC"
   "Prev Search Bar"="https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
   "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Start Page"="https://www.msn.com/fr-fr/"


   --------------------\  Recherche d'autres infections

   C:\WINDOWS\Pack.epk
 
   C:\WINDOWS\System32\gedfpiksw.dat.ren
   C:\WINDOWS\System32\gedfpiksw_nav.dat.ren
   C:\WINDOWS\System32\gedfpiksw_navps.dat.ren
   C:\WINDOWS\System32\poqxbmksyj.dat.ren
   C:\WINDOWS\System32\poqxbmksyj_nav.dat.ren
   C:\WINDOWS\System32\poqxbmksyj_navps.dat.ren
   [b]==> EGDACCESS <==/b




   1 - "C:\ToolBar SD\TB_1.txt" - 29/12/2009|16:14 - Option : [1]
   2 - "C:\ToolBar SD\TB_2.txt" - 30/12/2009| 6:31 - Option : [2]

   -----------\  Fin du rapport a  6:31:35,35

Jag · Answer

Salut,

Tu as plusieurs solutions ici:

https://www.commentcamarche.net/faq/2731-virus-kit-de-desinfection-pour-eradiquer-w32-beagle-mm-bagle

moment de grace · Answer

bonjour à vous deux

nat

# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 ) 


C:\WINDOWS\system32\krl32mainweq.dll...à priori TDSS

amicalement

Marc0757 · Answer

hello, 
merci jag pour le lien. Je vais jeter un œil  à tous ça et essayer quelques truc.
a+ ;)

moment de grace · Answer

Marc0757,

je t'invite à ne rien essayer car tu n"as forcément bagle dans ton cas

nathandre est formée pour te faire faire ce qu'il faut...attends son retour

(sourire)

Marc0757 · Answer

Ok, 
c'est vrai, mieux vaut que je m'abstienne de faire des choses que je ne comprend pas bien au risque de tout empirer. 
Je vais quand même lire quelques trucs à gauche à droite.
Merci.

Marc0757 · Answer

Bonjour nath,
voila le rapport de Navilog : 
Fix Navipromo version 4.0.5 commencé le 30/12/2009 14:58:38,84

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\Program Files
avilog1

Mise à jour le 10.11.2009 à 18h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Sempron(tm) Processor 3000+ )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : marc ( Administrator )
BOOT : Normal boot

Antivirus : AntiVir Desktop 9.0.1.26 (Not Activated)


A:\ (USB)
C:\ (Local Disk) - NTFS - Total:58 Go (Free:7 Go)
D:\ (Local Disk) - NTFS - Total:127 Go (Free:65 Go)
E:\ (CD or DVD)
G:\ (USB)
H:\ (USB)
I:\ (USB)
J:\ (CD or DVD)
K:\ (USB)


Recherche executée en mode normal 

Nettoyage exécuté au redémarrage de l'ordinateur


C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\system32\gedfpiksw.dat.ren supprimé !
C:\WINDOWS\system32\gedfpiksw_nav.dat.ren supprimé !
C:\WINDOWS\system32\gedfpiksw_navps.dat.ren supprimé !
C:\WINDOWS\system32\poqxbmksyj.dat.ren supprimé !
C:\WINDOWS\system32\poqxbmksyj_nav.dat.ren supprimé !
C:\WINDOWS\system32\poqxbmksyj_navps.dat.ren supprimé !


Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\marc\locals~1\Temp effectué !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok

Certificat Egroup supprimé !



*** Scan terminé 30/12/2009 15:01:01,51 ***

Marc0757 · Answer

Hello, 
voici le rapport RSIT, par contre il n'a ouvert que le fichier log.

http://www.cijoint.fr/cjlink.php?file=cj200912/cijmXxYgPx.txt

Marc0757 · Answer

Re,
j'ai quelques soucis, j'essaye d'executer ComboFix.exe mais il ne se lance pas et après quelques secondes tous les icones du bureau disparaissent. Il ne me reste plus qu'a redémarer.
Il m'est aussi toujours impossible d'activer l'antivirus et l'antispayware :/
Il y a aussi maintenant le virus Personal Security qui s'en donne à cœur joie :(
Le devoir m'appelle, il faut que je me prépare pour aller taffer. Je serais de retour vers 23h. Je referais quelques essais avec ComboFix.exe ce soir. 
 Merci pour l'aide, bonne soiré a+

Utilisateur anonyme · Answer

A ton retour
Supprime ComboFix
Retélécharge le, mais avant de le télécharger, clique sur enregistrer, et renomme le marc.exe, puis tu l'enregistres sur le bureau
Ensuite, tu essaieras de le lancer

Marc0757 · Answer

Salut, bonjour ;)
bonne nouvelle : après maintes péripéties ComboFix à réussi à se lancer.
Apparemment, il a résolu pas mal de problème. 
Personal Secur semble être éradiqué, je peut a nouveau activer mon antivirus et antispayware et les icônes du bureau ne disparaissent plus :) Je suis trop content, je n'y croyais plus.(grand merci pour l'aide, plein de biz pour le nouvel an :)
ComboFix a effectivement détecté des rootkit (j'ai noté le nom des fichiers sur papiers au cas ou). 
Je ne sais pas si il me reste encore des virus ou autre nuisibles mais voici le rapport :

ComboFix 09-12-30.01 - marc 31/12/2009   8:23.1.1 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1023.735 [GMT 1:00]
Lancé depuis: c:\documents and settings\marc\Bureau\marc.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\LOG.TXT
c:\program files\PersonalSec
c:\program files\PersonalSec\psecurity.exe
c:ecycler\S-1-5-21-343818398-308236825-839522115-1003
c:\windows\system32\drivers\H8SRTbuypdhurrj.sys
c:\windows\system32\H8SRTioetexkumy.dll
c:\windows\system32\H8SRTkvpxwskdqv.dll
c:\windows\system32\H8SRTmybwuiqrrc.dat
c:\windows\system32\H8SRTtpjeswqxwk.dll
c:\windows\system32\krl32mainweq.dll
c:\windows\system32\srcr.dat
c:\windows\system32\wiN32extension.dll
c:\windows\system32\xa.tmp
c:\windows\unins000.dat
c:\windows\unins000.exe

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_H8SRTd.sys
-------\Legacy_H8SRTd.sys


(((((((((((((((((((((((((((((   Fichiers créés du 2009-11-28 au 2009-12-31  ))))))))))))))))))))))))))))))))))))
.

2009-12-30 13:58 . 2009-12-30 14:01	--------	d-----w-	c:\program files\Navilog1
2009-12-29 15:12 . 2009-12-30 05:31	--------	d-----w-	C:\ToolBar SD
2009-12-29 14:38 . 2009-12-29 14:38	--------	d-----w-	c:\program files\Fichiers communs\PersonalSecUninstall
2009-12-29 14:05 . 2009-12-30 14:19	--------	d-----w-	c:\program files	rend micro
2009-12-29 14:05 . 2009-12-29 14:05	--------	d-----w-	C:sit
2009-12-29 13:28 . 2009-03-30 09:32	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2009-12-29 13:28 . 2009-02-13 11:28	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2009-12-29 13:28 . 2009-02-13 11:17	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2009-12-29 13:28 . 2009-12-29 13:28	--------	d-----w-	c:\program files\Avira
2009-12-29 13:28 . 2009-12-29 13:28	--------	d-----w-	c:\documents and settings\All Users\Application Data\Avira
2009-12-29 12:44 . 2009-12-29 13:23	--------	d-----w-	C:\FindyKill
2009-12-29 12:07 . 2009-12-29 12:07	152576	----a-w-	c:\documents and settings\marc\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
2009-12-29 12:07 . 2009-12-29 12:07	79488	----a-w-	c:\documents and settings\marc\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
2009-12-29 11:15 . 2009-12-29 11:15	--------	d-----w-	c:\documents and settings\marc\Application Data\Uniblue
2009-12-29 09:47 . 2009-12-29 09:47	664	----a-w-	c:\windows\system32\d3d9caps.dat
2009-12-22 01:12 . 2009-12-16 13:42	872960	----a-w-	c:\documents and settings\marc\Application Data\Mozilla\Firefox\Profiles\q9ksj9ow.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2009-12-22 01:12 . 2009-12-16 13:42	43008	----a-w-	c:\documents and settings\marc\Application Data\Mozilla\Firefox\Profiles\q9ksj9ow.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2009-12-22 01:12 . 2009-12-16 13:42	340480	----a-w-	c:\documents and settings\marc\Application Data\Mozilla\Firefox\Profiles\q9ksj9ow.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2009-12-22 01:12 . 2009-12-16 13:41	346624	----a-w-	c:\documents and settings\marc\Application Data\Mozilla\Firefox\Profiles\q9ksj9ow.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-29 13:33 . 2004-08-05 12:00	80856	----a-w-	c:\windows\system32\perfc00C.dat
2009-12-29 13:33 . 2004-08-05 12:00	500814	----a-w-	c:\windows\system32\perfh00C.dat
2009-12-29 12:08 . 2006-06-27 09:06	--------	d-----w-	c:\program files\Java
2009-12-29 11:27 . 2009-11-01 13:30	--------	d-----w-	c:\program files\Windows Live
2009-12-29 11:24 . 2006-01-28 13:38	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2009-12-29 11:24 . 2006-01-28 13:38	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-12-29 09:46 . 2007-04-28 22:24	--------	d-----w-	c:\program files\Driver Cleaner
2009-12-11 02:29 . 2009-01-03 14:21	--------	d-----w-	c:\program files\ma-config.com
2009-12-11 02:29 . 2009-01-03 14:21	--------	d-----w-	c:\documents and settings\All Users\Application Data\ma-config.com
2009-12-11 02:29 . 2006-11-03 20:26	--------	d-----w-	c:\program files\MSI
2009-12-11 02:29 . 2007-03-13 16:27	--------	d-----w-	c:\program files\eMule
2009-12-11 02:28 . 2002-12-31 23:44	--------	d--h--w-	c:\program files\InstallShield Installation Information
2009-12-11 02:28 . 2006-08-26 00:05	--------	d-----w-	c:\program files\Doom 3
2009-12-11 02:27 . 2006-04-03 20:39	--------	d-----w-	c:\program files\BitComet
2009-11-16 18:03 . 2003-02-05 05:53	18888	----a-w-	c:\documents and settings\marc\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-11-03 01:08 . 2009-11-03 01:08	--------	d-----w-	c:\program files\MSBuild
2009-11-03 01:08 . 2009-11-03 01:08	--------	d-----w-	c:\program files\Reference Assemblies
2009-11-02 12:28 . 2009-11-01 13:36	--------	d-----w-	c:\program files\Microsoft Silverlight
2009-11-01 13:33 . 2007-09-22 17:53	--------	d-----w-	c:\program files\Windows Live Toolbar
2009-11-01 13:33 . 2009-11-01 13:33	--------	d-----w-	c:\program files\Microsoft Sync Framework
2009-11-01 13:32 . 2009-11-01 13:32	--------	d-----w-	c:\program files\Microsoft SQL Server Compact Edition
2009-11-01 13:31 . 2009-11-01 13:31	--------	d-----w-	c:\program files\Microsoft
2009-11-01 13:31 . 2009-11-01 13:31	--------	d-----w-	c:\program files\Windows Live SkyDrive
2009-11-01 13:25 . 2009-11-01 13:25	--------	d-----w-	c:\program files\Fichiers communs\Windows Live
2009-10-29 05:25 . 2004-08-05 12:00	671232	----a-w-	c:\windows\system32\wininet.dll
2009-10-21 05:39 . 2004-08-05 12:00	75776	----a-w-	c:\windows\system32\strmfilt.dll
2009-10-21 05:39 . 2004-08-05 12:00	25088	----a-w-	c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-08-05 12:00	265728	----a-w-	c:\windows\system32\drivers\http.sys
2009-10-13 10:33 . 2004-08-05 12:00	271360	----a-w-	c:\windows\system32\oakley.dll
2009-10-12 13:39 . 2004-08-05 12:00	79872	----a-w-	c:\windows\system32aschap.dll
2009-10-12 13:39 . 2004-08-05 12:00	150528	----a-w-	c:\windows\system32astls.dll
2009-10-11 03:17 . 2008-12-11 20:11	411368	----a-w-	c:\windows\system32\deploytk.dll
2007-03-30 13:54 . 2007-03-30 13:54	702096	----a-w-	c:\program files\APR2007_d3dx10_33_x64.cab
2007-03-30 13:54 . 2007-03-30 13:54	56902	----a-w-	c:\program files\APR2007_xinput_x86.cab
2007-03-30 13:54 . 2007-03-30 13:54	100434	----a-w-	c:\program files\APR2007_xinput_x64.cab
2007-03-30 13:54 . 2007-03-30 13:54	699466	----a-w-	c:\program files\APR2007_d3dx10_33_x86.cab
2007-03-30 13:54 . 2007-03-30 13:54	199384	----a-w-	c:\program files\APR2007_XACT_x64.cab
2007-03-30 13:54 . 2007-03-30 13:54	1610998	----a-w-	c:\program files\APR2007_d3dx9_33_x64.cab
2007-03-30 13:54 . 2007-03-30 13:54	1610311	----a-w-	c:\program files\APR2007_d3dx9_33_x86.cab
2007-03-30 13:54 . 2007-03-30 13:54	155350	----a-w-	c:\program files\APR2007_XACT_x86.cab
2007-03-30 13:54 . 2007-03-30 13:54	45302	----a-w-	c:\program files\dxdllreg_x86.cab
2007-03-30 13:38 . 2007-03-30 13:38	85883	----a-w-	c:\program files\dxupdate.cab
2007-03-30 13:38 . 2007-03-30 13:38	77160	----a-w-	c:\program files\DSETUP.dll
2007-03-30 13:38 . 2007-03-30 13:38	503144	----a-w-	c:\program files\DXSETUP.exe
2007-03-30 13:38 . 2007-03-30 13:38	1673576	----a-w-	c:\program files\dsetup32.dll
2006-05-18 16:39 . 2006-05-18 16:39	31	----a-w-	c:\program files\doomargs.tmp
2004-09-27 10:29 . 2004-09-27 10:29	15493481	------w-	c:\program files\DirectX.cab
2004-09-27 10:29 . 2004-09-27 10:29	703080	------w-	c:\program files\BDA.cab
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VTTimer"="VTTimer.exe" [2004-10-22 53248]
"VTTrayp"="VTtrayp.exe" [2005-01-10 143360]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-03-11 49152]
"SoundMan"="SOUNDMAN.EXE" [2005-03-24 77824]
"DeathAdder"="c:\program files\Razer\DeathAdderazerhid.exe" [2007-09-07 159744]
"LiveMonitor"="c:\program files\MSI\Live Update 3\LMonitor.exe" [2008-04-30 498176]
"nwiz"="nwiz.exe" [2009-04-30 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-04-30 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-04-30 13750272]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Readereader_sl.exe [2004-12-14 29696]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
VIA RAID TOOL.lnk - c:\program files\VIA\RAIDaid_tool.exe [2003-1-1 565248]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@=""

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^LE COMPAGNON CLUB.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\LE COMPAGNON CLUB.lnk
backup=c:\windows\pss\LE COMPAGNON CLUB.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
2006-01-28 13:37	454144	----a-w-	c:\program files\SlySoft\AnyDVD\AnyDVD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Motive SmartBridge]
2006-04-21 13:41	438359	----a-w-	c:\progra~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 10:50	155648	----a-w-	c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2009-03-05 15:07	2260480	------w-	c:\program files\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TweakDUN]
2001-09-19 21:29	720896	----a-w-	c:\program files\TweakDUN	weakdun.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Windows Media Player\wmplayer.exe"=
"c:\Program Files\Mozilla Firefox\firefox.exe"=
"c:\Program Files\SiSoftware\SiSoftware Sandra Lite 2007.SP1\sandra.exe"=
"c:\Program Files\SiSoftware\SiSoftware Sandra Lite 2007.SP1\RpcSandraSrv.exe"=
"c:\Program Files\SiSoftware\SiSoftware Sandra Lite 2007.SP1\Win32\RpcDataSrv.exe"=
"c:\Program Files\Tremulous\tremulous.exe"=
"c:\Program Files\Steam\SteamApps\nancypsymud\half-life 2 deathmatch\hl2.exe"=
"c:\Program Files\Steam\Steam.exe"=
"c:\Program Files\Club-Internet\Assistance\UpdateHitachi\MAJ_Hitachi.exe"=
"c:\Program Files\UrbanTerror\ioUrbanTerror.exe"=
"c:\Program Files\Steam\SteamApps\nancypsymud\half-life\hl.exe"=
"c:\Program Files\Steam\SteamApps\nancypsymud\counter-strike source\hl2.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\WINDOWS\system32\PnkBstrA.exe"=
"c:\WINDOWS\system32\PnkBstrB.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9974:TCP"= 9974:TCP:BitComet 9974 TCP
"9974:UDP"= 9974:UDP:BitComet 9974 UDP
"4662:TCP"= 4662:TCP:BitComet 4662 TCP
"4662:UDP"= 4662:UDP:BitComet 4662 UDP

R0 a347scsi;a347scsi;c:\windows\system32\drivers\a347scsi.sys [07/05/2007 20:07 5248]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [29/12/2009 14:28 108289]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [01/11/2009 14:36 54752]
R3 DAdderFltr;DeathAdder Mouse;c:\windows\system32\drivers\dadder.sys [11/09/2008 17:40 22784]
S3 fsssvc;Service Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [05/08/2009 22:48 704864]
S3 XDva006;XDva006;\??\c:\windows\system32\XDva006.sys --> c:\windows\system32\XDva006.sys [?]
S3 XDva007;XDva007;\??\c:\windows\system32\XDva007.sys --> c:\windows\system32\XDva007.sys [?]
S3 XDva009;XDva009;\??\c:\windows\system32\XDva009.sys --> c:\windows\system32\XDva009.sys [?]
S3 ZDCndis5;ZDCndis5 Protocol Driver;\??\c:\windows\system32\ZDCndis5.SYS --> c:\windows\system32\ZDCndis5.SYS [?]
S4 a347bus;a347bus;c:\windows\system32\drivers\a347bus.sys [07/05/2007 20:07 160640]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
.
------- Examen supplémentaire -------
.
mWindow Title = 
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = 127.0.0.1
uSearchURL,(Default) = hxxp://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
IE: &Windows Live Search
IE: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
IE: Crawler Search
IE: Ouvrir dans un nouvel onglet d'arrière-plan - c:\program files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?5af7710ad0f948a5a523ffd907b53f62
IE: Ouvrir dans un nouvel onglet de premier plan - c:\program files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?5af7710ad0f948a5a523ffd907b53f62
Trusted Zone: com.tw\www.msi
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} - hxxp://liveupdate.msi.com.tw/autobios/LOnline/install.cab
DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - ProfilePath - c:\documents and settings\marc\Application Data\Mozilla\Firefox\Profiles\q9ksj9ow.default\
FF - prefs.js: browser.search.selectedEngine - Bing
FF - prefs.js: browser.startup.homepage - hxxp://fr.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?ei=utf-8&fr=megaup&p=
FF - component: c:\documents and settings\marc\Application Data\Mozilla\Firefox\Profiles\q9ksj9ow.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - plugin: c:\documents and settings\All Users\Application Data\id Software\QuakeLive
pquakezero.dll
FF - plugin: c:\documents and settings\marc\Application Data\Mozilla\Firefox\Profiles\q9ksj9ow.default\extensions\{bb628310-0ab7-11db-9cd8-0800200c9a66}\plugins
phardwaredetection.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
p-mswmp.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - true.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-Steam - (no file)
HKCU-Run-PersonalSec - c:\program files\PersonalSec\psecurity.exe
HKLM-Run-NWEReboot - (no file)
HKLM-Run-StandardInstall - (no file)
Notify-WgaLogon - (no file)
MSConfigStartUp-Veoh - c:\program files\Veoh Networks\Veoh\VeohClient.exe
AddRemove-HaaliMkx - c:\documents and settings\marc\Mes documents\Matroska Pack\haali\uninstall.exe
AddRemove-SatSignal runtime libraries_is1 - c:\windows\unins000.exe
AddRemove-PersonalSec - c:\program files\PersonalSec\psecurity.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-31 08:29
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3964)
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32
vsvc32.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\VTTimer.exe
c:\windows\SOUNDMAN.EXE
c:\windows\system32\RUNDLL32.EXE
c:\windows\system32\PnkBstrA.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Razer\DeathAdderazerofa.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Heure de fin: 2009-12-31  08:33:06 - La machine a redémarré
ComboFix-quarantined-files.txt  2009-12-31 07:33

Avant-CF: 7 645 589 504 octets libres
Après-CF: 7 809 777 664 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - BB6D5B36C6AC280B3A911D8B81DBE9E1

Marc0757 · Answer

Hello, 
je vien de rentré du taff, on a trainés un peu appérot oublige :=).
J'avais lancer un scan avant de partir avec antivir, pas de virus détecté.
Voici le RSIT:

http://www.cijoint.fr/cjlink.php?file=cj200912/cijRogekzg.txt

Marc0757 · Answer

Re,
scan terminé, voici le rapport : 

Malwarebytes' Anti-Malware 1.43
Version de la base de données: 3462
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

31/12/2009 16:38:23
mbam-log-2009-12-31 (16-38-23).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 180972
Temps écoulé: 32 minute(s), 5 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 17

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servises (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\The Weather Channel (Adware.Hotbar) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Documents and Settings\All Users\Menu Démarrer\PersonalSec (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
C:\Program Files\Fichiers communs\PersonalSecUninstall (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Qoobox\Quarantine\C\Program Files\PersonalSec\psecurity.exe.vir (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\H8SRTioetexkumy.dll.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\win32extension.dll.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\H8SRTbuypdhurrj.sys.vir (Malware.Packer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{42DEB7D4-4830-4048-B7F4-8ECEA6CB7871}\RP922\A0740401.sys (Malware.Packer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{42DEB7D4-4830-4048-B7F4-8ECEA6CB7871}\RP922\A0740403.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{42DEB7D4-4830-4048-B7F4-8ECEA6CB7871}\RP922\A0740442.exe (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{42DEB7D4-4830-4048-B7F4-8ECEA6CB7871}\RP922\A0740444.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Menu Démarrer\PersonalSec\Computer Scan.lnk (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Menu Démarrer\PersonalSec\Help.lnk (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Menu Démarrer\PersonalSec\Personal Security.lnk (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Menu Démarrer\PersonalSec\Registration.lnk (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Menu Démarrer\PersonalSec\Security Center.lnk (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Menu Démarrer\PersonalSec\Settings.lnk (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Menu Démarrer\PersonalSec\Update.lnk (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
C:\Program Files\Fichiers communs\PersonalSecUninstall\Uninstall.lnk (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
C:\Documents and Settings\marc\Application Data\Microsoft\Internet Explorer\Quick Launch\PersonalSec.lnk (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.


Apparemment rogue, rootkit et malware éradiqués. 
Je penses aussi lancer un scan avec Spybot Search&Destroy sous peu.

Marc0757 · Answer

Re,
la quarantaine de Malwarebytes est vide.
J'ai lancer un scan avec Spybot : aucun mouchard détecté, puis j'ai vacciné.
C'est vrai que dans le rapport malwarebytes' anti-malware il y a des clés de registre et des dossiers infectés. J'éspère que ça ne poseras pas de problème.

Utilisateur anonyme · Answer

Il va falloir procéder à un script, car il reste bien des éléments néfastes, ton PC doit être aseptisé entièrement

Il faudra me refaire un RSIT

Marc0757 · Answer

Voila,
je viens de refaire un RSIT :

http://www.cijoint.fr/cjlink.php?file=cj200912/cij6ool6jj.txt

Par contre je n'est pas encor réussi à faire analyser les 2 fichiers XDva. Je ne les ai pas encore trouvés :/ 
Je manque de connaissances, j'ai bien repéré le chemin pour aller dans système 32 me reste plus qu'à les trouver. Peut-être avec .sys

Utilisateur anonyme · Answer

salut M@thew
Tu as vu, j'en reviens pas, je peux pas faire mieux le premier message de V/S de 2010
BONNE ANNEE A TOI AUSSI

Marc0757 · Answer

Hello,
Bonne année à tous, meilleurs vœux et bravo à Comment ça marche ! : )
Il y a quelques temps j'avais déjà réussi à me débarrasser de rootkit en trouvant des infos bien utiles sur le sites. Mais cette fois j'avoue être dépassé par les problèmes rencontrés.  

Bah, un grand merci pour l'aide nathandre, j'avais posté un peu en désespoir de cause et au final on à réussi à résoudre pas mal de problème.
Apparemment, il reste encore des fichiers infectés.
Je ne sais pas quel outil utiliser pour m'en débarrasser. 
Refaire un scan avec Malwarebytes?
Peut-être avec Chaos Shredder pour les fichiers qui resistent?

J'espère que mon topic pourra être passé dans les cas résolu : )
Voila je vais continuer à me documenter un peu et je patiente.
A+

Utilisateur anonyme · Answer

bonjour et bonne année

Tu dois afficher les fichiers et dossiers cachés
Démarrer, Poste de travail
Clique sur outils
Sélectionne options de dossier
Va dans l'onglet affichage
Coche afficher les fichiers et dossiers cachés, puis OK

puis essaye de trouver ce fichier, et analyse le sur Virus Total
C:\WINDOWS\system32\XTrapD12.sys

Virus bagle?

22 réponses

Discussions similaires