HELP: Bagle Kx - nettoyé mais réapparaît!

Wouah, quelle avalanche de conseils finaux! Super, ça me fera de la lecture pour ces soirées d'hiver ,avec le retour de la neige... Je vais lire tout ça tranquillement et bookmarker ces pages.

Pour l'antivirus, je sais bien qu'on dit toujours qu'il n'en faut qu'un seul, et je comprends pourquoi, mais d'un autre côté, on nous conseille l'un, puis l'autre, et visiblement ils ne détectent pas tous les mêmes menaces. Du coup on est tenté d'en utiliser plusieurs, par sécurité. Mais je vais me décider, soit je garde AVG, soit j'installe l'autre que tu m'avais conseillé.

Le firewall, je vais en installer un, je sais qu'on ne peut pas se contenter de celui de Windows. Je dois dire que j'ai accès à Internet par un routeur, qui en principe contient une protection fireware hardware, mais je dois vérifier si c'est toujours le cas (je suis passé récemment de l'ADSL par routeur Zyxel à Internet par le câble avec un routeur qui est plutôt un simple switch, il me semble). Quoi qu'il en soit, tu conseilles d'avoir toujours un firewall software ?

Bon je vais arrêter avec mes questions, avec tout ce que tu m'as donné à lire je devrais trouver plein de réponses, et tu as sans doute d'autres personnes à aider (dors aussi de temps en temps!)

Et c'est entendu, si j'ai d'autres problèmes ou questions, je viendrai volontiers par ici pour voir si tu y es toujours!
Bon vent à toi!
Hakku

PS: ARGH, il fallait bien un petit bug pour que je ne puisse pas aller dormir l'esprit tranquille... En allant cliquer sur un des liens que tu m'as donnés, un fichier PDF, j'ai à nouveau mon bug PDF, cette fois avec un message d'erreur "Could not launch Acrobat". Alors qu'il y a quelques minutes ça marchait...

Je me demande à quoi c'est lié. La seule chose qui ait changé entre le moment où ça marchait et maintenant, je crois que c'est l'ouverture d'Acrobat Reader (quand tu m'as demandé de vérifier la version... je l'ai ouvert, vérifié la version dans Aide, puis refermé...). En résumé, je pouvais ouvrir des PDF sans problème, mais une fois Acrobat Reader ouvert puis refermé, ça ne marche plus. Donc le problème a bien l'air lié à l'installation de cette nouvelle version, non? Mais ne te sens pas obligé de répondre, surtout pas ce soir. Au pire ma foi je réinstalle l'ancienne version. Ou alors je vérifie que j'ai bien téléchargé toutes les mises à jour; la dernière fois que j'ai eu ce problème, je crois que c'était comme ça que je l'avais résolu.

Bizarre, vraiment, mais je ne vais pas chercher la solution maintenant, je vais aller dormir...

Bonjour nono et merci de t'intéresser à mon souci! Oui j'ai essayé en mode sans échec (cf. mon message): malheureusement, comme la dernière fois en juillet dernier, le mode sans échec cesse de fonctionner à cause du virus (j'obtiens un écran bleu lors d'un démarrage en safe mode). J'ai aussi tenté une restauration système, le processus a lieu mais à la fin, un message me dit que la restauration a échoué et qu'aucun fichier n'a été modifié.
Ce sont les mêmes symptômes que lors de ma première infection Bagle! L'outil W32.Beagle@mm/Trojan Tooso Fix Tool, que j'ai trouvé sur Secuser.com contre Bagle, me dit que "W32 Beagle, Trojan Tooso have NOT BEEN FOUND on your computer", mais Elibagla a bien détecté Bagle. Tout comme d'autres utilisateurs ici, je dois redémarrer l'ordinateur après le scan Elibagla, et là il redétecte le virus.

Lorsque j'ai nettoyé le virus il y a 6-7 mois avec l'aide d'un pro sur un autre forum, nous avons dû désactiver différents services Windows, effacer certains fichiers avec la Killbox, etc. J'ai pris des notes et je peux essayer de recommencer, mais c'est vraiment pas simple à refaire et j'ai peur de faire une bêtise (l'informaticien m'avait dit exactement quels fichiers effacer avec la Killbox, sur la base de mon rapport HiJackThis entre autres - on avait aussi utilisé DiagHelp p.ex.), mais justement je ne peux pas faire de nouveau rapport HiJackThis pour le moment). C'est à se cogner la tête contre les murs, chaque problème appelle une nouvelle solution qui se heurte à un nouveau problème...

Mon problème c'est de savoir par où commencer, je peux essayer de tâtonner sur la base des notes que j'avais prises, mais comment éviter une erreur, sans HiJackThis et sans l'aide d'un pro?

Si jamais, j'avais notamment pris note de ceci, peut-être que ça vous aidera?

- L'informaticien m'a fait supprimer certaines clés dans Regedit; l'une d'elles ne se supprimait pas, ce qui était un indice de la présence du virus en activité (fichier m_hook.exe je crois)
- après avoir utilisé EliBaglA vider la restauration système (la désactiver, redémarrer puis la réactiver, ce qui supprime les anciens points de restauration, probablement infestés par le virus)
- pour faire fonctionner le Safe Mode, nous avons procédé ainsi : fichier SafeBoot.reg téléchargé pour réparer le mode sans échec de Windows XP SP2 (spécifiquement pour ce système d'exploitation); fichier trouvé sur un site lié à EliBaglA. Double-cliquer sur ce fichier .reg, avec l'option Fusionner , ce qui fusionne le contenu du fichier à la base de registre): le mode sans échec fonctionnera à nouveau au prochain démarrage

Et l'informaticien avait noté ça dans son "rapport de fin" :
"Ce qui compliquait les choses, c'est que ce virus a réussi à se placer en kernel mode, créant un fichier
pilote système, chargé avant les autres éléments tels qu'antivirus, pare-feu, de façon à pouvoir garantir
son intégrité."

Merci encore! J'ai une chance d'y arriver vous croyez?
Hakku1979

Salut Jorginho67!

Tout d'abord un immense merci de prendre la peine de me répondre avec tant de détails. J'ai imprimé tes instructions et je vais m'y attaquer maintenant. Je précise toutefois que j'ai déjà utilisé Elibagla (cf. ma question, qui est un peu longue et touffue, désolé); je vais essayer de le faire en Safe Mode, ça ira mieux peut-être. En effet, mon scan Elibagla (avant ta réponse) a bien détecté Bagle, il prétend avoir détruit les fichiers infectés, mais ensuite je dois redémarrer le système et le virus est apparemment à nouveau détecté par Elibagla, au démarrage. Je vais voir si je m'en sors mieux en suivant tes instructions. Puis je posterai le résultat ici.

Je précise une bonne nouvelle dans la masse de problèmes qui m'est tombée dessus: j'ai au moins réussi à faire fonctionner à nouveau le Safe Mode, en téléchargeant un petit fichier qui répare la base de registres. Pour ceux que ça intéresse, je l'explique dans mon post précédent. C'est bien utile, car sans Mode sans échec, difficile de réparer un PC...

Par contre mon antivirus et tous les programmes de sécurité ne fonctionnent pas, comme tu l'as deviné. Bagle est donc toujours actif.

Si tu as le temps, lis peut-être mes posts précédents, je donne pas mal de détails qui pourront t'intéresser ou t'aider à trouver la solution. Ce sont des notes prises lors du premier nettoyage de Bagle, qui avait infecté mon PC en juillet 2007. Avec l'aide d'un pro sur un forum d'assistance, on avait fini par tordre le cou à Bagle, mais ça a été long et pénible, et surtout il me semble que Bagle a laissé une trace, puisqu'il ressurgit tout à coup plusieurs mois plus tard. A moins que je l'aie à nouveau attrapé en ligne ? Est-ce qu'AVG n'arrive pas à le détecter? Normalement je vérifie tout avec AVG, je suis le plus prudent possible sur Internet et j'ai plusieurs programmes de sécurité/nettoyage etc. Peut-être que j'en ai trop, en fait...

Voilà, je m'arrête là pour le moment, et je donnerai bientôt le résultat du nettoyage suivant tes instructions. J'espère que ça marchera! Quoi qu'il en soit, merci encore!
Hakku1979

Salut!

Pardon pour les quelques jours de silence, j'ai dû m'absenter, mais me voici de retour pour m'attaquer à Bagle avec ton aide ou votre aide, si vous êtes plusieurs à pouvoir m'aider. Merci encore!

Je viens de suivre tes instructions pour utiliser EliBaglA correctement. J'ai donc fait 3 scans de suite, en mode Sans échec. Et j'ai envoyé le fichier à l'adresse e-mail demandée par le programme. Il me faut maintenant attendre qu'une nouvelle version du programme soit créée, si j'ai bien compris, sur la base de mon mail et du fichier joint.

Par contre j'ai dû redémarrer le système (même si tu m'avais précisé de ne pas le faire après le scan Elibagla), car j'étais en Safe Mode, et pour utiliser mon mail ou Internet, je ne peux pas rester en Safe mode. Du coup j'imagine que tous les fichiers éliminés sont de retour sur mon système...

Je vais voir si je trouve un fichier qui serait responsable de l'infection, et si je trouve le coupable, je l'effacerai aussitôt. Mais comment savoir quel est le fichier en cause?

En attendant la réponse d'Elibagla, je peux préciser que le programme a trouvé environ 2 fichiers infectés lors de mon premier scan (fichiers effacés/nettoyés par le programme) et 0 fichier infesté lors des 2 scans suivants. Le programme Elibagla a aussi trouvé lui-même 3 fichiers infestés, grâce à son mode "action directe" (en ouvrant Elibagla, avant même de faire un scan).

Maintenant si je retourne dans Elibagla les mêmes fichiers seront à nouveau infestés, en principe... Donc je dois bien avoir un ver/virus quelque part sur un fichier, et je ne sais pas trop comment le localiser.

Espérons que ça marchera... Je suis preneur si vous avez d'autres conseils!
Merci à tous
Hakku1979

Super tu es en ligne!

Oui j'ai ce fichier, je l'ai déjà consulté, c'est un log des (nombreux) scans que j'ai faits avec EliBagla.

Je te le copie ici ? (il y a de nombreuses répétitions! ça risque de prendre un peu de place).
Et puis signes d'espoir :

1) j'ai localisé un petit logiciel stupide que je soupçonne d'être à l'origine du ver, un shareware
2) je l'ai désinstallé, effacé les fichiers d''installation
3) scan EliBaglA juste après : aucun fichier infesté détecté cette fois, pour la première fois! Est-ce que ça a un rapport avec cette désinstallation, ou est-ce que c'est parce que j'ai envoyé le mail à Elibagla ? A voir...

Par contre mon antivirus AVG ne fonctionnant toujours pas, je viens de le désinstaller. Là je vais faire un reboot de mon système et tenter de réinstaller AVG. Si par bonheur ça marche, je pense que Bagle est en train de perdre du terrain. Mais j'imagine que ça ne s'installera pas, tant que je n'aurai pas reçu la réponse à mon mail Elibagla.

Dis-moi si je dois te copier ici tout le fichier Infosat, ou juste une partie (ça se répète).

Merci encore! Je fais un reboot et je reviens en ligne
Hakku1979

Voici une partie du fichier Infosat (les plus récents scan)

Si tu as besoin de plus, j'enverrai en plusieurs posts.
Là je suis en train de télécharger la dernière version d'AVG Free, et si possible je l'installe à nouveau (ça ne marchera pas si Bagle est toujours actif). Je doute que Bagle soit vraiment déjà nettoyé, ça me paraît trop facile... La dernière fois on avait dû supprimer des fichiers en cours d'utilisation grâce à KillBox etc.

Je suppose qu'AVG Free est un peu trop faible comme antivirus. En effet sur le site AVG on voit bien que la version Free ne détecte que le strict minimum, les virus, mais pas les Rootkit, par exemple, or dans Infosat tu verras que Bagle est venu notamment sous la forme d'un Rootkit...

Tu utilises quoi comme antivirus, toi ?

Merci et à tout de suite

------------------

Fri Mar 14 00:49:45 2008
EliBagle v11.14 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.14
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

Fri Mar 14 01:44:00 2008
EliBagle v11.14 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.14
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

Fri Mar 14 04:27:12 2008
EliBagle v11.14 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.14
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

Fri Mar 14 22:33:11 2008
EliBagle v11.14 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.14
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Reinicie para Completar la Limpieza.

Mon Mar 17 23:24:38 2008
EliBagle v11.14 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.14
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle

Mon Mar 17 23:26:10 2008
EliBagle v11.14 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\MDELK.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\2069053156.EXE --> Eliminado Bagle

Nº Total de Directorios: 13150
Nº Total de Ficheros: 128629
Nº de Ficheros Analizados: 14352
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2

Mon Mar 17 23:44:40 2008
EliBagle v11.14 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Mon Mar 17 23:44:51 2008
EliBagle v11.14 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 13150
Nº Total de Ficheros: 128627
Nº de Ficheros Analizados: 14350
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Mon Mar 17 23:52:28 2008
EliBagle v11.14 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 13150
Nº Total de Ficheros: 128627
Nº de Ficheros Analizados: 14350
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Tue Mar 18 00:11:57 2008
EliBagle v11.14 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Tue Mar 18 00:36:52 2008
EliBagle v11.14 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Tue Mar 18 00:36:56 2008
EliBagle v11.14 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 13129
Nº Total de Ficheros: 127173
Nº de Ficheros Analizados: 14315
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

PS: pour AVG on va voir dans quelques minutes si ça remarche ; AdAware fonctionne (je suis en train de faire un scan). Par contre d'autres programmes de sécurité/nettoyage ont encore des problèmes, liés à Bagle en principe. C'est le cas de HiJackThis notamment (j'aimerais t'envoyer un rapport HiJackThis) : ça refuse de se lancer (message "n'est pas une application Win32 valide, comme pour AVG avant).

Avira Antivir? C'est nouveau? C'est la première fois que j'en entends parler! Je vais le télécharger (je suppose qu'il faudra désinstaller AVG, il paraît qu'il faut éviter d'avoir 2 antivirus en même temps).

Je pense que tu es allé dormir, ne t'excuse pas, c'est déjà sympa de m'avoir répondu si tard!

Tu dis que le rapport a l'air bon pour Elibagla ? Super!

Quand tu reviendras en ligne, dis-moi peut-être ce que je dois faire pour HiJackThis (télécharger une nouvelle version? réinstaller?). J'aimerais bien que ça fonctionne à nouveau, si jamais j'ai un problème un jour, tous les forums demandent un rapport HiJackThis!

Bonne nouvelle : AVG (version la plus récente) s'est installé sans problème! Donc pour le moment tout a l'air de remarcher, ouf! (à part HiJackThis). Je serai prudent, encore plus qu'avant...

Dernière question: je vais sans doute recevoir une réponse d'Elibagla (pour le mail que j'ai envoyé avec le fichier demandé par le programme après le scan). Est-ce que je devrai faire quelque chose, ou bien je m'arrête là?

Merci pour tout et à demain peut-être!
Hakku1979

Merci d'être resté réveillé! Là c'est moi qui dois aller me coucher. Je suis en train de faire un scan complet avec AVG, qui a détecté des menaces. Curieusement, elles ont l'air placées dans Elibagla et dans d'autres outils de prévention; je me demande si ce ne sont pas simplement des traces ou des logs de Bagle, après la détection/nettoyage. Je trouve bizarre en tout cas de trouver un virus/back door dans Elibagla (dans le fichier antivirus lui-même!).

Peut-être que je devrai effacer certains fichiers pour compléter le nettoyage... Je verrai tout ça à la fin du scan, mais plutôt demain. Je verrai ce que propose AVG, puis j'utiliserai la méthode que tu suggères, qui est assez longue encore je crois.

Juste pour que tu saches, pour le moment le virus détecté par AVG est le suivant: Trojan BackDoor VB.AEV

Encore un peu de boulot pour demain, visiblement...
Bonne nuit!
Hakku1979

Me revoilà pour en finir avec Bagle et lui tordre le cou, s'il est encore là! Je vais voir ce que je peux faire avec Combo, selon tes conseils. Mais ça me fait un peu souci, en lisant plus bas à propos de Combo, il y a des messages inquiétants du genre "si votre connexion Internet ne fonctionne plus après l'utilisation de Combo" ... Je peux y aller sans crainte? Car pour le moment le PC marche plutôt bien. Mais s'il faut passer par là pour que Bagle soit vraiment éliminé... à l'attaque!

Voilà Combo est téléchargé, j'ai lu ton mode d'emploi. Mais vraiment, il y a un risque qu'on ne puisse plus aller sur Internet après? le mode d'emploi le dis, et toi tu glisses un petit "si tu le peux encore"... Car si ça foire et qu'Internet ne marche plus, je ne pourrai même plus venir ici te demander de l'aide! Pourquoi Internet ne fonctionnerait plus? Que faire pour éviter ça ? Car pour le moment mon Internet marche très bien, pas envie de tout ficher en l'air!

Je vais me lancer, en veillant à me déconnecter avant de lancer Combo. J'imagine que ça ne sert à rien de faire une sauvegarde Restauration Windows, car Bagle contamine ça aussi (d'ailleurs dis-moi si je dois nettoyer System Restore, en désactivant, reboot Windows puis réactiver System Restore... j'ai lu ça quelque part, et hier en scannant avec AVG j'ai effectivement vu des trucs qui ressemblaient fort à une infection du System Restore...).

Mon problème avec mon niveau de connaissances informatiques c'est que j'ai toujours un doute sur l'ordre dans lequel il faut faire les choses. Je veux dire par là, si je nettoie System Restore maintenant, est-ce que ça a la même efficacité que si je fais d'abord Combo, puis nettoyer la Restauration ? Tu comprends ma question? Est-ce que l'ordre des opérations de nettoyage est important ? Et comment sait-on par quoi commencer ?

Dernière question importante : les fichiers que j'ai sur des disques durs externes risquent-ils de me ramener Bagle ? Suffit-il de faire un bon scan de tous mes disques externes ? Faut-il utiliser Combo aussi sur les disques externes ?

Merci pour tout, je t'envoie mon rapport Combo dès que je l'ai, si Internet marche toujours (sinon je te l'envoie par pigeon voyageur!) ;-)

Oui pardon j'aurais dû y penser avant. Enfin cela dit hier en scannant avec AVG j'ai scanné toutes les partitions de mon PC (mais pas le disque dur externe).
Je ferai au mieux, en étant très prudent avec mon disque externe.

Et puis bonne nouvelle, je viens de retélécharger HiJackThis et ça marche, contrairement à avant! Bagle perd du terrain, de plus en plus...

Je viens de vouloir lancer Combo mais j'obtiens un message d'erreur, me disant que la copie de Combo est expirée. Peut-être parce que j'ai utilisé le lien que tu m'as donné hier. C'est aussi mis à jour chaque jour ? Tu me donnes un lien ou bien je trouve tout seul en tapant Combofix dans google ? Ca refuse de se lancer en tout cas pour le moment, en me disant que la date actuelle est le 19.3.2008 et que ma copie est expirée. Puis ça se ferme et le programme disparaît du bureau....

Encore deux petits trucs concernant ComboFix, qui a décidément l'air d'être un drôle de gulu :

1) (sur CommentCaMarche, mais en février 2007)

attention ceci est tres important

a tous ceux qui aide ne faite plus utiliser le prog combofix
un rooktit a modifie sa detection et met quasi tous vos prog comme nefaste et ensuite hs

cette info vient du concepteur de combofix
recuperer sur forum avec section priver donc je ne peut pas vous mettre de lien
a++



2) sur un autre forum, en réponse à quelqu'un qui ne pouvait pas utiliser ComboFix pour un problème de version expirée comme moi, le 19 du mois aussi :

CF will cease to function on the 19th unless sUBs uploads a fresh copy.
Just a warning. And the Beta will timeout on the 20th of November. So we just wait to see if he updates!

Thats all thats posted in our private room from HJT experts !

oui c'est fait, j'avais vu ailleurs qu'il faut renommer ComboFix en combo-fix pour s'attaquer à Bagle. C'est fait, téléchargé, je vais voir si maintenant le programme démarre...

Désolé pour tout le temps que je te fais perdre!

Merci pour le compliment. Ce qui m'intrigue à chaque fois que je nettoie un virus avec de l'aide sur un forum, c'est tout d'abord de savoir qui es-tu, toi et les autres gars super pro qui aident les autres pendant des heures? C'est ton métier? Trop sympa en tout cas!

Et puis une autre question que je me pose, c'est est-ce que je pourrai un jour me débrouiller seul, sans avoir fait d'études d'informaticien, avec les connaissances que j'acquiers lors de nettoyages comme celui-ci, ou bien est-ce qu'à chaque fois il faut aller demander de l'aide sur un forum? Je veux dire par là, un outil comme ComboFix, est-ce que je peux le réutiliser une autre fois, ou bien seulement lorsqu'un pro me dit de le faire ? Apparemment c'est un outil puissant et risqué...

Je viens de faire le scan ComboFix en tout cas. Je vais redémarrer Windows avant de t'envoyer le rapport. La connexion Internet marche mais je trouve le système très lent, je préfère faire un reboot.

A tout à l'heure

Voici le log ComboFix, j'espère que ça rentre, c'est long... Tu en retires quelque chose ?
Merci encore!

-----------

ComboFix 08-03-18.1 - David 2008-03-19 21:33:53.1 - NTFSx86
Endroit: C:\Documents and Settings\David\Bureau\combo-fix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\drivers\down
C:\WINDOWS\system32\drivers\down\2069049406.exe
C:\WINDOWS\system32\drivers\down\2069050046.exe
C:\WINDOWS\system32\drivers\down\2069052390.exe
C:\WINDOWS\system32\drivers\down\2069054906.exe
C:\WINDOWS\system32\drivers\down\2069061890.exe
C:\WINDOWS\system32\drivers\down\2069066625.exe
C:\WINDOWS\system32\drivers\down\2069116968.exe
C:\WINDOWS\system32\drivers\down\2069124421.exe
C:\WINDOWS\system32\drivers\down\2069126515.exe
C:\WINDOWS\system32\drivers\down\2069128875.exe
C:\WINDOWS\system32\drivers\down\2069132093.exe
C:\WINDOWS\system32\drivers\down\2069143718.exe
C:\WINDOWS\system32\drivers\down\2069168656.exe
C:\WINDOWS\system32\drivers\down\2069169375.exe
C:\WINDOWS\system32\drivers\down\2069171234.exe
C:\WINDOWS\system32\drivers\down\2069187437.exe
C:\WINDOWS\system32\drivers\down\2069220468.exe
C:\WINDOWS\system32\drivers\down\2069238718.exe
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\plugin1.dat
C:\WINDOWS\system32\pthreadVC.dll
C:\WINDOWS\system32\SysPr.prx
C:\WINDOWS\system32\wanpacket.dll
C:\WINDOWS\system32\wpcap.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_M_HOOK
-------\Legacy_NPF
-------\Legacy_SROSA
-------\Legacy_WINDOWS_LOG
-------\Service_NPF
-------\Service_poof
-------\Service_Windows Log


((((((((((((((((((((((((((((( Fichiers créés 2008-02-19 to 2008-03-19 ))))))))))))))))))))))))))))))))))))
.

2008-03-18 01:36 . 2008-03-18 01:36 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-03-15 00:43 . 2008-03-15 00:44 <REP> d-------- C:\Program Files\Encodeur CRFJ Fouch‚
2008-03-15 00:43 . 2008-02-05 13:46 7,876,096 --a------ C:\WINDOWS\system32\ffmpeg.exe
2008-03-15 00:43 . 2008-02-05 13:29 88,379 --a------ C:\WINDOWS\system32\pthreadGC2.dll
2008-03-14 22:58 . 2008-03-14 22:58 <REP> d-------- C:\Program Files\Bonjour
2008-03-14 22:46 . 2008-03-14 22:46 <REP> d-------- C:\Program Files\Fichiers communs\Macrovision Shared
2008-03-14 02:56 . 2008-03-14 02:56 <REP> d-------- C:\Documents and Settings\All Users\Application Data\FLEXnet
2008-03-14 02:08 . 2008-03-14 02:08 <REP> d-------- C:\Documents and Settings\David\.DownloadManager
2008-03-14 01:01 . 2008-03-14 01:47 <REP> d-------- C:\Program Files\Anti-Lost CD Ejector
2008-03-13 14:35 . 2008-03-18 04:38 <REP> d-------- C:\Muestras
2008-03-13 02:55 . 2008-03-13 02:55 <REP> d-------- C:\Program Files\AxBx
2008-03-12 23:46 . 2008-03-12 23:46 <REP> d-------- C:\Program Files\MediaInfo

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-19 17:39 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-03-18 00:48 --------- d-----w C:\Documents and Settings\David\Application Data\AVG7
2008-03-18 00:48 --------- d-----w C:\Documents and Settings\All Users\Application Data\avg7
2008-03-17 23:53 --------- d-----w C:\Documents and Settings\LocalService\Application Data\AVG7
2008-03-14 23:44 --------- d-----w C:\Program Files\Encodeur CRFJ Fouché
2008-03-14 21:58 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-03-14 03:22 --------- d-----w C:\Program Files\eMule
2008-03-14 02:03 --------- d-----w C:\Documents and Settings\David\Application Data\ImageFox
2008-03-13 00:46 --------- d-----w C:\Program Files\TurboGo
2008-01-31 22:14 --------- d-----w C:\Program Files\Total Uninstall 3
2008-01-31 22:14 --------- d-----w C:\Program Files\Sqirlz Morph
2008-01-31 22:14 --------- d-----w C:\Program Files\Mozilla Sunbird
2008-01-24 19:00 43,016 ----a-w C:\Documents and Settings\David\Application Data\GDIPFONTCACHEV1.DAT
2008-01-20 03:29 --------- d-----w C:\Program Files\Western Digital Technologies
2008-01-20 03:27 --------- d-----w C:\Documents and Settings\David\Application Data\Acronis
2008-01-05 17:51 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2007-01-05 23:42 14 ----a-w C:\Documents and Settings\David\getfile.dat
2006-05-06 16:42 7,260,160 ----a-w C:\Program Files\mozilla firefox\plugins\libvlc.dll
2006-08-19 15:09 3,072 ----a-w C:\Program Files\mozilla firefox\plugins\ractrlkeyhook.dll
2006-08-19 15:09 245,408 ----a-w C:\Program Files\mozilla firefox\plugins\unicows.dll
2005-05-13 15:12 217,073 --sha-r C:\WINDOWS\meta4.exe
2005-07-14 10:31 27,648 --sha-r C:\WINDOWS\system32\AVSredirect.dll
2005-06-26 13:32 616,448 --sha-r C:\WINDOWS\system32\cygwin1.dll
2005-06-21 20:37 45,568 --sha-r C:\WINDOWS\system32\cygz.dll
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2004-01-24 22:00 70,656 --sha-r C:\WINDOWS\system32\i420vfw.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
2005-02-28 11:16 240,128 --sha-r C:\WINDOWS\system32\x.264.exe
2004-01-24 22:00 70,656 --sha-r C:\WINDOWS\system32\yv12vfw.dll
2007-07-28 16:18 67,616 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2007-07-28 16:18 1,824 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\{A08FB30D-51C4-4E54-AA5E-FF18739802EA}]
@=Mediafour Mac Volume Icons

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 13:00 15360]
"AWMON"="C:\PROGRA~1\Lavasoft\AD-AWA~2\Ad-Watch.exe" [2005-05-25 11:12 517632]
"H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\wcescomm.exe" [2005-11-15 18:44 1200128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-08-30 02:54 7122944]
"00THotkey"="C:\WINDOWS\system32\[u]0[/u]0THotkey.exe" [2005-05-11 11:06 253952]
"000StTHK"="000StTHK.exe" [2001-06-23 03:28 24576 C:\WINDOWS\system32\[u]0[/u]00StTHK.exe]
"TFNF5"="TFNF5.exe" [2005-06-29 23:35 507904 C:\WINDOWS\system32\TFNF5.exe]
"TrueImageMonitor.exe"="C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe" [2006-10-16 20:12 1164912]
"AcronisTimounterMonitor"="C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe" [2006-10-16 20:17 1941784]
"Acronis Scheduler2 Service"="C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe" [2006-10-16 20:13 87584]
"Acrobat Assistant 7.0"="C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2005-09-24 06:30 483328]
"Motive SmartBridge"="C:\PROGRA~1\CABLEC~1\SMARTB~1\DExec.exe" [2005-05-18 14:11 69632]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-03-18 01:39 579072]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 13:00 15360]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-03-18 01:37 219136]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"application"= C:\Program Files\ActualKeylogger\AKProg.exe hs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"GreyMSIAds"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{93994DE8-8239-4655-B1D1-5F4E91300429}"= C:\Program Files\DVD Region+CSS Free\DVDShell.dll [2004-10-09 14:18 49152]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Program Files\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 12:55 77824]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Program Files\Windows Desktop Search\MSNLNamespaceMgr.dll [2007-02-05 15:39 294400]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Program Files\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 12:41 294912 C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\MacDrive-iTunes compatibility]
C:\Program Files\Fichiers communs\Mediafour\MacDriveiTunesPatch.dll 2003-11-07 11:24 61440 C:\Program Files\Fichiers communs\Mediafour\MacDriveiTunesPatch.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 relog_ap

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Démarrage rapide du logiciel HP Image Zone.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Démarrage rapide du logiciel HP Image Zone.lnk
backup=C:\WINDOWS\pss\Démarrage rapide du logiciel HP Image Zone.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk
backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Monitor.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Monitor.lnk
backup=C:\WINDOWS\pss\Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^RebootPC.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\RebootPC.lnk
backup=C:\WINDOWS\pss\RebootPC.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\[u]0[/u]00StTHK]
--a------ 2001-06-23 03:28 24576 C:\WINDOWS\system32\[u]0[/u]00StTHK.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\[u]0[/u]0THotkey]
--a------ 2005-05-11 11:06 253952 C:\WINDOWS\system32\[u]0[/u]0THotkey.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acronis Scheduler2 Service]
--a------ 2006-10-16 20:13 87584 C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AcronisTimounterMonitor]
--a------ 2006-10-16 20:17 1941784 C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ad-aware]
C:\Program Files\Lavasoft\Ad-aware 6\Ad-aware.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]
--a------ 2007-07-02 11:29 220544 C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Apoint]
--a------ 2004-03-24 06:40 196608 C:\Program Files\Apoint2K\Apoint.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AWMON]
--a------ 2005-05-25 11:12 517632 C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CFSServ.exe]


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-10 13:00 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2005-12-10 15:57 133016 C:\Program Files\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\E07FXLRD_3073500]
E:\David\Programmes - encyclopédies etc\Microsoft Encarta 2007\Microsoft Encarta 2007 - Collection DVD\EDICT.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\E07FXLRD_941736625]
E:\David\Programmes - encyclopédies etc\Microsoft Encarta 2007\Microsoft Encarta 2007 - Collection DVD\EDICT.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray]
--a------ 2005-08-05 12:34 64512 C:\WINDOWS\ehome\ehtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
--a------ 2005-11-15 18:44 1200128 C:\Program Files\Microsoft ActiveSync\wcescomm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hfxp]
--a------ 2004-10-21 13:57 574976 C:\Program Files\HFXP2\hfxp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]
--a------ 2005-01-12 14:54 241664 C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2005-02-16 23:11 49152 C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IS CfgWiz]
C:\Program Files\Norton Internet Security\cfgwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINDOWS\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2005-08-30 02:54 7122944 C:\WINDOWS\system32\NvCpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
--a------ 2006-12-12 01:36 366400 C:\Program Files\Picasa2\PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-07-27 15:39 282624 C:\Program Files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmoothView]
--a------ 2005-05-17 08:24 118784 C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\STYLEXP]
C:\Program Files\TGTSoft\StyleXP\StyleXP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SUPERAntiSpyware]
--a------ 2007-06-21 13:06 1318912 C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TFNF5]
--a------ 2005-06-29 23:35 507904 C:\WINDOWS\system32\TFNF5.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2006-06-11 01:37 180269 C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TOSCDSPD]
--a------ 2005-04-11 15:08 65536 C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Total Uninstall]
--a------ 2006-10-13 15:45 2272256 C:\Program Files\Total Uninstall 3\Tu.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TrueImageMonitor.exe]
--a------ 2006-10-16 20:12 1164912 C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Tvs]
--a------ 2005-04-05 15:25 73728 C:\Program Files\TOSHIBA\Tvs\TvsTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\URLLSTCK.exe]
C:\Program Files\Norton Internet Security\UrlLstCk.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
--a------ 2007-03-27 14:22 4670968 C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"iPodService"=3 (0x3)
"TapiSrv"=3 (0x3)
"TUWinStylerThemeSvc"=3 (0x3)
"StyleXPService"=2 (0x2)
"sfrem01"=2 (0x2)
"rpcapd"=3 (0x3)
"Pml Driver HPZ12"=3 (0x3)
"ose"=3 (0x3)
"gusvc"=3 (0x3)
"Adobe LM Service"=3 (0x3)
"AcrSch2Svc"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MediaDico"=C:\Program Files\Micro Application\12 DICOS Indispensables\LanceMediaDICO12.exe Lancement
"Yahoo! Pager"="C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
"E07FXLRD_3073500"="E:\David\Programmes - encyclopédies etc\Microsoft Encarta 2007\Microsoft Encarta 2007 - Collection DVD\EDICT.EXE" -m
"H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\wcescomm.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe"
"Picasa Media Detector"=C:\Program Files\Picasa2\PicasaMediaDetector.exe
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" -atboottime
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\OutClock\\OutClock.exe"=
"C:\\WINDOWS\\system32\\svchost.exe"=
"C:\\Program Files\\EA GAMES\\Battlefield 2\\BF2.exe"=
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"C:\\Program Files\\EA GAMES\\Battlefield 2\\bf2_w32ded.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"=
"C:\Program Files\Microsoft ActiveSync\rapimgr.exe"= C:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Program Files\Microsoft ActiveSync\wcescomm.exe"= C:\Program Files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Program Files\Microsoft ActiveSync\WCESMgr.exe"= C:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
"C:\\Program Files\\Toshiba\\ConfigFree\\CFXFER.exe"=
"C:\\Program Files\\Stealth Anonymizer - surf internet sans traces\\stealth27.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\Zattoo\\zattood.exe"=
"C:\\Program Files\\Zattoo\\Zattoo2.exe"=
"C:\\WINDOWS\\system32\\spoolsv.exe"=
"C:\\Program Files\\Google\\Google Talk\\googletalk.exe"=
"C:\\Program Files\\Colormailer Photobooks\\Editor.exe"=
"D:\\Jeux\\Worms forts\\WF.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avginet.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avgemc.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"5911:TCP"= 5911:TCP:Worms4

R0 HFXP2;HFXP2;C:\WINDOWS\system32\DRIVERS\HFXP2.SYS [2004-10-12 12:24]
R0 KR10N;KR10N;C:\WINDOWS\system32\drivers\KR10N.sys [2005-06-28 22:47]
R0 MDPMGRNT;MDPMGRNT;C:\WINDOWS\system32\drivers\MDPMGRNT.sys [2004-08-31 15:54]
R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);C:\WINDOWS\system32\drivers\sfsync03.sys [2006-07-11 08:30]
R1 MDFSYSNT;MDFSYSNT;C:\WINDOWS\system32\drivers\MDFSYSNT.sys [2004-09-13 20:08]
R1 XPROTECTOR;XPROTECTOR;C:\WINDOWS\system32\drivers\Oreans.sys [2006-12-25 05:03]
R2 TOS_SPS;TOSHIBA SPS Driver;C:\Program Files\TOSHIBA\TMP2VDec\TOS_SPS.sys [2005-07-11 16:01]
R3 Dvd43;Dvd43;C:\WINDOWS\system32\DRIVERS\Dvd43.sys [2006-10-09 02:23]
R3 tosrfec;Bluetooth ACPI from TOSHIBA;C:\WINDOWS\system32\DRIVERS\tosrfec.sys [2005-03-24 15:36]
R3 ttv400x;TOSHIBA PCI DVB-T/Analog Hybrid Tuner;C:\WINDOWS\system32\drivers\ttv400x.sys [2005-09-21 18:35]
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 22:08]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;C:\Program Files\Everest Pro - outil de diagnostic système\kerneld.wnt []
S3 pnetmdm;PdaNet Modem;C:\WINDOWS\system32\DRIVERS\pnetmdm.sys [2006-01-12 14:04]
S3 SWUSBFLT;Pilote de filtre Microsoft SideWinder VIA;C:\WINDOWS\system32\DRIVERS\SWUSBFLT.sys [2001-08-17 21:02]

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-01-04 18:17:15 C:\WINDOWS\Tasks\1-Click Maintenance.job"
- C:\Program Files\TuneUp Utilities 2006\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-19 21:41:51
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\EverestDriver]
"ImagePath"="\??\C:\Program Files\Everest Pro - outil de diagnostic système\kerneld.wnt"
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\System32\SCardSvr.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\Program Files\ACD Systems\ImageFox\ImageFox.exe
C:\Program Files\RebootPC v110\PrebootPC.exe
C:\Program Files\Cablecom Assistant\bin\mpbtn.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\Diskeeper\DkService.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\TOSHIBA\TOSHIBA RAID\Service\kraidsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\dllhost.exe
C:\PROGRA~1\CABLEC~1\SMARTB~1\MotiveSB.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\WINDOWS\system32\SearchFilterHost.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-03-19 21:53:43 - machine was rebooted [David]
ComboFix-quarantined-files.txt 2008-03-19 20:53:31
.
2008-03-17 01:01:57 --- E O F ---

Le jaune, je ne suis pas sûr que ce soit moi. J'ai remarqué aussi, pas grave, mais j'aurais peut-être choisi un autre message pour le mettre en valeur... Enfin, c'était intéressant quand même!

Je ne comprends pas bien, tu dis "les fichiers supprimés"... je dois faire quelque chose? Supprimer les lignes que tu m'indiques ?

Tu voulais faire au fur et à mesure, volontiers, mais là je pense que tu t'es couché, ton dernier message date d'il y a une heure je crois. Je vais aller au lit moi aussi, mais j'attends avec intérêt tes indications, demain sans doute ?

Merci encore et bravo, si en plus tu es encore étudiant, ça ne se voit pas, un vrai pro! En plus tout ça bénévolement, c'est trop classe, je dis respect, et vive Internet !

Allez, bonne nuit, et à bientôt, j'espère qu'on viendra vraiment à bout de cette saleté (et d'éventuelles autres bestioles... tu peux détecter d'autres virus avec ce rapport ou c'est seulement contre Bagle? )

A+

Je me réjouis de voir le résultat!
Juste pour savoir, j'attends quelque chose de ta part ce soir encore, ou bien plutôt demain ?

Bonsoir!

Donne-moi de tes nouvelles à l'occasion, juste que je sache si je dois encore faire quelque chose pour en finir avec Bagle ou d'éventuels autres virus, si je peux effacer ComboFix, créer un point de Restauration etc.

Merci d'avance (prends ton temps, je comprends que tu n'as pas que ça à faire!)

Hello!

Je suis en train de suivre tes conseils, mais bêtement j'ai fait HiJackThis sans me déconnecter d'Internet. Je recommence...

A tout

Voilà mon rapport HiJackThis. Petite question: hier j'avais téléchargé HiJackThis (puisque mon ancienne version ne fonctionnait plus) et c'était un simple exécutable, sans installation. Là ce que tu m'as conseillé passe par une installation. Quelle différence, pourquoi installer si on peut passer par un simple exécutable ?

Tu as l'impression qu'on est bien parti, au vu de ce rapport et de celui d'hier par ComboFix ?
En tout cas moi ça ne me dit pas grand-chose, un rapport HiJackThis. Je vois bien sûr les programmes installés, mais je ne comprends pas bien pourquoi certains apparaissent, d'autres non, etc. Mais je te laisse voir...

---------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:02:24, on 20.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\00THotkey.exe
C:\WINDOWS\system32\TFNF5.exe
C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Lavasoft\AD-AWA~2\Ad-Watch.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\Program Files\ACD Systems\ImageFox\ImageFox.exe
C:\Program Files\RebootPC v110\PrebootPC.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Cablecom Assistant\bin\mpbtn.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\Diskeeper\DkService.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\TOSHIBA\TOSHIBA RAID\Service\kraidsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\dllhost.exe
C:\PROGRA~1\CABLEC~1\SMARTB~1\MotiveSB.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ch/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;*.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\system32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\CABLEC~1\SMARTB~1\DExec.exe 180000 C:\PROGRA~1\CABLEC~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~2\Ad-Watch.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ImageFox.lnk = C:\Program Files\ACD Systems\ImageFox\ImageFox.exe
O4 - Startup: RebootPC.lnk = C:\Program Files\RebootPC v110\PrebootPC.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: cablecom assistant.lnk = C:\Program Files\Cablecom Assistant\bin\matcli.exe
O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Télécharger Avec &BitSpirit
- C:\Program Files\BitSpirit\bsurl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesfr.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) - http://das.microsoft.com/activate/cab/x86/i486/NTANSI/retail/DASAct.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {C946EF6D-296D-4907-A6E1-ED0E8E5AF024} (LycosMail Upload Control) - https://mail.lycos.com/
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: MacDrive-iTunes compatibility - C:\Program Files\Fichiers communs\Mediafour\MacDriveiTunesPatch.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Diskeeper\DkService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: TOSHIBA RAID Service (kraidsvc) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TOSHIBA RAID\Service\kraidsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O24 - Desktop Component 1: Google - https://www.google.ch/?gws_rd=ssl

Ok j'y vais, dans IE. Je suis vraiment content que ça ait l'air en bon état! C'est peut-être psychologique mais j'ai l'impression que mon PC est plus rapide! Par contre j'ai vu sur un site qu'un rapport HiJackThis sur un PC très propre ne compte qu'une petite dizaine de lignes. J'en suis loin, avec mes dizaines de lignes... J'ai trop de programmes au démarrage, sans doute. J'essaie parfois d'en désactiver certains, mais je me dis toujours que "oh non celui-là est quand même utile...".

Je reviens après avec le rapport du scan en ligne. Puis tu me diras, si tu veux bien, ce que je dois faire :
1) avec mon disque dur externe
2) avec la Restauration Système (la désactiver puis réactiver? reste-t-il des traces de sale bête dedans?)
3) comment éviter que Bagle ne me revienne en pleine figure... ? je sais, il faut être prudent, c'est tout...

Merci encore, tu es vraiment doué! Et ça fait vraiment du bien d'être aidé comme ça.

J'ai un peu perdu du temps, je croyais que Kaspersky était en train d'analyser déjà, mais je devais encore répondre à une question! Je vais commencer l'analyse, mais il me demande ce que je veux analyser comme parties :

Zones critiques
Poste de travail
Mon courrier
Dossiers...
Un fichier...

Je devrais mieux te lire, tu m'avais dit que c'était le Poste de travail... j'y cours!

Je crains de ne pas pouvoir te donner ce rapport ce soir. C'est en train de tourner, mais ça va prendre beaucoup de temps je crois. J'ai un gros disque dur...
En tout cas dès que c'est fini je poste le rapport ici. Tu penses être là encore un moment ce soir?