Infecté par une variante de Bagle

Bonjour,
Bon alors pour moi c'est la journée : ce matin disque dur de sauvegardes HS. Foutu je doit en racheter un. Je me met a la recherche de logiciels pour recuperer les données de disques dur, et dans le tas de mes recherches je me suis fait infecter par une variante de Bagle . Voila donc maintenant c'est la totale...

Symptomes :
- Lors de l'infection : reboot ecran bleu.
- Impossibilité de faire un demarrage mode sans echec
- Impossibilité d'afficher les fichiers cachés
- Pop up "installation materielle Bit defender n'a pas été validé lors du test permettant d'obtenir le logo windows... "
- Bit degender n'est plus "une operation win32 valide "...

Tentatives :
- kit de désinfection de Symantec : Bug lors du démarrage. "runtime error"
- kit de désinfection de F-Secure : bloqué par le virus " operation win32 non valide"
- kit de désinfection de BitDefender : ne trouve rien
- Elibagle : Detecte le virus en phase1 (action directe), ne trouve rien en phase 2 ( le scan complet ).

Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
Reinicie para Completar la Limpieza.
*Impossible de suprimmer wintems et srosa meme avec Killbox.
*En suprimmant un des 3 fichiers, provoque la réinitialisation du virus avec du coup un passage d'ecran bleu.

- RAPPORT DE FINDY KILL :

----------------- FindyKill V4.095 ------------------

* User : Thibaud - SALADIN
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 31/10/08 par Chiquitine29
* Recherche effectuée à 20:59:34 le 01/11/2008
* Windows XP - Internet Explorer 7.0.5730.13

((((((((((((((((( *** Recherche *** ))))))))))))))))))

--------------- [ Processus actifs ] ----------------

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\NettalkIRCD\NettalkIRCD.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\TortoiseSVN\bin\TSVNCache.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\vsnpstd2.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\drivers\winfilse.exe
C:\WINDOWS\system32\drivers\winfilse.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\cidaemon.exe

--------------- [ Processus infectieux stoppés ] ----------------

"C:\WINDOWS\system32\wintems.exe" (240)
"C:\WINDOWS\system32\drivers\winfilse.exe" (2452)
"C:\WINDOWS\system32\drivers\winfilse.exe" (2472)

--------------- [ Fichiers/Dossiers infectieux ] ----------------

»»»» Presence des fichiers dans C:

Présent ! [01/11/2008 20:40] - C:\InfoSat.txt

»»»» Presence des fichiers dans C:\WINDOWS

»»»» Presence des fichiers dans C:\WINDOWS\Prefetch

Present ! - C:\WINDOWS\prefetch\368328.EXE-00C78DFF.pf
Present ! - C:\WINDOWS\prefetch\389031.EXE-26803DBE.pf
Present ! - C:\WINDOWS\prefetch\398187.EXE-00068899.pf
Present ! - C:\WINDOWS\prefetch\402578.EXE-2B1D07FD.pf
Present ! - C:\WINDOWS\prefetch\413312.EXE-14881149.pf
Present ! - C:\WINDOWS\prefetch\MDELK.EXE-1D176F91.pf
Present ! - C:\WINDOWS\prefetch\MDELK.EXE-238AA5EF.pf
Present ! - C:\WINDOWS\prefetch\WINFILSE.EXE-17C2CF68.pf
Present ! - C:\WINDOWS\Prefetch\CRACK.EXE-01048B09.pf
Present ! - C:\WINDOWS\Prefetch\RECOVER4ALL CRACK(OSLOSKOP.NE-1EAB2FA4.pf

»»»» Presence des fichiers dans C:\WINDOWS\system32

Présent ! [01/11/2008 20:46] - C:\WINDOWS\system32\mdelk.exe
Présent ! [01/11/2008 20:46] - C:\WINDOWS\system32\wintems.exe
Présent ! [01/11/2008 20:46] - C:\WINDOWS\system32\ban_list.txt

»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers

Présent ! [01/11/2008 20:45] - C:\WINDOWS\system32\drivers\srosa.sys
Présent ! [06/03/2005 04:09] - C:\WINDOWS\system32\drivers\winfilse.exe
Présent ! [01/11/2008 20:48] - "C:\WINDOWS\system32\drivers\downld"
Présent ! [01/11/2008 20:48] C:\WINDOWS\system32\drivers\downld\103656.exe
Présent ! [01/11/2008 20:48] C:\WINDOWS\system32\drivers\downld\106109.exe
Présent ! [01/11/2008 20:48] C:\WINDOWS\system32\drivers\downld\119062.exe
Présent ! [01/11/2008 20:48] C:\WINDOWS\system32\drivers\downld\128703.exe
Présent ! [01/11/2008 20:48] C:\WINDOWS\system32\drivers\downld\15323265.exe
Présent ! [01/11/2008 20:48] C:\WINDOWS\system32\drivers\downld\15329609.exe
Présent ! [01/11/2008 20:48] C:\WINDOWS\system32\drivers\downld\15330765.exe
Présent ! [01/11/2008 20:48] C:\WINDOWS\system32\drivers\downld\158859.exe
Présent ! [01/11/2008 20:48] C:\WINDOWS\system32\drivers\downld\201546.exe
Présent ! [01/11/2008 20:48] C:\WINDOWS\system32\drivers\downld\241593.exe
Présent ! [01/11/2008 20:48] C:\WINDOWS\system32\drivers\downld\252796.exe
Présent ! [01/11/2008 20:48] C:\WINDOWS\system32\drivers\downld\254359.exe
Présent ! [01/11/2008 20:48] C:\WINDOWS\system32\drivers\downld\368328.exe
Présent ! [01/11/2008 20:48] C:\WINDOWS\system32\drivers\downld\380265.exe
Présent ! [01/11/2008 20:48] C:\WINDOWS\system32\drivers\downld\381218.exe
Présent ! [01/11/2008 20:48] C:\WINDOWS\system32\drivers\downld\389031.exe
Présent ! [01/11/2008 20:48] C:\WINDOWS\system32\drivers\downld\394859.exe
Présent ! [01/11/2008 20:48] C:\WINDOWS\system32\drivers\downld\396453.exe
Présent ! [01/11/2008 20:48] C:\WINDOWS\system32\drivers\downld\398187.exe
Présent ! [01/11/2008 20:48] C:\WINDOWS\system32\drivers\downld\402578.exe
Présent ! [01/11/2008 20:48] C:\WINDOWS\system32\drivers\downld\413312.exe
Présent ! [01/11/2008 20:48] C:\WINDOWS\system32\drivers\downld\421109.exe
Présent ! [01/11/2008 20:48] C:\WINDOWS\system32\drivers\downld\423953.exe
Présent ! [01/11/2008 20:48] C:\WINDOWS\system32\drivers\downld\469234.exe
Présent ! [01/11/2008 20:48] C:\WINDOWS\system32\drivers\downld\512593.exe
Présent ! [01/11/2008 20:48] C:\WINDOWS\system32\drivers\downld\523562.exe
Présent ! [01/11/2008 20:48] C:\WINDOWS\system32\drivers\downld\525156.exe
Présent ! [01/11/2008 20:48] C:\WINDOWS\system32\drivers\downld\92046.exe

»»»» Presence des fichiers dans C:\Documents and Settings\Thibaud\Application Data

»»»» Presence des fichiers dans C:\DOCUME~1\Thibaud\LOCALS~1\Temp

--------------- [ Registre / Startup ] ----------------

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
nwiz REG_SZ nwiz.exe /install
WinSys2 REG_SZ C:\WINDOWS\system32\winsys2.exe
SNPSTD2 REG_SZ C:\WINDOWS\vsnpstd2.exe
NvMediaCenter REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
pspNetSystray REG_SZ C:\Program Files\MGE\PersonalSolutionPac\mgenetsystray.exe
SoundMax REG_SZ "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
SoundMAXPnP REG_SZ C:\Program Files\Analog Devices\Core\smax4pnp.exe
QuickTime Task REG_SZ "C:\Program Files\QuickTime\qttask.exe" -atboottime
iTunesHelper REG_SZ "C:\Program Files\iTunes\iTunesHelper.exe"
Adobe Reader Speed Launcher REG_SZ "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
BitDefender Antiphishing Helper REG_SZ "C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe"
BDAgent REG_SZ "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
KernelFaultCheck REG_EXPAND_SZ %systemroot%\system32\dumprep 0 -k

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe
NBJ REG_SZ "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\AdobeUpdater

--------------- [ Registre / Clés infectieuses ] ----------------

Présent ! - HKEY_USERS\S-1-5-21-776561741-492894223-725345543-1004\Software\Local AppWizard-Generated Applications\winfilse
Présent ! - HKEY_USERS\S-1-5-21-776561741-492894223-725345543-1004\Software\bisoft
Présent ! - HKEY_USERS\S-1-5-21-776561741-492894223-725345543-1004\Software\DateTime4
Présent ! - HKEY_USERS\S-1-5-21-776561741-492894223-725345543-1004\Software\FFC
Présent ! - HKEY_USERS\S-1-5-21-776561741-492894223-725345543-1004\Software\FirtR
Présent ! - HKEY_USERS\S-1-5-21-776561741-492894223-725345543-1004\Software\Ubisoft
Présent ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winfilse
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Présent ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Présent ! - HKEY_CURRENT_USER\Software\bisoft
Présent ! - HKEY_CURRENT_USER\Software\DateTime4
Présent ! - HKEY_CURRENT_USER\Software\FirtR

--------------- [ Etat / Services ] ----------------

Clé manquante : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden

-> Affichage des fichiers cachés non fonctionnel !!

Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot

-> Mode sans echec non fonctionnel !!

Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal

-> Mode sans echec non fonctionnel !!

Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

-> Mode sans echec non fonctionnel !!

+- Services : [ Auto=2 Demande=3 Désactivé=4 ]

/!\ Ndisuio - Type de démarrage = 4

/!\ Ip6Fw - Type de démarrage = 4

SharedAccess - Type de démarrage = 2

/!\ wuauserv - Type de démarrage = 4

/!\ wscsvc - Type de démarrage = 4

--------------- [ Recherche dans supports amovibles] ----------------

+- Informations :

C: - Lecteur fixe

+- presence des fichiers :

--------------- [ Registre / Moutpoint2 ] ----------------

Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e9181516-153b-11dd-9f3a-00173191115a}\Shell\AutoRun\command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e9181516-153b-11dd-9f3a-00173191115a}\Shell\explore\Command
Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e9181516-153b-11dd-9f3a-00173191115a}\Shell\open\Command

------------------- ! Fin du rapport ! --------------------