Se débarasser de Bagle (.afu) ? Résolu/Fermé

Question

Bonjour, Je crois que mon ordi est infecté par Bagle. Si quelqu'un pouvait m'aider... voilà toutes les infos et ce que j'ai déjà fait pour éradiquer ce truc. Tout a commencé hier soir : - Mon ordi s'arrête d'un coup (ecran bleu crash dumping) puis redémarre - Avast m'indique alors qu'une application tente de le fermer puis il s'arrête, l'icône disparait et quand je tente de le relancer, le message suivant apparait : application non valide - En même temps un autre message m'explique que ma carte WIFI n'est plus compatible et me propose un truc que je refuse. Et un autre message m'informe qu'un utilisateur externe a essayé de modifier mon moteur de recherche par defaut et me propose Yahoo au lieu de Google (je refuse egalement). A noter : ces deux messages reviendront en boucle par la suite. J'essaye donc : 1 - de faire une restauration système qui echoue 2 - je desintalle avast avec aswclear en mode sans echec puis le reinstalle mais le message est toujours le même : application non valide. 3 - j'essaye Findkill : apres 20 min de recherches, il me met : system error 4 - j'essaye Eliblaga qui m'affiche 4 accès refusés aux dossiers : C:\Windows\Registration\CRMlog (16) C:\Windows\System32\com\dmp (16) C:\Windows\System32\LogFiles\WMI\Rtbackup (16) C:\Windows\System32\Spool\PRINTERS (16) Et enfin ne trouve rien et me donne un rapport (que Windows ne trouve plus désormais!!) 5 - Je tente Combofix qui ne marche pas 6 - je tente antivir qui me trouve ceci lors du premier scan : Virus or unwanted program 'TR/Dldr.Bagle.afu [trojan]' detected in file 'C:\Program Files\Dell Support Center\bin\sprtcmd.exe. Action performed: Move file to quarantine et ceci lors du second : Virus or unwanted program 'TR/Dldr.Bagle.afu [trojan]' detected in file 'C:\Qoobox\Quarantine\C\Windows\System32\drivers\winfilse.exe.vir. Action performed: Move file to quarantine Virus or unwanted program 'Eicar-Test-Signature [virus]' detected in file 'C:\ComboFix\N_\17100. Action performed: Move file to quarantine The file 'C:\Windows\System32\drivers\winfilse.exe' contained a virus or unwanted program 'TR/Dldr.Bagle.afu' [trojan] Action(s) taken: A backup was created as '4988d26e.qua' ( QUARANTINE ). Attempting to perform action using the ARK lib. A backup was created as '41b742e7.qua' ( QUARANTINE ). 7 - Je retente combofix, qui cette fois marche, voici le rapport : ComboFix 08-11-11.01 - Butterfly 2008-11-12 14:00:54.1 - NTFSx86 Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6001.1.1252.1.1036.18.1433 [GMT 1:00] Lancé depuis: c:\users\Butterfly\Desktop\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\InfoSat.txt c:\windows\system32\drivers\downld c:\windows\system32\drivers\winfilse.exe . ((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_SROSA ((((((((((((((((((((((((((((( Fichiers créés du 2008-10-12 au 2008-11-12 )))))))))))))))))))))))))))))))))))) . 2008-11-12 12:19 . 2008-11-12 13:17 d-------- c:\users\All Users\Spybot - Search & Destroy 2008-11-12 12:19 . 2008-11-12 12:20 d-------- c:\program files\Spybot - Search & Destroy 2008-11-12 12:19 . 2008-11-12 13:17 d-------- c:\progra~2\Spybot - Search & Destroy 2008-11-12 01:40 . 2008-11-12 01:40 d-------- c:\users\All Users\Avira 2008-11-12 01:40 . 2008-11-12 01:40 d-------- c:\program files\Avira 2008-11-12 01:40 . 2008-11-12 01:40 d-------- c:\progra~2\Avira 2008-11-12 00:39 . 2008-11-12 00:39 0 --ah----- C: tuser.dat.LOG2 2008-11-12 00:39 . 2008-11-12 00:39 0 --ah----- C: tuser.dat.LOG1 2008-11-12 00:39 . 2008-11-12 00:39 0 --a------ C: tuser.dat 2008-11-11 23:45 . 2008-11-12 00:07 d-------- c:\program files\FindyKill 2008-11-11 21:56 . 2008-11-11 23:34 7,168 --a------ c:\windows\System32\drivers\srosa2.sys 2008-11-11 20:22 . 2008-11-11 20:22 d-------- c:\program files\WIDI 3.3 Std 2008-11-11 19:22 . 2008-11-11 19:22 d-------- c:\program files\Search Settings 2008-11-11 19:16 . 2008-11-11 19:17 d-------- c:\program files\Free Video Converter 2008-11-11 18:06 . 2008-11-11 18:06 d-------- c:\users\All Users\WindowsSearch 2008-11-11 18:06 . 2008-11-11 18:06 d-------- c:\progra~2\WindowsSearch 2008-11-10 20:09 . 2008-11-10 20:32 43,520 --a------ c:\windows\System32\CmdLineExt03.dll 2008-11-10 20:03 . 2008-11-10 20:03 d-------- c:\program files\Atari 2008-11-03 14:20 . 2008-11-03 14:20 268 --ah----- C:\sqmdata17.sqm 2008-11-03 14:20 . 2008-11-03 14:20 244 --ah----- C:\sqmnoopt17.sqm 2008-11-01 19:30 . 2008-11-01 19:30 268 --ah----- C:\sqmdata16.sqm 2008-11-01 19:30 . 2008-11-01 19:30 244 --ah----- C:\sqmnoopt16.sqm 2008-11-01 19:12 . 2008-11-01 19:12 268 --ah----- C:\sqmdata15.sqm 2008-11-01 19:12 . 2008-11-01 19:12 244 --ah----- C:\sqmnoopt15.sqm 2008-10-29 11:29 . 2008-08-12 04:39 443,392 --a------ c:\windows\System32\win32spl.dll 2008-10-29 11:29 . 2008-09-18 05:56 147,456 --a------ c:\windows\System32\Faultrep.dll 2008-10-29 11:29 . 2008-09-18 05:56 125,952 --a------ c:\windows\System32\wersvc.dll 2008-10-23 09:08 . 2008-08-05 10:49 428,544 --a------ c:\windows\System32\EncDec.dll 2008-10-23 09:08 . 2008-08-05 10:49 293,376 --a------ c:\windows\System32\psisdecd.dll 2008-10-23 09:08 . 2008-08-05 10:48 217,088 --a------ c:\windows\System32\psisrndr.ax 2008-10-23 09:08 . 2008-08-05 10:48 177,664 --a------ c:\windows\System32\mpg2splt.ax 2008-10-23 09:08 . 2008-08-05 10:48 80,896 --a------ c:\windows\System32\MSNP.ax 2008-10-20 13:27 . 2008-10-20 13:27 d-------- c:\program files\Guitar Pro 5 2008-10-19 18:06 . 2008-11-11 21:53 d-------- c:\program files\eMule 2008-10-15 16:45 . 2008-09-18 06:09 3,601,464 --a------ c:\windows\System32 tkrnlpa.exe 2008-10-15 16:45 . 2008-09-18 06:09 3,549,240 --a------ c:\windows\System32 toskrnl.exe 2008-10-15 16:45 . 2008-09-18 03:16 2,032,640 --a------ c:\windows\System32\win32k.sys 2008-10-15 16:45 . 2008-10-02 02:32 1,383,424 --a------ c:\windows\System32\mshtml.tlb 2008-10-15 16:45 . 2008-10-02 04:49 827,392 --a------ c:\windows\System32\wininet.dll 2008-10-15 16:45 . 2008-08-27 02:06 288,768 --a------ c:\windows\System32\drivers\srv.sys 2008-10-13 23:15 . 2008-10-13 23:16 d-------- c:\program files\Freeplayer 2008-10-12 21:07 . 2008-10-12 21:07 d-------- c:\windows\SoftR 2008-10-12 14:40 . 2008-11-11 16:23 d-------- c:\users\All Users\Roxio 2008-10-12 14:40 . 2008-11-11 16:23 d-------- c:\progra~2\Roxio . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-12 00:30 --------- d-----w c:\program files\Alwil Software 2008-11-11 21:55 --------- d-----w c:\program files\Winamp 2008-11-10 19:03 --------- d--h--w c:\program files\InstallShield Installation Information 2008-11-04 11:40 --------- d-----w c:\program files\Zylom Games 2008-11-04 09:42 --------- d-----w c:\program files\Dl_cats 2008-11-02 05:17 --------- d-----w c:\program files\VideoLAN 2008-10-28 10:42 --------- d-----w c:\program files\Dell Fax Solutions 2008-10-17 12:26 --------- d-----w c:\program files\Windows Mail 2008-10-12 23:31 --------- d-----w c:\program files\Roxio 2008-10-12 13:39 --------- d-----w c:\progra~2\Sonic 2008-09-29 13:43 13 ---h--w c:\users\All Users\ÝÙÃÄ3113›.sys 2008-09-29 13:43 13 ---h--w c:\progra~2\ÝÙÃÄ3113›.sys 2008-09-29 10:36 --------- d-----w c:\program files\Common Files\Macrovision Shared 2008-09-29 10:36 --------- d-----w c:\program files\Common Files\Adobe 2008-09-29 10:11 --------- d-----w c:\program files\Bonjour 2008-09-25 15:14 --------- d-----w c:\program files\Macromedia 2008-09-25 15:12 --------- d-----w c:\program files\Common Files\Macromedia 2008-09-25 14:19 --------- d-----w c:\program files\Common Files\InstallShield 2008-09-21 22:26 --------- d-----w c:\progra~2\Zylom 2008-09-20 14:35 --------- d-----w c:\progra~2\FLEXnet 2008-09-02 10:27 82,432 ----a-w c:\windows\System32\axaltocm.dll 2008-09-02 10:27 101,888 ----a-w c:\windows\System32\ifxcardm.dll 2008-09-01 11:58 174 --sha-w c:\program files\desktop.ini 2008-08-17 22:49 61,440 ----a-w c:\windows\System32\winipsec.dll 2008-08-17 22:49 361,984 ----a-w c:\windows\System32\IPSECSVC.DLL 2008-08-17 22:49 28,672 ----a-w c:\windows\System32\FwRemoteSvr.dll 2008-08-17 22:49 272,896 ----a-w c:\windows\System32\polstore.dll 2008-08-17 22:47 2,048 ----a-w c:\windows\System32 zres.dll 2008-08-17 22:43 801,280 ----a-w c:\windows\System32\NaturalLanguage6.dll 2008-08-17 22:43 6,917,120 ----a-w c:\windows\System32\NlsLexicons0c1a.dll 2008-08-17 22:43 4,495,360 ----a-w c:\windows\System32\NlsData0816.dll 2008-08-17 22:43 4,495,360 ----a-w c:\windows\System32\NlsData0416.dll 2008-08-17 22:43 4,495,360 ----a-w c:\windows\System32\NlsData0414.dll 2008-08-17 22:43 1,965,056 ----a-w c:\windows\System32\NlsData0c1a.dll 2008-08-17 22:43 1,965,056 ----a-w c:\windows\System32\NlsData081a.dll 2008-08-17 22:43 1,965,056 ----a-w c:\windows\System32\NlsData000f.dll 2008-08-17 22:41 988,216 ----a-w c:\windows\System32\winload.exe 2008-08-17 22:41 927,288 ----a-w c:\windows\System32\winresume.exe 2008-08-17 22:41 615,992 ----a-w c:\windows\System32\ci.dll 2008-08-17 22:41 6,656 ----a-w c:\windows\System32\kbd106n.dll 2008-08-17 22:41 46,592 ----a-w c:\windows\System32\setbcdlocale.dll 2008-08-17 22:41 40,960 ----a-w c:\windows\System32\srclient.dll 2008-08-17 22:41 378,368 ----a-w c:\windows\System32\srcore.dll 2008-08-17 22:41 318,464 ----a-w c:\windows\System32 strui.exe 2008-08-17 22:41 19,000 ----a-w c:\windows\System32\kd1394.dll 2008-08-17 22:41 181,760 ----a-w c:\windows\System32\fsquirt.exe 2008-08-17 22:41 14,848 ----a-w c:\windows\System32\srdelayed.exe 2008-08-17 22:39 541,696 ----a-w c:\windows\AppPatch\AcLayers.dll 2008-08-17 22:39 295,936 ----a-w c:\windows\System32\gdi32.dll 2008-08-17 22:39 2,560 ----a-w c:\windows\AppPatch\AcRes.dll 2008-08-17 22:39 14,848 ----a-w c:\windows\System32\wshrm.dll 2008-08-17 22:39 1,695,744 ----a-w c:\windows\System32\gameux.dll 2008-08-17 22:18 84,480 ----a-w c:\windows\System32\INETRES.dll 2008-08-17 22:18 738,304 ----a-w c:\windows\System32\inetcomm.dll 2008-08-17 22:18 1,314,816 ----a-w c:\windows\System32\quartz.dll 2008-08-12 15:13 1,942,864 ----a-w c:\windows\System32\Skype4COM.dll 2008-03-29 09:02 76 --sha-r c:\windows\CT4CET.bin . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-03-29 68856] "MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184] "Google Update"="c:\users\Butterfly\AppData\Local\Google\Update\GoogleUpdate.exe" [2008-09-08 133104] "SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 2156368] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ECenter"="c:\dell\E-Center\EULALauncher.exe" [2008-01-18 17920] "Apoint"="c:\program files\DellTPad\Apoint.exe" [2007-09-07 159744] "OEM02Mon.exe"="c:\windows\OEM02Mon.exe" [2007-08-28 36864] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-03-06 141848] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-03-06 166424] "Persistence"="c:\windows\system32\igfxpers.exe" [2008-03-06 133656] "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0\bin\jusched.exe" [2008-03-29 77824] "DELL Webcam Manager"="c:\program files\Dell\Dell Webcam Manager\DellWMgr.exe" [2007-07-27 118784] "IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-03-21 174872] "Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2008-03-29 1838592] "dscactivate"="c:\program files\Dell Support Center\gs_agent\custom\dsca.exe" [2008-02-13 16384] "PCMService"="c:\program files\Dell\MediaDirect\PCMService.exe" [2007-11-01 189736] "WinampAgent"="c:\program files\Winamp\winampa.exe" [2008-08-04 36352] "SigmatelSysTrayApp"="c:\program files\SigmaTel\C-Major Audio\WDM\sttray.exe" [2007-11-12 405504] "dlcgmon.exe"="c:\program files\Dell AIO 810\dlcgmon.exe" [2007-01-12 435696] "FaxCenterServer"="c:\program files\Dell Fax Solutions\fm3032.exe" [2006-11-04 312200] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "DLCGCATS"="c:\windows\system32\spool\DRIVERS\W32X86\3\DLCGtime.dll" [2006-10-21 73728] "SearchSettings"="c:\program files\Search Settings\SearchSettings.exe" [2008-06-12 991584] "avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] c:\progra~2\MICROS~1\Windows\STARTM~1\Programs\Startup\ BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2006-11-03 703280] Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2008-03-29 50688] Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360] QuickSet.lnk - c:\program files\Dell\QuickSet\quickset.exe [2007-09-07 1180952] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableUIADesktopToggle"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=c:\progra~1\Google\GOOGLE~2\GOEC62~1.DLL [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3803365911-4285532448-4267708848-1000] "EnableNotificationsRef"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules] "{9BD1FDBE-91F6-41C0-9499-8A861611CC30}"= c:\program files\Dell\MediaDirect\MediaDirect.exe:Dell MediaDirect "{6981E36A-CB49-4473-976E-3B921CDC7A22}"= c:\program files\Dell\MediaDirect\PCMService.exe:CyberLink PowerCinema Resident Program "{1E660102-BB83-4A3D-8884-E0CC3AC31FDE}"= c:\program files\Dell\MediaDirect\Kernel\DMP\CLBrowserEngine.exe:Cyberlink Media Server Browser Engine "{F10E0D36-C880-41D4-BD39-70D2D8699DDB}"= c:\program files\Dell\MediaDirect\Kernel\DMS\CLMSService.exe:CyberLink Media Server "{9989956D-1949-4F5C-912F-EAF7D214F947}"= c:\program files\Skype\Phone\Skype.exe:Skype "{9D969600-F5BE-48D6-9080-FD77EFCF6F0C}"= UDP:c:\program files\Winamp Remote\bin\Orb.exe:Orb "{888A6A39-F728-48B0-9733-123AC95F9BAA}"= TCP:c:\program files\Winamp Remote\bin\Orb.exe:Orb "{3E984740-3295-4F20-B1FB-E4CA00DEC235}"= UDP:c:\program files\Winamp Remote\bin\OrbTray.exe:OrbTray "{0A65DC7A-3511-4CAD-A5B4-8040358EA63B}"= TCP:c:\program files\Winamp Remote\bin\OrbTray.exe:OrbTray "{ABFAADDC-C228-4F4F-8749-0CEAD40F416F}"= UDP:c:\program files\Winamp Remote\bin\OrbIR.exe:OrbIR "{2EF125C1-9C92-47D4-BD7C-3BE0B773DFAB}"= TCP:c:\program files\Winamp Remote\bin\OrbIR.exe:OrbIR "{D6A0D422-FECB-4997-9881-90C8067D588E}"= UDP:c:\program files\Winamp Remote\bin\OrbStreamerClient.exe:Orb Stream Client "{66544FA3-AE5E-4C3D-A532-CAEFECE8B557}"= TCP:c:\program files\Winamp Remote\bin\OrbStreamerClient.exe:Orb Stream Client "{594295D1-55CD-4637-A986-7972EB4B787A}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone) "{6DFCF0F9-9683-44D0-ABBD-12C8761710F2}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone) "{0DF61F72-398F-4284-92B8-21CBFFEC3B65}"= UDP:c:\windows\System32\dlcgcoms.exe:Lexmark Communications System "{47BD601E-E21E-4121-9F22-66D349F18337}"= TCP:c:\windows\System32\dlcgcoms.exe:Lexmark Communications System "{6A7A315B-6909-42BB-AFF0-13E6AC463363}"= UDP:c:\windows\System32\spool\drivers\w32x86\3\dlcgpswx.exe:Printer Status Window "{92940154-3A4D-40AB-9F00-3FE2344AE710}"= TCP:c:\windows\System32\spool\drivers\w32x86\3\dlcgpswx.exe:Printer Status Window "{E02C227D-3E28-4CBB-88B6-9EA8179B7B9E}"= UDP:c:\program files\Dell AIO 810\dlcgmon.exe:Device Monitor "{79A16A7A-FCD2-4AE3-9D9E-5B39E2ECE2F7}"= TCP:c:\program files\Dell AIO 810\dlcgmon.exe:Device Monitor "{62A6C95F-69FA-4209-A032-79F18724A2E7}"= UDP:c:\program files\Dell AIO 810\DLCGaiox.exe:All In One Center "{CF6826E8-2835-4EC2-8374-D2D7AED1AF36}"= TCP:c:\program files\Dell AIO 810\DLCGaiox.exe:All In One Center "{5DFDF1C6-1CC3-4F48-B223-F037634F87A4}"= UDP:c:\program files\Abbyy FineReader 6.0 Sprint\Scan\ScanMan6.exe:FineScanManager "{2D19EC25-4296-4B5E-AFFE-61F5DADB7941}"= TCP:c:\program files\Abbyy FineReader 6.0 Sprint\Scan\ScanMan6.exe:FineScanManager "TCP Query User{29AD87E0-8FB9-499A-BED6-E698FBA2CEAB}c:\program files\freeplayer\vlc\vlc.exe"= UDP:c:\program files\freeplayer\vlc\vlc.exe:VLC media player "UDP Query User{33A2DD35-15A4-4432-8902-A5C4675DD3AC}c:\program files\freeplayer\vlc\vlc.exe"= TCP:c:\program files\freeplayer\vlc\vlc.exe:VLC media player "TCP Query User{3F9A56E0-1694-445B-8667-67F4C2CB73A8}c:\program files\emule\emule.exe"= UDP:c:\program files\emule\emule.exe:eMule "UDP Query User{70A775F8-66FB-486F-A764-A076318A88A7}c:\program files\emule\emule.exe"= TCP:c:\program files\emule\emule.exe:eMule "TCP Query User{D8B3DF2E-15DE-44DB-854D-1D3A888ABFB9}c:\program files\emule\emule.exe"= UDP:c:\program files\emule\emule.exe:eMule "UDP Query User{B0DABF30-A06C-47A4-8020-B418B8C1CBE5}c:\program files\emule\emule.exe"= TCP:c:\program files\emule\emule.exe:eMule "TCP Query User{F492DB34-0F21-46C6-9135-6BA06458404F}c:\program files\freeplayer\vlc\vlc.exe"= UDP:c:\program files\freeplayer\vlc\vlc.exe:VLC media player "UDP Query User{E7F80932-AA28-46F2-A891-D19B64803ECD}c:\program files\freeplayer\vlc\vlc.exe"= TCP:c:\program files\freeplayer\vlc\vlc.exe:VLC media player R1 sK9Ou0s;sK9Ou0s;c:\windows\system32\drivers\srosa2.sys [2008-11-11 7168] R2 AESTFilters;Andrea ST Filters Service;c:\windows\system32\aestsrv.exe [2007-11-12 73728] R3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI Service;c:\windows\system32\drivers\IntcHdmi.sys [2008-03-06 111616] R3 OEM02Dev;Creative Camera OEM002 Driver;c:\windows\system32\DRIVERS\OEM02Dev.sys [2007-08-28 235520] R3 OEM02Vfx;Creative Camera OEM002 Video VFX Driver;c:\windows\system32\DRIVERS\OEM02Vfx.sys [2007-08-28 7424] S3 Huawei;HUAWEI Mobile Connect - USB Smart Card Reader;c:\windows\system32\DRIVERS\ewdcsc.sys [2007-08-09 23424] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] bthsvcs REG_MULTI_SZ BthServ [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{032a3854-7379-11dd-9344-001f3b1e4529}] \shell\AutoRun\command - F:\setup_vmc_lite.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d4a9af51-6ea2-11dd-bba8-001f3b1e4529}] \shell\AutoRun\command - F:\setup_vmc_lite.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d4a9af5e-6ea2-11dd-bba8-001f3b1e4529}] \shell\AutoRun\command - F:\setup_vmc_lite.exe . - - - - ORPHELINS SUPPRIMES - - - - HKCU-Run-DellSupportCenter - c:\program files\Dell Support Center\bin\sprtcmd.exe HKLM-Run-DellSupportCenter - c:\program files\Dell Support Center\bin\sprtcmd.exe . ------- Examen supplémentaire ------- . R0 -: HKCU-Main,Start Page = hxxp://google.mini20.com R1 -: HKCU-Internet Settings,ProxyOverride = *.local O8 -: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 O17 -: HKLM\CCS\Interface\{06413BF1-65B4-4CD8-9554-21BB43D12DB3}: NameServer = 212.27.40.241,212.27.40.240 . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-12 14:08:28 Windows 6.0.6001 Service Pack 1 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . ------------------------ Autres processus actifs ------------------------ . c:\windows\System32\audiodg.exe c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe c:\program files\Bonjour\mDNSResponder.exe c:\windows\System32\dlcgcoms.exe c:\program files\Intel\Wireless\Bin\EvtEng.exe c:\program files\Intel\Intel Matrix Storage Manager\IAANTmon.exe c:\program files\Intel\Wireless\Bin\RegSrvc.exe c:\program files\Dell Support Center\bin\sprtsvc.exe c:\windows\System32\stacsv.exe c:\windows\System32\drivers\XAudio.exe c:\windows\System32\conime.exe c:\windows\System32\igfxsrvc.exe c:\program files\DellTPad\ApMsgFwd.exe c:\program files\Windows Media Player\wmpnscfg.exe c:\program files\DellTPad\ApntEx.exe c:\program files\Windows Media Player\wmpnetwk.exe c:\program files\DellTPad\hidfind.exe c:\windows\servicing\TrustedInstaller.exe . ************************************************************************** . Heure de fin: 2008-11-12 14:21:38 - La machine a redémarré [Butterfly] ComboFix-quarantined-files.txt 2008-11-12 13:21:19 Avant-CF: 49,370,742,784 octets libres Après-CF: 49,444,769,792 octets libres 263 --- E O F --- 2008-11-07 10:40:07 MA QUESTION : Le virus est-il encore là ? Que dois-je faire d'autre ? Je vais relancer antivir une troisième fois, histoire de voir ce qu'il me trouve... Je suis free lance donc autant dire que sans ordi ou avec un ordi vérolé, c'est la M... J'espère que quelqu'un de calé en informatique (ce qui n'est pas mon cas malheureusement) saura m'aider. Merci par avance de vos réponses... :)

Destrio5 · Answer

Salut,

---> Désactive l'UAC le temps de la désinfection :
http://www.commentcamarche.net/faq/sujet 8343 vista desactiver l uac

--> Télécharge FindyKill (par Chiquitine29) sur ton Bureau :
http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

--> Lance l'installation avec les paramètres par défaut.

--> Clique droit sur le raccourci FindyKill situé sur ton Bureau et choisis Exécuter en tant qu'administrateur.

--> Au menu principal, choisis l'option 1 (Recherche).

--> Poste le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.

milotte2 · Answer

Merci des infos, je le fais de suite et t envoies le rapport !

Destrio5 · Answer

--> Branche tes disques amovibles à ton PC (clefs USB, disque dur externe, etc...) sans les ouvrir.

--> Clique droit sur le raccourci FindyKill situé sur ton Bureau et choisis Exécuter en tant qu'administrateur.

--> Au menu principal, choisis l'option 2 (Suppression).

/!\ Il y aura 1 redémarrage, laisse travailler l'outil jusqu'à l'apparition du message "nettoyage effectué" /!\

--> Ensuite, poste le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.

Destrio5 · Answer

C:\Users\Butterfly\Desktop\Adobe.Photoshop.Lightroom.v2.0.481478.Incl.Keymaker-EMBRACE\Adobe.Photoshop.Lightroom.v2.0.481478.Incl.Keymaker-EMBRACE\keygen.exe
C:\Users\Butterfly\Documents\Coach Cérébral Crack Serial Nocd Fr
C:\Users\Butterfly\Documents\Coach Cérébral Crack Serial Nocd Fr.rar
C:\Users\Butterfly\Documents\Coach Cérébral Crack Serial Nocd Fr\A VOIR.avi
C:\Users\Butterfly\Documents\Coach Cérébral Crack Serial Nocd Fr\Brain coaching sport cérébral.iso
C:\Users\Butterfly\Documents\Coach Cérébral Crack Serial Nocd Fr\Gagnez 1000 euros par mois ! ! !.rtf
C:\Users\Butterfly\Documents\Coach Cérébral Crack Serial Nocd Fr\MARANT.mpg
C:\Users\Butterfly\Documents\Fichiers d'installation\PC-GAMES Trivial Pursuit 90's - MULTI ( UK-FR-IT-SP-NL-DE) Full game cracked by CopyKath.rar
C:\Users\Butterfly\Documents\Fichiers d'installation\Trivial Pursuit Dejante(Fr seulemt-1 CD suffit)_Serial+crack_Instal facile par Casanis.rar
C:\Users\Butterfly\Music\BIG\Notorious Big - Life After Death\Disc 2\Notorious B.I.G. - Ten Crack Commandments.mp3 

---> C'est quoi ça ?

milotte2 · Answer

je ne sais pas pour la plupart. je sais ce qu'est Lightroom et c'est un pote qui me l'avait filé et Notorious Big est un morceau de musique.
Est-ce qu'il faut que je les recherche pour les supprimer ?

Destrio5 · Answer

Tu n'as pas l'air de te rendre compte que ça peut infecter ton PC.

milotte2 · Answer

Ben maintenant ... si !! :( par contre, je ne vois pas du tout ce qu est ce truc de coach cérébral, je l'ai trouvé dans les documents mais je ne vois as d ou ca vient et je ne l ai jamais ouvert...
enfin bref, la morale : à vouloir avoir les trucs gratos j'ai perdu deux jours de taf donc je pense que ça me servira de leçon... d'ailleurs merci bcp pour ton aide :)
je vais supprimer tout ca tt de suite. faut-il faire autre chose pour le virus ?

Destrio5 · Answer

"C:\Users\Butterfly\Music\BIG\Notorious Big - Life After Death\Disc 2\Notorious B.I.G. - Ten Crack Commandments.mp3"
---> Tu peux garder cette musique.

---> Réinstalle tes applications infectées (n'est pas une application win32 valide).

- Fais un scan en ligne ici https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr (Avec Internet Explorer)

- En bas à droite, clique sur Démarrer Online-scanner

- Dans la nouvelle fenêtre qui s'affiche, clique sur J'accepte

- Accepte les Contrôles ActiveX

- Choisis Poste de travail pour le scan.

- Celui-ci terminé, sauvegarde (Choisis fichier texte) et poste le rapport

- Pour t'aider à utiliser le scan en ligne :
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte-toi sur le site de Kaspersky pour retenter le scan en ligne.

- Lis ceci en cas de problème d'installation du Contrôle ActiveX :
http://cybersecurite.xooit.com/t123-Les-controles-ActiveX.htm

Destrio5 · Answer

Je te conseille de mettre Antivir à la place.

Destrio5 · Answer

---> Télécharge Toolbar S&D (Team IDN) sur ton Bureau.
* Lance l'installation du programme en exécutant le fichier téléchargé.
* Double-clique maintenant sur le raccourci de Toolbar S&D.
* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
* Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
* Poste le rapport généré. (C:\TB.txt)

Destrio5 · Answer

---> Relance ToolBar S&D, fais l'option 2 et poste le rapport.

Destrio5 · Answer

"voici le rapport, juste un truc, spybot n arrete pas de me demander d accepter des modifications du regsitre. c'est quoi ?"
---> C'est le TeaTimer, d'ailleurs, désactive-le.

--->  Démarre Spybot, clique sur Mode, coche Mode avancé.
---> A gauche, clique sur Outils, puis sur Résident.
--->  Décoche la case devant Résident "TeaTimer" :
http://apu.mabul.org/up/5/apu-5-gpdx9e06cwz2dypom2q7n6nc.jpg
--->  Quitte Spybot.

---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
---> Sélectionne Exécuter un examen rapide.
---> Clique sur Rechercher. L'analyse démarre.

A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
---> Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.

Destrio5 · Answer

---> Supprime ToolBar S&D et le dossier ToolBar SD situé dans C:\

---> Clique sur le logo Vista (Rond bleu).

---> Tape Exécuter dans la barre Rechercher et valide par Entrée.

---> Dans la fenêtre Exécuter, tape combofix /u et valide par Entrée.

- Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

- Double-clique sur RSIT.exe afin de lancer le programme.

- Clique sur Continue à l'écran Disclaimer.

- Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

Note : Les rapports sont sauvegardés dans le dossier C:\rsit.

Destrio5 · Answer

"faut-il que je desinstralle egalement Eligabla, Combofix, etc"
---> Supprime Elibagla et ComboFix.

Essaie le scan en ligne.

Destrio5 · Answer

Depuis quand ?

Destrio5 · Answer

J'espère que Bagle ne s'est pas réactivé.

Marque et modèle du PC qui n'a plus Internet ?

Destrio5 · Answer

Tu te sers du wifi pour te connecter ?

Utilisateur anonyme · Answer

lu

Destrio5 · Answer

Oui, c'est le vrai.

Utilisateur anonyme · Answer

re

oui je le suis pourquoi ?

A bout de nerfs ! · Answer

Jpeux avoir un autographe!

Utilisateur anonyme · Answer

mdr afff c est payant hi hi

Destrio5 · Answer

Tu as encore FindyKill sur le PC ?

A bout de nerfs ! · Answer

ouai pk?

A bout de nerfs ! · Answer

On risque rien en l'ayant encore rassurez moi
Tape l'incrust!^^

A bout de nerfs ! · Answer

Bon au revoir tout le monde!

Destrio5 · Answer

Fais l'option 1 et poste le rapport.

Destrio5 · Answer

Bonne journée ;)

Se débarasser de Bagle (.afu) ?

28 réponses

Discussions similaires