--> Télécharge FindyKill sur ton bureau :
http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

--> Lance l'installation avec les paramètres par defaut

--> Double-clique sur le raccourci FindyKill sur ton bureau

--> Au menu principal, choisis l'option 1 (Recherche)

--> Poste le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.
Quand les bornes sont franchies, il n'y a plus de limite
Ce que j'ai écrit, je l'ai écrit

Voilà, j'ai trouvé le bilan :


(26-5-2009 14:13:48)
EliBagle v12.58 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Mayo del 2009)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.58
a "virus@satinfo.es". Gracias.
C:\USERS\CLéMENT\APPDATA\ROAMING\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.
C:\USERS\CLéMENT\APPDATA\ROAMING\DRIVERS\SROSA2.SYS --> Eliminado Bagle(rootkit)
C:\USERS\CLéMENT\APPDATA\ROAMING\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
C:\USERS\CLéMENT\APPDATA\ROAMING\M\LIST.OCT --> Eliminado Bagle
C:\USERS\CLéMENT\APPDATA\ROAMING\DRIVERS\DOWNLD\207684.EXE --> Eliminado Bagle.dldr
C:\USERS\CLéMENT\APPDATA\ROAMING\DRIVERS\DOWNLD\400470.EXE --> Eliminado Bagle
C:\USERS\CLéMENT\APPDATA\ROAMING\DRIVERS\DOWNLD\416507.EXE --> Eliminado Bagle
C:\USERS\CLéMENT\APPDATA\ROAMING\DRIVERS\DOWNLD\452730.EXE --> Eliminado Bagle
C:\USERS\CLéMENT\APPDATA\ROAMING\DRIVERS\DOWNLD\571852.EXE --> Eliminado Bagle
Reinicie para Completar la Limpieza.

(26-5-2009 14:14:49)
EliBagle v12.58 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Mayo del 2009)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios: 19677
Nº Total de Ficheros: 125494
Nº de Ficheros Analizados: 20724
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Fait findykill stp
http://www.commentcamarche.net/forum/affich 12619302 aide pour virus bagle svp?#1 Quand les bornes sont franchies, il n'y a plus de limite
Ce que j'ai écrit, je l'ai écrit

Ok je te tiens au courant
merci!

Voici le rapport :


############################## [ FindyKill V4.730 ]

# User : Clément (Administrateurs) # PC-DE-CLÉMENT
# Update on 25/05/09 by Chiquitine29
# Start at: 16:45:59 | 26/05/2009
# Website : http://pagesperso-orange.fr/NosTools/findykill.html

# Intel(R) Core(TM)2 Duo CPU T8100 @ 2.10GHz
# Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1229 [VPS 081127-1] 4.8.1229 [ Enabled | Updated ]

# C:\ # Disque fixe local # 221,65 Go (86,53 Go free) # NTFS
# D:\ # Disque amovible
# E:\ # Disque amovible
# F:\ # Disque CD-ROM

############################## [ Processus actifs ]

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Sony\ISB Utility\ISBMgr.exe
C:\Program Files\Sony\Marketing Tools\MarketingTools.exe
C:\Program Files\Apoint\ApMsgFwd.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\ehome\ehtray.exe
C:\Users\Clément\AppData\Roaming\drivers\winupgro.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Sony\VAIO Update 3\VAIOUpdt.exe
C:\Program Files\Sony\Wireless Switch Setting Utility\Switcher.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\stacsv.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
C:\Program Files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzMgr.exe
C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
C:\Program Files\Sony\VAIO Event Service\VESMgrSub.exe
C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\Sony\VAIO Power Management\SPMgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\Clément\AppData\Roaming\m\flec006.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\wintems.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wbem\wmiprvse.exe

################## [ Processus infectieux stoppés ]

"C:\Users\Clément\AppData\Roaming\drivers\winupgro.exe" (1364)
"C:\Users\Clément\AppData\Roaming\m\flec006.exe" (4436)
"C:\Windows\system32\wintems.exe" (5108)

################## [ Fichiers / Dossiers infectieux ]

Found ! C:\Windows\Prefetch\207684.EXE-239D4877.pf
Found ! C:\Windows\Prefetch\400470.EXE-7460AEFB.pf
Found ! C:\Windows\Prefetch\WINTEMS.EXE-85AF748B.pf
Found ! C:\Windows\system32\ban_list.txt
Found ! C:\Windows\system32\mdelk.exe
Found ! C:\Windows\system32\wintems.exe
Found ! "C:\Users\Cl‚ment\AppData\Roaming\drivers"
Found ! "C:\Users\Cl‚ment\AppData\Roaming\drivers\downld"
Found ! "C:\Users\Cl‚ment\AppData\Roaming\drivers\wfsintwq.sys"
Found ! "C:\Users\Cl‚ment\AppData\Roaming\drivers\winupgro.exe"
Found ! "C:\Users\Cl‚ment\AppData\Roaming\m"
Found ! "C:\Users\Cl‚ment\AppData\Roaming\m\flec006.exe"
Found ! "C:\Users\Cl‚ment\AppData\Roaming\m\shared"

################## [ Infected Temp Files ]

Found ! C:\Users\Cl‚ment\Local Settings\Temporary Internet Files\Content.IE5\38GW4F08\b64_1[1].jpg
Found ! C:\Users\Cl‚ment\Local Settings\Temporary Internet Files\Content.IE5\38GW4F08\b64_3[1].jpg
Found ! C:\Users\Cl‚ment\Local Settings\Temporary Internet Files\Content.IE5\7RJUZZ0W\b64_1[1].jpg
Found ! C:\Users\Cl‚ment\Local Settings\Temporary Internet Files\Content.IE5\7RJUZZ0W\b64_3[1].jpg
Found ! C:\Users\Cl‚ment\Local Settings\Temporary Internet Files\Content.IE5\DG3PC8G6\b64[1].jpg
Found ! C:\Users\Cl‚ment\Local Settings\Temporary Internet Files\Content.IE5\Z4H8C6S7\b64[1].jpg
Found ! C:\Users\Cl‚ment\Local Settings\Temporary Internet Files\Content.IE5\Z4H8C6S7\file[1].txt

################## [ Registre / Clés infectieuses ]

Found ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\srosa
Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sK9Ou0s
Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S
Found ! HKEY_CURRENT_USER\Software\MuleAppData
Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"german.exe"
Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"mule_st_key"

# (!) HKLM\SYSTEM\...\Services\srosa -> Start = 0x1
# (!) HKLM\SYSTEM\...\Services\sK9Ou0s -> Start = 0x1

################## [ Recherche dans supports amovibles]

Found ! C:\InfoSat.txt

################## [ Registre / Mountpoints2 ]

Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{efd46ef2-b487-11dd-9627-001e3d896e5e}\Shell\AutoRun\command
Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{efd46ef2-b487-11dd-9627-001e3d896e5e}\Shell\explore\Command
Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{efd46ef2-b487-11dd-9627-001e3d896e5e}\Shell\open\Command

################## [ ! Fin du rapport # FindyKill V4.730 ! ]

Jolie infection tu va avoir du boulot on ne finira pas ce soir
lancer le nettoyage via FindyKill, relancez le programme.
Dans le menu principal, tapez 2 puis validez par entrée.
Le menu démarrer et les icônes vont à nouveau disparaître.. c'est normal.
Le nettoyage va prendre quelques minutes... Appuez sur OK sur la fenêtre d'informations
Le fix peux avoir besoin de redémarrer l'ordinateur, un message vous en averti, vous devez appuyer sur une touche

ca devrai deja allez mieux
ensuite
télecharge Malwarebyte's ici http://www.malwarebytes.org/mbam/program/mbam-setup.exe
le programme va se mettre automatiquement a jour.
S'il manque le fichier COMCTL32.OCX, vous pourrez le télécharger ici
http://www.malekal.com/download/comctl32.ocx
Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".

Click maintenant sur l´onglet recherche et coche la case : "executer un examen rapide".

Puis click sur "rechercher".

Laisse le scanner le pc...

Si des elements on ete trouvés > click sur supprimer la selection.

si il t´es demandé de redemarrer > click sur "yes".

A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.

Copie et colle le rapport stp.

PS : les rapport sont aussi rangé dans l onglet rapport/log


ensuite tu devras tres certainement reinstalle ton anti virus

fait egalement ce rapport
télécharge hijackthis http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
-> enregistre la cible sous .... "le bureau" renomme HJTInstall.exe en par exemple HJT.exe

-> Fais un double-clic sur "HJT.exe" afin de lancer l'installation

-> Clique sur Install ensuite sur "I Accept"

-> Clique sur" Do a scan system and save log file"

-> Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse

http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm

Quand les bornes sont franchies, il n'y a plus de limite
Ce que j'ai écrit, je l'ai écrit

Bon c'est parti , écran noir avec ecriture verte et rouge et des fichiers corrompu (avast...)
Je suis sur un autre pc là.
le pb c'est que je suis au bureau et je vais bientôt devoir le quitter, je vais me trimballer avec mon pc portable ouvert dans la rue..!
Bon je vous tiens au courant
Merci bcp
(ça m'arrangerai que ce soit fini aujourdhui car je n'aurai accès à internet que jeudi soir apres..)

Est-ce que vous pensez que cette analyse va être longue?
merci de vos réponses

Heu voici le rapport tombé après l'analyse de Findykill .
Je continue avec malwarebytes?
Mais je ne comprends pas cette étape:

"S'il manque le fichier COMCTL32.OCX, vous pourrez le télécharger ici
http://www.malekal.com/download/comctl32.ocx "


Merci bcp



############################## [ FindyKill V4.730 ]

# User : Clément (Administrateurs) # PC-DE-CLÉMENT
# Update on 25/05/09 by Chiquitine29
# Start at: 16:55:57 | 26/05/2009
# Website : http://pagesperso-orange.fr/NosTools/findykill.html

# Intel(R) Core(TM)2 Duo CPU T8100 @ 2.10GHz
# Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1229 [VPS 081127-1] 4.8.1229 [ Enabled | Updated ]

# C:\ # Disque fixe local # 221,65 Go (86,55 Go free) # NTFS
# D:\ # Disque amovible
# E:\ # Disque amovible
# F:\ # Disque CD-ROM

############################## [ Active Processes ]

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Sony\VAIO Update 3\VAIOUpdt.exe
C:\Program Files\Sony\Wireless Switch Setting Utility\Switcher.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\stacsv.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
C:\Program Files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzMgr.exe
C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Sony\VAIO Event Service\VESMgrSub.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\runonce.exe
C:\Windows\system32\conime.exe

################## [ Infected Files \ Folders ]

Deleted ! C:\Windows\Prefetch\207684.EXE-239D4877.pf
Deleted ! C:\Windows\Prefetch\400470.EXE-7460AEFB.pf
Deleted ! C:\Windows\Prefetch\WINTEMS.EXE-85AF748B.pf
Deleted ! C:\Windows\system32\ban_list.txt
Deleted ! C:\Windows\system32\mdelk.exe
Deleted ! C:\Windows\system32\wintems.exe
Deleted ! "C:\Users\Cl‚ment\AppData\Roaming\drivers\wfsintwq.sys"
Deleted ! "C:\Users\Cl‚ment\AppData\Roaming\drivers\winupgro.exe"
Deleted ! "C:\Users\Cl‚ment\AppData\Roaming\m\flec006.exe"
Deleted ! "C:\Users\Cl‚ment\AppData\Roaming\drivers\downld"
Deleted ! "C:\Users\Cl‚ment\AppData\Roaming\drivers"
Deleted ! "C:\Users\Cl‚ment\AppData\Roaming\m\shared"
Deleted ! "C:\Users\Cl‚ment\AppData\Roaming\m"

################## [ Infected Temp Files ]

Deleted ! C:\Users\Cl‚ment\Local Settings\Temporary Internet Files\Content.IE5\38GW4F08\b64_1[1].jpg
Deleted ! C:\Users\Cl‚ment\Local Settings\Temporary Internet Files\Content.IE5\38GW4F08\b64_3[1].jpg
Deleted ! C:\Users\Cl‚ment\Local Settings\Temporary Internet Files\Content.IE5\7RJUZZ0W\b64_1[1].jpg
Deleted ! C:\Users\Cl‚ment\Local Settings\Temporary Internet Files\Content.IE5\7RJUZZ0W\b64_3[1].jpg
Deleted ! C:\Users\Cl‚ment\Local Settings\Temporary Internet Files\Content.IE5\DG3PC8G6\b64[1].jpg
Deleted ! C:\Users\Cl‚ment\Local Settings\Temporary Internet Files\Content.IE5\Z4H8C6S7\b64[1].jpg
Deleted ! C:\Users\Cl‚ment\Local Settings\Temporary Internet Files\Content.IE5\Z4H8C6S7\file[1].txt

################## [ Registry / Infected keys ]

Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SROSA
Deleted ! HKEY_CURRENT_USER\Software\MuleAppData
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"german.exe"
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"mule_st_key"

################## [ Cleaning Removable drives ]

Deleted ! C:\InfoSat.txt
Deleted ! C:\Muestras

################## [ Registry / Mountpoint2 ]

Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{efd46ef2-b487-11dd-9627-001e3d896e5e}\Shell\AutoRun\command
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{efd46ef2-b487-11dd-9627-001e3d896e5e}\Shell\explore\Command
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{efd46ef2-b487-11dd-9627-001e3d896e5e}\Shell\open\Command

################## [ States / Restarting of services ]

# Services : [ Auto=2 / Request=3 / Disable=4 ]

# Ndisuio -> # Type of startup =3
# EapHost -> # Type of startup =2
# Wlansvc -> # Type of startup =2
# SharedAccess -> # Type of startup =2
# wuauserv -> # Type of startup =2
# wscsvc -> # Type of startup =2
# WinDefend -> # Type of startup =2
# -> UAC is Enable.

################## [ Searching Other Infections ]

# Références de comparaison Bagle MD5 :

File ... : C:\Users\Cl‚ment\AppData\Roaming\drivers\winupgro.exe
CRC32 .. : b9da0be4
MD5 .... : 922af2d057d22978b219d38fe98c7ab6

Deleted ! : C:\Users\Clément\AppData\Local\mgasoai.exe
# Taille : 851968 # MD5 : 922AF2D057D22978B219D38FE98C7AB6




################## [ Corrupted files # Re-Installation required ]

C:\Program Files\Alwil Software\Avast4\ashAvast.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

################################### [ Cracks / Keygens / Serials ]

# -> Nothing found !

################## [ ! End of Report # FindyKill V4.730 ! ]

Voici le rapport du logiciel Malwarebytes
Je continue les étapes :


Malwarebytes' Anti-Malware 1.36
Version de la base de données: 2181
Windows 6.0.6001 Service Pack 1

26/05/2009 18:38:21
mbam-log-2009-05-26 (18-38-21).txt

Type de recherche: Examen rapide
Eléments examinés: 71159
Temps écoulé: 2 minute(s), 52 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\OOO (Rogue.LivePlayer) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\OOO (Malware.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\System32\TDSScrrx.dll (Trojan.TDSS) -> Quarantined and deleted successfully.

Pour finir voici le rapport de Hijackthis:
Je suis de retour sur internet jeudi soir pour voir votre réponse (en espérant que tout est rétabli!)
Merci encore.!


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:53:07, on 26/05/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18226)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Sony\VAIO Update 3\VAIOUpdt.exe
C:\Program Files\Sony\Wireless Switch Setting Utility\Switcher.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Sony\ISB Utility\ISBMgr.exe
C:\Program Files\Sony\Marketing Tools\MarketingTools.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Apoint\ApMsgFwd.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10b.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\PROGRA~1\GOOGLE~1\BAE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ISBMgr.exe] "C:\Program Files\Sony\ISB Utility\ISBMgr.exe"
O4 - HKLM\..\Run: [MarketingTools] C:\Program Files\Sony\Marketing Tools\MarketingTools.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" update "Software\CyberLink\YouCam\2.0"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [mgasoai] "c:\users\clément\appdata\local\mgasoai.exe" mgasoai
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'Default user')
O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O8 - Extra context menu item: Envoyer l'&image au périphérique Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix:
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/VistaMSNPUpldfr-fr.cab
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SigmaTel Audio Service (STacSV) - IDT, Inc. - C:\Windows\system32\stacsv.exe
O23 - Service: VAIO Entertainment TV Device Arbitration Service - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCs\VzHardwareResourceManager\VzHardwareResourceManager.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
O23 - Service: VAIO Content Metadata Intelligent Analyzing Manager (VcmIAlzMgr) - Sony Corporation - C:\Program Files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzMgr.exe
O23 - Service: VAIO Content Metadata XML Interface (VcmXmlIfHelper) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VcmXml\VcmXmlIfHelper.exe
O23 - Service: VAIO Entertainment UPnP Client Adapter (Vcsw) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
O23 - Service: VAIO Entertainment Database Service (VzCdbSvc) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
O23 - Service: VAIO Entertainment File Import Service (VzFw) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe
End of file - 8872 bytes

Bien on va reproteger ton pc avec un bon antivirus

commence par desinstaller cette daub de avast
désinstaller Avast! en sans echec


Utilitaire de désinstallation d'Avast! : aswClear.exe

http://www.avast.com/fre/avast-uninstall-utility.html
tuto merci daniel85
http://cjoint.com/data/myuPOfIxwL.htm
Pour démarrer en mode sans échec

>>1--demarre ou redémarre l’ordinateur. L'affichage affichent la progression du BIOS,

>>2--A la fin du chargement du BIOS, tapotte sur la touche F8 de ton clavier. jusqu'à ce que le menu des options avancées de Windows apparaisse. Si tu appuie sur la touche F8 trop tôt, il est possible que certains ordinateurs affichent le message "erreur clavier". Dans ce cas redémarre l'ordinateur et essaye de nouveau.

>>4--En utilisant les flèches de ton clavier, sélectionne « Mode sans échec » dans le menu puis appuie sur Entrée.
et utilise aswClear.exe
redemarre
ensuite va sur clubic et installe antivir de avira

si le demarrage sans echec ne marche pas c'est a cause du virus
http://download.bleepingcomputer.com/sUBs/SafeBootKeyRepair.exe
ou allez ici http://www.assistepc.com/forum/reparer-le-mode-sans-echec-de-windows-vt867.html

quand avira sera installe fait un scan
a+

Quand les bornes sont franchies, il n'y a plus de limite
Ce que j'ai écrit, je l'ai écrit

Bonjour!
Je ne suis pas là jusqu'à lundi soir donc je m'occupe de tout ça mardi.
Je vous tiens au courant mais cette phrase me fait peur!

"Si le demarrage sans echec ne marche pas c'est a cause du virus "

Il est possible qu'il y ai encore le virus ?

Merci bcp!

1 non , mais beagle est particulièrement résistant, donc ..
2 si ton antivirus ne fonctionne pas , ainsi que pare feux et autres antispy
également le démarrage sans échec ..c'est parce que le virus , y a inscrit des
code malicieux ,même si le virus a disparu , ces programmes restes inutilisables Quand les bornes sont franchies, il n'y a plus de limite
Ce que j'ai écrit, je l'ai écrit

Bonjour,
bon j'ai retéléchargé ccleaner ainsi que spybot, ils fonctionnent correctement maintenant.
Je m'occupe d'antivir ce soir.
Seul problème remarqué, dans les mise à jour de windows, lorsque je vais sur l'ecran de 'windows update', on me dit qu'il y a de nouvelles mises à jours mais on me dit pas combien, ni si elle sont 'recommandés' ou 'importantes'.
Est-ce un pb avec bagle?
merci !

Je viens de redémarrer la machine, tout est correct apparement
1 mise à jour disponible importante "windos service pack 2"

Merci!

Ok ca a l'air d'allez ? Quand les bornes sont franchies, il n'y a plus de limite
Ce que j'ai écrit, je l'ai écrit

Oui apparement tout fonctionne de nouveau.
Par contre sur l'ecran de window update, le pb reste le même ... c'est bizarre mais bon , c'est pas trop génant.
Je te tiens au courant d'éventuel soucis.
merci !