C'est parti !!!
Elibagla bosse ... parcontre avant de le lancer, il m'a indiqué ceci : détecté Gusano BALGLE .
Est-ce grâve ???

Voici le rapport de Elibagla :

Sat Feb 23 11:28:11 2008
EliBagle v11.04 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Sat Feb 23 11:30:11 2008
EliBagle v11.04 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Program Files\Microsoft Works\WKDETECT.EXE --> Eliminado Bagle.dldr
C:\System Volume Information\_restore{537FB484-600D-491B-8DB5-D9BDB84DA95A}\RP360\A0057721.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{537FB484-600D-491B-8DB5-D9BDB84DA95A}\RP360\A0057737.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{537FB484-600D-491B-8DB5-D9BDB84DA95A}\RP360\A0057749.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{537FB484-600D-491B-8DB5-D9BDB84DA95A}\RP360\A0057886.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{537FB484-600D-491B-8DB5-D9BDB84DA95A}\RP360\A0058887.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{537FB484-600D-491B-8DB5-D9BDB84DA95A}\RP360\A0058903.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{537FB484-600D-491B-8DB5-D9BDB84DA95A}\RP360\A0059020.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{537FB484-600D-491B-8DB5-D9BDB84DA95A}\RP360\A0059183.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{537FB484-600D-491B-8DB5-D9BDB84DA95A}\RP360\A0059193.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{537FB484-600D-491B-8DB5-D9BDB84DA95A}\RP360\A0059318.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{537FB484-600D-491B-8DB5-D9BDB84DA95A}\RP360\A0059339.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{537FB484-600D-491B-8DB5-D9BDB84DA95A}\RP360\A0059371.SYS --> Eliminado Bagle (rootkit)
C:\System Volume Information\_restore{537FB484-600D-491B-8DB5-D9BDB84DA95A}\RP360\A0059375.EXE --> Eliminado Bagle.dldr

Nº Total de Directorios: 3839
Nº Total de Ficheros: 54562
Nº de Ficheros Analizados: 12325
Nº de Ficheros Infectados: 14
Nº de Ficheros Limpiados: 14

Fais la suite et poste les rapports
tout vient à point à qui sait attendre
pas de demande par MP svp

Bon .... je galère un peu ( novice en la matière ) .
J 'ai lancé le Combofix comme c 'était indiqué ; mais arrivé à la fin du procéssus , ça a légèrement planté :
un bureau complétement vide ( juste l'image de fond d'écran ) . Après un long moment ( 20 min env.) j'ai fait
ctrl/alt/sup et je suis arrivé à réccupérer mon bureau . Seul hic, un message d'erreur consernant la fin du combofix , et donc pas de rapport ... désolé ...
Par la suite , j 'ai réinstalé Avast et spybot et bingo : ça marche ! (mises à jour comprises ) :)
J'étient mon pc , et au redémarage : avast OK, spybot OK mais plus de connexion wifi disponible !!

Que se passe-t-il ?

Il arrive que Combofix désactive la connexion. mais au moins il semble avoir tué bagle!
pour cela
lis ces explications et applique puis dis moi...
http://www.bleepingcomputer.com/combofix/fr/comment-utiliser­-combofix#restore
puis fais ceci
Télécharge Blacklight
ftp://ftp.f-secure.com/f-prot/tools/fsbl.exe


Enregistre le sur ton Bureau.
Double-clique fsbl.exe
Clique sur "I ACCEPT" .
clique Scan puis Next

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport,
sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

poste ce rapport dans ta prochaine réponse.
NE PAS choisir l'option "Rename" de suite car des fichiers légitimes peuvent être présents, tel wbemtest.exe
et ceci
télécharge et installe le logiciel HijackThis
http://www.pcastuces.com/logitheque/hijackthis.htm
tuto pour l’utiliser
regarde ici c'est parfaitement expliqué en images
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm


tout vient à point à qui sait attendre
pas de demande par MP svp

Impossible de rétablir la connexion... : (

Qu'obtiens tu en faisant "réparer"?
peut être la réinstaller?
tout vient à point à qui sait attendre
pas de demande par MP svp

J ' ai essayé 3 fois sans résultat .
Je pense que je vais tout réinstaler. Mais avant, on va finir les scan d'avast et de spybot ( on n' est jamais trop prudent ).
Ensuite je m'occuperai de Blacklight et je ferai parvenir le rapport ...

En espèrant que ça marche ...
Merci pour tes conseils .

---sKe---

Bagle peut très bien avoir fait des dégâts...il n'est pas vraiment facile à éradiquer...il faut s'assurer qu'il ne reste rien!
tout vient à point à qui sait attendre
pas de demande par MP svp

J' ai bien vu que c'est du sérieux ! :-)
Je ne prend pas cela à la légère ...
Avast vient de finir son scan ; j'essaye de suite de régler le prb de connexion et je te tiens au courant .

Fausse joie !!!!
je réinstale ma connexion : pas de prb ( mon wifi marche , raccouci dans la barre des taches ) .
J'étient et redémarre mon PC et plus rien ! Pas de raccourci dans la barre des taches et impossible de réparer la connex.
De plus , qlque chose a encore disparru de celle-ci : le contrôle de volume de ma carte son ( qui a toujours été configué de manière à être tjrs visible ) .
Est-ce encore le même virus, ou peut-être un autre puisque je me suis connecté sans protection; ou encore un vieux virus qui trainnait dans les zones de quarantaines d'avast et de spybot que j'ai du désinstaler au paravant ???
En tout cas , j'ai lancé un scan par spybot ... on va bien voir ...
Sinon , que faire ?

Poste un rapport hijack this
tout vient à point à qui sait attendre
pas de demande par MP svp

Spybot finit son boulot et je te poste ça de suite .

Merci encore pour ton aide :)

Spybot n'est pas un antivirus et dans le cas de bagle, je ne suis pas sur qu'il puisse faire grand chose!
avast, n'est pas mauvais mais comme il a laissé passé cette version de bagle, je crains que sa base de données ne soit pas à jour..
essaie ceci
télécharge antivir
http://www.pcastuces.com/logitheque/antivir.htm
désactive avast, tu le réactiveras ensuite, si tu le désires
installe antivir mets le à jour et scanne le PC en mode sans échec
Comment aller en Mode sans échec
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur
poste le rapport obtenu avec un rapport blacklight et un rapport hijack this
tout vient à point à qui sait attendre
pas de demande par MP svp

OK , je vais faire la manipe

en attendent voici le rapport HIJACTHIS :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:20, on 2008-02-23
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\Rundll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\Hercules\WiFi Station\WifiStation.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Creative Labs Shared\Service\APLicensing.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\M-Audio\Install\EvoInst.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O4 - Global Startup: WiFi Station.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?322349f829be470b8d0ea4a9e3fe9afb
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?322349f829be470b8d0ea4a9e3fe9afb
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.fr
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://express.foto.com/NewUploader/ImageUploader4.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Creative Audio Pack Licensing Service - Creative Labs - C:\Program Files\Fichiers communs\Creative Labs Shared\Service\APLicensing.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: M-Audio Installer (EvoInstallerService) - Unknown owner - C:\Program Files\M-Audio\Install\EvoInst.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
End of file - 9098 bytes

Recherche et supprime
C:\Program Files\Fichiers communs\GMT\GMT.exe

lance hijackthis pour un scan et coche les lignes suivantes
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: GStartup.lnk = C:\Program Files\Fichiers communs\GMT\GMT.exe => GATOR.Spy
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O4 - Global Startup: WiFi Station.lnk = ?
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing)
ferme toutes tes fenêtres et clique sur fix checked

dis moi où tu en es?

tout vient à point à qui sait attendre
pas de demande par MP svp

J'allais me lancer dans le mode sans echec .
quoi faire en premier ?

Antivir
tout vient à point à qui sait attendre
pas de demande par MP svp