Infection par Bagle [Résolu]

bonjour,
fais ceci:

Téléchargez ELIBAGLA (by SATINFO) en bas de cette page : http://www.zonavirus.com/datos/descargas/95/elibagla.asp
Cliquez sur le bouton Descargar Elibagla pour télécharger le fichier, placez le sur votre bureau.
Double-cliquez dessus pour l'ouvrir
Assurez-vous que dans le menu déroulant Unidad, vous avez bien C:\ (ou la partition contenant le système d'exploitation)
Vérifiez aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente est bien cochée
Cliquez sur le bouton Explorar pour lancer l'analyse, à la fin du scan, un rapport est généré, nommé infosat.txt, il est en outre sauvegardé sous la racine : C:\infosat.txt

poste le rapport

poste les rapports obtenus avec elibagla

fais aussi ceci en mode sans échec si tu arrives à y aller...si non en mode normal, car il ne faut surtout pas forcer le mode sans échec avec bagle
Télécharge MalwareByte
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Installe-le, mets le à jour

1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur

Redémarre en mode sans échec, copie ou imprime ce qui suit car tu n'auras pas accès à Internet

Lance MalwareByte
Dans l'onglet Recherche, clique sur Exécuter un examen complet puis sur Rechercher.
Sélectionne ton (tes) disques durs.
Lance l'examen, supprime tout ce qu’il trouve
Clique sur Enregistrer le rapport et choisis ton Bureau
relance elibagla

redémarre normalement et poste les rapports obtenus avec un rapport hijack this si possible...Lance MalwareByte

Voici les rapports Elibagla :

1)
Wed Aug 06 12:57:43 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Wed Aug 06 12:58:07 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.


2)
Wed Aug 06 12:57:43 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Wed Aug 06 12:58:07 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Wed Aug 06 12:58:51 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Wed Aug 06 12:59:04 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Wed Aug 06 12:59:19 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.

Wed Aug 06 13:00:59 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Renombrado a .VIR
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)

Wed Aug 06 13:07:21 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE.VIR --> Eliminado
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.66
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle
C:\USERS\NICOLAS\APPDATA\ROAMING\M\FLEC006.EXE --> Eliminado Bagle
C:\USERS\NICOLAS\APPDATA\ROAMING\M\LIST.OCT --> Eliminado Bagle
Eliminada Carpeta "%AppData%\M"

Wed Aug 06 13:09:25 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\System32\MDELK.EXE --> Eliminado Bagle
C:\WINDOWS\System32\drivers\downld\240257.EXE --> Eliminado Bagle
C:\WINDOWS\System32\drivers\downld\278602.EXE --> Eliminado Bagle
C:\WINDOWS\System32\drivers\downld\282081.EXE --> Eliminado Bagle
C:\WINDOWS\System32\drivers\downld\296183.EXE --> Eliminado Bagle

Nº Total de Directorios: 19346
Nº Total de Ficheros: 178404
Nº de Ficheros Analizados: 18927
Nº de Ficheros Infectados: 5
Nº de Ficheros Limpiados: 5

Wed Aug 06 13:22:30 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Nº Total de Directorios: 3
Nº Total de Ficheros: 3
Nº de Ficheros Analizados: 0
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Wed Aug 06 13:22:43 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad G:\

Nº Total de Directorios: 466
Nº Total de Ficheros: 7089
Nº de Ficheros Analizados: 929
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Wed Aug 06 13:23:06 2008
EliBagle v11.66 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad F:\

Nº Total de Directorios: 30894
Nº Total de Ficheros: 122760
Nº de Ficheros Analizados: 872
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

essaie de passer Malwarebyte maintenant et poste le rapport obtenu
si tu as des cracks sur ton Pc et c'est vraisemblablement le cas puisque bagle s'attrape de cette façon, supprime les sinon l'infection se relance chaque fois que tu les lances....

renomme elibagla en mdelk.exe et crée un nouveau rapport et poste le

Voici le rapport Malwarebyte, qui a effectivement décanillé un paquet d'exemplaires du Bagle. Je précise que les virus ont bien été supprimés avec succès (j'avais enregistré le rapport avant).

Malwarebytes' Anti-Malware 1.24
Version de la base de données: 1028
Windows 6.0.6001 Service Pack 1

17:55:39 06/08/2008
mbam-log-8-6-2008 (17-54-54).txt

Type de recherche: Examen complet (C:\|D:\|F:\|G:\|)
Eléments examinés: 323788
Temps écoulé: 2 hour(s), 14 minute(s), 34 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 34

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Plate (Adware.Agent) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\WINDOWS\System32\drivers\downld (Trojan.Agent) -> No action taken.

Fichier(s) infecté(s):
C:\Program Files\Multimédia\FairUse Wizard 2\un_FU-Setup_14333.exe (Adware.Rabio) -> No action taken.
C:\Program Files\Multimédia\The KMPlayer FR\KIconLib.dll (Backdoor.Bot) -> No action taken.
C:\WINDOWS\System32\drivers\downld\15001570.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\System32\drivers\downld\15031835.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\System32\drivers\downld\15057216.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\System32\drivers\downld\15059400.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\System32\drivers\downld\15112550.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\System32\drivers\downld\15122237.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\System32\drivers\downld\203456.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\System32\drivers\downld\203503.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\System32\drivers\downld\258634.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\System32\drivers\downld\258868.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\System32\drivers\downld\281394.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\System32\drivers\downld\291643.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\System32\drivers\downld\318429.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\System32\drivers\downld\320940.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\System32\drivers\downld\324419.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\System32\drivers\downld\332344.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\System32\drivers\downld\346150.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\System32\drivers\downld\347507.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\System32\drivers\downld\355791.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\System32\drivers\downld\370003.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\System32\drivers\downld\376196.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\System32\drivers\downld\379020.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\System32\drivers\downld\390766.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\System32\drivers\downld\435055.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\System32\drivers\downld\487986.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\System32\drivers\downld\498407.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\System32\drivers\downld\524802.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\System32\drivers\downld\528437.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\System32\drivers\downld\564567.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\System32\drivers\downld\570339.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\System32\drivers\downld\667731.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\System32\drivers\downld\704547.exe (Trojan.Agent) -> No action taken.

je vois "no action taken" tu as bien tout supprimé?
maintenant fais ceci pour terminer le nettoyage
Télécharge ComboFix.exe (par sUBs) sur ton Bureau de la façon décrite dans le tutoriel que je te donne, c'est important
http://forum.pcastuces.com/sujet.asp?f=25&s=37315
Tutoriel officiel de ComboFix, afin de l’utiliser correctement
http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Désactive ton antivirus, antispyware, et Spybot-S&D (résident) durant l'utilisation de ComboFix. Merci. Tu le réactiveras ensuite, en fin de désinfection.
Voir ici comment désactiver tes protections
http://forum.pcastuces.com/desactiver_les_protections_residentes-f31s4.htm
Double clique sur ComboFix.exe (ComboFix)
Tape 1 puis tape sur Entrée
A noter: une fois que ComboFix est lancé, il ne faut pas cliquer dans la fenêtre de ComboFix car cela pourrait entraîner un plantage du programme.
Il est recommandé de laisser l'outil analyser et nettoyer le PC sans utiliser quoi que ce soit d'autre...
A la fin de l’analyse, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse
Si le rapport n'apparaît pas, tu le trouves ici, à la racine de ton Système, en principe : C:\ComboFix.txt (C:\ComboFix)

Et voici le rapport Combofix... J'ai la nette impression de ne pas avoir éradiqué totalement l'infection : nombreux fichiers "accès refusé" à Elibagla et Windows Defender qui ne se relance toujours pas au démarrage entre autres symptômes.

ComboFix 08-08-04.09 - Nicolas 2008-08-06 18:59:21.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6001.1.1252.1.1036.18.2438 [GMT 2:00]
Endroit: F:\Desktop\CoFix.exe
* Création d'un nouveau point de restauration
.
[i] ADS - Windows: deleted 24 bytes in 1 streams. /i

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\InfoSat.txt
C:\Program Files\Le Robert\Le Grand Robert\grwinHyper.exe
C:\Users\Nicolas\AppData\Roaming\.#
C:\Windows\system32\drivers\mdelk.exe

.
((((((((((((((((((((((((((((( Fichiers créés 2008-07-06 to 2008-08-06 ))))))))))))))))))))))))))))))))))))
.

2008-08-06 15:29 . 2008-08-06 15:29 <REP> d-------- C:\Users\Nicolas\AppData\Roaming\Malwarebytes
2008-08-06 15:29 . 2008-08-06 15:29 <REP> d-------- C:\Users\All Users\Malwarebytes
2008-08-06 15:29 . 2008-08-06 15:29 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-08-06 15:29 . 2008-08-06 15:29 <REP> d-------- C:\PROGRA~2\Malwarebytes
2008-08-06 15:29 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\System32\drivers\mbamswissarmy.sys
2008-08-06 15:29 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\System32\drivers\mbam.sys
2008-08-06 12:57 . 2008-08-06 12:57 <REP> d-------- C:\Muestras
2008-08-06 12:45 . 2008-08-06 12:15 55,819 --a------ C:\mdelk.EXE
2008-08-05 18:14 . 2008-08-05 18:14 <REP> d-------- C:\Program Files\Panda Security
2008-08-05 18:14 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\System32\drivers\pavboot.sys
2008-08-05 17:25 . 2008-08-05 17:25 <REP> d-------- C:\fsaua.data
2008-08-05 15:50 . 2008-08-05 15:50 <REP> d-------- C:\Users\All Users\SlySoft
2008-08-05 15:50 . 2008-08-05 15:50 <REP> d-------- C:\PROGRA~2\SlySoft
2008-08-05 11:40 . 2008-08-05 11:40 <REP> d-------- C:\Users\All Users\Elaborate Bytes
2008-08-05 11:40 . 2008-08-05 11:40 <REP> d-------- C:\PROGRA~2\Elaborate Bytes
2008-08-05 11:26 . 2008-08-05 11:40 24 --ahs---- C:\WINDOWS\SEC030AE0.tmp
2008-08-05 00:17 . 2008-08-05 00:17 <REP> d-------- C:\Users\Nicolas\.dvdcss
2008-08-05 00:16 . 2008-08-05 00:38 <REP> d-------- C:\Users\Nicolas\AppData\Roaming\Any DVD Converter Professional
2008-08-05 00:16 . 2008-08-05 00:27 <REP> d-a------ C:\Users\All Users\TEMP
2008-08-05 00:16 . 2008-08-05 00:27 <REP> d-a------ C:\PROGRA~2\TEMP
2008-08-04 15:09 . 2008-08-04 15:09 <REP> d-------- C:\Users\Nicolas\AppData\Roaming\Convivea
2008-08-04 15:09 . 2008-08-04 15:09 <REP> d-------- C:\Program Files\Bit Che
2008-08-04 15:09 . 2004-03-09 00:00 124,688 --a------ C:\WINDOWS\System32\mswinsck.ocx
2008-08-04 09:55 . 2008-08-04 09:55 736 --a------ C:\WINDOWS\SamsungMaster.INI
2008-08-04 09:43 . 2008-08-04 10:29 <REP> d-------- C:\Program Files\Encyclopédie Hachette des Vins 2005
2008-08-01 17:08 . 2008-08-01 17:12 <REP> d-------- C:\Program Files\Feuvert
2008-08-01 17:08 . 1999-06-01 08:00 133,296 --a------ C:\WINDOWS\System32\tishare6.dll
2008-08-01 17:08 . 2008-08-01 17:09 96 --a------ C:\WINDOWS\permis.ini
2008-08-01 14:04 . 2008-08-02 08:22 <REP> d-------- C:\Program Files\Vista Start Menu
2008-08-01 14:03 . 2008-08-04 09:47 <REP> d-------- C:\Users\Nicolas\AppData\Roaming\Vista Start Menu
2008-07-31 20:42 . 2008-07-31 20:42 <REP> d-------- C:\PALM
2008-07-31 20:39 . 2008-07-31 20:39 <REP> d-------- C:\Program Files\Palm Simulator
2008-07-31 20:04 . 2008-07-31 20:04 <REP> d-------- C:\Program Files\PhotomatixPro3
2008-07-31 19:41 . 2008-07-31 19:41 1,971 --a------ C:\WINDOWS\Palm OS Emulator.ini
2008-07-21 14:11 . 2008-07-21 14:11 24,392 --a------ C:\WINDOWS\System32\drivers\ElbyCDIO.sys
2008-07-18 13:14 . 2008-07-18 13:14 99,648 --a------ C:\WINDOWS\System32\drivers\AnyDVD.sys
2008-07-17 22:54 . 2008-06-26 03:45 12,240,896 --a------ C:\WINDOWS\System32\NlsLexicons0007.dll
2008-07-17 22:54 . 2008-06-26 03:45 2,644,480 --a------ C:\WINDOWS\System32\NlsLexicons0009.dll
2008-07-17 22:54 . 2008-06-26 05:29 801,280 --a------ C:\WINDOWS\System32\NaturalLanguage6.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-05 14:44 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-08-05 14:44 --------- d-----w C:\PROGRA~2\Spybot - Search & Destroy
2008-08-05 12:55 --------- d-----w C:\Program Files\Multimédia
2008-08-05 12:52 --------- d-----w C:\Program Files\IsoBuster
2008-08-04 08:29 --------- d-----w C:\Program Files\Encyclopédie Hachette des Vins 2005
2008-08-04 08:12 --------- d-----w C:\Users\Nicolas\AppData\Roaming\Roxio
2008-08-04 08:12 --------- d-----w C:\PROGRA~2\Roxio
2008-08-04 08:01 --------- d-----w C:\Program Files\DxO Labs
2008-08-04 07:57 --------- d-----w C:\Program Files\VirtualDubMOD
2008-08-04 07:55 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-08-04 07:50 --------- d-----w C:\Program Files\Canon
2008-08-01 09:47 --------- d-----w C:\Program Files\Avast4
2008-07-31 18:24 --------- d-----w C:\Users\Nicolas\AppData\Roaming\Winamp
2008-07-31 18:24 --------- d-----w C:\Program Files\Winamp
2008-07-24 10:15 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-07-21 08:09 --------- d-----w C:\Program Files\VirtualDub
2008-07-19 14:36 51,280 ----a-w C:\Windows\system32\drivers\aswMonFlt.sys
2008-07-17 16:08 --------- d-----w C:\Program Files\Celestia
2008-07-16 23:07 --------- d-----w C:\Program Files\Windows Mail
2008-07-09 03:05 43,872 ------w C:\Windows\system32\drivers\pxhelp20.sys
2008-07-09 03:05 129,520 ------w C:\Windows\System32\PxAFS.DLL
2008-07-09 03:05 118,256 ------w C:\Windows\System32\pxinsi64.exe
2008-06-26 11:06 93,128 ----a-w C:\Windows\System32\ElbyCDIO.dll
2008-06-10 20:56 --------- d-----w C:\PROGRA~2\NVIDIA
2008-05-10 03:35 564,736 ----a-w C:\Windows\System32\emdmgmt.dll
2008-05-08 21:59 90,112 ----a-w C:\Windows\System32\wshext.dll
2008-05-08 21:59 430,080 ----a-w C:\Windows\System32\vbscript.dll
2008-05-08 21:59 180,224 ----a-w C:\Windows\System32\scrobj.dll
2008-05-08 21:59 172,032 ----a-w C:\Windows\System32\scrrun.dll
2008-05-08 21:59 155,648 ----a-w C:\Windows\System32\wscript.exe
2008-05-08 21:58 135,168 ----a-w C:\Windows\System32\cscript.exe
2008-03-20 07:31 174 --sha-w C:\Program Files\desktop.ini
2007-01-11 21:36 33,600 ----a-w C:\Windows\inf\xrusb\XrUsb64.sys
2007-01-11 21:36 18,168 ----a-w C:\Windows\inf\xrusb\XrUsb.sys
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2008-01-19 09:33 125952]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2007-08-16 13:24 167368]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 09:33 202240]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-06 02:09 2156368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2006-09-28 15:42 65536]
"avast!"="C:\PROGRA~1\Avast4\ashDisp.exe" [2008-07-19 16:38 78008]
"GrooveMonitor"="C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 08:00 33648]
"KBD"="C:\HP\KBD\KbdStub.EXE" [2006-12-08 16:16 65536]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2008-07-09 23:33 36352]
"OODefragTray"="C:\Windows\system32\oodtray.exe" [2007-06-29 00:01 2512128]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2008-01-10 19:57 92704]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2008-01-10 19:57 8530464]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2008-01-10 19:57 88608]
"RtHDVCpl"="RtHDVCpl.exe" [2008-01-15 11:26 4874240 C:\WINDOWS\RtHDVCpl.exe]

C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\Startup\
MonacoGamma.lnk - C:\Program Files\Monaco Systems\MonacoPROFILER\Tools\MonacoGamma\MonacoGamma.exe [2007-11-22 18:07:06 106496]
Monitor Reminder.lnk - C:\Program Files\Monaco Systems\MonacoPROFILER\Tools\Monitor Reminder\Monitor Reminder.exe [2007-11-22 18:07:06 188416]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= divxa32.acm

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
-ra------ 2007-11-05 06:32 61440 C:\Program Files\Adobe\Adobe Photoshop Lightroom 1.3\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2005-02-16 23:11 49152 c:\Program Files\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1688840405-2329148734-3760979612-1001]
"EnableNotifications"=dword:00000001
"EnableNotificationsRef"=dword:00000002

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{0F133641-643B-456B-859E-6306C80717F7}"= UDP:C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\TSHWMDTCP.exe:SPCM
"{C960DBD4-7CFF-4430-893A-3A3DABE0A323}"= TCP:C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\TSHWMDTCP.exe:SPCM
"{923D6AF2-0510-4103-9C07-29A2DBDF0F36}"= UDP:C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\mediaserver.exe:Intel(R) Viiv(TM) Media Server
"{B610E828-9023-466B-A982-B85F968B5CFD}"= TCP:C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\mediaserver.exe:Intel(R) Viiv(TM) Media Server
"{6EF9E572-CD19-42B8-A498-8C9B4C48D6D5}"= UDP:C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\Remote UI Service.exe:Intel(R) Remoting Service
"{6906BE3C-8E7A-48C7-8B96-D0741CF4FA80}"= TCP:C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\Remote UI Service.exe:Intel(R) Remoting Service
"{9909D072-9C03-4BB0-8F53-08E26141BD85}"= TCP:9442:127.0.0.1:Intel(R) Viiv(TM) Media Server Discovery
"{BAC8173F-CD9D-4000-8D6E-00928D6EDC47}"= TCP:1900:LocalSubnet:LocalSubnet:Intel(R) Viiv(TM) Media Server UPnP Discovery
"{4CA62115-9086-48B5-B438-0FF00A3ACFED}"= UDP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{A3F4D842-0934-4EA2-808F-6ADC7F6E0A7A}"= TCP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"TCP Query User{A0DB49D1-C2DE-43D2-B8B6-4BE4210915A0}C:\\program files\\windows sidebar\\sidebar.exe"= UDP:C:\program files\windows sidebar\sidebar.exe:Volet Windows
"UDP Query User{5D830483-8146-4DA1-A937-BF6480884315}C:\\program files\\windows sidebar\\sidebar.exe"= TCP:C:\program files\windows sidebar\sidebar.exe:Volet Windows
"TCP Query User{A775956D-7006-4289-8ED2-9510A93FAE5F}C:\\program files\\vlc\\vlc.exe"= UDP:C:\program files\vlc\vlc.exe:VLC media player
"UDP Query User{2EC9EB0E-5BFA-4EB9-9996-F65717116421}C:\\program files\\vlc\\vlc.exe"= TCP:C:\program files\vlc\vlc.exe:VLC media player
"TCP Query User{C918C939-8BE1-4FBE-A386-2F3D4C8D1CAC}C:\\program files\\fritivi\\fritivi.exe"= UDP:C:\program files\fritivi\fritivi.exe:Fritivi
"UDP Query User{DAB46F1E-610B-4A32-BC2E-57AF6FF2AFC7}C:\\program files\\fritivi\\fritivi.exe"= TCP:C:\program files\fritivi\fritivi.exe:Fritivi
"TCP Query User{F83E7B92-3F80-4CD0-8901-50F2B294F26E}C:\\program files\\fritivi\\fritivi_pip.exe"= UDP:C:\program files\fritivi\fritivi_pip.exe:Fritivi_Pip
"UDP Query User{F0C484E6-5551-4875-904A-EB5DF03203CC}C:\\program files\\fritivi\\fritivi_pip.exe"= TCP:C:\program files\fritivi\fritivi_pip.exe:Fritivi_Pip
"TCP Query User{2A5EBDE7-7E7A-4FD6-BF22-6E2458B8A2B9}C:\\program files\\vlc\\vlc.exe"= UDP:C:\program files\vlc\vlc.exe:VLC media player
"UDP Query User{F9AED146-EC52-4827-946C-4F555860FFC4}C:\\program files\\vlc\\vlc.exe"= TCP:C:\program files\vlc\vlc.exe:VLC media player
"TCP Query User{BE5DE33D-9D56-45FB-A23E-FB9CA87B6A70}C:\\program files\\mozilla firefox\\firefox.exe"= UDP:C:\program files\mozilla firefox\firefox.exe:Firefox
"UDP Query User{D0DF72A6-35E9-4684-AE8D-2AEDF4DFB5B5}C:\\program files\\mozilla firefox\\firefox.exe"= TCP:C:\program files\mozilla firefox\firefox.exe:Firefox
"{692987B7-E87D-47A8-8788-6D8A791A4BB6}"= TCP:6004|C:\Program Files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{F586C31E-81B9-45D5-B60D-3D7FDC8C9028}"= UDP:C:\Program Files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{167554D7-090C-4AA3-8A29-6F38EEE85C25}"= TCP:C:\Program Files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{A8EEA5F0-EE23-48CB-8EAC-FD563409ADFC}"= UDP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{3BA255DC-A292-4EA2-AE89-92BA2342D084}"= TCP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"TCP Query User{7302E845-649B-403D-8B0E-ED4067C5368E}C:\\program files\\palm emulator\\emulator.exe"= UDP:C:\program files\palm emulator\emulator.exe:Palm OS® Emulator
"UDP Query User{114A8B38-0C0F-45DD-B590-3BC87A23EE0F}C:\\program files\\palm emulator\\emulator.exe"= TCP:C:\program files\palm emulator\emulator.exe:Palm OS® Emulator
"TCP Query User{A07FBDD6-929D-4CF4-81BC-2D0079D4D4FA}C:\\program files\\palm simulator\\palmsdk\\simulators\\palm_tx_befigs_simulator_release_build_63\\palmsim.exe"= UDP:C:\program files\palm simulator\palmsdk\simulators\palm_tx_befigs_simulator_release_build_63\palmsim.exe:Palm OS® Simulation Component
"UDP Query User{9EF7754F-E78D-454E-B0AB-6D1F63A70BAC}C:\\program files\\palm simulator\\palmsdk\\simulators\\palm_tx_befigs_simulator_release_build_63\\palmsim.exe"= TCP:C:\program files\palm simulator\palmsdk\simulators\palm_tx_befigs_simulator_release_build_63\palmsim.exe:Palm OS® Simulation Component

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"SNMP-1"= TCP:%SystemRoot%\system32\snmp.exe|Svc=SNMP:@%SystemRoot%\system32\snmp.exe,-5|

R0 pavboot;pavboot;C:\Windows\system32\drivers\pavboot.sys [2008-06-19 17:24]
R1 aswSP;avast! Self Protection;C:\Windows\system32\drivers\aswSP.sys [2008-07-19 16:35]
R2 aswFsBlk;aswFsBlk;C:\Windows\system32\DRIVERS\aswFsBlk.sys [2008-07-19 16:37]
R2 aswMonFlt;aswMonFlt;C:\Windows\system32\DRIVERS\aswMonFlt.sys [2008-07-19 16:36]
R3 netr73;USB Wireless 802.11 b/g Adaptor Driver for Vista;C:\Windows\system32\DRIVERS\netr73.sys [2007-08-31 14:54]
R3 uxkx1;ASUS My Cinema U3000I;C:\Windows\system32\DRIVERS\uxkx1.sys [2007-03-06 21:22]
S2 IntelDHSvcConf;Intel DH Service;C:\Program Files\Intel\IntelDH\Intel Media Server\Tools\IntelDHSvcConf.exe [2006-05-10 09:13]
S2 SBSDWSCService;SBSD Security Center Service;C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe [2008-07-07 09:42]
S3 DQLWinService;DQLWinService;C:\Program Files\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe [2006-09-03 10:32]
S3 X-Rite;X-Rite USB Service;C:\Windows\system32\DRIVERS\XrUsb.sys [2004-04-02 13:26]
S4 NetMsmqActivator;Adaptateur d’écouteur Net.Msmq;C:\Windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-01-05 13:21]
S4 NetPipeActivator;Adaptateur d’écouteur Net.Pipe;C:\Windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-01-05 13:21]
S4 NetTcpActivator;Adaptateur d’écouteur Net.Tcp;C:\Windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-01-05 13:21]
S4 usbprint;Microsoft USB PRINTER Class;C:\Windows\system32\drivers\usbprint.sys [2006-11-02 11:14]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5b434a77-6102-11dc-a9c6-001bfcc4cfb3}]
\shell\AutoRun\command - J:\ehv.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6073c164-5266-11dc-bfde-001bfcc4cfb3}]
\shell\AutoRun\command - M:\nideiect.com
\shell\explore\Command - M:\nideiect.com
\shell\open\Command - M:\nideiect.com

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-grwinHyper - C:\Program Files\Le Robert\Le Grand Robert\grwinHyper.exe
MSConfigStartUp-drvsyskit - C:\Windows\system32\drivers\hldrrr.exe
MSConfigStartUp-rg - C:\Program Files\Multimédia\Roland Garros 2008\oneclick.exe


.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Users\Nicolas\AppData\Roaming\Mozilla\Firefox\Profiles\4qjldk1g.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - about:blank
FF -: plugin - C:\Program Files\Multimédia\DivX\DivX Web Player\npdivx32.dll
FF -: plugin - C:\Program Files\Multimédia\Vista Codec Pack\QT\Plugins\npqtplugin.dll
FF -: plugin - C:\Program Files\Multimédia\Vista Codec Pack\QT\Plugins\npqtplugin2.dll
FF -: plugin - C:\Program Files\Multimédia\Vista Codec Pack\QT\Plugins\npqtplugin3.dll
FF -: plugin - C:\Program Files\Multimédia\Vista Codec Pack\QT\Plugins\npqtplugin4.dll
FF -: plugin - C:\Program Files\Multimédia\Vista Codec Pack\QT\Plugins\npqtplugin5.dll
FF -: plugin - C:\Program Files\Multimédia\Vista Codec Pack\QT\Plugins\npqtplugin6.dll
FF -: plugin - C:\Program Files\Multimédia\Vista Codec Pack\QT\Plugins\npqtplugin7.dll
FF -: plugin - C:\Program Files\Multimédia\Vista Codec Pack\rm\browser\plugins\nppl3260.dll
FF -: plugin - C:\Program Files\Multimédia\Vista Codec Pack\rm\browser\plugins\nprpjplug.dll
FF -: plugin - C:\Program Files\VLC\npvlc.dll


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-06 19:01:49
Windows 6.0.6001 Service Pack 1 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-08-06 19:03:39
ComboFix-quarantined-files.txt 2008-08-06 17:03:36

Pre-Run: 17,828,872,192 octets libres
Post-Run: 17,671,831,552 octets libres

228 --- E O F --- 2008-07-17 23:13:43

on continue
Rappel : une fois que ComboFix est lancé, il ne faut pas cliquer dans la fenêtre de ComboFix car cela pourrait entraîner un plantage du programme.
Il est recommandé de laisser l'outil analyser et nettoyer le PC sans utiliser quoi que ce soit d'autre...
Sélectionne le texte suivant (Ctrl+A):
Driver::
SROSA
Folder::
C:\Muestras
C:\WINDOWS\System32\drivers\downld
File::
C:\mdelk.EXE
C:\WINDOWS\SEC030AE0.tmp
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
C:\WINDOWS\SYSTEM32\WINTEMS.EXE
C:\Windows\system32\drivers\hldrrr.exe
Copie le texte sélectionné (CTRL+C).
Ouvre le Bloc-notes (Démarrer/Tous les programmes/Accessoires/Bloc-notes).
Colle le texte copié dans ce Bloc-notes (CTRL+V).
Sauvegarde ce fichier sur ton Bureau sous le nom de CFScript.txt (CFScript)
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
Comme l'image le montre, fait glisser CFScript.txt sur ComboFix.exe(ComboFix)
Une fenêtre à fond bleu va s'ouvrir: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Laisse ComboFix travailler
Patiente le temps de l'analyse. Le Bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le nettoyage n'est pas terminé.
Un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, tu le trouves ici, à la racine de ton Système, en principe : C:\ComboFix.txt (C:\ComboFix)

Voici le nouveau rapport Combofix ; j'ai récupéré la maîtrise du centre de sécurité Windows, mais pas du contrôle des comptes utilisateurs (censé être désactivé alors qu'il est actif, sans pouvoir être désactivé).

ComboFix 08-08-04.09 - Nicolas 2008-08-06 20:33:34.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6001.1.1252.1.1036.18.2494 [GMT 2:00]
Endroit: F:\Desktop\CoFix.exe
Command switches used :: \\PC-BUREAU\incoming\CFScript.txt
* Création d'un nouveau point de restauration

FILE ::
C:\mdelk.EXE
C:\WINDOWS\SEC030AE0.tmp
C:\Windows\system32\drivers\hldrrr.exe
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS
C:\WINDOWS\SYSTEM32\WINTEMS.EXE
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\mdelk.EXE
C:\Muestras
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v11.66
C:\WINDOWS\SEC030AE0.tmp

.
((((((((((((((((((((((((((((( Fichiers créés 2008-07-06 to 2008-08-06 ))))))))))))))))))))))))))))))))))))
.

2008-08-06 15:29 . 2008-08-06 15:29 <REP> d-------- C:\Users\Nicolas\AppData\Roaming\Malwarebytes
2008-08-06 15:29 . 2008-08-06 15:29 <REP> d-------- C:\Users\All Users\Malwarebytes
2008-08-06 15:29 . 2008-08-06 15:29 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-08-06 15:29 . 2008-08-06 15:29 <REP> d-------- C:\PROGRA~2\Malwarebytes
2008-08-06 15:29 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\System32\drivers\mbamswissarmy.sys
2008-08-06 15:29 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\System32\drivers\mbam.sys
2008-08-05 18:14 . 2008-08-05 18:14 <REP> d-------- C:\Program Files\Panda Security
2008-08-05 18:14 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\System32\drivers\pavboot.sys
2008-08-05 17:25 . 2008-08-05 17:25 <REP> d-------- C:\fsaua.data
2008-08-05 15:50 . 2008-08-05 15:50 <REP> d-------- C:\Users\All Users\SlySoft
2008-08-05 15:50 . 2008-08-05 15:50 <REP> d-------- C:\PROGRA~2\SlySoft
2008-08-05 11:40 . 2008-08-05 11:40 <REP> d-------- C:\Users\All Users\Elaborate Bytes
2008-08-05 11:40 . 2008-08-05 11:40 <REP> d-------- C:\PROGRA~2\Elaborate Bytes
2008-08-05 00:17 . 2008-08-05 00:17 <REP> d-------- C:\Users\Nicolas\.dvdcss
2008-08-05 00:16 . 2008-08-05 00:38 <REP> d-------- C:\Users\Nicolas\AppData\Roaming\Any DVD Converter Professional
2008-08-05 00:16 . 2008-08-05 00:27 <REP> d-a------ C:\Users\All Users\TEMP
2008-08-05 00:16 . 2008-08-05 00:27 <REP> d-a------ C:\PROGRA~2\TEMP
2008-08-04 15:09 . 2008-08-04 15:09 <REP> d-------- C:\Users\Nicolas\AppData\Roaming\Convivea
2008-08-04 15:09 . 2008-08-04 15:09 <REP> d-------- C:\Program Files\Bit Che
2008-08-04 15:09 . 2004-03-09 00:00 124,688 --a------ C:\WINDOWS\System32\mswinsck.ocx
2008-08-04 09:55 . 2008-08-04 09:55 736 --a------ C:\WINDOWS\SamsungMaster.INI
2008-08-04 09:43 . 2008-08-04 10:29 <REP> d-------- C:\Program Files\Encyclopédie Hachette des Vins 2005
2008-08-01 17:08 . 2008-08-01 17:12 <REP> d-------- C:\Program Files\Feuvert
2008-08-01 17:08 . 1999-06-01 08:00 133,296 --a------ C:\WINDOWS\System32\tishare6.dll
2008-08-01 17:08 . 2008-08-01 17:09 96 --a------ C:\WINDOWS\permis.ini
2008-08-01 14:04 . 2008-08-02 08:22 <REP> d-------- C:\Program Files\Vista Start Menu
2008-08-01 14:03 . 2008-08-04 09:47 <REP> d-------- C:\Users\Nicolas\AppData\Roaming\Vista Start Menu
2008-07-31 20:42 . 2008-07-31 20:42 <REP> d-------- C:\PALM
2008-07-31 20:39 . 2008-07-31 20:39 <REP> d-------- C:\Program Files\Palm Simulator
2008-07-31 20:04 . 2008-07-31 20:04 <REP> d-------- C:\Program Files\PhotomatixPro3
2008-07-31 19:41 . 2008-07-31 19:41 1,971 --a------ C:\WINDOWS\Palm OS Emulator.ini
2008-07-21 14:11 . 2008-07-21 14:11 24,392 --a------ C:\WINDOWS\System32\drivers\ElbyCDIO.sys
2008-07-18 13:14 . 2008-07-18 13:14 99,648 --a------ C:\WINDOWS\System32\drivers\AnyDVD.sys
2008-07-17 22:54 . 2008-06-26 03:45 12,240,896 --a------ C:\WINDOWS\System32\NlsLexicons0007.dll
2008-07-17 22:54 . 2008-06-26 03:45 2,644,480 --a------ C:\WINDOWS\System32\NlsLexicons0009.dll
2008-07-17 22:54 . 2008-06-26 05:29 801,280 --a------ C:\WINDOWS\System32\NaturalLanguage6.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-06 18:20 --------- d-----w C:\Program Files\Avast4
2008-08-05 14:44 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-08-05 14:44 --------- d-----w C:\PROGRA~2\Spybot - Search & Destroy
2008-08-05 12:55 --------- d-----w C:\Program Files\Multimédia
2008-08-05 12:52 --------- d-----w C:\Program Files\IsoBuster
2008-08-04 08:29 --------- d-----w C:\Program Files\Encyclopédie Hachette des Vins 2005
2008-08-04 08:12 --------- d-----w C:\Users\Nicolas\AppData\Roaming\Roxio
2008-08-04 08:12 --------- d-----w C:\PROGRA~2\Roxio
2008-08-04 08:01 --------- d-----w C:\Program Files\DxO Labs
2008-08-04 07:57 --------- d-----w C:\Program Files\VirtualDubMOD
2008-08-04 07:55 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-08-04 07:50 --------- d-----w C:\Program Files\Canon
2008-07-31 18:24 --------- d-----w C:\Users\Nicolas\AppData\Roaming\Winamp
2008-07-31 18:24 --------- d-----w C:\Program Files\Winamp
2008-07-24 10:15 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-07-21 08:09 --------- d-----w C:\Program Files\VirtualDub
2008-07-17 16:08 --------- d-----w C:\Program Files\Celestia
2008-07-16 23:07 --------- d-----w C:\Program Files\Windows Mail
2008-07-09 03:05 43,872 ------w C:\Windows\system32\drivers\pxhelp20.sys
2008-07-09 03:05 129,520 ------w C:\Windows\System32\PxAFS.DLL
2008-07-09 03:05 118,256 ------w C:\Windows\System32\pxinsi64.exe
2008-06-26 11:06 93,128 ----a-w C:\Windows\System32\ElbyCDIO.dll
2008-06-10 20:56 --------- d-----w C:\PROGRA~2\NVIDIA
2008-05-10 03:35 564,736 ----a-w C:\Windows\System32\emdmgmt.dll
2008-05-08 21:59 90,112 ----a-w C:\Windows\System32\wshext.dll
2008-05-08 21:59 430,080 ----a-w C:\Windows\System32\vbscript.dll
2008-05-08 21:59 180,224 ----a-w C:\Windows\System32\scrobj.dll
2008-05-08 21:59 172,032 ----a-w C:\Windows\System32\scrrun.dll
2008-05-08 21:59 155,648 ----a-w C:\Windows\System32\wscript.exe
2008-05-08 21:58 135,168 ----a-w C:\Windows\System32\cscript.exe
2008-03-20 07:31 174 --sha-w C:\Program Files\desktop.ini
2007-01-11 21:36 33,600 ----a-w C:\Windows\inf\xrusb\XrUsb64.sys
2007-01-11 21:36 18,168 ----a-w C:\Windows\inf\xrusb\XrUsb.sys
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2008-01-19 09:33 125952]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2007-08-16 13:24 167368]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 09:33 202240]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-06 02:09 2156368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2006-09-28 15:42 65536]
"GrooveMonitor"="C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 08:00 33648]
"KBD"="C:\HP\KBD\KbdStub.EXE" [2006-12-08 16:16 65536]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2008-07-09 23:33 36352]
"OODefragTray"="C:\Windows\system32\oodtray.exe" [2007-06-29 00:01 2512128]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2008-01-10 19:57 92704]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2008-01-10 19:57 8530464]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2008-01-10 19:57 88608]
"RtHDVCpl"="RtHDVCpl.exe" [2008-01-15 11:26 4874240 C:\WINDOWS\RtHDVCpl.exe]

C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\Startup\
MonacoGamma.lnk - C:\Program Files\Monaco Systems\MonacoPROFILER\Tools\MonacoGamma\MonacoGamma.exe [2007-11-22 18:07:06 106496]
Monitor Reminder.lnk - C:\Program Files\Monaco Systems\MonacoPROFILER\Tools\Monitor Reminder\Monitor Reminder.exe [2007-11-22 18:07:06 188416]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= divxa32.acm

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
-ra------ 2007-11-05 06:32 61440 C:\Program Files\Adobe\Adobe Photoshop Lightroom 1.3\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2005-02-16 23:11 49152 c:\Program Files\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1688840405-2329148734-3760979612-1001]
"EnableNotifications"=dword:00000001
"EnableNotificationsRef"=dword:00000002

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{0F133641-643B-456B-859E-6306C80717F7}"= UDP:C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\TSHWMDTCP.exe:SPCM
"{C960DBD4-7CFF-4430-893A-3A3DABE0A323}"= TCP:C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\TSHWMDTCP.exe:SPCM
"{923D6AF2-0510-4103-9C07-29A2DBDF0F36}"= UDP:C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\mediaserver.exe:Intel(R) Viiv(TM) Media Server
"{B610E828-9023-466B-A982-B85F968B5CFD}"= TCP:C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\mediaserver.exe:Intel(R) Viiv(TM) Media Server
"{6EF9E572-CD19-42B8-A498-8C9B4C48D6D5}"= UDP:C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\Remote UI Service.exe:Intel(R) Remoting Service
"{6906BE3C-8E7A-48C7-8B96-D0741CF4FA80}"= TCP:C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\Remote UI Service.exe:Intel(R) Remoting Service
"{9909D072-9C03-4BB0-8F53-08E26141BD85}"= TCP:9442:127.0.0.1:Intel(R) Viiv(TM) Media Server Discovery
"{BAC8173F-CD9D-4000-8D6E-00928D6EDC47}"= TCP:1900:LocalSubnet:LocalSubnet:Intel(R) Viiv(TM) Media Server UPnP Discovery
"{4CA62115-9086-48B5-B438-0FF00A3ACFED}"= UDP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{A3F4D842-0934-4EA2-808F-6ADC7F6E0A7A}"= TCP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"TCP Query User{A0DB49D1-C2DE-43D2-B8B6-4BE4210915A0}C:\\program files\\windows sidebar\\sidebar.exe"= UDP:C:\program files\windows sidebar\sidebar.exe:Volet Windows
"UDP Query User{5D830483-8146-4DA1-A937-BF6480884315}C:\\program files\\windows sidebar\\sidebar.exe"= TCP:C:\program files\windows sidebar\sidebar.exe:Volet Windows
"TCP Query User{A775956D-7006-4289-8ED2-9510A93FAE5F}C:\\program files\\vlc\\vlc.exe"= UDP:C:\program files\vlc\vlc.exe:VLC media player
"UDP Query User{2EC9EB0E-5BFA-4EB9-9996-F65717116421}C:\\program files\\vlc\\vlc.exe"= TCP:C:\program files\vlc\vlc.exe:VLC media player
"TCP Query User{C918C939-8BE1-4FBE-A386-2F3D4C8D1CAC}C:\\program files\\fritivi\\fritivi.exe"= UDP:C:\program files\fritivi\fritivi.exe:Fritivi
"UDP Query User{DAB46F1E-610B-4A32-BC2E-57AF6FF2AFC7}C:\\program files\\fritivi\\fritivi.exe"= TCP:C:\program files\fritivi\fritivi.exe:Fritivi
"TCP Query User{F83E7B92-3F80-4CD0-8901-50F2B294F26E}C:\\program files\\fritivi\\fritivi_pip.exe"= UDP:C:\program files\fritivi\fritivi_pip.exe:Fritivi_Pip
"UDP Query User{F0C484E6-5551-4875-904A-EB5DF03203CC}C:\\program files\\fritivi\\fritivi_pip.exe"= TCP:C:\program files\fritivi\fritivi_pip.exe:Fritivi_Pip
"TCP Query User{2A5EBDE7-7E7A-4FD6-BF22-6E2458B8A2B9}C:\\program files\\vlc\\vlc.exe"= UDP:C:\program files\vlc\vlc.exe:VLC media player
"UDP Query User{F9AED146-EC52-4827-946C-4F555860FFC4}C:\\program files\\vlc\\vlc.exe"= TCP:C:\program files\vlc\vlc.exe:VLC media player
"TCP Query User{BE5DE33D-9D56-45FB-A23E-FB9CA87B6A70}C:\\program files\\mozilla firefox\\firefox.exe"= UDP:C:\program files\mozilla firefox\firefox.exe:Firefox
"UDP Query User{D0DF72A6-35E9-4684-AE8D-2AEDF4DFB5B5}C:\\program files\\mozilla firefox\\firefox.exe"= TCP:C:\program files\mozilla firefox\firefox.exe:Firefox
"{692987B7-E87D-47A8-8788-6D8A791A4BB6}"= TCP:6004|C:\Program Files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{F586C31E-81B9-45D5-B60D-3D7FDC8C9028}"= UDP:C:\Program Files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{167554D7-090C-4AA3-8A29-6F38EEE85C25}"= TCP:C:\Program Files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{A8EEA5F0-EE23-48CB-8EAC-FD563409ADFC}"= UDP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{3BA255DC-A292-4EA2-AE89-92BA2342D084}"= TCP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"TCP Query User{7302E845-649B-403D-8B0E-ED4067C5368E}C:\\program files\\palm emulator\\emulator.exe"= UDP:C:\program files\palm emulator\emulator.exe:Palm OS® Emulator
"UDP Query User{114A8B38-0C0F-45DD-B590-3BC87A23EE0F}C:\\program files\\palm emulator\\emulator.exe"= TCP:C:\program files\palm emulator\emulator.exe:Palm OS® Emulator
"TCP Query User{A07FBDD6-929D-4CF4-81BC-2D0079D4D4FA}C:\\program files\\palm simulator\\palmsdk\\simulators\\palm_tx_befigs_simulator_release_build_63\\palmsim.exe"= UDP:C:\program files\palm simulator\palmsdk\simulators\palm_tx_befigs_simulator_release_build_63\palmsim.exe:Palm OS® Simulation Component
"UDP Query User{9EF7754F-E78D-454E-B0AB-6D1F63A70BAC}C:\\program files\\palm simulator\\palmsdk\\simulators\\palm_tx_befigs_simulator_release_build_63\\palmsim.exe"= TCP:C:\program files\palm simulator\palmsdk\simulators\palm_tx_befigs_simulator_release_build_63\palmsim.exe:Palm OS® Simulation Component

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"SNMP-1"= TCP:%SystemRoot%\system32\snmp.exe|Svc=SNMP:@%SystemRoot%\system32\snmp.exe,-5|

R0 pavboot;pavboot;C:\Windows\system32\drivers\pavboot.sys [2008-06-19 17:24]
R2 SBSDWSCService;SBSD Security Center Service;C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe [2008-07-07 09:42]
R3 netr73;USB Wireless 802.11 b/g Adaptor Driver for Vista;C:\Windows\system32\DRIVERS\netr73.sys [2007-08-31 14:54]
R3 uxkx1;ASUS My Cinema U3000I;C:\Windows\system32\DRIVERS\uxkx1.sys [2007-03-06 21:22]
S2 IntelDHSvcConf;Intel DH Service;C:\Program Files\Intel\IntelDH\Intel Media Server\Tools\IntelDHSvcConf.exe [2006-05-10 09:13]
S3 DQLWinService;DQLWinService;C:\Program Files\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe [2006-09-03 10:32]
S3 X-Rite;X-Rite USB Service;C:\Windows\system32\DRIVERS\XrUsb.sys [2004-04-02 13:26]
S4 NetMsmqActivator;Adaptateur d’écouteur Net.Msmq;C:\Windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-01-05 13:21]
S4 NetPipeActivator;Adaptateur d’écouteur Net.Pipe;C:\Windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-01-05 13:21]
S4 NetTcpActivator;Adaptateur d’écouteur Net.Tcp;C:\Windows\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-01-05 13:21]
S4 usbprint;Microsoft USB PRINTER Class;C:\Windows\system32\drivers\usbprint.sys [2006-11-02 11:14]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5b434a77-6102-11dc-a9c6-001bfcc4cfb3}]
\shell\AutoRun\command - J:\ehv.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6073c164-5266-11dc-bfde-001bfcc4cfb3}]
\shell\AutoRun\command - M:\nideiect.com
\shell\explore\Command - M:\nideiect.com
\shell\open\Command - M:\nideiect.com
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-06 20:36:19
Windows 6.0.6001 Service Pack 1 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-08-06 20:37:57
ComboFix-quarantined-files.txt 2008-08-06 18:37:53
ComboFix2.txt 2008-08-06 17:04:05

Pre-Run: 18,826,219,520 octets libres
Post-Run: 18,770,153,472 octets libres

205 --- E O F --- 2008-07-17 23:13:43

Fais un Scan en ligne avec
http://webScanner.kaspersky.fr/

NOTE: le Scan est à faire avec Internet Explorer
Dans la nouvelle fenêtre qui s'affiche clique sur J'accepte

On va te demander de télécharger des contrôles ActiveX, accepte.
Laisse le faire les mises à jour puis quand il aura fini, clique sur Suivant

Dans le menu Choisissez la cible de l'analyse, sélectionne Poste de travail.
Le Scan va commencer.

Reviens avec le rapport de Scan obtenu

Impossible de scanner avec Kaspersky, pas encore compatible Vista. De fait, même après avoir installé le contrôle ACtiveX et réajusté le niveau de sécurité à Moyen, le scanner n'a jamais voulu s'initialiser.
A la place j'ai utilisé celui de BitDefender qui n'a trouvé aucun virus.
Je ne suis pas encore sûr d'être au bout, mais les progrès sont incontestables.
Je confirme demain que tout (continue) d'aller bien.

En tout cas d'ores et déjà merci pour cette assistance personnalisée et efficace et... bonne nuit !

Bonjour,


Tout est OK ce matin, je fais donc migrer ce fil en "Résolu". Encore merci, c'est cool de récupérer un PC fonctionnel

Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://pc-system.fr/TC/ChangelogTC.html
Clique sur Recherche et laisse le Scan se terminer.
Clique sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste-moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

Si tout va bien supprime tout ce qu'on a utilisé et qui ne l'a pas été par Tools Cleaner2, car ce ne sera plus utile désormais

ce n'est pas une leçon de morale, mais je pense que tu as compris les dégâts occasionnés par le crack! là, tu t'en sors plutôt bien, mais dis toi que certains internautes ont eu de tels dégâts occasionnés qu'ils ont du formater dans l'urgence en ayant rien pu sauvegarder et ont perdu parfois le travail de plusieurs mois ou années pour avoir simplement voulu un logiciel cracké!!! le jeu en vaut il la chandelle? sur le net il existe beaucoup de logiciels sains et gratuits qui feront tout aussi bien l'affaire qu'un crack!!!

ici , tesgaz t'explique les risques du P2P
http://forum.zebulon.fr/index.php?showtopic=85544

dans celui-là, les risques du crack
http://forum.zebulon.fr/index.php?showtopic=93281

Conserve néanmoins Ccleaner ou
Télécharge : - Ccleaner
http://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

Installe ce logiciel très utile et Scanne ton PC avec une fois par semaine au moins...
MalwareByte
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Installe-le mets-le à jour
Dans l'onglet Recherche, clique sur Exécuter un examen complet puis sur Rechercher.
Sélectionne ton (tes) disques durs.
Lancer l'examen supprimer tout ce qu’il trouve
Clique sur Enregistrer le rapport et choisis ton Bureau

tu peux le coupler avec celui-ci
Spybot Search and Destroy
http://www.safer-networking.org/?page=download

défragmente

pense à bien te protéger, j'ai découvert ce lien qui est plutôt pas mal à ce sujet

http://forum.pcastuces.com/sujet.asp?f=25&s=25892

désactive ta restauration
clique droit sur poste de travail/propriétés/coche la case désactiver la restauration, appliquer
redémarre ton PC
clique droit sur poste de travail/propriétés/décoche la case désactiver la restauration, appliquer


la sécurité c'est très important mais ne remplace pas l'internaute, un surf prudent en évitant le crack, les sites "chauds", permet déjà d'éviter bien des soucis, le P2P lui aussi est source d'infections...


et bon surf