Salut !

Bagle est une infection qu'on attrape en téléchargeant des cracks sur peer to peer.
Il supprime les antivirus, firewall, empèche le redémarrage en mode sans échec... et ralentit considérablement l'ordinateur.

S'il y a bien une infection que l'on attrape stupidement, c'est celle-ci.


Télécharge FindyKill (par Chiquitine29) sur ton bureau :
http://sd-1.archive-host.com/membres/up/116615172019703188/F­indyKill.exe

Ø Lance l'installation avec les paramètres par defaut

Ø Double-clique sur le raccourci FindyKill sur ton bureau

Ø Au menu principal, choisis l'option * 1 * (Recherche)

Ø Poste le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.
@+

Ho ho ho... ça sent Noël  ;-))

Merci pour ta réponse très rapide. Je vais donc suivre les étapes que tu vas m'indiquer. Petites questions: pourquoi les scans en ligne ne suffisent-ils pas pour ce genre de virus? Et pourquoi Avira n'a-t-il pas bloqué le virus?

Voici donc le fichier:



----------------- FindyKill V4.709 ------------------

* User : Nico - NICOLAS
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 10/12/08 par Chiquitine29
* Recherche effectuée à 22:16:24 le mer. 17/12/2008
* Windows XP - Internet Explorer 6.0.2900.5512

((((((((((((((((( *** Recherche *** ))))))))))))))))))


--------------- [ Processus actifs ] ----------------


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Portrait Displays\Shared\DTSRVC.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\System32\alg.exe
C:\Documents and Settings\Nico\Bureau\ELIBAGLA.BEABB%D8%D8H.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe

--------------- [ Fichiers/Dossiers infectieux ] ----------------


»»»» Presence des fichiers dans C:

Found ! [17/12/2008 22:11] - C:\InfoSat.txt

»»»» Presence des fichiers dans C:\WINDOWS


»»»» Presence des fichiers dans C:\WINDOWS\Prefetch

Found ! - C:\WINDOWS\prefetch\WINUPGRO.EXE-2E56457A.pf
Found ! - C:\WINDOWS\Prefetch\CRAC.EXE-1468C6DA.pf
Found ! - C:\WINDOWS\Prefetch\CRAC.EXE-1FF8B7FB.pf
Found ! - C:\WINDOWS\Prefetch\CRAC.EXE-2CF7B821.pf
Found ! - C:\WINDOWS\Prefetch\TT7_KEYGEN.EXE-01A1FCF6.pf
Found ! - C:\WINDOWS\Prefetch\TT7_KEYGEN.EXE-3640F3C6.pf
Found ! - C:\WINDOWS\Prefetch\TT7_KEYGEN.EXE-01A1FCF6.pf
Found ! - C:\WINDOWS\Prefetch\TT7_KEYGEN.EXE-3640F3C6.pf
Found ! - C:\WINDOWS\Prefetch\PATCHER.EXE-1C0DE4EC.pf

»»»» Presence des fichiers dans C:\WINDOWS\system32


»»»» Presence des fichiers dans C:\WINDOWS\system32\config\systemprofile\AppData\Roaming


»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers


»»»» Presence des fichiers dans C:\Documents and Settings\Nico\Application Data

Found ! [17/12/2008 21:40] - "C:\Documents and Settings\Nico\Application Data\drivers"
Found ! [17/12/2008 06:47] - "C:\Documents and Settings\Nico\Application Data\drivers\srosa2.sys"
Found ! [16/12/2008 20:38] - "C:\Documents and Settings\Nico\Application Data\drivers\downld"
Found ! [16/12/2008 20:38] - C:\Documents and Settings\Nico\Application Data\drivers\downld\2785031.exe
Found ! [16/12/2008 20:38] - C:\Documents and Settings\Nico\Application Data\drivers\downld\2787656.exe
Found ! [16/12/2008 20:38] - C:\Documents and Settings\Nico\Application Data\drivers\downld\2787671.exe

»»»» Presence des fichiers dans C:\DOCUME~1\Nico\LOCALS~1\Temp


»»»» Presence des fichiers dans C:\Documents and Settings\Nico\Local Settings\Temporary Internet Files\Content.IE5

Found ! [29/11/2006 14:47] - C:\Documents and Settings\All Users.WINDOWS\Application Data\Skype\Plugins\Local Cache\7B5560BB781B40259A06350E9B643B6E_more.jpg
Found ! [22/02/2006 17:17] - C:\Documents and Settings\Nathalie2\Mes documents\Ma musique\Toni Braxton\I Don't Want To\AlbumArt_{E66A09B6-9CD3-49B9-A412-CB643F596D19}_Large.jpg
Found ! [22/02/2006 17:17] - C:\Documents and Settings\Nathalie2\Mes documents\Ma musique\Toni Braxton\I Don't Want To\AlbumArt_{E66A09B6-9CD3-49B9-A412-CB643F596D19}_Small.jpg
Found ! [17/12/2008 19:49] - C:\Documents and Settings\Nico\Local Settings\Temporary Internet Files\Content.IE5\GHI1K3MN\6E4F71F416805B644123FFDD76A5[1].jpg

--------------- [ Registre / Startup ] ----------------

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\AdobeUpdater=

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\not active=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
Installed=1
NoChange=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1

[HKEY_CURRENT_USER\software\local appwizard-generated applications\CameraWindow]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\crac]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\gnotify]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\MMDiag]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\Viewer]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\winupgro]

--------------- [ Registre / Clés infectieuses ] ----------------


Found ! - HKEY_USERS\S-1-5-21-1078081533-746137067-839522115-1006\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s
Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sK9Ou0s

--------------- [ Etat / Services ] ----------------



+- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

/!\ Ndisuio - Type de démarrage = 4

EapHost - Type de démarrage = 3

/!\ Ip6Fw - Type de démarrage = 4

SharedAccess - Type de démarrage = 2

wuauserv - Type de démarrage = 2

/!\ wscsvc - Type de démarrage = 4



--------------- [ Recherche dans supports amovibles] ----------------


+- Informations :

C: - Lecteur fixe


+- presence des fichiers :



--------------- [ Registre / Mountpoint2 ] ----------------


-> Not found !


------------------- ! Fin du rapport ! --------------------

Relance findykill,

Ø Choisis cette fois ci l'option * 2 * (suppression)

il y aura 2 redémarrages, laisse travailler l'outil jusqu'a l'apparition du message "nettoyage effectué"

un rapport va s'ouvrir, poste le dans ta prochaine réponse stp

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque @+

Ho ho ho... ça sent Noël  ;-))

Voici:



----------------- FindyKill V4.709 ------------------

* User : Nico - NICOLAS
* executed from : C:\Program Files\FindyKill
* Update on 10/12/08 par Chiquitine29
* Start at 6:40:32 the jeu. 18/12/2008
* Windows XP - Internet Explorer 6.0.2900.5512


((((((((((((((( *** deleting *** ))))))))))))))))))


--------------- [ Active Processes ] ----------------


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\ati2sgag.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Portrait Displays\Shared\DTSRVC.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe

--------------- [ Infected files / folders ] ----------------


»»»» Supression files in C:

Deleted ! - C:\InfoSat.txt

»»»» Supression files in C:\WINDOWS


»»»» Supression files in C:\WINDOWS\Prefetch

Deleted ! - C:\WINDOWS\prefetch\CRAC.EXE-1468C6DA.pf
Deleted ! - C:\WINDOWS\prefetch\CRAC.EXE-1FF8B7FB.pf
Deleted ! - C:\WINDOWS\prefetch\CRAC.EXE-2CF7B821.pf
Deleted ! - C:\WINDOWS\prefetch\PATCHER.EXE-1C0DE4EC.pf
Deleted ! - C:\WINDOWS\prefetch\TT7_KEYGEN.EXE-01A1FCF6.pf
Deleted ! - C:\WINDOWS\prefetch\TT7_KEYGEN.EXE-3640F3C6.pf
Deleted ! - C:\WINDOWS\prefetch\WINUPGRO.EXE-2E56457A.pf

»»»» Supression files in C:\WINDOWS\system32


»»»» Supression files in C:\WINDOWS\system32\config\systemprofile\AppData\Roaming


»»»» Supression files in C:\WINDOWS\system32\drivers


»»»» Supression files in C:\Documents and Settings\Nico\Application Data

Deleted ! - "C:\Documents and Settings\Nico\Application Data\drivers\srosa2.sys"
Deleted ! - C:\Documents and Settings\Nico\Application Data\drivers\downld\2785031.exe
Deleted ! - C:\Documents and Settings\Nico\Application Data\drivers\downld\2787656.exe
Deleted ! - C:\Documents and Settings\Nico\Application Data\drivers\downld\2787671.exe
Deleted ! - "C:\Documents and Settings\Nico\Application Data\drivers\downld"
Deleted ! - "C:\Documents and Settings\Nico\Application Data\drivers"

»»»» Supression files in C:\DOCUME~1\Nico\LOCALS~1\Temp


»»»» Supression files in C:\Documents and Settings\Nico\Local Settings\Temporary Internet Files\Content.IE5

Deleted ! - C:\Documents and Settings\All Users.WINDOWS\Application Data\Skype\Plugins\Local Cache\7B5560BB781B40259A06350E9B643B6E_more.jpg
Deleted ! - C:\Documents and Settings\Nathalie2\Mes documents\Ma musique\Toni Braxton\I Don't Want To\AlbumArt_{E66A09B6-9CD3-49B9-A412-CB643F596D19}_Large.jpg
Deleted ! - C:\Documents and Settings\Nathalie2\Mes documents\Ma musique\Toni Braxton\I Don't Want To\AlbumArt_{E66A09B6-9CD3-49B9-A412-CB643F596D19}_Small.jpg
Deleted ! - C:\Documents and Settings\Nico\Local Settings\Temporary Internet Files\Content.IE5\GHI1K3MN\6E4F71F416805B644123FFDD76A5[1].jpg

--------------- [ Registry / Infected keys ] ----------------

Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Deleted ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Deleted ! - HKEY_USERS\S-1-5-21-1078081533-746137067-839522115-1006\Software\Local AppWizard-Generated Applications\winupgro

--------------- [ States / Restarting of services ] ----------------



+- Services : [ Auto=2 / Request=3 / Disable=4 ]

Ndisuio - Type of startup = 3

EapHost - Type of startup = 2

Ip6Fw - Type of startup = 2

SharedAccess - Type of startup = 2

wuauserv - Type of startup = 2

wscsvc - Type of startup = 2


--------------- [ Cleaning removable drives ] ----------------

+- Informations :

C: - Lecteur fixe


+- deleting files :


--------------- [ Registry / Mountpoint2 ] ----------------


-> Not found !


--------------- [ Searching Cracks / Keygen ] ----------------

C:\Documents and Settings\Nico\Application Data\uTorrent\Lavasoft.Ad-Aware.2008.v7.1.0.1.Cracked-MKDEV.zip.torrent
C:\Documents and Settings\Nico\Application Data\uTorrent\Western_Europe_1GB v.7.20.1802+Keygen All Maps v7.XXX VERIFIE OK BY TOFBUBU.rar.torrent
C:\Documents and Settings\Nico\Mes documents\A graver\AcrobatPro7+keygen.iso
C:\Documents and Settings\Nico\Mes documents\Brol\Keygen_TomTom_Map v7.XXXX
C:\Documents and Settings\Nico\Mes documents\Brol\Keygen_TomTom_Map v7.XXXX\Easyusetool_for Keygen
C:\Documents and Settings\Nico\Mes documents\Brol\Keygen_TomTom_Map v7.XXXX\patcher
C:\Documents and Settings\Nico\Mes documents\Brol\Keygen_TomTom_Map v7.XXXX\Easyusetool_for Keygen\insert_meta_from_Map_here
C:\Documents and Settings\Nico\Mes documents\Brol\Keygen_TomTom_Map v7.XXXX\Easyusetool_for Keygen\Meta.txt
C:\Documents and Settings\Nico\Mes documents\Brol\Keygen_TomTom_Map v7.XXXX\Easyusetool_for Keygen\RunMe English.bat
C:\Documents and Settings\Nico\Mes documents\Brol\Keygen_TomTom_Map v7.XXXX\Easyusetool_for Keygen\tt7_keygen.exe
C:\Documents and Settings\Nico\Mes documents\Brol\Keygen_TomTom_Map v7.XXXX\Easyusetool_for Keygen\insert_meta_from_Map_here\Western_Europe_1GB-14.meta
C:\Documents and Settings\Nico\Mes documents\Brol\Keygen_TomTom_Map v7.XXXX\Easyusetool_for Keygen\insert_meta_from_Map_here\Western_Europe_1GB-14.meta.dct
C:\Documents and Settings\Nico\Mes documents\Brol\Keygen_TomTom_Map v7.XXXX\patcher\Compact.exe
C:\Documents and Settings\Nico\Mes documents\Brol\Keygen_TomTom_Map v7.XXXX\patcher\cygwin1.dll
C:\Documents and Settings\Nico\Mes documents\Brol\Keygen_TomTom_Map v7.XXXX\patcher\Extract.exe
C:\Documents and Settings\Nico\Mes documents\Brol\Keygen_TomTom_Map v7.XXXX\patcher\gzip.exe
C:\Documents and Settings\Nico\Mes documents\Brol\Keygen_TomTom_Map v7.XXXX\patcher\Patcher.exe
C:\Documents and Settings\Nico\Mes documents\Brol\Keygen_TomTom_Map v7.XXXX\patcher\RunMe English.bat
C:\Documents and Settings\Nico\Mes documents\Brol\Keygen_TomTom_Map v7.XXXX\patcher\ttsystem
C:\Documents and Settings\Nico\Mes documents\Brol\Keygen_TomTom_Map v7.XXXX\patcher\ttsystem.old
C:\Documents and Settings\Nico\Mes documents\Downloads\Western_Europe_1GB v.7.20.1802+Keygen All Maps v7.XXX VERIFIE OK BY TOFBUBU.rar
C:\Documents and Settings\Nico\Mes documents\Downloads\Tomtom navigator V_7 Western Europe by hackwarez-crew.com\Tomtom navigator V_7 Western Europe\activation\tt7_keygen.exe
C:\Documents and Settings\Nico\Mes documents\eMule Downloads\Incoming\Tt7 Western And Central Europe Tomtom Go 7.10 Crack.rar
C:\Documents and Settings\Nico\Mes documents\K700i\Images\Ice Crack.jpg


---------------- ! End of report ! ------------------

Tant que tu ne supprimes pas çà => Tt7 Western And Central Europe Tomtom Go 7.10 Crack.rar
L'infection se relancera. @+

Ho ho ho... ça sent Noël  ;-))

C'est supprimé, maintenant. Suis-je sauvé?

C:\Documents and Settings\Nico\Application Data\uTorrent\Lavasoft.Ad-Aware.2008.v7.1.0.1.Cracked-MKDEV.­zip.torrent

Cracker un truc gratuit...
j'aurais tout vu...

Faut virer TOUS les cracks...

C:\Documents and Settings\Nico\Mes documents\K700i\Images\Ice Crack.jpg
\AcrobatPro7

Refais passer Findykill en mode recherche.
@+

Ho ho ho... ça sent Noël  ;-))

Voici:



----------------- FindyKill V4.709 ------------------

* User : Nico - NICOLAS
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 10/12/08 par Chiquitine29
* Recherche effectuée à 18:06:45 le jeu. 18/12/2008
* Windows XP - Internet Explorer 6.0.2900.5512

((((((((((((((((( *** Recherche *** ))))))))))))))))))


--------------- [ Processus actifs ] ----------------


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Portrait Displays\Shared\DTSRVC.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Adobe\Acrobat 7.0\Acrobat\Acrobat_sl.exe
C:\Program Files\Mozilla Firefox\firefox.exe

--------------- [ Fichiers/Dossiers infectieux ] ----------------


»»»» Presence des fichiers dans C:

Found ! [18/12/2008 18:06] - C:\InfoSat.txt

»»»» Presence des fichiers dans C:\WINDOWS


»»»» Presence des fichiers dans C:\WINDOWS\Prefetch


»»»» Presence des fichiers dans C:\WINDOWS\system32


»»»» Presence des fichiers dans C:\WINDOWS\system32\config\systemprofile\AppData\Roaming


»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers


»»»» Presence des fichiers dans C:\Documents and Settings\Nico\Application Data


»»»» Presence des fichiers dans C:\DOCUME~1\Nico\LOCALS~1\Temp


»»»» Presence des fichiers dans C:\Documents and Settings\Nico\Local Settings\Temporary Internet Files\Content.IE5


--------------- [ Registre / Startup ] ----------------

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion­\run]
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\­run\AdobeUpdater=

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio­n\run]
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion­\run\not active=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion­\run\OptionalComponents=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion­\run\OptionalComponents\IMAIL=
Installed=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion­\run\OptionalComponents\MAPI=
Installed=1
NoChange=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion­\run\OptionalComponents\MSFS=
Installed=1


--------------- [ Registre / Clés infectieuses ] ----------------



--------------- [ Etat / Services ] ----------------



+- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

Ndisuio - Type de démarrage = 3

EapHost - Type de démarrage = 2

Ip6Fw - Type de démarrage = 2

SharedAccess - Type de démarrage = 2

wuauserv - Type de démarrage = 2

wscsvc - Type de démarrage = 2



--------------- [ Recherche dans supports amovibles] ----------------


+- Informations :

C: - Lecteur fixe


+- presence des fichiers :



--------------- [ Registre / Mountpoint2 ] ----------------


-> Not found !


------------------- ! Fin du rapport ! --------------------

Tu t'es servi d' Elibagla ??? @+

Ho ho ho... ça sent Noël  ;-))

OUi, j'avais essayé ça, en effet. J'aurais pas dû?

Non, je trouvais ceci bizarre :


Found ! [18/12/2008 18:06] - C:\InfoSat.txt

Tu peux me poster ce rapport ? @+

Ho ho ho... ça sent Noël  ;-))

Y'a quasi rien dedans.....


"
Thu Dec 18 18:06:35 2008
EliBagle v12.06 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 15 de Diciembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):


"

En fait, j'avais elibagle et findykill sur mon bureau. J'ai lancé Elibagla en me rendant compte que ce n'était pas ce que tu m'avais demandé. Donc je l'ai arrêté sans le faire tourner. Ensuite j'ai lancé findykill. Ceci excpliquant probablement qu'Elibagla a créé un fichier mais n'a rien inscrit dedans.

Ok.

• Télécharge Hijackthis
Hijackthis (HJT) est un outil de diagnostic pour voir si tout va bien avec ton pc....

Ø Enregistre HJTInstall.exe sur ton bureau
Ø Double-clique sur HJTInstall.exe pour lancer le programme
*. Par défaut, il s'installera là C:\Program Files\Trend Micro\HijackThis
*. Accepte la license en cliquant sur le bouton "I Accept"
Ø Choisis l'option "Do a system scan and save a log file"
*. Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
*. Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport
Ø Clic droit => coller ici dans la fenêtre de saisi le rapport que tu viens de copier sur ce forum
@+

Ho ho ho... ça sent Noël  ;-))

J'ai déjà ce programme, mais je suppose qu'il est verolé par le Bagle car quen je veux le lancer, Windows me dit qu'il ne s'agit pas d'une application Win32 valide.

JE suppose donc que je dois le désinstaller et le ré-installer. C'est ça?

Oui. @+

Ho ho ho... ça sent Noël  ;-))

C'était bien ça! Voilà:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:51:12, on 18/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Portrait Displays\Shared\DTSRVC.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O1 - Hosts: 127.255.255.255 www.alcohol-soft.com
O1 - Hosts: 127.255.255.255 images.alcohol-soft.com
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://s.tf1.fr/mmdia/static/rawflow/clients/5.3.1.0/Rawflow.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} - http://activex.camfrogweb.com/...
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Service de configuration Atheros (ACS) - Atheros - C:\WINDOWS\system32\acs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Program Files\Fichiers communs\Portrait Displays\Shared\DTSRVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Microsoft Office Diagnostics Service (odserv) - Unknown owner - C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\ODSERV.EXE (file missing)
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Pro Personnel 2007.SP1\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Pro Personnel 2007.SP1\RpcSandraSrv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
End of file - 8075 bytes

• Relance HijackThis, choisis "do a scan only"
coche la case devant les lignes ci-dessous et clic en bas sur "fix checked", puis clique sur OK.

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O1 - Hosts: 127.255.255.255 www.alcohol-soft.com
O1 - Hosts: 127.255.255.255 images.alcohol-soft.com
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} - http://activex.camfrogweb.com/...
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll => Yahoo! YInstHelper Module


Comment fixer les lignes et Générer un rapport
(merci balltrap34)

Ferme HijackThis.
===================

Assure toi qu'Antivir est bien à jour, ( clic droit sur le parapluie => Start Update ) et laisse faire la MàJ.

Pour vérifier que ton PC soit propre

Redémarre en mode sans échec !
Pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

- Ouvre Antivir par le menu Démarrer / Programmes
- Cliquez sur l'onglet Scanner.
- Sélectionne Manual Selection
- Sélectionne le disque C
- Lance le scan - Mets en quarantaine tous les éléments détectés.
- Une fois le scan terminé Enregistre le rapport.

Redémarre en mode normal.

Poste le rapport ici. @+

Ho ho ho... ça sent Noël  ;-))

Je n'arrive pas à lancer Antivir car windows m'indique qu'il s'agit d'une application non valide. Que faire? Je reboote?