Trojan.Win32.VB.rzz 1 détecté par Kaspersky [résolu]

Bonjour!

Après plusieurs recherches je ne trouve pas comment me débarrasser de ce souci. Après le démarrage du pc (sous XP sp3) s'affiche "Prévention de l'exécution des données - Pour protéger votre ordinateur Windows à fermé ce programme, Nom: Generic Host Process for Win32 Services", puis ensuite "Generic Host Process for Win32 à rencontré un problème et doit être fermé".

Bien souvent ça me coupe le son des média et je suis obligé de redémarrer Audio Windows dans "Services" des outils d'administration... et puis quand j'ouvre "Configurer les programmes par défaut" mon unité centrale fait un bip, ce qu'elle n'avait jamais fait auparavant.


Merci d'avance de votre aide

citywok

Fais un scan HijackThis et poste le rapport.

Merci de ton aide! Voilà le scan:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:25:05, on 30/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
C:\PROGRA~1\WIDCOMM\LOGICI~1\BTSTAC~1.EXE
C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\xxxx\Application Data\drivers\winupgro.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe

--
End of file - 4943 bytes

...



Fais tout ce qui suit, dans l' ordre ...

(si ce n’ est déjà fait) Télécharge CCleaner …
("Download Latest Version", sur la droite) et laisse-toi guider.
A un moment, il te sera demandé de cocher :
"Ajouter la barre d' outils Yahoo". Refuse et …
Laisse-le s’ installer tel que …

Redémarre le PC en mode sans échec …
-> méthode F8 (ou F5/F11 sur certains PC) de préférence

--------------------------------------------
Tu n' auras pas accès à Internet pendant le "mode sans échec".
Aussi, copie/colle la procédure dans un fichier texte (word) et mets-la
sur le "bureau" pour l' avoir à ta disposition.
--------------------------------------------

Affiche les fichiers et dossiers cachés …
Pour ce faire, tu vas dans un dossier, par ex. "Mes Images".
Ensuite, clique sur > Outils > Options des dossiers ...
clique sur l' onglet «Affichage» et ...
coche --> Afficher les fichiers et dossiers cachés
décoche > Masquer les extensions des fichiers dont le type est connu
décoche > Masquer les fichiers protégés du système d' exploitation (recommandé).
Clique «Appliquer» et «OK».

Ferme toutes les fenêtres et applications.
Relance HijackThis et clique sur > Do a system scan only puis, coche
les cases devant les lignes qui suivent (et uniquement ces lignes), si tjrs présentes :

O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\xxxx\Application Data\drivers\winupgro.exe

Ensuite, clique sur > Fix checked et valide par "Yes". Referme HijackThis.

Ensuite, va dans > Démarrer > Poste de travail > C:\

et, en suivant le chemin, supprime (clic droit dessus > Supprimer)
le(s) fichier(s) en gras, ci-dessous, si tu le(s) trouves.

C:\Documents and Settings\xxxx\Application Data\drivers\winupgro.exe <--

Vide la Corbeille.

Remet les fichiers et dossiers cachés comme tu les as trouvés !

Lance CCleaner ...
Clique sur > Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
(re)Lance le nettoyage et (re)confirme par OK.

Redémarre en mode normal ...

---
Ensuite, si ça ne suffit pas (si, si, c' est possible) ...

Télécharge, installe et mets à jour Malwarebytes Anti-malware ; puis, fais un scan complet et poste le rapport.

Si MalwareByte's a détecté des infections, clique sur Afficher les résultats, puis sur Supprimer la sélection.

Je n'arrive pas à démarrer en mode sans échec, ça reboot à chaque fois. J'ai fait un scan SafeBootKeyRepair et voilà le rapport qui comporte une erreur:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot]

========================


SafeBoot registry key needs repairs. This machine cannot enter Safe Mode.
~~\SafeBoot\Minimal\Base
~~\SafeBoot\Minimal\Boot Bus Extender
~~\SafeBoot\Minimal\Boot file system
~~\SafeBoot\Minimal\dmboot.sys
~~\SafeBoot\Minimal\dmio.sys
~~\SafeBoot\Minimal\dmload.sys
~~\SafeBoot\Minimal\dmserver
~~\SafeBoot\Minimal\File system
~~\SafeBoot\Minimal\Filter
~~\SafeBoot\Minimal\PCI Configuration
~~\SafeBoot\Minimal\Primary disk
~~\SafeBoot\Minimal\RpcSs
~~\SafeBoot\Minimal\SCSI Class
~~\SafeBoot\Minimal\sermouse.sys
~~\SafeBoot\Minimal\System Bus Extender
~~\SafeBoot\Minimal\vga.sys
~~\SafeBoot\Minimal\vgasave.sys
~~\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
~~\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}
~~\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}
~~\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}
~~\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}
~~\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}

========================

Error: Key: system\currentcontrolset\control\safeboot\minimal does not exist!


En mode normal j'ai fixé la ligne avec HiJackThis puis j'ai trouvé le fichier wingro.exe (ça énerve l'antivirus quand je le titille) mais je ne peux pas l'effacer, à cause du mode normal j'imagine

...

Enchaîne avec Malwarebytes (en mode normal si tu n' as pas accès au mode sans echec) ...

Bonjour kmisol!

Le message Generic Host Process apparaît toujours au démarrage. Après un autre démarrage j'ai dû refaire un scan Malewarebytes pour récupérer une connection internet...

Et cette bête m'empêche également d'activer la protection en ligne d'Antivir!


Voilà le rapport (scan effectué en mode normal toujours)

Malwarebytes' Anti-Malware 1.38
Version de la base de données: 2358
Windows 5.1.2600 Service Pack 3

01/07/2009 12:31:27
mbam-log-2009-07-01 (12-31-27).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 129123
Temps écoulé: 12 minute(s), 56 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 14

Processus mémoire infecté(s):
C:\Documents and Settings\xxxx\Application Data\drivers\winupgro.exe (Trojan.Agent) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sk9ou0s (Rootkit.Bagle) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sk9ou0s (Rootkit.Bagle) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sk9ou0s (Rootkit.Bagle) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\111111s1ro1s1a (Rootkit.Bagle) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\drvsyskit (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
c:\documents and settings\xxxx\Application Data\drivers\downld (Worm.Bagle) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
c:\documents and settings\xxxx\application data\drivers\11s11ro1s1a2.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
c:\system volume information\_restore{d69b7a16-5087-42c3-baf5-04b83a53734b}\RP86\A0013087.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
c:\system volume information\_restore{d69b7a16-5087-42c3-baf5-04b83a53734b}\RP86\A0013169.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
c:\system volume information\_restore{d69b7a16-5087-42c3-baf5-04b83a53734b}\RP86\A0013186.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
c:\system volume information\_restore{d69b7a16-5087-42c3-baf5-04b83a53734b}\RP86\A0013378.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
c:\system volume information\_restore{d69b7a16-5087-42c3-baf5-04b83a53734b}\RP86\A0013384.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
c:\system volume information\_restore{d69b7a16-5087-42c3-baf5-04b83a53734b}\RP86\A0013405.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
c:\system volume information\_restore{d69b7a16-5087-42c3-baf5-04b83a53734b}\RP86\A0013412.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
c:\system volume information\_restore{d69b7a16-5087-42c3-baf5-04b83a53734b}\RP86\A0013443.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
c:\system volume information\_restore{d69b7a16-5087-42c3-baf5-04b83a53734b}\RP86\A0013466.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
c:\system volume information\_restore{d69b7a16-5087-42c3-baf5-04b83a53734b}\RP86\A0013472.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
c:\system volume information\_restore{d69b7a16-5087-42c3-baf5-04b83a53734b}\RP86\A0013487.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
c:\system volume information\_restore{d69b7a16-5087-42c3-baf5-04b83a53734b}\RP86\A0013515.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
c:\documents and settings\xxxx\Application Data\drivers\winupgro.exe (Trojan.Agent) -> Quarantined and deleted successfully.

citywok

Y a du Bagle dans l' air !

Télécharge GenProc ; double-clique sur GenProc.exe
et poste le contenu du rapport qui s'ouvre.

hé oui c'est bien Bagle, Antivir m'a donné son nom pendant le scan GenProc. Voilà le rapport GenProc:

Rapport GenProc 2.598 [1] - 01/07/2009 à 19:35:56
@ Windows XP Service Pack 3 - Mode normal
@ Mozilla Firefox (3.0.11) [Navigateur par défaut]

GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante :


Poste un rapport Nod32 http://www.eset-nod32.fr/scanner.html (il faut utiliser Internet Explorer)
- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :
- C:\Program Files\EsetOnlineScanner\log.txt




~~~~ INFORMATION COMPLEMENTAIRE ~~~~


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:36:32, on 01/07/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\PROGRA~1\WIDCOMM\LOGICI~1\BTSTAC~1.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
C:\GenProc\outil\xxxx_GenProc.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe

--
End of file - 4994 bytes

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

~~ Fin à 19:37:05 ~~

J'avais oublié le rapport nod32

ESETSmartInstaller@High as downloader log:
all ok
# version=6
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.5863
# api_version=3.0.2
# EOSSerial=a52d4a030440414db6e82684658fe9f9
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2009-07-01 09:19:23
# local_time=2009-07-01 11:19:23 (+0100, Paris, Madrid)
# country="France"
# lang=1036
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 21 75 100 183413593750
# scanned=52173
# found=1
# cleaned=1
# scan_time=2115
C:\Program Files\eMule\Temp\005.part une variante probable de Win32/Agent cheval de troie (supprimé - mis en quarantaine) 00000000000000000000000000000000
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251

Okay! Je crois que me suis débarrassé de Bagle. Antivirus à nouveau actif, internet également, accès au mode sans échec et plus aucun message en rapport avec Generic Host Process au démarrage. J'ai également désinstallé ce satané logiciel de P2P, et je ne suis pas près de le réutiliser.

Par contre j'ai fais un scan Kaspersky pour m'assurer que tout était bien clean, et j'ai encore deux infections. La première doit être un vrai faux généré par Gen Proc mais la deuxième.... Pourrais-tu m'aider s'il te plait kamisol?

voila le rapport:

vendredi 3 juillet 2009
Système d'exploitation : Microsoft Windows XP Professional Service Pack 3 (build 2600)
Version de Kaspersky Online Scanner : 7.0.26.13
Dernière mise à jour de la base : Friday, July 03, 2009 08:51:36
Enregistrements dans la base : 2417723
Paramètres d'analyse
analyser avec la base suivante étendue
Analyser les archives oui
Analyser les bases de messagerie oui
Zone d'analyse Poste de travail
A:\
C:\
D:\
Statistiques d'analyse
Objets analysés 52289
Menaces trouvées 2
Objets infectés trouvés 2
Objets suspects trouvés 0
Durée d'analyse 00:44:01

Nom de fichier Menace Compteur de menaces
C:\GenProc\outil\GetVersion.exe Infecté : Backdoor.Win32.Agent.ahuv 1
C:\WINDOWS\system32\mpupd.exe Infecté : Trojan.Win32.VB.rzz 1
La zone sélectionnée a été analysée.

citywok

Rends-toi sur le site de VirusTotal pour faire analyser ce fichier
en gras :

C:\WINDOWS\system32\mpupd.exe

Tutoriel : http://kerio.probb.fr/logiciels-et-tutoriels-f6/tutoriel-virustotal-multi-sca(...)

Poste le rapport de scan, stp.

Pour info, Kaspesky détecte mais ne supprime pas.

Je pense qu' après avoir visionné le rapport de scan, tu pourras supprimer le fichier manuellement.

En tapant le chemin du fichier sur Virus Total, Antivir a détecté et supprimé le fichier

J'ai fais un nouveau scan Kaspersky, le fichier est bien supprimé. reste celui de GenProc mais j'imagine qu'il suffit de supprimer GenProc sur le bureau et dans le C:\ pour le faire disparaître?


Dans tous les cas, un grand merci à toi pour ton aide kamisol!

citywok

Tu as tjrs cela qui s' affiche ... ou pas ?

D' autres soucis ?

Non tout fonctionne parfaitement!


Merci encore

...



Télécharge ToolsCleaner (par A.Rothstein et dj QUIOU) sur ton bureau.
1. Clique sur Recherche et laisse le scan agir ...
2. Clique sur Suppression pour finaliser.
-> Tu peux, si tu le souhaites, te servir des Options facultatives.
3. Clique sur Quitter pour obtenir le rapport.
4. Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

******
Quelques conseils ...
http://www.malekal.com/securiser_ordinateur.html
et aussi ...
http://www.malekal.com/securiser_internet_explorer.html

Voilà le rapport:

[ Rapport ToolsCleaner version 2.3.7 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\Infosat.txt: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\xxxx\Bureau\Sécurité\HijackThis: trouvé !
C:\Documents and Settings\xxxx\Bureau\Sécurité\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\xxxx\Bureau\Sécurité\HijackThis\HJTInstall.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
--> Suppression:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\xxxx\Bureau\Sécurité\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\xxxx\Bureau\Sécurité\HijackThis\HJTInstall.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Infosat.txt: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\xxxx\Bureau\Sécurité\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Corbeille vidée!
Fichiers temporaires nettoyés !