virus bagle

Bonjour à tous ,
POurriez vous m'aider car le pc est infecté par bagle. Depuis vendredi matin je cherchais l'infection et j'ai finalement trouvé un fichier flec006.exe et wintems.exe dans le gestionnaire des taches. Dans google j'ai trouvé plusieurs cas similaire et suis retombée sur ce forum. J'ai fais un scan avec Elibagla qui à dit en avoir trouvé 7 fichiers infectés et suprimés. Mais le pc redemarre tous le temps et windows indique toujours une erreur serieuse au demarage. Evidement je ne peux pas réinstaller antivir ni spybot. Je ne peux pas non plus faire un scan kapersky, le pc redemarre. J'ai bien lu qu'il ne falait pas faire les procédures des autres alors je n'ai pas osé continué.
Merci pour votre aide sabrina

Télécharge HijackThis v2.0.2 de trend secure
lien et tuto ici
suis les indications et poste le rapport dans ton prochain message.

bibou0007

merci pour votre réponse je fais ca de suite
sabrina

voila le rapport merci

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:16:36, on 14/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
H:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
H:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
H:\WINDOWS\system32\nvsvc32.exe
H:\WINDOWS\System32\svchost.exe
H:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
H:\WINDOWS\Explorer.EXE
H:\Program Files\Logitech\QuickCam\Quickcam.exe
H:\WINDOWS\system32\ctfmon.exe
H:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe
H:\Program Files\Microsoft ActiveSync\Wcescomm.exe
H:\PROGRA~1\MICROS~4\rapimgr.exe
H:\Program Files\Internet Explorer\iexplore.exe
H:\WINDOWS\system32\dwwin.exe
H:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
H:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Torrent-Search toolbar - {e0c7b854-d5ce-4db6-9804-be1438603d89} - H:\Program Files\Torrent-Search\tbTor0.dll
R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - (no file)
O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - H:\Program Files\CONVERTEURPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - H:\Program Files\BitComet\tools\BitCometBHO_1.1.8.30.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - h:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - H:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Torrent-Search toolbar - {e0c7b854-d5ce-4db6-9804-be1438603d89} - H:\Program Files\Torrent-Search\tbTor0.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - H:\Program Files\CONVERTEURPDF\SCPDF\ExploreExtPDF.dll
O3 - Toolbar: Torrent-Search toolbar - {e0c7b854-d5ce-4db6-9804-be1438603d89} - H:\Program Files\Torrent-Search\tbTor0.dll
O3 - Toolbar: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - h:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "H:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "H:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SpybotSnD] "H:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] H:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Philips Intelligent Agent] "H:\Program Files\Philips Intelligent Agent\Philips Intelligent Agent.exe" /SILENT
O4 - HKCU\..\Run: [LightScribe Control Panel] H:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [H/PC Connection Agent] "H:\Program Files\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] H:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &D&ownload &with BitComet - res://H:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://H:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://H:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Voir les cookies - H:\WINDOWS\web\showcookies.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - H:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - H:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - H:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - H:\Program Files\BitComet\tools\BitCometBHO_1.1.8.30.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - H:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - H:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://s.tf1.fr/mmdia/static/rawflow/clients/5.3.1.0/Rawflow.cab
O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://data.jeuxclassiques.com/npwwg.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - H:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by108fd.bay108.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {5308E02B-4ABA-48E4-AA9E-8A7693661473} (GameCtl Class) - http://jeuxenligne.orange.fr/GisActiveX/Ax/GameAx.cab
O16 - DPF: {5392B545-31A5-4724-BEF3-4FED1D56FDAC} (CPlayFirstDinerDash2_frControl Object) - file://H:\Documents and Settings\Utilisateur\Local Settings\Application Data\Oberon Media\Oberon Games Host\DinerDash2_fr.1.0.0.70.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9602.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) -
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/m(...)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housec(...)
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BAE1D8DF-0B35-47E3-A1E7-EEB3FF2ECD19} (CPlayFirstddfotgControl Object) - file:///H:/Documents%20and%20Settings/Utilisateur/Local%20Settings/Applicatio(...)
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game10.zylom.servicesalacarte.orange.fr/activex/zylomgamesplayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {C9E17F58-564C-41C6-989F-AB0FE0D2C9D1} (PopcapLoader Object) - http://jeuxentelechargement.orange.fr/orange2.0/OnlineHSS/zuma/Popcap.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxenligne-beta.jeu.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.c(...)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D6ED542B-6339-11D2-91A8-00A0C9B760DB} (RteDocumatDoc Control) - http://cabs.rte.fr/RteAllCabsMFC.cab
O16 - DPF: {DC75FEF6-165D-4D25-A518-C8C4BDA7BAA6} (CPlayFirstDinerDashControl Object) - http://jeux.wanadoo.fr/online2/diner_dash/DinerDash.1.0.0.58.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - file:///H:/Documents%20and%20Settings/Utilisateur/Local%20Settings/Applicatio(...)
O16 - DPF: {E1342154-4889-42B5-BEF6-19237577048F} (OberongamesLoader Object) - http://jeux.wanadoo.fr/online2/zuma/oberongamesloader.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {FD40EC41-D860-4579-8BA4-52671A45C71C} (AxHtChat Class) - http://images.goa.com/it/Woo2/fr/chat/nPaxChat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8FEF766-36B5-43C1-B7BF-0A74E7407419}: NameServer = 80.10.246.2,80.10.246.129
O23 - Service: Boonty Games - BOONTY - H:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Google Updater Service (gusvc) - Google - H:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - H:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: LVCOMSer - Logitech Inc. - H:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - H:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - H:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NBService - Nero AG - H:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - H:\Program Files\WinPcap\rpcapd.exe

--
End of file - 13940 bytes

Télécharge combofix de sUBs

lien et tuto ici
suis les indications et poste le rapport dans ton prochain message.

bibou0007

impossible de taper 1 dans la fenetre bleu. Une 1ere fentre s'ouvre et dit de patienter puis elle se ferme et une autre s'ouvre completement vide et je peux rien marquer

en haut de la fentre bleu c'est marqué c: mais mon disque c'est h

relance Elibagla et poste moi le rapport

merci bibou d'etre repasser franchement j'y croyais plus !
Mais bon j'ai refais le elibagla mais commme la 1ere fois , je n'ai pas trouvé le rapport à la racine du disque dur. Meme en passant par demarrer et recherche ya rien !
Il en a detecté 3 fichiers infectés et suprimés
108890.EXE
14627234.EXE
14646890.EXE

reessaye combofix car tu as encore des fichier infecter!!

c'est fait, mais je peux toujours pas suivre la procédure normal , je peux rien ecrire dedans ni valider

Sélectionne entièrement la liste de fichiers ci-dessous :


Tout en ayant le texte ci-dessous sélectionné, fais un clic droit puis copier
Ouvrez le Bloc-Note et clic sur le menu Edition/Coller afin de coller le contenu qui est dans le cadre ci-dessus

Important : Tu dois avoir le contenu du cadre ci-dessous dans le bloc-note, vérifié qu'il n'y a pas de lignes manquantes au début ou à la fin.


Enregistrez le fichier sur ton bureau sous le nom remove.txt
Téléchargez The Avenger de Swandog46 http://swandog46.geekstogo.com/avenger.zip
Dézippez le contenu de l'archive sur ton bureau et double-clicquez sur avenger.exe
Cliquez sur Ok
Sélectionnez Load Script from File et cliquez sur l'icône en forme de dossier.
Sélectionnez le fichier remove.txt qui est sur ton bureau
Cliquez sur le feu vert pour lancer le script
Cliquez sur Oui
Acceptez de redémarrer ton pc.
Téléchargez clean.zip,: http://www.malekal.com/download/clean.zip décompressez-le sur votre bureau (clic droit / extraire tout), vous obtenez alors un dossier clean
Téléchargez eScan Antivirus Toolkit : http://www.malekal.com/tutorial_eScan_antivirus_toolkit.html
Installez eScan Antivirus Toolkit dans le dossier : C:\Kaspersky
Ouvrez le dossier C:\Kaspersky et double-cliquez sur kavupd.exe pour le mettre à jour
Téléchargez et installez AVG AntiSpyware : anti-malware recommandé http://www.ewido.net/en/download/
IMPORTANT :

• Si vous êtes avec Windows XP SP2 : Télécharger ce fichier SafeBoot.reg http://www.malekal.com/download/SafeBoot.reg
puis double-cliquez dessus et acceptez l'inscription des données
Si vous êtes avec Windows XP SP 1 Télécharger ce fichier SafeBoot-SP1.reg http://www.malekal.com/download/SafeBoot-SP1.reg
puis double-cliquez dessus et acceptez l'inscription des données
NOTE : si le fichier SafeBoot.reg s'ouvre sur la navigateur, faire un clic droit sur le lien puis enregistrer la cible du lien sous.

Démarrez Windows en mode sans échec : Guide pour redémarrer en mode sans échec
Si vous avez des difficultés pour redémarrer en mode sans échec, suivez les instructions de cette page : http://forum.malekal.com/sutra14306.php#14306
Ouvrez le dossier clean qui se trouve sur ton bureau, et double-cliquez sur clean.cmd, une fenêtre noire, choisissez l'option 2 et laissez vous guider.
Ouvrez le fichier mwavscan.com
Cochez les options comme indiquées sur cette page
Cliquez Scan Clean pour démarrer le scan et laissez le scan se faire jusqu'au bout.
Afin de supprimer toutes traces du spyware et d'autres élements qu'il aurait pu installer, scannez votre ordinateur avec :
AVG Antispyware : anti-malware recommandé
Redémarrez l'ordinateur
Je vous conseil aussi de scanner votre ordinateur avec un antivirus à jour, si vous êtes infecté, il y a des chances que vous n'en aillez pas, utilisez alors un antivirus en ligne :
Scan par Secuser http://www.secuser.com/outils/antivirus.htm
Scan par Symantec http://security.symantec.com/default.asp?productid=symhome&langid=fr&(...)
Scan par Panda http://www.pandasoftware.com/products/activescan?NRMODE=Published&NRORIGI(...)
Nettoyez votre base de registre à l'aide de l'utilitaire regcleaner http://www.01net.com/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/4894(...)
Nettoyez les fichiers temporaires/caches etc.. avec CCleaner http://assiste.free.fr/assiste.com.html?http://assiste.free.fr/p/internet_uti(...)
Si vous rencontrez toujours des problèmes, générez un log à l'aide HijackThis - mode d'emploi et venez le poster sur le forum du site
Redémarrez votre ordinateur en mode normal, si le spyware est encore là, rescannez votre ordinateur avec SpyBot et Ad-Aware.

Bidou, j'ai ouvert avenger mais quand je clik sur l'icone en forme de dossier le logiciel se ferme. J'ai essayé plusieurs fois de le réouvrir mais rien à faire. Je peux sellectionner par l'url ou manuellement mais pas par l'icone du dossier.

essaye ca mais si tu ne peu ouvrir aucun outil c est pas gagné
http://www.malekal.com/tutorial_antivir.php ( ce n est pas une obligation)
- Après l'installation, mets le à jour - si ton firewall fait une alerte.. accepte la connexion.
- Assure toi qu'Antivir est bien à jour, vérifie la date d'update.

- Ouvre Antivir par le menu Démarrer / Programmes
- Cliquez sur l'onglet Scanner.
- Sélectionne Manual Selection
- Sélectionne le disque C
- Lance le scan - Mets en quarantaine tous les éléments détectés.
- Une fois le scan terminé Enregistre le rapport.



Poste le rapport ici.

j'avais déja antivir avant que bagle me le détruise, c'est comme ca que je me suis appercu de l'infection, quand le pc a redemarrer j'ai vu qu'antivir n'était plus dans la barre des taches. Puis en allant dans le dossier via l'explorer il manquait tout les fichiers rouges. ( je peux comparer car j'ai 2 PC) De la, j'ai voulu utiliser spybot et idem impossible de l'ouvrir et il manquait des dossiers égalements. Donc j'ai voulu réinstaller antivir et impossible, l'installation ne fini pas. Je suis allée sur le site antivir pour installer un truc cleaner et rien à faire. C'était ce week end tout ca. Je vais essayer a nouveau comme décrit dans ton message.
Merci

oui bon c'est ce que je pensais, antivir ne s'installe pas, il dit qu'il ne peut créer certains dossier. il me dit de fermer l'application et de rebouter windows et de recommencer. en remontant l'application on voit en rouge celle qui ne crée pas, tout les exe !
Est ce que l'on ne peut rien tenter en mode sans echec, et puis je peux suivre les instructions depuis l'autre pc ?
Merci bibou

ok
ta voulu craker quelque chose ou telecharger quelque chose?

oui j'ai télécharger un jeu

oki
je vais cherché de mon coté tu me dira ce qu il en ai de antivir
suprime ce jeu!!

le jeu est déja supprimé depuis vendredi, mais antivir ne s'installe pas commme je t'explique dans un message précédent
merci bibou

ok
je vais voir ce que je peu trouver

fait ca avec kaper de preference
si tu veut faire un tour sur mon forum y a plein de truc sympas en attendant!!clique bibou0007 en vers en bas


Scan en ligne avec Kaspersky :[list]

Ouvre internet explorer [*]Outils [*]Options internet [*]onglet "sécurité" [*]Valide "niveau par défaut".

Toujours sur Internet explorer [*]Outils [*]Options internet [*]onglet "avancé" [*]valide "Paramètres par défaut".

Pour effectuer les scans, ferme toute les pages internet sauf celle du scan, désactive ton antivirus, logiciels de protections et logiciels pouvant bloquer les popups (barres Google, barres Yahoo etc..).

Fais un Scan en ligne sur Kaspersky en utilisant Internet Explorer et pas firefox, ça ne marchera pas!.pour le scan Clique sur en bas à droite de la page.

Si tu es perdu, tu peux suivre cette aide pour les scans en ligne

Scan le poste de travail

Copie/colle le rapport du scan ici

Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Si le scan avec Kaspersky ne fonctionne pas, tu peux faire un scan en ligne avec Panda :

Fais un scan avec panda en désactivant ton antivirus pendant le scan!

(Si tu es perdu, tu peux suivre cette aide pour les scans en ligne)

Copie/colle le rapport panda ici

[/list]

A+ bibou0007

Salut Bibou
Suite à ton dernier message, j'ai lancé un scan kapersky car dimanche j'avais déja essayé avec Panda et ca bloquait. Avec kaper c'est pas évident non plus mais c'est mieux, hier soir il a redemarré 2 fois, donc finalement j'ai laisse ouvert le gestionnaire des taches et apparament ca tient bon, mais faut pas etre etre préssé car la ya 7h25 d'analyse pour 27%. Par contre, on peut voir le fichier flec006.exe et wintems.exe qui s'ouvrent et qui disparaissent.
Voila si il arrvie au bout, je t'envoie le rapport. En temps comme tu dis j'irais faire un tour sur ton forum.
Bonne journée sabrina

bonjour, tu ne peux pas poster un rapport combofix stp ?

bonjour naheulbeuk,
hier avec bibou on a essayé combofix, mais ca ne fonctionne pas. a l'ouverture de la fenetre bleu je ne peux pas taper 1 , ni entrée, en clair je peux rien faire avec la fenetre de commande. Tu peux le voir dans la discussion un peu plus haut. Mais si tu as une autre idée, franchement je suis preneuse mais ce qui veut dire qu'il faudrait que j'arrete le scan kaper qui n'est qu'a 27% depuis 8h d'ananlyse ! qu'en penses tu ?
remerciements
sabrina

bibou
Voici le rapport kaper, réussi jusqu'au bout et non sans peine.

KASPERSKY ON-LINE SCANNER REPORT
Tuesday, January 15, 2008 6:17:42 PM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 15/01/2008
Enregistrements dans la base antivirus Kaspersky : 477904


Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie vrai

Cible de l'analyse Poste de travail
C:\
D:\
E:\
F:\
G:\
H:\
I:\
O:\
P:\
Z:\

Statistiques de l'analyse
Total d'objets analysés 90419
Nombre de virus trouvés 3
Nombre d'objets infectés 25 / 0
Nombre d'objets suspects 0
Durée de l'analyse 13:54:21

Nom de l'objet infecté Nom du virus Dernière action
H:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

H:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

H:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

H:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

H:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

H:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

H:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

H:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

H:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

H:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

H:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

H:\Documents and Settings\Utilisateur\Application Data\$_hpcst$.hpc L'objet est verrouillé ignoré

H:\Documents and Settings\Utilisateur\Cookies\index.dat L'objet est verrouillé ignoré

H:\Documents and Settings\Utilisateur\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat L'objet est verrouillé ignoré

H:\Documents and Settings\Utilisateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

H:\Documents and Settings\Utilisateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

H:\Documents and Settings\Utilisateur\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

H:\Documents and Settings\Utilisateur\Local Settings\Historique\History.IE5\MSHist012008011520080116\index.dat L'objet est verrouillé ignoré

H:\Documents and Settings\Utilisateur\Local Settings\Temp\WCESLog.log L'objet est verrouillé ignoré

H:\Documents and Settings\Utilisateur\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat L'objet est verrouillé ignoré

H:\Documents and Settings\Utilisateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

H:\Documents and Settings\Utilisateur\Local Settings\Temporary Internet Files\Content.IE5\PTNMP812\b64_3[2].jpg Infecté : Email-Worm.Win32.Bagle.of ignoré

H:\Documents and Settings\Utilisateur\NTUSER.DAT L'objet est verrouillé ignoré

H:\Documents and Settings\Utilisateur\ntuser.dat.LOG L'objet est verrouillé ignoré

H:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe Infecté : Trojan-Downloader.Win32.Bagle.hx ignoré

H:\System Volume Information\_restore{56BE5551-E4D6-4D3E-B1F7-5CF4220AD028}\RP743\A0129726.exe Infecté : Trojan-Downloader.Win32.Bagle.hx ignoré

H:\System Volume Information\_restore{56BE5551-E4D6-4D3E-B1F7-5CF4220AD028}\RP743\A0130719.exe Infecté : Trojan-Downloader.Win32.Bagle.hx ignoré

H:\System Volume Information\_restore{56BE5551-E4D6-4D3E-B1F7-5CF4220AD028}\RP744\A0131719.exe Infecté : Trojan-Downloader.Win32.Bagle.hx ignoré

H:\System Volume Information\_restore{56BE5551-E4D6-4D3E-B1F7-5CF4220AD028}\RP744\A0132719.exe Infecté : Trojan-Downloader.Win32.Bagle.hx ignoré

H:\System Volume Information\_restore{56BE5551-E4D6-4D3E-B1F7-5CF4220AD028}\RP744\A0133719.sys Infecté : Trojan-Downloader.Win32.Bagle.hx ignoré

H:\System Volume Information\_restore{56BE5551-E4D6-4D3E-B1F7-5CF4220AD028}\RP744\A0133725.exe Infecté : Email-Worm.Win32.Bagle.of ignoré

H:\System Volume Information\_restore{56BE5551-E4D6-4D3E-B1F7-5CF4220AD028}\RP745\A0134719.exe Infecté : Trojan-Downloader.Win32.Bagle.hx ignoré

H:\System Volume Information\_restore{56BE5551-E4D6-4D3E-B1F7-5CF4220AD028}\RP745\A0134720.sys Infecté : Trojan-Downloader.Win32.Bagle.hx ignoré

H:\System Volume Information\_restore{56BE5551-E4D6-4D3E-B1F7-5CF4220AD028}\RP745\A0134721.exe Infecté : Email-Worm.Win32.Bagle.of ignoré

H:\System Volume Information\_restore{56BE5551-E4D6-4D3E-B1F7-5CF4220AD028}\RP745\A0134722.exe Infecté : Email-Worm.Win32.Bagle.of ignoré

H:\System Volume Information\_restore{56BE5551-E4D6-4D3E-B1F7-5CF4220AD028}\RP745\change.log L'objet est verrouillé ignoré

H:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe L'objet est verrouillé ignoré

H:\WINDOWS\$hf_mig$\KB929338\SP2QFE\ntkrnlpa.exe L'objet est verrouillé ignoré

H:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntkrnlpa.exe L'objet est verrouillé ignoré

H:\WINDOWS\$NtServicePackUninstall$\ntkrnlpa.exe L'objet est verrouillé ignoré

H:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

H:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe L'objet est verrouillé ignoré

H:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

H:\WINDOWS\ServicePackFiles\i386\ntkrnlpa.exe L'objet est verrouillé ignoré

H:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

H:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

H:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

H:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

H:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré

H:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

H:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

H:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

H:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

H:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

H:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

H:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

H:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

H:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

H:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

H:\WINDOWS\system32\dllcache\ntkrnlpa.exe L'objet est verrouillé ignoré

H:\WINDOWS\system32\drivers\down\1189390.exe Infecté : Email-Worm.Win32.Bagle.of ignoré

H:\WINDOWS\system32\drivers\down\1192046.exe Infecté : Trojan.Win32.Pakes.bwy ignoré

H:\WINDOWS\system32\drivers\down\1197765.exe Infecté : Email-Worm.Win32.Bagle.of ignoré

H:\WINDOWS\system32\drivers\down\29217625.exe Infecté : Email-Worm.Win32.Bagle.of ignoré

H:\WINDOWS\system32\drivers\down\30262890.exe Infecté : Email-Worm.Win32.Bagle.of ignoré

H:\WINDOWS\system32\drivers\down\30266687.exe Infecté : Trojan.Win32.Pakes.bwy ignoré

H:\WINDOWS\system32\drivers\down\30291796.exe Infecté : Email-Worm.Win32.Bagle.of ignoré

H:\WINDOWS\system32\drivers\down\43670000.exe Infecté : Trojan.Win32.Pakes.bwy ignoré

H:\WINDOWS\system32\drivers\down\43838921.exe Infecté : Email-Worm.Win32.Bagle.of ignoré

H:\WINDOWS\system32\drivers\down\53921.exe Infecté : Trojan.Win32.Pakes.bwy ignoré

H:\WINDOWS\system32\drivers\down\58253265.exe Infecté : Trojan.Win32.Pakes.bwy ignoré

H:\WINDOWS\system32\drivers\down\58259281.exe Infecté : Email-Worm.Win32.Bagle.of ignoré

H:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

H:\WINDOWS\system32\mdelk.exe Infecté : Email-Worm.Win32.Bagle.of ignoré

H:\WINDOWS\system32\ntkrnlpa.exe L'objet est verrouillé ignoré

H:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

H:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

H:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

H:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

H:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

H:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

H:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

H:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

H:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

I:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

O:\System Volume Information\_restore{408CBFF5-2FE1-4622-B11F-601E6511BCB6}\RP650\change.log L'objet est verrouillé ignoré

Z:\boot.ini L'objet est verrouillé ignoré

Z:\NTDETECT.COM L'objet est verrouillé ignoré

Z:\ntldr L'objet est verrouillé ignoré

Z:\TRAVAIL\AZUR IMMO\PHOTO IMMO\COURSOL\DSCN0017.JPG L'objet est verrouillé ignoré

Z:\TRAVAIL\AZUR IMMO\PHOTO IMMO\COURSOL\DSCN0018.JPG L'objet est verrouillé ignoré

Z:\TRAVAIL\AZUR IMMO\PHOTO IMMO\COURSOL\DSCN0019.JPG L'objet est verrouillé ignoré

Z:\TRAVAIL\AZUR IMMO\PHOTO IMMO\COURSOL\DSCN0020.JPG L'objet est verrouillé ignoré

Z:\TRAVAIL\AZUR IMMO\PHOTO IMMO\COURSOL\DSCN0022.jpg L'objet est verrouillé ignoré

Z:\TRAVAIL\AZUR IMMO\PHOTO IMMO\COURSOL\DSCN0023.jpg L'objet est verrouillé ignoré

Z:\TRAVAIL\AZUR IMMO\PHOTO IMMO\COURSOL\DSCN0024.JPG L'objet est verrouillé ignoré

Z:\TRAVAIL\AZUR IMMO\PHOTO IMMO\COURSOL\DSCN0026.jpg L'objet est verrouillé ignoré

Z:\TRAVAIL\AZUR IMMO\PHOTO IMMO\COURSOL\DSCN0029.JPG L'objet est verrouillé ignoré

Analyse terminée.

bonsoir, en attendant le retour de Mérillym, fais ceci stp :

Télécharge ComboFix (créé par sUBs) sur ton Bureau

Copie ce qui est en citation ci-dessous (sans le mot citation) par sélection puis Ctrl-C :




-Enregistre ce fichier dans: Bureau
-Nom du fichier : CFScript
-Type du fichier : tous les fichiers
-clique sur Enregistrer
-quitte le Bloc Notes

Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

* Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort), tape 1 puis valide.
* Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

bonne soirée

fait ce que naheulbeuck ta marqué si tu le peu!!!

oups désolé EDIT : micka ^^ je ne savais pas que tu étais là

pas grave mais moi c est bibou0007 lol
on va essayer ta methode mais combofix ne prend pas apparament

hihi dsl un problème technique là faut que j'aille me reposer...

bibou,
non il ne le prend pas. meme problème qu'hier

à toi de jouer bibou, suppression manuelle of course

bon ca va , cela me redonne un peu le sourire il y a l'air d'y avoir une solution ! bonne ambiance

allé on va voir essaye ca sinon on le feras a la main!!


b]Désactives ta restauration systeme :

Clic droit poste de travail / propriétés / onglet restauration du systeme : COCHES la case "désactiver la restauration systeme sur tous les lecteurs."
Clic sur "Appliquer", et "ok".

Note: Cette procédure a été créée spécifiquement pour cet utilisateur ! Si vous n'êtes pas cet utilisateur en question, ne suivez pas ces instructions au risque d'endommager votre PC !!!



Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.

Double-clique sur OTMoveIt.exe pour le lancer.

Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée !!!

Copie le texte qui se trouve dans l'encadré ci-dessous, et colle le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved.

Clique sur MoveIt! pour lancer la suppression.

Lorsque un résultat apparaît dans le cadre Results, clique sur Exit.

Redémarre ton PC

Dans ta future réponse, envoie le rapport de OTMoveIt situé sur C:\_OTMoveIt\MovedFiles.

voila le rapport

H:\WINDOWS\system32\drivers\down\1189390.exe moved successfully.
H:\WINDOWS\system32\drivers\down\1192046.exe moved successfully.
H:\WINDOWS\system32\drivers\down\1197765.exe moved successfully.
H:\WINDOWS\system32\drivers\down\29217625.exe moved successfully.
H:\WINDOWS\system32\drivers\down\30262890.exe moved successfully.
File/Folder H:\WINDOWS\system32\drivers\down\30266687.exe not found.
H:\WINDOWS\system32\drivers\down\30291796.exe moved successfully.
H:\WINDOWS\system32\drivers\down\43670000.exe moved successfully.
H:\WINDOWS\system32\drivers\down\43838921.exe moved successfully.
H:\WINDOWS\system32\drivers\down\53921.exe moved successfully.
H:\WINDOWS\system32\drivers\down\58253265.exe moved successfully.
H:\WINDOWS\system32\drivers\down\58259281.exe moved successfully.
File move failed. H:\WINDOWS\system32\mdelk.exe scheduled to be moved on reboot.
H:\WINDOWS\system32\drivers\down moved successfully.

Created on 01/15/2008 20:15:15

bibou,
A chaque fois que je redemarre , windows récupére une erreur serieuse. Si je choisi de le fermer quelque temps plus tard le pc redemarre tout seul. Aussi quelques fois le elibagla veut que je l'excute quand le pc demarre.
Je te confirme que j'ai toujours les fichiers flec006.exe et wintems.exe qui se balade ou fixe (cela dépend) dans le gestionnaire des taches. La en ce moment ya 78140.exe en plus.

lance elibagla maintenant!!

tu as bien enlevé la restauration?

bibou,
oui j'avais bien enlevé la restauration auparavant.
J'ai relance elibagla et il en a trouvé 2. Mais dans
mon disque H: je n'ai toujours pas le rapport.

esssaye combofix sans script maintenant
sinon je vais etre encore obligé de te demander un autre scan kaper pour situer ou est les restes