infection par bagle, worm et agent xd

Bonjour,
j'airais besoin d'aide pour me debarasser de quelques virus qui ont ete detecté lors d'une analyse en ligne Kaspersky... Ces virus empeche mon pare feu et mon antivirus de demarrer ( surtout mon pare feu: kfe driver not found Oo)...je vous poste les lignes importantes de cette analyse:


C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\5UDNCPE0\b64_1[1].jpg Infecté : Trojan-PSW.Win32.Agent.xd ignoré
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\5UDNCPE0\b64_1[2].jpg Infecté : Trojan-PSW.Win32.LdPinch.ewq ignoré
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\CNUPAXOJ\b64_1[1].jpg Infecté : Trojan-PSW.Win32.Agent.xd ignoré
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\SQL7Q3PQ\b64_1[1].jpg Infecté : Trojan-PSW.Win32.Agent.xd ignoré
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\SQL7Q3PQ\b64_31[1].jpg Infecté : Email-Worm.Win32.Bagle.of ignoré
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\U4BXVH64\b64_31[1].jpg Infecté : Email-Worm.Win32.Bagle.of ignoré
C:\System Volume Information\_restore{35CBAC07-93CD-49AC-AE51-542BADC97E3C}\RP237\A0045860.sys Infecté : Trojan-Downloader.Win32.Bagle.kh ignoré
C:\System Volume Information\_restore{35CBAC07-93CD-49AC-AE51-542BADC97E3C}\RP237\A0045874.exe Infecté : Trojan-Downloader.Win32.Bagle.kf ignoré
C:\System Volume Information\_restore{35CBAC07-93CD-49AC-AE51-542BADC97E3C}\RP238\A0045915.sys Infecté : Trojan-Downloader.Win32.Bagle.kh ignoré
C:\System Volume Information\_restore{35CBAC07-93CD-49AC-AE51-542BADC97E3C}\RP238\A0045928.sys Infecté : Trojan-Downloader.Win32.Bagle.kh ignoré
C:\System Volume Information\_restore{35CBAC07-93CD-49AC-AE51-542BADC97E3C}\RP238\A0045930.exe Infecté : Email-Worm.Win32.Bagle.of ignoré
C:\System Volume Information\_restore{35CBAC07-93CD-49AC-AE51-542BADC97E3C}\RP238\A0045933.exe Infecté : Email-Worm.Win32.Bagle.of ignoré
C:\System Volume Information\_restore{35CBAC07-93CD-49AC-AE51-542BADC97E3C}\RP240\A0045979.sys Infecté : Trojan-Downloader.Win32.Bagle.kh ignoré
C:\System Volume Information\_restore{35CBAC07-93CD-49AC-AE51-542BADC97E3C}\RP240\A0045994.sys Infecté : Trojan-Downloader.Win32.Bagle.kh ignoré
C:\System Volume Information\_restore{35CBAC07-93CD-49AC-AE51-542BADC97E3C}\RP240\A0046007.exe Infecté : Trojan-Downloader.Win32.Bagle.kf ignoré
C:\System Volume Information\_restore{35CBAC07-93CD-49AC-AE51-542BADC97E3C}\RP240\A0046010.exe Infecté : Email-Worm.Win32.Bagle.of ignoré
C:\System Volume Information\_restore{35CBAC07-93CD-49AC-AE51-542BADC97E3C}\RP240\A0046011.sys Infecté : Trojan-Downloader.Win32.Bagle.kh ignoré
C:\System Volume Information\_restore{35CBAC07-93CD-49AC-AE51-542BADC97E3C}\RP240\A0046012.exe Infecté : Trojan-Downloader.Win32.Bagle.kf ignoré
C:\System Volume Information\_restore{35CBAC07-93CD-49AC-AE51-542BADC97E3C}\RP240\A0046013.exe Infecté : Email-Worm.Win32.Bagle.of ignoré
C:\System Volume Information\_restore{35CBAC07-93CD-49AC-AE51-542BADC97E3C}\RP240\A0046014.exe Infecté : Email-Worm.Win32.Bagle.of ignoré
C:\System Volume Information\_restore{35CBAC07-93CD-49AC-AE51-542BADC97E3C}\RP240\A0046015.exe Infecté : Email-Worm.Win32.Bagle.of ignoré
C:\WINDOWS\system32\drivers\down\14664265.exe Infecté : Trojan-PSW.Win32.Agent.xd ignoré
C:\WINDOWS\system32\drivers\down\69281.exe Infecté : Trojan-PSW.Win32.Agent.xd ignoré
C:\WINDOWS\system32\drivers\down\72359.exe Infecté : Trojan-PSW.Win32.Agent.xd ignoré
D:\Documents and Settings\1\Local Settings\Temp\Rar$EX03.451\atk-2.1\atk-2.1\atk.exe Infecté : HackTool.Win32.AttKit.c ignoré









la config de mon pc
Windows xp, mozilla firefox, antivir + kerio sunbelt firewall.

Y'aurait il quelqu'un qui puisse m'aider ... merci d'avance

Besoin de ton log HijackThis...

Ta des fichiers infecter de trojan

Bsoir,

Télécharge sur le bureau Hijackthis
=> Clic droit dessus => renommer => écrire : test.exe ( à la place de hijackthis.exe) <==Important
=> Double-clic dessus
=> Clic Do a system scan and save the log
=> Copier le rapport, le coller dans la réponse

Si tu as du mal,
Aide hijackthis

bonjour
Ne pas commencer par hijack
mais faire ceci d'abord

télécharger sur le bureau
Elibagla
= tout en bas de la page Clic sur :Descargar ELIBAGLA 10.XX XX= N° en cours
--------------
= Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
Attention, pas d’accès à internet dans ce mode. Enregistrer ou imprimer les consignes. Relancer le Pc et tapoter la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel
------------
= Lancer Elibagla
= Clic : explorar
= A la fin du scan redémarrer en mode normal
= un rapport dans C:\infoSat.txt
le copier/coller dans la réponse

note: si démarrage en sans échec impossible faire en mode normal
==========
et
Télécharger et enregistrer sur le bureau
Combofix

=Double-clic sur Combofix
= Presser 1 quand demandé
= Attendre la fermeture de l’outil ( 5 -10 mn ou plus si infection importante)
=Copier/coller le rapport dans la réponse
Un rapport dans C:\Combofix.txt à mettre dans la réponse
=========
Clic-Droit sur Poste de Travail==> Propriétés==> Restauration du système==>Cocher : désactiver la restauration système sur tous les lecteurs ==>Appliquer==>OK
Note : cela supprime les points de restauration antérieurs et qui peuvent être infectés
-----------
Même manœuvre en décochant pour rétablir la restauration
------------
Puis Démarrer==> tous les programmes ==>Accessoires==>outils Système==> Restauration système
==> créer un nouveau point de restauration
= note => le nom donné n’a aucune importance

=========

puis tu fais un hijack
et tu dis si ton antivirus fonctionne

voici les rapports



Tue Feb 26 11:47:23 2008
EliBagle v11.05 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

Tue Feb 26 11:48:03 2008
EliBagle v11.05 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Program Files\Google\GoogleToolbarNotifier\GOOGLETOOLBARNOTIFIER.EXE --> Eliminado Bagle.dldr
C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

Nº Total de Directorios: 7332
Nº Total de Ficheros: 76311
Nº de Ficheros Analizados: 6086
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados: 2

Tue Feb 26 11:51:41 2008
EliBagle v11.05 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle (rootkit) Acceso Denegado.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle.dldr Acceso Denegado.
Reinicie para Completar la Limpieza.

Tue Feb 26 11:51:46 2008
EliBagle v11.05 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

Nº Total de Directorios: 7332
Nº Total de Ficheros: 76313
Nº de Ficheros Analizados: 6085
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

Tue Feb 26 12:01:17 2008
EliBagle v11.05 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\MDELK.EXE --> Acceso Denegado, Bagle (Reiniciar para completar la Limpieza)

Nº Total de Directorios: 7332
Nº Total de Ficheros: 76342
Nº de Ficheros Analizados: 6086
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

Tue Feb 26 12:08:04 2008
EliBagle v11.05 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Eliminado Bagle
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Eliminado Bagle (rootkit)
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Eliminado Bagle.dldr

Tue Feb 26 12:08:08 2008
EliBagle v11.05 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\MDELK.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\115593.EXE --> Eliminado Bagle
C:\WINDOWS\system32\drivers\down\78812.EXE --> Eliminado Bagle

Nº Total de Directorios: 7375
Nº Total de Ficheros: 76897
Nº de Ficheros Analizados: 6094
Nº de Ficheros Infectados: 3
Nº de Ficheros Limpiados: 3

Tue Feb 26 12:13:03 2008
EliBagle v11.05 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Tue Feb 26 12:13:42 2008
EliBagle v11.05 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 7375
Nº Total de Ficheros: 76896
Nº de Ficheros Analizados: 6091
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Thu Feb 28 21:32:52 2008
EliBagle v11.08 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Thu Feb 28 21:32:56 2008
EliBagle v11.08 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 7377
Nº Total de Ficheros: 75801
Nº de Ficheros Analizados: 6095
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0








ComboFix 08-02-25.3 - Administrateur 2008-02-28 21:40:16.4 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.597 [GMT 1:00]
Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe

[color=red]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/color]
.

((((((((((((((((((((((((((((( Fichiers créés 2008-01-28 to 2008-02-28 ))))))))))))))))))))))))))))))))))))
.

2008-02-27 18:10 . 2008-02-27 18:10 <REP> d-------- C:\Program Files\Trend Micro
2008-02-26 12:36 . 2008-02-26 12:36 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-02-24 19:42 . 2008-02-27 20:53 <REP> d-------- C:\Program Files\Atlantis3D
2008-02-24 18:56 . 2003-11-20 17:47 209,192 --a------ C:\WINDOWS\system32\Tabctl32.ocx
2008-02-24 18:56 . 2003-11-20 17:47 49,664 --a------ C:\WINDOWS\system32\Wavmix32.dll
2008-02-24 18:56 . 2008-02-24 19:00 34 --a------ C:\WINDOWS\winreg.ini
2008-02-23 15:24 . 2008-02-23 17:29 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\dvdcss
2008-02-23 00:30 . 2008-02-23 00:30 <REP> d-------- C:\Nouveau dossier

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-24 19:08 --------- d-----w C:\Program Files\eMule
2008-01-26 21:39 81,920 ----a-w C:\Documents and Settings\Administrateur\Application Data\ezpinst.exe
2008-01-26 21:39 47,360 ----a-w C:\Documents and Settings\Administrateur\Application Data\pcouffin.sys
2008-01-26 21:39 --------- d-----w C:\Program Files\DVDFab Platinum
2008-01-26 21:39 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Vso
2008-01-26 21:31 47,360 ----a-w C:\WINDOWS\system32\drivers\pcouffin.sys
2008-01-26 20:40 --------- d-----w C:\Program Files\Serato
2008-01-26 17:02 --------- d-----w C:\Program Files\QuickTime
2008-01-26 17:02 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-01-21 16:30 --------- d-----w C:\Program Files\AnalogX
2008-01-14 19:17 165 ----a-w C:\WINDOWS\system32\drivers\fwdrv.err
2008-01-14 19:11 --------- d-----w C:\Program Files\Avira
2008-01-14 19:11 --------- d-----w C:\Documents and Settings\All Users\Application Data\Avira
2008-01-02 12:50 --------- d-----w C:\Program Files\Apple Software Update
2008-01-02 12:50 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple
2008-01-01 00:07 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Toshiba
2008-01-01 00:03 --------- d-----w C:\Program Files\Toshiba
2007-12-31 09:57 6,916 ----a-w C:\WINDOWS\BricoPackFoldersDelete.cmd
2007-12-31 09:57 53,158 ----a-w C:\WINDOWS\BricoPackUninst.cmd
2004-09-01 15:48 103,533 ----a-w C:\WINDOWS\system32\config\systemprofile\CodecSettings.reg
2004-09-01 15:48 103,533 ----a-w C:\Documents and Settings\Default User\CodecSettings.reg
2004-09-01 15:48 103,533 ----a-w C:\Documents and Settings\Administrateur\CodecSettings.reg
2007-04-14 13:08 56 --sh--r C:\WINDOWS\system32\BA1821EE94.sys
2007-04-14 13:08 1,682 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

------- Sigcheck -------

f6ad4c0f992b3b51c044ad74d9e2e854 C:\WINDOWS\system32\wininet.dll
----a-w 694,784 2002-12-31 12:00:00 C:\WINDOWS\system32\wininet.dll

7b11118b078b88f87183fe69eda43137 C:\WINDOWS\system32\drivers\tcpip.sys
----a-w 359,040 2002-12-31 12:00:00 C:\WINDOWS\system32\drivers\tcpip.sys

9f3b76c8cf787449a47f05abab4e13e6 C:\WINDOWS\explorer.exe
----a-w 978,432 2002-12-31 12:00:00 C:\WINDOWS\explorer.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55 5674352]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2002-12-31 13:00 15360]
"MSMSGS"="C:\Program Files\Messenger\Msmsgs.exe" [2004-08-04 00:07 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-01 09:48 16208384 C:\WINDOWS\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2006-07-12 06:19 1519616 C:\WINDOWS\system32\nwiz.exe]
"MediaKey"="C:\PROGRA~1\Internet Keyboard\MEDIAKEY.EXE" [2000-08-01 03:11 73728]
"H2O"="C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe" [2005-10-22 23:00 385024]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-07-31 16:51 185784]
"ANIWZCS2Service"="C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2004-12-16 16:49 49152]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-07-12 06:19 7626752]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-26 11:42 249896]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-01-10 15:27 385024]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55 5674352]

C:\Documents and Settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 18:16:50 113664]
RocketDock.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-03-18 23:05:02 630784]
TransBar.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe [2005-06-01 20:41:18 65536]
UberIcon.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [2006-05-21 08:43:08 180224]
Y'z Shadow.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe [2006-05-21 08:43:14 155648]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys [2007-04-26 10:21]
R3 CLEDX;Team H2O CLEDX service;C:\WINDOWS\system32\DRIVERS\cledx.sys [2005-05-09 19:08]
R3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver;C:\WINDOWS\system32\DRIVERS\ManyCam.sys [2007-03-22 13:17]
S2 SPF4;Sunbelt Personal Firewall 4;"C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe" [2007-04-26 10:21]
S3 NETDLWL;D-Link Air Wireless Adapter(DL) NT Driver;C:\WINDOWS\system32\DRIVERS\NETDLWL.SYS [2003-07-14 17:45]
S3 StMp3Rec;Pilote de périphérique de la restauration de lecteur;C:\WINDOWS\system32\Drivers\StMp3Rec.sys [2007-02-15 13:14]
S4 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys [2007-04-26 10:21]

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-02-23 16:53:04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-28 21:43:46
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs a chargé sous des processus courants ---------------------

PROCESS: C:\WINDOWS\explorer.exe [6.00.2900.2180]
-> C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.dll
-> C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon.dll
.
Temps d'accomplissement: 2008-02-28 21:45:25
ComboFix-quarantined-files.txt 2008-02-28 20:45:19
ComboFix2.txt 2008-02-27 20:56:08
ComboFix3.txt 2008-01-13 19:06:28





Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:57, on 2008-02-28
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Internet Keyboard\MEDIAKEY.EXE
C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\PROGRA~1\Internet Keyboard\KBOSDCtl.EXE
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\Internet Keyboard\KCodeMsg.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\Msmsgs.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lolocite.com/indexfr.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 195.175.37.71:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MediaKey] C:\PROGRA~1\Internet Keyboard\MEDIAKEY.EXE
O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\Msmsgs.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O8 - Extra context menu item: Add to AMV Converter... - C:\Program Files\MP3 Player Utilities 4.03\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Program Files\MP3 Player Utilities 4.03\MediaManager\grab.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.lolocite.com/indexfr.php
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

--
End of file - 6744 bytes




mon pare feu et mon antivirus ne marche toujours pas

Bonsoir as tu fais eliblaga en mode sans echec ?

oui j'ai bien respecté toutes les consignes

Très bien sous HijackThis, fixe les lignes suivantes :

C:\PROGRA~1\Internet Keyboard\KBOSDCtl.EXE

C:\PROGRA~1\Internet Keyboard\KCodeMsg.EXE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 195.175.37.71:8080

non on ne supprime pas n'importe quoi



Télécharger sur le bureau

The avenger

= Double-Clic Avenger.zip

= Extraire tout ( ou extraire sans confirmation ou unzip)

= Double-Clic Avenger.exe qui est sur le bureau

= un message==>Clic OK

= Cocher Input script manually

= Clic sur la loupe à droite

= dans la nouvelle fenêtre coller ce texte qui est en gras :



Files to Delete:
C:\WINDOWS\system32\MDELK.EXE



= Clic Done

= Clic sur l’icône Feu vert

= Clic Yes ,2 fois quand demandé

**note : le Pc va redémarrer avec une fenêtre noire

= un rapport dans C:\avenger.txt à copier dans la réponse



= une sauvegarde dans C:\avenger\backup.zip





Ajout du 29-02-2008 à 07:34:

(Modifié par jacko17 le 29-02-2008 à 07:42)