Se connecter / S'enregistrer
Votre question

[résolu] "(...) n'est pas une application Win32 valide" (virus Bagle)

Tags :
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
26 Février 2008 01:31:22

Bonjour,

Je viens d'être infecté par un virus, et j'ai fait quelques tentatives pour me désinfecter. Parallèlement je suis tombé sur votre forum, où un des membres avait eu un problème similaire (http://www.infos-du-net.com/forum/277305-11-avcenter-ap...) mais avec un virus différent. Mais comme j'étais déjà bien avancé dans mes tentatives, j'ai pensé qu'il n'était pas judicieux de suivre la procédure que vous aviez conseillé à ce membre.

Avant de vous résumer les faits, je vous pose ma question : Maintenant que je n'arrive plus à détecter le virus (ni avec Antivir, ni en ligne avec Symantec Security Check), puis-je considérer que mon PC est sain?

Ce qui s'est passé :
Désolé pour le manque de détail, mais dans le feu de l'action j'ai pas pensé à tout noter.

Pour tester les possibilités d'un shareware, j'ai ouvert un patch que j'aurais mieux fait de m'abstenir de télécharger (un moment de faiblesse). Ce dernier était curieusement lent pour ce qu'il avait à faire, déjà c'était louche, et en plus il n'a même pas fonctionné.
> Quelques minutes plus tard, sans raison apparente, un écran bleu, plantage. Redoutant qu'il puisse s'agir d'un méchant virus en train de faire du mal à mon PC, j'ai immédiatement fait un Reset et au redémarrage, j'ai choisi le mode sans échec.
> Je lance un scan Antivir sur tout le PC, il me trouve quelques virus, dont un dans le dossier d'installation de l'application concernée par le keygen. Je le mets en quarantaine.
> Ensuite je redémarre, mais je m'apperçois que l'icône d'Antivir a disparu de la zone de notification.
> J'essaie de relancer Antivir manuellement, et j'obtient le message "avcenter.exe n'est pas une application win32 valide"
> Là sous le stress j'ai commencé à improviser, je sais pas si j'ai bien fait, c'est pour ça que je vous demande conseil.

Comme j'ai un second disque dur vide qui traine, je me suis dit qu'en installant un XP tout neuf dessus, je pourrai y faire tourner Antivir et rescanner mon disque dur infecté, pour voir. C'est donc ce que je fais et en effet, Antivir me détecte 8 virus TR/Bagle.gen... (je me souviens plus du nom exact).

En même temps je tombe sur votre forum, et dans mes lectures je suis amené sur le site Symantec Security Check. Par curiosite, je lance un scan, toujours depuis le XP que je viens d'installer. Le site me détecte 3 virus (j'ai pas noté, mais ça ne comprenait pas Bagle). Par contre, pendant que le site faisait la détection, Antivir me lançait des alertes pour des TR/Bagle.gen, situés dans des fichiers de types variés (même des fichiers .jpg).

Après tout ça, j'ai refait un Antivir complet, aucune détection. J'ai relance Symantec Security Check, aucune détection.

Je reprends ma question : puis-je redémarrer sur mon disque dur habituel, réinstaller Antivir, et dormir sur mes deux oreilles? Ou faut-il que je fasse encore des vérifications? Merci d'avance pour votre aide.

PS: Je viens de lire vos dossiers sur la prévention et la protection, c'était très instructif. Félicitation pour votre travail et votre dévouement.

Autres pages sur : resolu application win32 valide virus bagle

26 Février 2008 02:05:43

Salut,

Citation :
PS: Je viens de lire vos dossiers sur la prévention et la protection, c'était très instructif. Félicitation pour votre travail et votre dévouement.

C'est très bien que tu aies pris cette initiative ;) 

On va tout de même vérifier ;) 

Remets ton disque dur "infecté" et fais la manipulation suivante :

Télécharge ELIBAGLA au bas de cette page. Il est préférable pour certains antivirus de les désactiver avant d’entâmer cette procédure !
Clique sur le Descargar Elibagla afin de télécharger le fichier, enregistre-le sur ton bureau.
Lance le en double cliquant dessus.
Vérifie que dans le menu déroulant Unidad, il y ait bien C:\
L'option Eliminar Ficheros Automaticamente doit également être cochée.
Clique sur Explorar pour lancer l'analyse.
Poste le rapport généré en fin fin d'analyse.
26 Février 2008 09:42:15

J'ai pas vu de bouton pour exporter un rapport, alors voilà une copie d'écran :



Dois-je le faire aussi sur les autres lecteurs?
Contenus similaires
26 Février 2008 10:46:47

Re,

Le rapport apparaît tout seul en fin d'analyse, tu dois cliquer sur explorar.
Pour le lecteur, tu sélectionnes la partition principale (celle où est installée le système), en général C:\
26 Février 2008 10:49:39

Ben oui, mon rapport, c'est la capture! :) 
Si j'ai fait une capture d'écran en fin d'analyse, c'est parce qu'aucun rapport n'est apparu sous forme de texte que j'aurais pu copier-coller dans le forum.
26 Février 2008 11:19:32

Ok, c'est parce qu'en fait il n'indique le rapport que quand on quitte le logiciel. Et moi je l'avais laissé ouvert, ça explique tout!
Voici donc le rapport, en texte cette fois :


Tue Feb 26 09:29:22 2008
EliBagle v11.05 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Restaurada Clave: "SafeBoot\Minimal y Network"

Tue Feb 26 09:31:12 2008
EliBagle v11.05 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 4714
Nº Total de Ficheros: 51189
Nº de Ficheros Analizados: 6598
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
26 Février 2008 11:53:16

Apparemment, tu ne sembles plus infecté, c'est vrai.

Télécharge Hijackthis (de Trend Micro)
Poste un rapport en suivant ce tuto.
26 Février 2008 14:30:09

Merci pour la rapidité des réponses, c'est sympa.


Voilà mon rapport HijackThis, en fin de post.

Même après avoir (j'espère) éliminé le virus, Antivir ne s'ouvrait toujours pas, et en l'ouvrant manuellement j'avais toujours le message "avcenter.exe n'est pas une application win32 valide". Donc j'ai téléchargé le dernier installeur sur le site d'Avira et j'ai lancé une réparation de l'installation. Après redémarrage, Antivir refonctionne normalement.

Mon rapport HiJackThis est ultérieur à la réparation d' Antivir :

***********************************

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:25:23, on 26/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Program Files\Windows NT\Accessoires\WORDPAD.EXE
C:\TuDienHND\3rdparty\basta\AppToService.exe
C:\WINDOWS\ATKKBService.exe
C:\TuDienHND\3rdparty\jre\bin\jrew.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\HijackThis\HijackThis.exe
Z:\PortableFirefox\firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.divx.com/divx/webplayerdemo/fr?yrv=1&yoc=divx...
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ASUSGamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
O4 - HKLM\..\Run: [CheckMedi8or] C:\Program Files\Mediator 7 Pro\CheckNewUser.exe
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [UniKey] C:\Program Files\UniKey\UniKeyNT.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: mémo_2007.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AppToService TuDienHND (AppToService_TuDienHND) - Basta Computing - C:\TuDienHND\3rdparty\basta\AppToService.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe

--
End of file - 6817 bytes
26 Février 2008 16:51:40

Re,

Télécharge sur ton bureau : Clean (de Malekal) >Tuto<
Dézippe le sur ton bureau. Double-clic sur ce dossier clean.
Double-clic sur clean.cmd. (L’extension cmd peut ne pas apparaître) Cela va ouvrir une fenêtre noire.
Un menu va apparaître, choisis l'option 1 puis entrée. Ensuite appuies sur une touche comme il te sera demandé.
Poste le rapport se trouve ici : C:\rapport_clean.txt

Si tu obtiens un fichier C:\upload_moi.zip, merci de faire ceci.

********

Fais une analyse Antivir, poste le rapport :) 
26 Février 2008 17:27:26

Voici le rapport de Clean :

26/02/2008 a 17:20:28,37

*** Recherche des fichiers dans C:
C:\autorun.inf FOUND

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32

*** Recherche des fichiers dans C:\Program Files


L'autorun qui est sur C, c'est juste pour changer l'icône du lecteur.
Je sais pas trop, mais on dirait qu'il n'y a rien d'instructif. J'envoie quand-même le rapport à Malekal?


Je lance Antivir et posterai le rapport dès qu'il aura fini le scan.
26 Février 2008 17:56:26

Et voilà le scan d'Antivir

AntiVir PersonalEdition Classic
Report file date: mardi 26 février 2008 17:38

Scanning for 1125445 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: Flo
Computer name: FLOPC

Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 13:23:31
ANTIVIR2.VDF : 7.0.2.181 1993728 Bytes 24/02/2008 13:23:31
ANTIVIR3.VDF : 7.0.2.194 58368 Bytes 26/02/2008 13:23:31
AVEWIN32.DLL : 7.6.0.67 3293696 Bytes 26/02/2008 13:23:31
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
AVPACK32.DLL : 7.6.0.3 360488 Bytes 26/02/2008 13:23:31
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

Configuration settings for the scan:
Jobname..........................: Manual Selection
Configuration file...............: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: high

Start of the scan: mardi 26 février 2008 17:38

Starting search for hidden objects.
The driver could not be initialized.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
10 processes with 10 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[NOTE] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '41' files ).


Starting the file scan:

Begin scan in 'C:\' <System30>
C:\WINDOWS\system32\drivers\sptd.sys
[WARNING] The file could not be opened!


End of the scan: mardi 26 février 2008 17:47
Used time: 09:40 min

The scan has been done completely.

4738 Scanning directories
133379 Files were scanned
0 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
133379 Files not concerned
1145 Archives were scanned
1 Warnings
0 Notes

26 Février 2008 18:14:34

Re,

Citation :
Used time: 09:40 min

Pas normal que ce soit aussi court.
Sélectionne bien tout ton poste de travail.

Pour Clean, si ça marche upload le fichier sinon tan pis.
Supprime C:\autorun.inf (tu le vois si tu affiches les fichiers cachés/système.
26 Février 2008 18:53:11

C'est court? :sweat:  j'ai pourtant tout sélectionné et collé tel quel dans mon post. J'ai juste mis du rouge sur un avertissement que j'ai repéré, histoire qu'il saute aux yeux d'un lecteur que le topic intéresserait.

Dans les préférences d'Antivir, le type de rapport sélectionné est Default (il était sélectionné d'office à l'installation du logiciel). Il y a aussi Extended et Complete. Tu veux lequel?
J'ai seulement scanné C:

Quant au fichier .inf, est-ce bien nécessaire de le supprimer? Je l'ai fait moi-même, juste pour personnaliser l'icône du lecteur. Il ne contient que ces deux lignes :
[autorun]
ICON=samsung_logo.ico

26 Février 2008 19:22:22

Re,

Tu me fais douter, le scan a duré 9 min 30 c'est ça ?
Garde autorun.inf alors ;) 
27 Février 2008 09:19:19

Oui, 9 min 30, ça me semble correct. La partition C: ne fait que 30 Go, ça va assez vite.

Je relance le scan, avec un rapport en "complete"
27 Février 2008 09:48:01

Le rapport Complete est trop long, je peux pas le copier ici. Collé dans un traitement de texte il fait 2791 pages!
Cela dit, il indique toujours qu'il n'y a pas de virus.

Il y a quand-même 44 warnings du genre

sptd.sys
[WARNING] The file could not be opened!
[WARNING] Error code: 0x000D
[WARNING] Access error/file locked!

Mais je suppose que c'est parce que j'étais pas en mode sans échec, car avant il ne me les avait pas mis.
27 Février 2008 12:10:09

Aïe aïe, trop beau pour être vrai. Je suis pas encore débarassé! Help! :sweat: 

Toujours par soucis de bien faire, je décide de lancer mon Spybot. Tout comme Antivir précédemment, il ne s'ouvre pas. "bla bla bla n'est pas une application W32 valide"

Je réinstalle Spybot, mise à jour, vaccination, je lance le scan, il me trouve entre autres 1 clé de registre Bagle :
Win32.Bagle.hi: [SBI $CD1D5200] Réglages (Clé du registre, nothing done)
HKEY_USERS\S-1-5-21-823518204-205211302-725345543-500\Softwar\FirtR


et 54 occurences de Bagle dans le dossier C:\WINDOWS\system32\drivers\down\ notées sous cette forme :

Win32.Bagle.hi: [SBI $5A6A2EC7] Exécutable (Fichier, nothing done)
C:\WINDOWS\system32\drivers\down\100453.exe


le reste, c'est pareil, c'est juste le nom de l'exe qui change
C:\WINDOWS\system32\drivers\down\XXXXXX.exe

(désolé, j'ai pas de rapport en texte, je dois recopier manuellement, donc je mets pas tout). Ces fichiers là, Antivir les avait déjà trouvé pendant le scan de Symantec Security Check. Je les avais mis en quarantaine un par un (il y en avait une vingtaine, je crois). Ensuite, quand j'avais fait tourner Elibagla, il n'avait rien trouvé. Ca veut dire qu'ils ont réapparu entre temps? :heink: 

PROBLEME :

Je tente la réparation par Spybot, il corrige la Clé de registre, mais il plante dès qu'il arrive à la première occurence de Bagle.

Du coup j'ai arrêté le processus Spybot, j'ai redémarré sur mon disque dur alternatif, et je suis en train de faire tourner Kaspersky Online Scanner.

Jusque là c'est raisonnable?
27 Février 2008 13:12:50

RE,

Il y a des restes de Bagle, rien de grave ;) 

Télécharge Combofix (de sUBs) sur ton Bureau.

Désactive temporairement toute protection résidente ! (Antivirus, antispywares..)
Double clique combofix.exe. (Clique droit->Exécuter en tant qu'administrateur si sous Vista)
Tape sur la touche 1 (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra. Poste ce rapport dans ta prochaine réponse.

Le rapport se trouve ici : C:\Combofix.txt


Renomme Combofix en Combo-Fix avant le téléchargement comme suit:
http://forum.pcastuces.com/sujet.asp?f=25&s=37315
27 Février 2008 14:52:47

Ok, je vais faire ça.

En attendant, je te fais le bilan du scan de Kaspersky Web Scanner :

Pendant le scan, j'ai eu une alerte d'Antivir sur un fichier nommé A0005482.exe situé dans System Volume Information (c'est sur la partition que je dédie à la mémoire virtuelle).

Voilà le rapport de Kaspersky, on y voit le keygen qui est à l'origine de tout ce foutoir :


-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Wednesday, February 27, 2008 2:43:41 PM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 27/02/2008
Enregistrements dans la base antivirus Kaspersky : 537732
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\

Statistiques de l'analyse:
Total d'objets analysés: 149837
Nombre de virus trouvés: 1
Nombre d'objets infectés: 5 / 0

Nombre d'objets suspects: 0
Durée de l'analyse: 02:58:42

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\khiflo\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\khiflo\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\khiflo\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\khiflo\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\khiflo\Local Settings\Historique\History.IE5\MSHist012008022720080228\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\khiflo\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat L'objet est verrouillé ignoré
C:\Documents and Settings\khiflo\Local Settings\Temporary Internet Files\Content.IE5\32NKISOE\flash[1].xml L'objet est verrouillé ignoré
C:\Documents and Settings\khiflo\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\khiflo\Local Settings\Temporary Internet Files\Content.IE5\X0HPYLFC\flash[1].xml L'objet est verrouillé ignoré
C:\Documents and Settings\khiflo\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\khiflo\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\System Volume Information\_restore{E3E2C762-B263-40BE-A97D-4A9420850992}\RP14\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
E:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
G:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\user.dmp L'objet est verrouillé ignoré
G:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
H:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
I:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
I:\System Volume Information\_restore{E3E2C762-B263-40BE-A97D-4A9420850992}\RP14\change.log L'objet est verrouillé ignoré
J:\RECYCLER\S-1-5-21-823518204-2052111302-725345543-500\Df27.zip/Paquet Builder 2.9.5.0 Key.exe Infecté : Trojan-Downloader.Win32.Bagle.kd ignoré
J:\RECYCLER\S-1-5-21-823518204-2052111302-725345543-500\Df27.zip ZIP: infecté - 1 ignoré
J:\RECYCLER\S-1-5-21-823518204-2052111302-725345543-500\Df28.zip/Paquet Builder 2.9.5.0.exe Infecté : Trojan-Downloader.Win32.Bagle.kd ignoré
J:\RECYCLER\S-1-5-21-823518204-2052111302-725345543-500\Df28.zip ZIP: infecté - 1 ignoré

J:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
J:\System Volume Information\_restore{E3E2C762-B263-40BE-A97D-4A9420850992}\RP13\A0005482.exe Infecté : Trojan-Downloader.Win32.Bagle.kd ignoré
K:\PortableFirefox\profile\Cache\_CACHE_001_ L'objet est verrouillé ignoré
K:\PortableFirefox\profile\Cache\_CACHE_002_ L'objet est verrouillé ignoré
K:\PortableFirefox\profile\Cache\_CACHE_003_ L'objet est verrouillé ignoré
K:\PortableFirefox\profile\Cache\_CACHE_MAP_ L'objet est verrouillé ignoré
K:\PortableFirefox\profile\cert8.db L'objet est verrouillé ignoré
K:\PortableFirefox\profile\formhistory.dat L'objet est verrouillé ignoré
K:\PortableFirefox\profile\history.dat L'objet est verrouillé ignoré
K:\PortableFirefox\profile\key3.db L'objet est verrouillé ignoré
K:\PortableFirefox\profile\parent.lock L'objet est verrouillé ignoré
K:\PortableFirefox\profile\search.sqlite L'objet est verrouillé ignoré
K:\PortableFirefox\profile\urlclassifier2.sqlite L'objet est verrouillé ignoré
K:\PortableFirefox\profile\XUL.mfl L'objet est verrouillé ignoré
K:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

Analyse terminée.
27 Février 2008 15:01:54

(suite du message précédent)

Voilà le rapport de Combo-Fix, lancé depuis le disque dur alternatif. Faut-il que je le lance depuis le système du disque qui est infecté?



EDIT : j'ai fait un nouveau scan depuis le disque principal, je l'ai collé 3 post plus bas.

EDIT2 : Par soucis de lisibilité, je vais mettre le 1er rapport ici :
Combo-Fix_27fev_14h57.txt

Pour le 2nd (et bon) rapport, voir 3 post plus loin
27 Février 2008 15:21:03

salut, en attendant ta réponse je te pose 2 questions importantes :

Je suis (depuis longtemps) sur un compte administrateur. J'ai vu dans vos dossiers que c'était fortement déconseillé. Mais dois-je passer en utilisateur maintenant, ou bien après qu'on aura résolu le problème du virus?

Le rapport Kaspersky indiquait des fichiers infectés dans RECYCLER. Est-ce une bonne idée de vider la corbeille? Pareil pour le fichier A0005482.exe présent dans System Volume Information... ça résoudra quelque chose de le supprimer avec Antivir? (en refaisant un scan et en choisissant Supprimer lors de l'alerte) Je ne sais pas si un fichier infecté peut réagir dangereusement au moment de sa suppression, et je ne tiens pas à faire plus de dégâts...
27 Février 2008 15:35:06

Désolé de te faire des tas de post à la chaine. J'espère que c'est pas trop boulet.

J'ai fait une bêtise, :sweat:  j'ai oublié de couper Antivir et Spybot avant del lancer Combo-Fix. C'est grave? Désolé, en plus tu l'avais écrit en gras...


Question importante : Je veux bien le refaire en coupant tout, mais comment couper Spybot? Et Avira, ça suffit de décocher "Antivir Guard Enable" dans le menu contextuel de l'icone présente dans la zone de notification? Ou bien il faut tuer tous les processus liés à Antivir dans le gestionnaire des tâches?

Ou alors... vaut-il mieux que je lance Combo-Fix en mode sans échec (pour n'avoir ni Spybot ni Antivir chargés en mémoire)
27 Février 2008 17:05:11

Salut,
Bon, j'ai finalement refait le scan avec Combo-Fix, juste en décochant "Antivir Guard Enable". Je me suis dit que ça ne lui ferait pas plus de mal que mon premier scan avec avguard activé...

Lors de la première tentative, il a supprimé tous mes fichiers autorun.inf qui étaient à la racine des lecteurs. Et il a rebooté Windows. Lors du 2ème scan, il n'a pas rebooté le système.

EDIT : j'ai repassé HijackThis après Combo-Fix, au cas où. Le rapport: hijackthis_27fev_18h15.log :

Voilà le dernier rapport Combo-Fix :
(ou bien ouvrir Combo-Fix_27fev_16h54.txt )




ComboFix 08-02-25.3 - Flo 2008-02-27 16:54:51.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1569 [GMT 1:00]
Endroit: C:\Documents and Settings\Flo\Bureau\Combo-Fix.exe

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

((((((((((((((((((((((((((((( Fichiers créés 2008-01-27 to 2008-02-27 ))))))))))))))))))))))))))))))))))))
.

2008-02-27 15:25 . 2008-02-27 15:25 <REP> d-------- C:\WINDOWS\system32\xircom
2008-02-27 15:24 . 2008-02-27 15:24 <REP> d-------- C:\Program Files\microsoft frontpage
2008-02-27 11:30 . 2008-02-27 11:31 360 --a------ C:\WINDOWS\wininit.ini
2008-02-27 11:26 . 2008-02-27 11:26 <REP> d-------- C:\Program Files\PDFCreator
2008-02-27 11:26 . 2004-03-09 01:00 662,288 --a------ C:\WINDOWS\system32\MSCOMCT2.OCX
2008-02-27 11:26 . 1998-07-13 02:08 141,312 --a------ C:\WINDOWS\system32\MSCMCFR.DLL
2008-02-27 11:26 . 1998-06-24 01:00 137,000 --a------ C:\WINDOWS\system32\MSMAPI32.OCX
2008-02-27 11:26 . 1998-07-13 02:08 119,568 --a------ C:\WINDOWS\system32\VB6FR.DLL
2008-02-27 11:26 . 2001-10-28 17:42 116,224 --a------ C:\WINDOWS\system32\pdfcmnnt.dll
2008-02-27 11:26 . 1998-07-13 02:08 59,904 --a------ C:\WINDOWS\system32\MSCC2FR.DLL
2008-02-27 11:26 . 1998-07-06 01:00 23,552 --a------ C:\WINDOWS\system32\MSMPIDE.DLL
2008-02-27 10:28 . 2008-02-27 10:28 <REP> d-------- C:\WINDOWS\system32\fr-fr
2008-02-24 16:40 . 2008-02-24 16:40 <REP> d-------- C:\Program Files\Avira
2008-02-24 11:28 . 2008-02-24 12:37 <REP> d-------- C:\Program Files\Paquet Builder
2008-02-24 11:28 . 2008-02-24 11:28 <REP> d-------- C:\Documents and Settings\Flo\Application Data\Paquet Builder
2008-02-22 13:39 . 2008-02-27 15:24 24,263 --a------ C:\WINDOWS\system32\oodbs.lor
2008-02-21 12:26 . 2008-02-21 12:26 <REP> d-------- C:\Program Files\Papagayo
2008-02-21 09:43 . 2008-02-21 09:43 <REP> d-------- C:\Documents and Settings\Flo\Application Data\Wings3D
2008-02-21 09:35 . 2008-02-21 09:35 <REP> d-------- C:\Program Files\wings3d_0.99.00b
2008-02-21 08:52 . 2008-02-21 08:52 0 --a------ C:\WINDOWS\oodcnt.INI
2008-02-21 08:49 . 2008-02-21 08:50 <REP> d-------- C:\WINDOWS\system32\oodag
2008-02-21 08:48 . 2008-02-21 08:48 <REP> d-------- C:\Program Files\OO Software
2008-02-18 01:28 . 2008-02-18 01:29 <REP> d-------- C:\Program Files\Project64 1.6
2008-02-18 00:56 . 2008-02-18 01:07 <REP> d-------- C:\Program Files\GLtron
2008-02-17 14:12 . 2008-02-17 14:38 <REP> d-------- C:\Program Files\MyFreeTV
2008-02-14 00:17 . 2008-02-14 00:18 <REP> d-------- C:\monjeu
2008-02-13 23:50 . 2008-02-13 23:50 <REP> d-------- C:\Program Files\HotPotatoes6
2008-02-13 22:22 . 2008-02-13 22:23 <REP> d-------- C:\Program Files\Multimedia Fusion 2
2008-02-13 17:42 . 2008-02-23 18:02 <REP> d-------- C:\Program Files\Mediator 7 Pro
2008-02-13 16:55 . 2008-02-13 16:55 <REP> d-------- C:\Program Files\Media Player Classic
2008-02-13 11:01 . 2008-02-13 11:01 224 --a------ C:\WINDOWS\scummvm.ini
2008-02-09 11:21 . 2008-02-09 11:44 <REP> d-------- C:\Program Files\WinUAE
2008-02-07 10:08 . 2008-02-07 10:08 14 -ra------ C:\WINDOWS\msshellspool.ini
2008-02-07 10:07 . 2008-02-07 10:07 <REP> d-------- C:\Documents and Settings\Flo\Application Data\mirage
2008-02-07 10:05 . 2008-02-07 10:05 <REP> d-------- C:\Program Files\Bauhaus
2008-02-07 10:05 . 2008-02-07 10:05 83 --a------ C:\WINDOWS\mirage.ini
2008-02-07 10:02 . 2006-05-05 15:22 98,304 --a------ C:\WINDOWS\system32\TVP_Thumbnail.dll
2008-02-06 22:33 . 2008-02-06 22:33 <REP> d-------- C:\WINDOWS\system32\Archives
2008-02-06 22:33 . 2008-02-06 22:33 <REP> d-------- C:\Program Files\Crater Software
2008-02-06 22:33 . 1998-06-22 13:36 87,392 --a------ C:\WINDOWS\system32\Twain.dll
2008-02-06 22:33 . 1998-06-22 13:36 77,312 --a------ C:\WINDOWS\system32\Twain_32.dll
2008-02-06 22:33 . 1999-02-16 06:15 72,192 --a------ C:\WINDOWS\system32\PARDDR.dll
2008-02-06 22:33 . 1998-06-22 13:37 69,632 --a------ C:\WINDOWS\system32\Twunk_32.exe
2008-02-06 22:33 . 1998-06-22 13:37 48,560 --a------ C:\WINDOWS\system32\Twunk_16.exe
2008-02-06 22:32 . 1997-01-18 11:40 299,520 --a------ C:\WINDOWS\uninst.exe
2008-02-06 18:03 . 2008-02-23 13:34 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-02-06 18:03 . 2008-02-06 18:03 1,409 --a------ C:\WINDOWS\QTFont.for
2008-02-05 23:51 . 2008-02-05 23:52 <REP> d-------- C:\Program Files\Mp3 My Mp3 2.0
2008-02-05 16:31 . 2008-02-05 16:31 <REP> d-------- C:\Program Files\VDMSound
2008-02-05 16:18 . 2008-02-09 11:11 <REP> d-------- C:\JEUX
2008-02-05 10:30 . 2008-02-06 18:02 <REP> d-------- C:\Documents and Settings\Flo\Application Data\tvpaint animation pro
2008-02-05 10:29 . 2008-02-10 23:50 231 --a------ C:\WINDOWS\TVPaint Animation Pro.ini
2008-02-05 10:27 . 2008-02-05 10:27 <REP> d-------- C:\Program Files\TVPaint Developpement
2008-02-04 20:40 . 2008-02-04 20:40 <REP> d-------- C:\Program Files\Easytoon 1.9.5 FR
2008-02-04 19:18 . 2008-02-04 19:18 2,228,326 --a------ C:\Program Files\Foxit_JS_ExObjects.dll
2008-02-04 19:18 . 2008-02-04 19:18 585,728 --a------ C:\Program Files\js.dll
2008-02-03 23:55 . 2008-02-03 23:56 <REP> d-------- C:\Program Files\Real Alternative
2008-02-03 21:29 . 2008-02-03 21:29 <REP> d-------- C:\Program Files\Corel(R) Painter(TM) IX TBYB FR
2008-02-03 18:28 . 2008-02-03 18:28 <REP> d-------- C:\Documents and Settings\Flo\Application Data\Corel
2008-02-03 18:28 . 2008-02-19 22:05 848 --ahs---- C:\WINDOWS\system32\KGyGaAvL.sys
2008-02-03 18:27 . 2008-02-03 18:27 <REP> d-------- C:\Program Files\Corel
2008-02-02 13:51 . 2008-02-02 14:01 <REP> d-------- C:\Program Files\PAP40Beta
2008-01-31 20:56 . 2008-02-08 14:52 13,902 --a------ C:\Documents and Settings\Flo\Application Data\mdbu.bin
2008-01-31 17:38 . 2008-01-31 17:38 <REP> d-------- C:\Documents and Settings\Flo\Application Data\Canon
2008-01-31 17:16 . 2008-01-31 17:16 <REP> d-------- C:\Program Files\Foto.com
2008-01-30 22:12 . 2008-01-30 22:12 <REP> d-------- C:\Program Files\Beneton Movie GIF
2008-01-30 17:50 . 2008-01-30 17:50 <REP> d-------- C:\Program Files\AMP Font Viewer
2008-01-30 15:25 . 2008-01-30 15:45 595 --a------ C:\WINDOWS\FRENCHTL.INI
2008-01-27 17:31 . 2008-02-13 17:42 24 --a------ C:\WINDOWS\Medi8or.ini
2008-01-27 17:29 . 2008-01-30 18:33 <REP> d-------- C:\Program Files\Mediator6
2008-01-27 17:29 . 1998-10-27 12:08 317,952 --a------ C:\WINDOWS\system32\ROBOEX32.DLL
2008-01-27 17:29 . 1999-01-28 16:44 49,152 --a------ C:\WINDOWS\system32\INETWH32.DLL
2008-01-27 16:37 . 2008-01-27 16:37 <REP> d-------- C:\Program Files\VirtualDub-1.7.7
2008-01-27 16:25 . 2008-02-21 12:12 49 --a------ C:\WINDOWS\NeroDigital.ini
2008-01-27 16:23 . 2008-01-27 16:23 38 --a------ C:\WINDOWS\camcodec100.ini
2008-01-27 16:10 . 2008-02-03 23:52 <REP> d-------- C:\Program Files\CamStudio
2008-01-27 16:10 . 2003-03-13 12:51 51,200 --a------ C:\WINDOWS\system32\camcodec.dll
2008-01-27 16:10 . 2003-03-13 12:51 1,461 --a------ C:\WINDOWS\system32\drivers\camcodec.inf
2008-01-27 15:21 . 2007-09-13 15:54 12,288 --a------ C:\WINDOWS\system32\drivers\EIO.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-27 15:48 --------- d-----w C:\Documents and Settings\Flo\Application Data\Skype
2008-02-27 14:25 --------- d-----w C:\Documents and Settings\Flo\Application Data\WTablet
2008-02-27 09:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-02-27 09:56 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-02-26 14:02 196,608 ----a-w C:\WINDOWS\system32\drivers\nAsmedia.bin
2008-02-25 17:55 --------- d-----w C:\Program Files\UniKey
2008-02-24 15:40 --------- d-----w C:\Documents and Settings\All Users\Application Data\Avira
2008-02-24 15:26 --------- d-----w C:\Program Files\eMule
2008-02-23 11:41 --------- d-----w C:\Program Files\ScummVM
2008-02-21 23:47 --------- d-----w C:\Documents and Settings\Flo\Application Data\.purple
2008-02-21 10:20 --------- d-----w C:\Documents and Settings\Flo\Application Data\gtk-2.0
2008-02-20 22:56 --------- d-----w C:\Program Files\Anime Studio Pro
2008-02-17 19:39 --------- d-----w C:\Documents and Settings\Flo\Application Data\ZoomBrowser EX
2008-02-17 19:39 --------- d-----w C:\Documents and Settings\Flo\Application Data\CameraWindowDC
2008-02-16 16:41 34,208 ----a-w C:\Documents and Settings\Flo\Application Data\GDIPFONTCACHEV1.DAT
2008-02-07 09:05 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-02-05 15:44 --------- d-----w C:\Program Files\DOSBox-0.72
2008-02-04 18:26 196,608 ----a-w C:\WINDOWS\system32\drivers\nStandard.bin
2008-01-27 14:19 --------- d-----w C:\Program Files\ASUS
2008-01-25 22:57 --------- d-----w C:\Documents and Settings\Flo\Application Data\Sonic Foundry
2008-01-25 22:51 --------- d-----w C:\Program Files\Sonic Foundry
2008-01-25 22:50 --------- d-----w C:\Program Files\Sound Forge 6.0
2008-01-25 22:47 --------- d-----w C:\Program Files\audiograbber
2008-01-25 22:43 --------- d-----w C:\Program Files\Audacity
2008-01-25 22:40 --------- d-----w C:\Documents and Settings\Flo\Application Data\Audacity
2008-01-25 22:22 --------- d-----w C:\Program Files\WinGOGO
2008-01-24 22:14 1,509,647 ----a-w C:\Program Files\fpdfcjk.bin
2008-01-24 14:57 --------- d-----w C:\Program Files\Fichiers communs\Ahead
2008-01-24 14:57 --------- d-----w C:\Program Files\Ahead
2008-01-23 09:52 --------- d-----w C:\Documents and Settings\Flo\Application Data\Lost Marble
2008-01-18 18:59 --------- d-----w C:\Program Files\pencil-0.4.3b
2008-01-18 18:20 --------- d-----w C:\Program Files\Tablet
2008-01-17 10:06 --------- d-----w C:\Program Files\AMD
2008-01-17 09:32 --------- d-----w C:\Program Files\DIFX
2008-01-16 18:53 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-01-12 23:32 --------- d-----w C:\Program Files\Wenlin3
2008-01-10 21:55 --------- d-----w C:\Documents and Settings\Flo\Application Data\CANON INC
2008-01-10 21:50 --------- d-----w C:\Program Files\Canon
2008-01-10 21:46 --------- d-----w C:\Documents and Settings\All Users\Application Data\ZoomBrowser
2008-01-10 21:27 --------- d-----w C:\Program Files\Fichiers communs\Canon
2008-01-10 21:16 --------- d-----w C:\Program Files\SuperCopier2
2008-01-09 21:32 --------- d-----w C:\Documents and Settings\Flo\Application Data\ScummVM
2008-01-07 18:59 53,248 ----a-w C:\WINDOWS\ipuninst.exe
2008-01-06 10:01 --------- d-----w C:\Documents and Settings\Flo\Application Data\ABBYY
2008-01-06 09:48 --------- d-----w C:\Documents and Settings\All Users\Application Data\ABBYY
2008-01-06 08:43 --------- d-----w C:\Documents and Settings\Flo\Application Data\skypePM
2008-01-05 21:55 --------- d-----w C:\Program Files\Winamp
2008-01-05 21:55 --------- d-----w C:\Documents and Settings\Flo\Application Data\Winamp
2008-01-05 16:51 --------- d-----w C:\Program Files\TD Leipzig ofline
2008-01-04 21:53 --------- d-----w C:\Program Files\Pidgin
2008-01-04 21:53 --------- d-----w C:\Program Files\Fichiers communs\GTK
2008-01-04 20:46 --------- d-----w C:\Documents and Settings\Flo\Application Data\Apple Computer
2008-01-04 15:50 --------- d-----w C:\Program Files\DAEMON Tools
2008-01-04 15:48 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-01-04 14:55 --------- d-----w C:\Program Files\QuickTime
2008-01-04 14:55 --------- d-----w C:\Program Files\Apple Software Update
2008-01-04 14:55 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-01-04 14:55 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple
2008-01-04 14:24 --------- d-----w C:\Program Files\FileZilla
2008-01-04 14:02 --------- d-----w C:\Documents and Settings\Flo\Application Data\ACD Systems
2008-01-04 13:58 10,368 ----a-w C:\WINDOWS\system32\drivers\pfc.sys
2008-01-04 13:58 --------- d-----w C:\Program Files\Fichiers communs\ACD Systems
2008-01-04 13:58 --------- d-----w C:\Program Files\ACD Systems
2008-01-04 13:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\ACD Systems
2008-01-03 12:42 --------- d-----w C:\Documents and Settings\Flo\Application Data\vlc
2008-01-03 09:56 --------- d-----w C:\Program Files\EPSCAN2
2008-01-02 13:47 --------- d-----w C:\Documents and Settings\All Users\Application Data\Yahoo!
2008-01-02 13:46 --------- d-----w C:\Program Files\Yahoo!
2008-01-02 10:08 32 ----a-w C:\Documents and Settings\All Users\Application Data\ezsid.dat
2008-01-02 10:07 --------- d-----w C:\Program Files\Skype
2008-01-02 10:07 --------- d-----w C:\Program Files\Fichiers communs\Skype
2008-01-02 10:07 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skype
2008-01-01 19:53 --------- d-----w C:\Documents and Settings\Flo\Application Data\Media Player Classic
2008-01-01 19:50 --------- d-----w C:\Program Files\VideoLAN
2008-01-01 19:47 --------- d-----w C:\Program Files\ffdshow
2008-01-01 19:14 --------- d-----w C:\Documents and Settings\Flo\Application Data\DivX
2008-01-01 19:10 --------- d-----w C:\Program Files\LD-Anime MKV
2008-01-01 19:10 --------- d-----w C:\Program Files\DivX
2008-01-01 13:34 --------- d-----w C:\Program Files\Western Digital Technologies
2008-01-01 11:42 --------- d-----w C:\Program Files\Java
2008-01-01 11:42 --------- d-----w C:\Program Files\Fichiers communs\Java
2008-01-01 10:32 --------- d-----w C:\Program Files\Process Explorer (gestionnaire des tâches amélioré)
2008-01-01 10:07 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2007-12-31 15:04 315,392 ----a-w C:\WINDOWS\HideWin.exe
2007-12-31 15:04 --------- d-----w C:\Program Files\Realtek
2007-12-31 14:50 --------- d-----w C:\Documents and Settings\Flo\Application Data\InstallShield
2007-12-31 14:42 --------- d-----w C:\Program Files\Services en ligne
2007-12-23 14:59 142,336 ----a-w C:\WINDOWS\system32\sfc_os.dll
2007-12-23 14:59 1,005,056 ----a-w C:\WINDOWS\system32\syssetup.dll
2007-12-18 09:51 179,584 ------w C:\WINDOWS\system32\dllcache\mrxdav.sys
2007-12-15 15:11 7,680 ----a-w C:\WINDOWS\system32\ff_vfw.dll
2007-12-04 18:41 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll
2007-12-04 18:41 550,912 ------w C:\WINDOWS\system32\dllcache\oleaut32.dll
2007-12-04 01:33 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2007-12-04 01:33 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2007-12-04 01:33 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2007-12-04 01:33 682,496 ----a-w C:\WINDOWS\system32\DivX.dll
2007-11-29 22:30 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2007-11-29 22:30 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2007-11-29 22:30 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2007-12-07 15:08 21686568]
"UniKey"="C:\Program Files\UniKey\UniKeyNT.exe" [ ]
"Yahoo! Pager"="C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.exe" [2007-08-30 17:43 4670704]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2007-08-16 12:24 167368]
"SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe" [2006-07-07 17:45 1052672]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-03 21:32 208952]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-03 21:32 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-03 21:32 455168]
"RTHDCPL"="RTHDCPL.EXE" [2007-02-26 15:03 16125440 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 18:04 2879488 C:\WINDOWS\SkyTel.exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-09-17 01:07 8491008]
"nwiz"="nwiz.exe" [2007-09-17 01:07 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-09-17 01:07 81920]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-12-11 10:56 286720]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2007-10-04 04:59 36352]
"ASUSGamerOSD"="C:\Program Files\ASUS\GamerOSD\GamerOSD.exe" [2007-09-13 15:54 380928]
"OODefragTray"="C:\WINDOWS\system32\oodtray.exe" [2007-06-28 23:01 2512128]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-26 14:23 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_3"="advpack.dll" [2007-08-13 18:39 123904 C:\WINDOWS\system32\advpack.dll]

C:\Documents and Settings\Flo\Menu D‚marrer\Programmes\D‚marrage\
m‚mo_2007.lnk - C:\Documents and Settings\Flo\Bureau\m‚mo_2007.rtf [2008-01-03 13:44:21 2709]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"NoSMMyDocs"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"NoSMMyDocs"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CheckMedi8or]
--a------ 2002-10-29 17:00 36864 C:\Program Files\Mediator 7 Pro\CheckNewUser.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"C:\\Program Files\\FileZilla\\FileZilla.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Java\\jre1.6.0_03\\bin\\javaw.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
"Z:\\PortableFirefox\\firefox\\firefox.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Program Files\\MyFreeTV\\MyFreeTV.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4711:TCP"= 4711:TCP:emule4711
"4672:UDP"= 4672:UDP:emule4672

R2 AppToService_TuDienHND;AppToService TuDienHND;C:\TuDienHND\3rdparty\basta\AppToService.exe /sys "C:/TuDienHND/3rdparty/jre/bin/jrew.exe" /Arguments:"-mx64M -cp vietdict.jar vietdict.server.VietdictServer" /Directory:"C:/TuDienHND" /Name:"TuDienHND" []
R3 asusgsb;ASUS Virtual Video Capture Device Driver;C:\WINDOWS\system32\drivers\asusgsb.sys [2007-09-13 15:54]
R3 scsiscan;Pilote de scanneur SCSI;C:\WINDOWS\system32\DRIVERS\scsiscan.sys [2001-08-17 21:53]
R3 Video3D;ASUS Video3D Service;C:\WINDOWS\system32\Drivers\Video3D32.sys [2007-09-13 15:54]
R3 wacommousefilter;Wacom Mouse Filter Driver;C:\WINDOWS\system32\DRIVERS\wacommousefilter.sys [2007-02-16 20:12]
R3 wacomvhid;Wacom Virtual Hid Driver;C:\WINDOWS\system32\DRIVERS\wacomvhid.sys [2007-02-16 19:30]
R3 WacomVKHid;Virtual Keyboard Driver;C:\WINDOWS\system32\DRIVERS\WacomVKHid.sys [2007-02-16 01:11]

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-02-23 18:25:00 C:\WINDOWS\Tasks\preupd.job"
- C:\Program Files\Avira\AntiVir PersonalEdition Classic\preupd.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-27 16:55:34
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\AppToService_TuDienHND]
"ImagePath"="C:\TuDienHND\3rdparty\basta\AppToService.exe /sys \"C:/TuDienHND/3rdparty/jre/bin/jrew.exe\" /Arguments:\"-mx64M -cp vietdict.jar vietdict.server.VietdictServer\" /Directory:\"C:/TuDienHND\" /Name:\"TuDienHND\" /Startup:A"
.
Temps d'accomplissement: 2008-02-27 16:55:54
ComboFix-quarantined-files.txt 2008-02-27 15:55:52
.
2008-02-14 01:02:52 --- E O F ---
27 Février 2008 18:54:55

Reposte un Hijackthis, vide ta corbeille ( J), toujours des problèmes ?
27 Février 2008 19:08:23

Salut, Je mets le rapport HijackThis ici : hijackthis_27fev_19h02.log
(et je le colle en fin de post)

Pourrais-tu aussi répondre à ces questions, elles sont passées inaperçues :

khiflo a dit :
salut, en attendant ta réponse je te pose 2 questions importantes :

Je suis (depuis longtemps) sur un compte administrateur. J'ai vu dans vos dossiers que c'était fortement déconseillé. Mais dois-je passer en utilisateur maintenant, ou bien après qu'on aura résolu le problème du virus?

Le rapport Kaspersky indiquait des fichiers infectés dans RECYCLER. Est-ce une bonne idée de vider la corbeille? Pareil pour le fichier A0005482.exe présent dans System Volume Information... ça résoudra quelque chose de le supprimer avec Antivir? (en refaisant un scan et en choisissant Supprimer lors de l'alerte) Je ne sais pas si un fichier infecté peut réagir dangereusement au moment de sa suppression, et je ne tiens pas à faire plus de dégâts...



Impossible de vider la corbeille
, elle est déjà vide. Du coup je me demande comment Kaspersky Web Scanner avait pu trouver ça :

khiflo a dit :

J:\RECYCLER\S-1-5-21-823518204-2052111302-725345543-500\Df27.zip/Paquet Builder 2.9.5.0 Key.exe Infecté : Trojan-Downloader.Win32.Bagle.kd ignoré
J:\RECYCLER\S-1-5-21-823518204-2052111302-725345543-500\Df27.zip ZIP: infecté - 1 ignoré
J:\RECYCLER\S-1-5-21-823518204-2052111302-725345543-500\Df28.zip/Paquet Builder 2.9.5.0.exe Infecté : Trojan-Downloader.Win32.Bagle.kd ignoré
J:\RECYCLER\S-1-5-21-823518204-2052111302-725345543-500\Df28.zip ZIP: infecté - 1 ignoré

J:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
J:\System Volume Information\_restore{E3E2C762-B263-40BE-A97D-4A9420850992}\RP13\A0005482.exe Infecté : Trojan-Downloader.Win32.Bagle.kd ignoré



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:02:53, on 27/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\TuDienHND\3rdparty\basta\AppToService.exe
C:\TuDienHND\3rdparty\jre\bin\jrew.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\explorer.exe
Z:\PortableFirefox\firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?

LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?

LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.divx.com/divx/webplayerdemo/fr?

yrv=1&yoc=divx&ydt=divxdotcom&ybt=DFW&ybv=6.8&yo=iet
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program

Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03

\bin\ssv.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [ASUSGamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [UniKey] C:\Program Files\UniKey\UniKeyNT.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User

'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User

'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User

'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User

'Default user')
O4 - Startup: mémo_2007.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma

Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office10

\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03

\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program

Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet

Explorer\SkypeIEPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program

Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program

Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program

Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AppToService TuDienHND (AppToService_TuDienHND) - Basta Computing -

C:\TuDienHND\3rdparty\basta\AppToService.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe

--
End of file - 6639 bytes
27 Février 2008 19:18:52

Re,

Relance HiJackThis, do a system scan only, coche ces lignes (si toujours présentes) :
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?

LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?

LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.divx.com/divx/webplayerdemo/fr?

yrv=1&yoc=divx&ydt=divxdotcom&ybt=DFW&ybv=6.8&yo=iet
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"

Puis Fix Checked !

********

Pour répondre à tes questions :

Si tu es prudent sur le net, tu peux tout à fait rester en administrateur, sinon tu peux aller après avoir fini la désinfection en utilisateur aux droits réduits.

On va essayer de supprimer le zip via un outil.

Télécharge OTMoveIt > Tuto <

Sauvegarde-le sur le Bureau

Séléctionne l'encadré ci-dessous
J:\RECYCLER\S-1-5-21-823518204-2052111302-725345543-500\Df27.zip

Lance maintenant OTMoveIt .
Assure toi que la case unregister dll’s and ocx’s soit cochée.
Deux cadres apparaissent , clique droit sur le cadre de gauche , puis colle l'encadré ci desssus.
Et clique sur Movelt !

Si le programme te demande de redemarrer, accepte.

Poste le rapport qui se trouve dans : C:\_OTMoveIt\MovedFiles\date de création!

NOTE : Si tu obtiens un message comme quoi le rapport ne peut pas être créé, copie/colle ce qui apparaît dans la colonne droite de l’outil.
27 Février 2008 20:16:27

Ok, voici le rapport OTMovIt :

File/Folder J:\RECYCLER\S-1-5-21-823518204-2052111302-725345543-500\Df27.zip not found.

OTMoveIt2 v1.0.20 log created on 02272008_201305



Je dois partir qq heures. Je fais les modifs que tu me conseille dès que je reviens.

Merci pour tout!
28 Février 2008 11:19:34

Salut,

J'ai profité d'être encore sur le disque alternatif pour faire un scan du disque à problème.

Symantec Security Check n'a rien trouvé cette fois.
Kaspersky Web Scanner, lui, a trouvé quelque chose. :sweat:  Voici le rapport :

remarque : comme je suis sur le DD alternatif, le lecteur C: devient G: et le lecteur F: devient J: (c'est celui que j'utilise pour mes téléchargements



-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Thursday, February 28, 2008 10:59:34 AM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 28/02/2008
Enregistrements dans la base antivirus Kaspersky : 539157
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l'analyse - Dossiers:
G:\
J:\

Statistiques de l'analyse:
Total d'objets analysés: 52440
Nombre de virus trouvés: 1
Nombre d'objets infectés: 1 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 00:28:43

Nom de l'objet infecté / Nom du virus / Dernière action
G:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\user.dmp L'objet est verrouillé ignoré
G:\QooBox\Quarantine\Registry_backups\LEGACY_SROSA.reg.dat Infecté : Trojan-Downloader.Win32.Bagle.hp ignoré
(d'après ce que j'ai lu, c'est la quarantaine de ComboFix)
(sans danger? Je jette?)

G:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
J:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
J:\System Volume Information\_restore{E3E2C762-B263-40BE-A97D-4A9420850992}
\RP13\A0005482.exe L'objet est verrouillé ignoré
(celui-là, déjà vu, et encore une fois Antivir m'a lancé
une alerte lorsque Kaspersky est passé dessus.
J'ai choisi "Acces deny")
(voir rapport d'événement Antivir ci-dessous)

J:\System Volume Information\_restore{E3E2C762-B263-40BE-A97D-4A9420850992}
\RP15\change.log L'objet est verrouillé ignoré

Analyse terminée.


Citation :
Virus or unwanted program 'TR/Dldr.Bagle.KD [TR/Dldr.Bagle.KD]'
detected in file 'J:\System Volume Information\_restore{E3E2C762-B263-40BE-A97D-4A9420850992}
\RP13\A0005482.exe.
Action performed: Deny access

En regardant dans la liste, j'ai retrouvé la même alerte (celle qui a eu llieu pendant le premier scan avec Kaspersky), mais avec cette fois "Allow acces". Je ne me vois pas faire ce choix, pourtant... peut-être une étourderie.
28 Février 2008 11:41:20

Re,

En effet, c'est la quarantaine de combofix, on va la supprimer avec un outil qui nettoie tous les outils utilisés.

L'autre c'est la restauration système.
Vu que tu n'es plus infecté, on va la désactiver-réactiver, ce qui va supprimer tous les points et en créer un nouveau à la réactivation, ce qui fera une restauration saine après avoir désinfecté.

Toujours des problèmes ?

Télécharge ToolsCleaner2( de A.Rothstein)

Installe le sur ton Bureau
Clique sur [Recherche] pour lancer le scan
Clique sur [Supprimer] pour nettoyer les outils utilisés
Clique sur [Quitter],
Poste ce rapport ~>C:\TCleaner.txt<~

Garde ccleaner, avg et antivir si nous les avons installé..
Rapporte ton infection sur Malware Complaints >Tuto<
Ton(tes) infection(s) : Bagle

Puis regarde ces dossiers :

Sécurité/Prévention
Conséquences de la multi-protection
28 Février 2008 13:29:13

Salut XmichouX

Là ça va plus du tout. On dirait que c'est grave. Je crois que j'ai fait une connerie :cry:  le pc s'est éteint et au final je ne peux plus démarrer sur mon disque principal! La je suis sur le disque alternatif et je ne peux même plus monter le disque principal...

Avant de te dire ce qu'il s'est passé, une petite mise au point sur ma config :
J'ai un DD WesternDigital de 500GO (WD500) en Sata sur lequel est installé mon système et que j'utilise depuis septembre sans soucis.
J'ai un 2ème DD Maxtor de 160Go (pas Sata) que je n'utilise plus depuis que j'ai mon disque de 500Go.
Après avoir été infecté, j'ai installé en urgence mon vieux Maxtor, j'y ai mis XP, et je comptais traiter mon WD500 "de l'extérieur", pensant que ce serait plus facile.
Quand je branche les deux disques, il ne peut démarrer que que le Maxtor (je sais pas pourquoi, j'ai jamais réussi à utiliser le Maxtor lorsque je fonctionne sur le WD500). Donc quand je démarrais sur le Maxtor, j'avais les deux disques actifs, et je faisais certains scan de cette manière (notamment les scan online car ils ne fonctionnent que sur Explorer... et que j'avais viré Explorer de mon PC). Pour démarrer sur le WD500, je suis obligé de débrancher le Maxtor.


Ce qui s'est passé :
Après avoir lu ton message (ci-dessus) j'ai éteint le pc, débranché le Maxtor et démarré sur le WD500. Croyant bien faire, j'ai d'abord voulu démarrer en mode sans échec pour lancer un scan de vérification sur les deux lecteurs à problèmes. Alors que le scan tournait depuis 20 min, le PC s'est éteint subitement.
J'ai pensé que ça pouvait être du à une surchauffe, donc j'ai décrassé mon ventilo de CPU, et je rappuie sur le bouton d'alim pour démarrer le PC. J'ai un message d'alerte disant que le PC a crashé soit à cause d'un pb d'alim, soit à cause du dysfonctionnement d'un logiciel. Il me propose plusieurs choix, je rechoisis le mode sans échec.
Et là... après l'alerte habituelle pour charger (ou pas) spdt.sys, l'écran noir arrive, normal... j'attends... rien. Et je vois la loupiote rouge du DD qui est allumée en continue. Au bout de deux minutes je m'inquiète sérieux (aurais-je du laisser gratter longtemps?)
J'appuie sur Reset, séquence de démarrage, il bloque direct juste avant la détection des disques.
Encore Reset, la séquence de démarrage OK, écran de démarrage WindowsXP, la petite anim bleue fait deux cycles et... écran de démarrage figé.
J'éteinds en appuyant 5 sec sur le bouton d'alim.

Je rebranche le Maxtor (sur lequel le PC est supposé démarrer car il est prioritaire sur le WD500 en Sata)
J'allume, il bloque juste après avoir détecté tous les disques.
J'appuie sur Reset, démarrage OK, le bureau s'affiche, les lecteur du WD500 apparaissent dans l'Explorateur. Je lance un scandisk sur le lecteur G: (càd le lecteur C: du WD500).
Scan terminé, j'éteint, je débranche Maxtor pour démarrer sur WD500, et là pareil, le démarrage bloque et le disque gratte.
Je Reboot pour voir dans le BIOS si le disque est correctement détecté. Je remarque rien d'inhabituel. Discart settings and exit...
Le PC redémarre, et cette fois il me met un truc comme :


Citation :
Err. disque dur
Appuyez sur Ctrl+Alt+Suppr


Je sais plus quoi faire! :cry: 
28 Février 2008 13:48:57

Euh ...

Pour ton problème de boot, tu as réglé l'ordre de boot dans le bios ?
Ton dd de 500GO est peut-être endommagé..
(je suis pas fort dans ce domaine)
28 Février 2008 15:33:07

Oui, j'avais essayé, mais lorsque les deux disques sont branchés, même s'ils sont reconnus tous les deux dans le début de la séquence de boot, ainsi que dans le bios, seul le Maxtor est disponible pour l'ordre de boot, avec le lecteur CD, floppy et USB.

Comme j'avais pas le temps de m'en occuper à l'époque et que j'ai assez de place sur le WD500, j'ai laissé tomber.

Je dois ouvrir un nouveau topic alors? Si tu penses ne pas pouvoir m'aider sur ce nouveau pb, connais-tu quelqu'un d'autre qui pourrait?

Vraiment merci de m'avoir donné tout ce temps.


Finalement j'ai réussi à faire monter le disque SATA WD500 en tournant sur le disque Maxtor. Apparemment, un coup ça marche, un coup ça marche pas. Je fais qq sauvegardes essentielles, ouf! C'est déjà ça. Mais bon, j'ai plein d'applis installées et des préférences chouettes, j'aimerais bien ne pas avoir à tout recommencer.
28 Février 2008 15:40:22

Salut,

Poste dans la catégorie Hardware du forum :) 
Bonne chance !
28 Février 2008 15:45:08

Ok, merci XimichouX
28 Février 2008 22:43:02

Salut XimichouX! :hello: 

J'ai réussi à réparer mon disque (enfin j'espère qu'il est vraiment réparé, en tout cas là je tourne dessus) à l'aide de SeaTools sur une disquette bootable. Donc je termine maintenant la désinfection en suivant tes instructions.

  • J'ai désactivé la restauration système. D'ailleurs je souhaiterais ne pas la remettre, vu que j'ai toujours eu que des galères en m'en servant, c'est la vraie roulette russe. Mais faut-il la remettre temporairement pour que les anciens fichiers soient réellement effacés? J'attends ta réponse avant de redémarrer.

  • Je n'ai ni CCleaner, ni AVG. Généralement j'installe seulement Antivir et Spybot Search & Destroy (sans le TeaTimer, qui m'énerve). Faut-il que j'installe AVG et CCleaner?

  • Est-il judicieux de relancer un Kaspersky Web Scanner depuis le disque Maxtor pour vérifier que tout à disparu?

  • Dois-je utiliser les autres fonctions de Toolscleaner (vider la corbeille, effacer les fichiers Temp, sauvegarder la base des registres)

  • Voilà le rapport de Toolscleaner :


  • -->- Recherche:

    C:\Qoobox: trouvé !
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
    C:\Documents and Settings\Flo\Bureau\HijackThis.lnk: trouvé !
    C:\Documents and Settings\Flo\Bureau\HJTInstall.exe: trouvé !
    C:\Documents and Settings\Flo\Bureau\clean\tar.exe: trouvé !
    C:\Documents and Settings\Flo\Bureau\clean\remove.reg: trouvé !
    C:\Documents and Settings\Flo\Bureau\clean\pskill.exe: trouvé !
    C:\Documents and Settings\Flo\Bureau\clean\LFiles.exe: trouvé !
    C:\Documents and Settings\Flo\Bureau\clean\gzip.exe: trouvé !
    C:\Documents and Settings\Flo\Bureau\clean\delsiri.cmd: trouvé !
    C:\Documents and Settings\Flo\Bureau\clean\delr.cmd: trouvé !
    C:\Documents and Settings\Flo\Bureau\clean\del3.cmd: trouvé !
    C:\Documents and Settings\Flo\Bureau\clean\del2.cmd: trouvé !
    C:\Documents and Settings\Flo\Bureau\clean\clean.cmd: trouvé !
    C:\Documents and Settings\Flo\Bureau\clean\cherche.cmd: trouvé !
    C:\Documents and Settings\Flo\Recent\HijackThis.lnk: trouvé !
    C:\Program Files\HijackThis: trouvé !
    C:\Program Files\HijackThis\HijackThis.exe: trouvé !

    ---------------------------------
    -->- Suppression:

    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
    C:\Documents and Settings\Flo\Bureau\HijackThis.lnk: supprimé !
    C:\Documents and Settings\Flo\Bureau\HJTInstall.exe: supprimé !
    C:\Documents and Settings\Flo\Bureau\clean\tar.exe: supprimé !
    C:\Documents and Settings\Flo\Bureau\clean\remove.reg: supprimé !
    C:\Documents and Settings\Flo\Bureau\clean\pskill.exe: supprimé !
    C:\Documents and Settings\Flo\Bureau\clean\LFiles.exe: supprimé !
    C:\Documents and Settings\Flo\Bureau\clean\gzip.exe: supprimé !
    C:\Documents and Settings\Flo\Bureau\clean\delsiri.cmd: supprimé !
    C:\Documents and Settings\Flo\Bureau\clean\delr.cmd: supprimé !
    C:\Documents and Settings\Flo\Bureau\clean\del3.cmd: supprimé !
    C:\Documents and Settings\Flo\Bureau\clean\del2.cmd: supprimé !
    C:\Documents and Settings\Flo\Bureau\clean\clean.cmd: supprimé !
    C:\Documents and Settings\Flo\Bureau\clean\cherche.cmd: supprimé !
    C:\Documents and Settings\Flo\Recent\HijackThis.lnk: supprimé !
    C:\Program Files\HijackThis\HijackThis.exe: supprimé !
    C:\Qoobox: supprimé !
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
    C:\Program Files\HijackThis: supprimé !


    XmichouX a dit :
    Re,

    En effet, c'est la quarantaine de combofix, on va la supprimer avec un outil qui nettoie tous les outils utilisés.

    L'autre c'est la restauration système.
    Vu que tu n'es plus infecté, on va la désactiver-réactiver, ce qui va supprimer tous les points et en créer un nouveau à la réactivation, ce qui fera une restauration saine après avoir désinfecté.

    Toujours des problèmes ?

    Télécharge ToolsCleaner2( de A.Rothstein)

    Installe le sur ton Bureau
    Clique sur [Recherche] pour lancer le scan
    Clique sur [Supprimer] pour nettoyer les outils utilisés
    Clique sur [Quitter],
    Poste ce rapport ~>C:\TCleaner.txt<~

    Garde ccleaner, avg et antivir si nous les avons installé..
    Rapporte ton infection sur Malware Complaints >Tuto<
    Ton(tes) infection(s) : Bagle

    Puis regarde ces dossiers :

    Sécurité/Prévention
    Conséquences de la multi-protection
    28 Février 2008 22:57:24

    Re,

    Pour Toolscleaner c'est bon ;) 
    Tu peux faire les autres fonctions si tu le souhaites.

    Scan Kas -> tu peux si tu veux ;) 

    N'installe pas avg, en revanche Ccleaner oui, pour nettoyer tes fichiers temporaires réguilèrement ;) 

    Pour la restauration réactive-la, comme on dit, vaut mieux un point de resto infectieux que rien du tout .

    Voila :)  bonne soirée !
    28 Février 2008 23:09:26

    Ok, je vais lancer Kaspersky, et s'il n'y a plus rien, je marquerai [résolu] :) 
    29 Février 2008 15:15:59

    Kaspersky ne detecte plus rien, pareil pour Antivir. Je marque le sujet [résolu].

    Merci encore XimichouX! :hello: 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS