chercheur

Re, 1 Télécharge et installe CleanUp ! http://cleanup.stevengould.org/ 2 Termine les processus suivants Appuyer simultanement sur les touches Ctrl+Alt+supp-->le gestionnaire des taches s'ouvre-->onglet processus--->clique sur le processus--->terminer processus lssas.exe -->Attention à la syntaxe 3 Tu clique sur Démarrer puis Exécuter, tu tapes services.msc et tu cliques sur OK. Dans la liste des services, cherche et sélectionne " Mouse Hardware Sync " / double clique sur la ligne / vérifie dans Chemin d'accès des fichiers exécutables qu'il s'agit bien de " C:\WINDOWS\System32\mousehs.exe " / dans Type de démarrage, sélectionne Désactiver / valide la modification. 4 Relance un scan HijackThis et coche les lignes en gras ci-dessous : O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll O4 - HKLM\..\Run: [bDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe O4 - HKLM\..\Run: [bDOESRV] C:\Program Files\Softwin\BitDefender8\\bdoesrv.exe O4 - HKLM\..\Run: [bDNewsAgent] C:\Program Files\Softwin\BitDefender8\bdnagent.exe O4 - HKLM\..\Run: [sunasDTServ] C:\Program Files\Sunbelt Software\CounterSpy Client\sunasDTServ.exe O4 - HKLM\..\Run: [sunasServ] C:\Program Files\Sunbelt Software\CounterSpy Client\sunasServ.exe O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [instantTray] C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe O4 - HKCU\..\Run: [iW_Drop_Icon] C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe O4 - Global Startup: GN-WPKG Utility.lnk = C:\Program Files\Gigabyte\Gigabyte GN-WPKG Wireless PCI Adapter SoftAP\Installer\WINXP\RaConfig2500.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: Mouse Hardware Sync (mousehs) - Unknown owner - C:\WINDOWS\System32\mousehs.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked » 5 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire. Démarre l'ordinateur. Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows. En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée. 6 Assure toi d'avoir accés à tous les fichiers. Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage : Activer la case : Afficher les fichiers et dossiers cachés Désactiver la case : Masquer les extensions des fichiers dont le type est connu Désactiver la case : Masquer les fichiers protégés du système d'exploitation Puis Appliquer 7 Supprime les fichiers/dossiers incriminés (s'ils existent encore) : C:\WINDOWS\System32\mousehs.exe C:\WINDOWS\System32\lssas.exe -->Attention à la syntaxe 8 Lance et éxécute CleanUp ! -Vide la corbeille Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système. 9 Redémarre normalement et poste un nouveau log HijackThis pour vérification.

Bonjour, Bienvenu sur Zebulon Je démarre une anlyse de ton rapport, réponse dans quelques instants.

Bonsoir, Pour ce type de bêbêtes, télécharge CWShredder http://cwshredder.net/bin/CWShredder.exe -Mettre CWShredder dans un répertoire dédié -fermer toutes les fenêtres -lancer CWShredder et cliquer sur "Fix". Et refais un scan avec Regfreeze.

Re, Va sur ce lien http://a.vouillon.free.fr/faq-winxp.htm#151 Tu as plusieurs manipulations possibles. Ensuite, on verra

Re As tu essayé de trouver cet onglet en mode sans échec, en session Administrateur ?

Re, Ton rapport est propre. * Essaye cet utilitaire pour réparer Internet Explorer http://www.spywareinfo.com/downloads/tools/IEFIX.reg Tu l'enregistres sur le bureau. Double-clique sur IEFIX.reg et clique sur Oui lorsqu'on te demande confirmation pour Fusionner. Supprimes le fichier IEFIX.reg ensuite.

Bonsoir, Ils ont disparus, Hoster - Toadbee les a remis en ordre. Je regarde ton nouveau rapport, réponse dans quelques instants.

Bonsoir, Tu ne l'as pas trouvé dans le log, mais as tu fait les points suivants ? Si ce n'est pas le cas, recommences, car ce fichier est toujours là.

Re, * Télécharge Hoster - Toadbee : http://www.greyknight17.com/spy/Hoster.exe Lance Hoster - Toadbee 2004 et clique sur " Restore original Hosts " * Redémarre en mode sans échec * Relance un scan HijackThis et coche les lignes en gras ci-dessous : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.club-internet.fr:8080 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O1 - Hosts: 69.50.166.11 www.google.com O1 - Hosts: 69.50.166.11 google.com O1 - Hosts: 69.50.166.11 www.google.co.uk O1 - Hosts: 69.50.166.11 google.co.uk O1 - Hosts: 69.50.166.11 www.google.ca O1 - Hosts: 69.50.166.11 google.ca O1 - Hosts: 69.50.166.11 www.google.es O1 - Hosts: 69.50.166.11 google.es O1 - Hosts: 69.50.166.11 www.google.de O1 - Hosts: 69.50.166.11 google.de O1 - Hosts: 69.50.166.11 www.google.fr O1 - Hosts: 69.50.166.11 google.fr O1 - Hosts: 69.50.166.11 www.google.com.au O1 - Hosts: 69.50.166.11 google.com.au O1 - Hosts: 69.50.166.14 www.yahoo.com O1 - Hosts: 69.50.166.14 yahoo.com O1 - Hosts: 69.50.166.12 www.msn.com O1 - Hosts: 69.50.166.12 msn.com O1 - Hosts: 69.50.166.12 search.msn.com O1 - Hosts: 69.50.166.12 www.go.com O1 - Hosts: 69.50.166.12 go.com O1 - Hosts: 69.50.166.13 astalavista.com O1 - Hosts: 69.50.166.13 www.astalavista.com O1 - Hosts: 69.50.166.13 astalavista.box.sk O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file) O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [bDMCon] D:\progra~1\softwin\bitdef~1\bdmcon.exe O4 - HKLM\..\Run: [bDNewsAgent] D:\progra~1\softwin\bitdef~1\bdnagent.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [sunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_01\bin\jusched.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure...teleir_cert.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1096726315184 O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.5 Control) - http://www.pixdiscount.fr/clients/ImageUploader3.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/a...zylomloader.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup...er/imloader.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked » * Vas dans les fichiers Temp: - C:\Windows\Temp - C:\Documents and Settings\ton nom\Local Settings\Temp - C:\Documents and Settings\autre nom\Local Settings\Temp et supprime tout ce qu'il y a dedans -Supprime tous les fichiers de Temporary Internet Files via Options Internet/onglet Général/zone "Fichiers Internet Temporaires/bouton supprimer les fichiers . -Supprime les Cookies . -Clique sur Démarrer / Exécuter / tape CleanMgr et valide pour accepter l'examen du disque C: coche toutes les cases et clique sur OK pour confirmer la suppression des fichiers -Vide la corbeille * Reposte un nouveau log HijackThis pour vérification.

Bonjour, Bienvenu sur Zebulon Je regarde ton rapport, réponse dans quelques instants.

Re, Comme je te le disais, il reste beaucoup de choses à faire. Ton ordinateur est très infecté. Après ce ménage, on verra plus clair. 1 Télécharge DelDomains.inf http://www.mvps.org/winhelp2002/DelDomains.inf clic droit / Enregistrer la cible sous... 2 Termine les processus suivants Appuyer simultanement sur les touches Ctrl+Alt+supp-->le gestionnaire des taches s'ouvre-->onglet processus--->clique sur le processus--->terminer processus seeve.exe kpbqggvj.exe logon.exe ctsc.exe 3 Tu clique sur Démarrer puis Exécuter, tu tapes services.msc et tu cliques sur OK. Dans la liste des services, cherche et sélectionne " Hardware Clock Driver " / double clique sur la ligne / vérifie dans Chemin d'accès des fichiers exécutables qu'il s'agit bien de " C:\WINDOWS\System32\hwclock.exe " / dans Type de démarrage, sélectionne Désactiver / valide la modification. Tu fais pareil avec " Keyboard Service System Files " et le chemin " C:\WINDOWS\System32\vrsprtc.exe ". Tu recommence avec " Smart Card Client " et le chemin " C:\WINDOWS\system32\vvv.exe ". 4 Relance un scan HijackThis et coche les lignes en gras ci-dessous : R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O1 - Hosts: 203.87.57.144 ibank.barclays.co.uk O1 - Hosts: 203.87.57.144 online-business.lloydstsb.co.uk O1 - Hosts: 203.87.57.144 online.lloydstsb.co.uk O1 - Hosts: 203.87.57.144 www.halifax-online.co.uk O1 - Hosts: 203.87.57.144 www.ukpersonal.hsbc.co.uk O1 - Hosts: 203.87.57.144 www.nwolb.com O1 - Hosts: 203.87.57.144 banesnet.banesto.es O1 - Hosts: 203.87.57.144 extranet.banesto.es O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [bDMCon] C:\progra~1\softwin\bitdef~1\bdmcon.exe O4 - HKLM\..\Run: [bDOESRV] C:\Program Files\Softwin\BitDefender8\\bdoesrv.exe O4 - HKLM\..\Run: [bDNewsAgent] C:\progra~1\softwin\bitdef~1\bdnagent.exe O4 - HKLM\..\Run: [C-Media Echo Control] C:\Program Files\PCI Audio Applications\Bin\EchoCtrl.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Firewall Updater] msnupdateit.exe O4 - HKLM\..\Run: [MSN Messenger] msnmsgr.exe O4 - HKLM\..\Run: [ASDPLUGIN] C:\WINDOWS\System32\france.exe -N O4 - HKLM\..\Run: [MSN7 Startup] msn7.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitedme32.exe O4 - HKLM\..\Run: [seeve] C:\WINDOWS\seeve.exe O4 - HKLM\..\Run: [HELPER] C:\WINDOWS\System32\france.exe -N O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe O4 - HKLM\..\Run: [Norton Antivirus 7.0a] C:\WINDOWS\System32\kpbqggvj.exe O4 - HKLM\..\Run: [Microsoft Update Machine] macupdate.exe O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\logon.exe O4 - HKLM\..\RunServices: [Firewall Updater] msnupdateit.exe O4 - HKLM\..\RunServices: [MSN Messenger] msnmsgr.exe O4 - HKLM\..\RunServices: [CT Control Settings] CTSVCCD.EXE O4 - HKLM\..\RunServices: [MSN7 Startup] msn7.exe O4 - HKLM\..\RunServices: [Microsoft Update Machine] macupdate.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSN Messenger] msnmsgr.exe O4 - HKCU\..\Run: [Firewall Updater] msnupdateit.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [MSN7 Startup] msn7.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Wsbb] C:\Documents and Settings\freddo.FRED\Application Data\alit.exe O4 - HKCU\..\Run: [iPlusAgent] C:\Program Files\iriver\iriver plus\iAgent.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [iriverPlus] C:\Program Files\iriver\iriver plus\iPlus.exe O4 - HKCU\..\Run: [Pmcd] C:\Documents and Settings\freddo.FRED\Application Data\rrda.exe O4 - HKCU\..\Run: [Microsoft Update Machine] macupdate.exe O4 - HKCU\..\Run: [Oopt] C:\Documents and Settings\freddo.FRED\Application Data\ctsc.exe O4 - HKCU\..\RunServices: [MSN Messenger] msnmsgr.exe O4 - Global Startup: SpySubtract.lnk = F:\Scan CWShredder\SpySub.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O15 - Trusted Zone: *.media-motor.net O15 - Trusted Zone: *.popuppers.com O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAcc...Bridge-c139.cab O23 - Service: BitDefender Scan Server - Unknown - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe O23 - Service: Hardware Clock Driver - Unknown - C:\WINDOWS\System32\hwclock.exe (file missing) O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe O23 - Service: Keyboard Service System Files - Unknown - C:\WINDOWS\System32\vrsprtc.exe O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Smart Card Client - Unknown - C:\WINDOWS\system32\vvv.exe (file missing) O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe O23 - Service: BitDefender Virus Shield - Unknown - C:\Program Files\Softwin\BitDefender8\vsserv.exe O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe O23 - Service: BitDefender Communicator - Softwin - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked » 5 Utilise DelDomains.inf Tu fais clic droit / Installer (tu ne vois rien se passer !) 6 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire. Démarre l'ordinateur. Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows. En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée. 7 Assure toi d'avoir accés à tous les fichiers. Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage : Activer la case : Afficher les fichiers et dossiers cachés Désactiver la case : Masquer les extensions des fichiers dont le type est connu Désactiver la case : Masquer les fichiers protégés du système d'exploitation Puis Appliquer 8 Supprime les fichiers/dossiers incriminés (s'ils existent encore) : C:\WINDOWS\seeve.exe C:\WINDOWS\System32\kpbqggvj.exe C:\WINDOWS\System32\logon.exe C:\Documents and Settings\freddo.FRED\Application Data\ctsc.exe msnupdateit.exe --> Fais une recherche, il est surement dans C:\WINDOWS\System32 msnmsgr.exe --> Fais une recherche, il est surement dans C:\WINDOWS\System32. Attention, C:\Program Files\MSN Messenger\MsnMsgr.Exe est légitime. C:\WINDOWS\System32\france.exe msn7.exe --> Fais une recherche, il est surement dans C:\WINDOWS\System32 C:\windows\system32\elitedme32.exe macupdate.exe --> Fais une recherche, il est surement dans C:\WINDOWS\System32 C:\Documents and Settings\freddo.FRED\Application Data\alit.exe C:\Documents and Settings\freddo.FRED\Application Data\rrda.exe C:\WINDOWS\System32\hwclock.exe C:\WINDOWS\System32\vrsprtc.exe C:\WINDOWS\system32\vvv.exe 9 Vas dans les fichiers Temp: - C:\Windows\Temp - C:\Documents and Settings\ton nom\Local Settings\Temp - C:\Documents and Settings\autre nom\Local Settings\Temp et supprime tout ce qu'il y a dedans -Supprime tous les fichiers de Temporary Internet Files via Options Internet/onglet Général/zone "Fichiers Internet Temporaires/bouton supprimer les fichiers . -Supprime les Cookies . -Clique sur Démarrer / Exécuter / tape CleanMgr et valide pour accepter l'examen du disque C: coche toutes les cases et clique sur OK pour confirmer la suppression des fichiers -Vide la corbeille Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système. 10 Utilise CWShredder http://cwshredder.net/bin/CWShredder.exe -Mettre CWShredder dans un répertoire dédié -fermer toutes les fenêtres -lancer CWShredder et cliquer sur "Fix". 11 Redémarre normalement et poste un nouveau log HijackThis pour vérification.

Bonsoir, Je regarde ton nouveau rapport, réponse dans quelques instants. Il reste des choses à faire ...

Re, 1 Télécharge Ad-Aware SE Personnal Regarde son tutorial d'installation. Tu le paramêtre comme ceci. 2 Télécharge Pocket KillBox Ensuite, tu le dézippes sur ton bureau. 3 Recommence CWShredder http://cwshredder.net/bin/CWShredder.exe -Mettre CWShredder dans un répertoire dédié -fermer toutes les fenêtres -lancer CWShredder et cliquer sur "Fix". 4 Redémarre en mode sans echec. 5 Relance un scan HijackThis et coche les lignes en gras ci-dessous : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jimbutt.com/stuffs/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.yahoo.com/search?p=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Yahoo! Compagnon - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_18_0.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll (file missing) O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe O4 - HKLM\..\Run: [ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT" O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [windll32.exe] C:\WINDOWS\System32\windll32.exe O4 - Global Startup: DSLMON.lnk = ? O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://downloads.winwise.fr/Common/npwwg.cab O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{F54B5003-61FE-4A76-A656-2E8DE22F64F0}: NameServer = 80.10.246.130 80.10.246.3 Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked » 6 Fais un scan avec AdAware. Supprimes tout ce qu'il trouve. 7 Ouvre Pocket Killbox colle dans la petite boite, le chemin complet du fichier suivant: C:\WINDOWS\System32\windll32.exe et clique sur Delete on Reboot, puis clique sur le cercle rouge avec la croix, tu auras le message suivant:"File with be deleted on next reboot, Process and Reboot now?" ,tu cliques sur "yes" . 8 Assure toi d'avoir accés à tous les fichiers. Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage : Activer la case : Afficher les fichiers et dossiers cachés Désactiver la case : Masquer les extensions des fichiers dont le type est connu Désactiver la case : Masquer les fichiers protégés du système d'exploitation Puis Appliquer 9 Supprime les fichiers/dossiers incriminés (s'ils existent encore) : C:\WINDOWS\System32\windll32.exe 10 Vas dans les fichiers Temp: - C:\Windows\Temp - C:\Documents and Settings\ton nom\Local Settings\Temp - C:\Documents and Settings\autre nom\Local Settings\Temp et supprime tout ce qu'il y a dedans -Supprime tous les fichiers de Temporary Internet Files via Options Internet/onglet Général/zone "Fichiers Internet Temporaires/bouton supprimer les fichiers . -Supprime les Cookies . -Clique sur Démarrer / Exécuter / tape CleanMgr et valide pour accepter l'examen du disque C: coche toutes les cases et clique sur OK pour confirmer la suppression des fichiers -Vide la corbeille Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système. 11 Redémarre normalement et poste un nouveau log HijackThis pour vérification.

Rebonjour, Je regarde ton nouveau rapport, réponse dans quelques instants.

Re, 1 Termine les processus suivants Appuyer simultanement sur les touches Ctrl+Alt+supp-->le gestionnaire des taches s'ouvre-->onglet processus--->clique sur le processus--->terminer processus msnq3insller.exe msnba32.exe 2 Tu clique sur Démarrer puis Exécuter, tu tapes services.msc et tu cliques sur OK. Dans la liste des services, cherche et sélectionne " Mouse Hardware Sync " / double clique sur la ligne / vérifie dans Chemin d'accès des fichiers exécutables qu'il s'agit bien de " C:\WINDOWS\System32\mousehs.exe " / dans Type de démarrage, sélectionne Désactiver / valide la modification. 3 Relance un scan HijackThis et coche les lignes en gras ci-dessous : R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\PROGRA~1\PANICW~1\POP-UP~1\dpps2.exe" O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [iMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [Microsoft Network Broadcasting Agent] msnba32.exe O4 - HKLM\..\Run: [MS Unix Binary] msnq3insller.exe O4 - HKLM\..\RunServices: [Microsoft Network Broadcasting Agent] msnba32.exe O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe O4 - HKCU\..\Run: [Microsoft Network Broadcasting Agent] msnba32.exe O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe O4 - HKCU\..\RunServices: [Microsoft Network Broadcasting Agent] msnba32.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: Mouse Hardware Sync (mousehs) - Unknown owner - C:\WINDOWS\System32\mousehs.exe O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked » 4 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire. Démarre l'ordinateur. Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows. En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée. 5 Assure toi d'avoir accés à tous les fichiers. Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage : Activer la case : Afficher les fichiers et dossiers cachés Désactiver la case : Masquer les extensions des fichiers dont le type est connu Désactiver la case : Masquer les fichiers protégés du système d'exploitation Puis Appliquer 6 Supprime les fichiers/dossiers incriminés (s'ils existent encore) : C:\WINDOWS\System32\mousehs.exe C:\WINDOWS\System32\msnq3insller.exe C:\WINDOWS\System32\msnba32.exe Comme te l'a dit Queruak, attention à la syntaxe. svchost.exe est ici un processus légitime de Windows spoolsv.exe est ici un processus légitime de l'imprimante svhost.exe-up.txt et spoolsu.exe-up.txt sont néfastes. Supprimes les sans remord. 7 Lance et exécute CleanUp: Vide la corbeille Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système. 8 Redémarre normalement et poste un nouveau log HijackThis pour vérification. Et si tu peux, fais les scans en lignes et colles les rapports ici.

Bonjour, Comme c'est souvent le cas lors de grosses infections, d'autres éléments néfastes sont apparus après le premier nettoyage. Je regarde ton nouveau rapport, réponse dans quelques instants.

Re, Grosses infections = beaucoup de travail de nettoyage 1 Télécharge CWShredder http://cwshredder.net/bin/CWShredder.exe -Mettre CWShredder dans un répertoire dédié -fermer toutes les fenêtres -lancer CWShredder et cliquer sur "Fix". -Redémarre l'ordinateur 2 Télécharge DelDomains.inf clic droit / Enregistrer la cible sous... 3 Tu clique sur Démarrer puis Exécuter, tu tapes services.msc et tu cliques sur OK. Dans la liste des services, cherche et sélectionne " Workstation NetLogon Service " / double clique sur la ligne / vérifie dans Chemin d'accès des fichiers exécutables qu'il s'agit bien de " C:\WINDOWS\sysit.exe " / dans Type de démarrage, sélectionne Désactiver / valide la modification. 4 Désinstalle ces applications (si tu les trouves) dans Ajout-Suppression de programmes : Windows ControlAd 5 Relance un scan HijackThis et coche les lignes en gras ci-dessous : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jimbutt.com/stuffs/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.yahoo.com/search?p=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - Default URLSearchHook is missing O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {C4843FF7-AE70-BF42-6057-827D9D3007CE} - C:\WINDOWS\apiji32.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Yahoo! Compagnon - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_18_0.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll (file missing) O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe O4 - HKLM\..\Run: [.mscdsr] C:\WINDOWS\system\lsvchost.exe O4 - HKLM\..\Run: [WIN95DEFVIEW] C:\WINDOWS\System32\csmrs.exe O4 - HKLM\..\Run: [ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT" O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [windll32.exe] C:\WINDOWS\System32\windll32.exe O4 - HKCU\..\Run: [Yogv] C:\WINDOWS\System32\xuuq.exe O4 - HKCU\..\Run: [DKTime] C:\WINDOWS\System32\dktime.exe O4 - Global Startup: DSLMON.lnk = ? O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present --> Si ce n'est pas toi qui as mis cette restriction internet, tu coches aussi O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU) O15 - Trusted Zone: http://*.63.219.181.7 O15 - Trusted Zone: *.windupdates.com O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} (EGEGAUTH Class) - http://akamai.downloadv3.com/binaries/P2EC..._1022_FR_XP.cab O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://downloads.winwise.fr/Common/npwwg.cab O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php...1f64dc3f0db6853 O17 - HKLM\System\CCS\Services\Tcpip\..\{F54B5003-61FE-4A76-A656-2E8DE22F64F0}: NameServer = 80.10.246.130 80.10.246.3 O21 - SSODL: System - {8CBD5BC3-24BD-4288-A910-BBEB8753FB50} - C:\WINDOWS\system32\system32.dll O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\sysit.exe (file missing) O23 - Service: AVG6 Service (AvgServ) - GRISOFT s.r.o - C:\PROGRA~1\Grisoft\AVG6\avgserv.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Program Files\Norton Personal Firewall\ccPxySvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Personal Firewall\NISUM.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked » 6 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire. Démarre l'ordinateur. Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows. En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée. 7 Utilise DelDomains.inf Tu fais Clic droit / Installer N.B. : Ceci va enlever toutes les entrées des "Sites de confiance" et de "Domaines". 8 Assure toi d'avoir accés à tous les fichiers. Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage : Activer la case : Afficher les fichiers et dossiers cachés Désactiver la case : Masquer les extensions des fichiers dont le type est connu Désactiver la case : Masquer les fichiers protégés du système d'exploitation Puis Appliquer 9 Supprime les fichiers/dossiers incriminés (s'ils existent encore) : C:\WINDOWS\apiji32.dll C:\WINDOWS\system\lsvchost.exe <-- Attention à la syntaxe C:\WINDOWS\System32\csmrs.exe <-- Attention à la syntaxe C:\Program Files\Windows ControlAd C:\WINDOWS\System32\windll32.exe :\WINDOWS\System32\xuuq.exe C:\WINDOWS\System32\dktime.exe C:\WINDOWS\system32\system32.dll <-- Attention à la syntaxe C:\WINDOWS\sysit.exe C:\WINDOWS\system32\nteu.exe :\WINDOWS\System32\winupd.exe C:\WINDOWS\system32\javaxh.exe <-- Attention à la syntaxe C:\WINDOWS\system32\crcc32.exe C:\WINDOWS\System32\zygqnonr.exe c:\nosuch.mht C:\Program Files\Internet Explorer\qqnxunpp.exe 10 Vas dans les fichiers Temp: - C:\Windows\Temp - C:\Documents and Settings\ton nom\Local Settings\Temp - C:\Documents and Settings\autre nom\Local Settings\Temp et supprime tout ce qu'il y a dedans -Supprime tous les fichiers de Temporary Internet Files via Options Internet/onglet Général/zone "Fichiers Internet Temporaires/bouton supprimer les fichiers . -Supprime les Cookies . -Clique sur Démarrer / Exécuter / tape CleanMgr et valide pour accepter l'examen du disque C: coche toutes les cases et clique sur OK pour confirmer la suppression des fichiers -Vide la corbeille Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système. 11 Redémarre normalement et poste un nouveau log HijackThis pour vérification.

Re, Pour commencer HijackThis doit être enregistré dans un répertoire dédié tel que C:\HijackThis par exemple et pas dans un dossier de fichiers temporaires. Le ménage d'un ordinateur étant effectué régulièrement ( Fichiers Temp et autres ), tu perdrais les sauvegardes d'HijackThis qui sont là pour permettre un retour en arrière sur les modifications effectuées par HijackThis en cas de problème. Mais aussi Deux antivirus, c'est un de trop. Il y a risque de conflit, donc de moins grande efficacité. Il faut choisir. Je continue l'analyse.

Bonjour Cedriquet, bonjour à tous Je regarde ton nouveau rapport, réponse dans quelques instants.

Re, 1 Télécharge CWShredder http://cwshredder.net/bin/CWShredder.exe -Mettre CWShredder dans un répertoire dédié -fermer toutes les fenêtres -lancer CWShredder et cliquer sur "Fix". -Redémarre. 2 Télécharge LSPfix ici : http://www.cexx.org/lspfix.htm 3 Relance un scan HijackThis et coche les lignes en gras ci-dessous : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.fr/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries/fr/fra/gen/default.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O1 - Hosts: imizer.com O1 - Hosts: ptimizer.com O1 - Hosts: roptimizer.com O1 - Hosts: feroptimizer.com O1 - Hosts: enu.com O1 - Hosts: enu.com O1 - Hosts: dso.offeroptimizer.com O1 - Hosts: 127.0 O1 - Hosts: .whenu.com O1 - Hosts: .whenu.com O2 - BHO: (no name) - {3778C48B-E424-0555-811F-6DF817E0D58F} - C:\DOCUME~1\RMY~1\APPLIC~1\ABOUTS~1\each pile.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file) O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [updateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\Media Experience\PCMService.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe" O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe" O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [CTDVDDet] C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security\pccguide.exe" O4 - HKLM\..\Run: [PCClient.exe] "C:\Program Files\Trend Micro\Internet Security\PCClient.exe" O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Program Files\Trend Micro\Internet Security\TMOAgent.exe" /run O4 - HKLM\..\Run: [Dupe Idol Lies Pop] C:\Documents and Settings\All Users\Application Data\thunktypedupeidol\nurbblah.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: DESKTOP(2).INI O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0\aoltray.exe O4 - Global Startup: DESKTOP(2).INI O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O4 - Global Startup: Metacafe.lnk = C:\Program Files\Metacafe\MetacafeAgent.exe O4 - Global Startup: Reality Fusion GameCam SE.lnk = ? O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html...01YYFR_ZZzebXXX O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - Broken Internet access because of LSP provider 'xfire_lsp_9028.dll' missing --> Ne touche pas à cette ligne, elle sera corrigée par LSPfix O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://register.tiscali.fr/configurateur/AccountHelper.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game16.zylom.tiscali.fr/activex/zylomgamesplayer.cab Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked » 4 Lances LSPfix et agrandis la fenêtre qui, par défaut, est trop petite et fait apparaître les ascenseurs horizontaux et verticaux, masquant un bouton. Déconnecte toi d'Internet et ferme toutes les instances (fenêtres) Internet Explorer. Coche la case "I know what I'm doing" ("Je sais ce que je fais"). Sélectionne toutes les instances des dll suivantes xfire_lsp_9028.dll et fais les glisser du panneau de gauche, appelé "keep" au panneau de droite, appelé "Remove". Clique sur le bouton "Finish". 5 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire. Démarre l'ordinateur. Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows. En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée. 6 Assure toi d'avoir accés à tous les fichiers. Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage : Activer la case : Afficher les fichiers et dossiers cachés Désactiver la case : Masquer les extensions des fichiers dont le type est connu Désactiver la case : Masquer les fichiers protégés du système d'exploitation Puis Appliquer 7 Supprime les fichiers/dossiers incriminés (s'ils existent encore) : C:\Documents and Settings\RMY~1\Application Data\ABOUTS~1 C:\Documents and Settings\All Users\Application Data\thunktypedupeidol 8 Vas dans les fichiers Temp: - C:\Windows\Temp - C:\Documents and Settings\ton nom\Local Settings\Temp - C:\Documents and Settings\autre nom\Local Settings\Temp et supprime tout ce qu'il y a dedans -Supprime tous les fichiers de Temporary Internet Files via Options Internet/onglet Général/zone "Fichiers Internet Temporaires/bouton supprimer les fichiers . -Supprime les Cookies . -Clique sur Démarrer / Exécuter / tape CleanMgr et valide pour accepter l'examen du disque C: coche toutes les cases et clique sur OK pour confirmer la suppression des fichiers -Vide la corbeille Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système. 9 Redémarre normalement et poste un nouveau log HijackThis pour vérification.

Bonsoir, Je regarde ton rapport, réponse dans quelques instants.

Bnojour, Edit Bonjour Stonangel * Télécharge et lance l'uninstall Lop.com: http://66.220.17.156/new_uninstall.exe Tu peux avoir une alerte virus avec ce fichier, mais tu peux l'utiliser sans crainte. Si tu as Messenger Plus Messenger Plus! 3 est un nid à spyware. Il est responsable en partie de ton infection. Désinstalle le maintenant. Une fois l'ordinateur propre, soit tu mets une autre version, soit tu réinstalle le même mais en n'oubliant pas de décocher la case Autoriser les sponsors. Si cela ne vas pas mieux, fais un peu de nettoyage : *Clique sur Démarrer / Exécuter / tape CleanMgr et valide pour accepter l'examen du disque C: coche toutes les cases et clique sur OK pour confirmer la suppression des fichiers *Vas dans les fichiers : - C:\Windows\Temp - C:\Documents and Settings\ton nom\Local Settings\Temp - C:\Documents and Settings\autre nom\Local Settings\Temp - C:\Windows\Prefetch et supprime tout ce qu'il y a dedans - Vide la corbeille *Télécharge EasyCleaner de Toni Helenius http://personal.inet.fi/business/toniarts/ecleane.htm Il permet de supprimer des fichiers inutiles, les cookies, les fichiers internet temporaires, les documents récents, les raccourcis obsolètes et l'historique d'IE.L'analyse de la base de registre permet de supprimer les clés caduques (Ne pas toucher à la fonction doublons ) *Fais un examen antitrojan avec A2 http://www.emsisoft.net/fr/ Il est nécessaire de s'enregistrer pour bénéficier des mises à jour *Télécharge ces deux logiciels antispywares complémentaires - Ad-Aware SE Personnal http://www.lavasoftusa.com/default.shtml.fr mettre à jour, scanner et supprimer tout - Spybot http://www.safer-networking.org/fr/home/index.html mettre à jour, scanner et supprimer tout. Toutes ces manipulations devraient déja permettre d'améliorer le fonctionnement de l'ordinateur. Pour une meilleur réponse, télécharge HijackThis v1.99.1 http://www.merijn.org/files/hijackthis.zip Et son Tutorial http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm Fais un scan et poste l'analyse ici.

Re, Pour te retrouver dans les dossiers, tu peux créer un dossier sécurité par exemple et tu mets les utilitaires dedans. De cette maniére, tu y a accès rapidement. De plus, c'est un nettoyage préliminaire avanyt de poster uin rapport HijackThis. Cela permet d'éliminer certaines choses. CWShredder est sur, élimine tout. N'oublie pas les mises à jour de Windows. Et reposte un rapport pour vérification, car CWShredder ne va surement pas tout éliminer.

Re, * Pour une meilleur réponse, télécharge la nouvelle version d'HijackThis v1.99.1 http://www.merijn.org/files/hijackthis.zip Et son Tutorial http://sitethemacs.free.fr/aide_enregistre...e_hijackthi.htm * Le formatage à éliminé les mises à jours de Windows. Pour Windows Pack SP1 http://www.microsoft.com/france/WINDOWS/xp...P1Commande.html ou mieux, Pack SP2 http://www.microsoft.com/france/windows/xp/sp2/default.mspx Pour Internet Explorer http://www.microsoft.com/windows/ie_intl/f...ad/default.mspx Cela permettra de corriger de nombreuses failles de sécurité

Bonjour, Bienvenu sur Zebulon L'ordinateur à plusieurs types d'infection. Si cela n'a pas été fait, le mieux est de commencer par un peu de nettoyage : *Clique sur Démarrer / Exécuter / tape CleanMgr et valide pour accepter l'examen du disque C: coche toutes les cases et clique sur OK pour confirmer la suppression des fichiers *Vas dans les fichiers : - C:\Windows\Temp - C:\Documents and Settings\ton nom\Local Settings\Temp - C:\Documents and Settings\autre nom\Local Settings\Temp - C:\Windows\Prefetch et supprime tout ce qu'il y a dedans - Vide la corbeille *Télécharge EasyCleaner de Toni Helenius http://personal.inet.fi/business/toniarts/ecleane.htm Il permet de supprimer des fichiers inutiles, les cookies, les fichiers internet temporaires, les documents récents, les raccourcis obsolètes et l'historique d'IE.L'analyse de la base de registre permet de supprimer les clés caduques (Ne pas toucher à la fonction doublons ) *Fais un examen antitrojan avec A2 http://www.emsisoft.net/fr/ Il est nécessaire de s'enregistrer pour bénéficier des mises à jour *Télécharge ces deux logiciels antispywares complémentaires - Ad-Aware SE Personnal http://www.lavasoftusa.com/default.shtml.fr mettre à jour, scanner et supprimer tout - Spybot http://www.safer-networking.org/fr/home/index.html mettre à jour, scanner et supprimer tout. Toutes ces manipulations devraient déja permettre d'améliorer le fonctionnement de l'ordinateur. * -Télécharge cet outil: http://www.simplytech.it/ETRemover/ETRemoverV120.zip -Une fois téléchargé,tu le dézippes dans un repertoire dédié. -Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire. Démarre l'ordinateur. Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows. En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée. -Lance l'outil, et clique sur "Kill Elite Toolbar" Tu le laisses travailler. * Utilise CWShredder http://cwshredder.net/bin/CWShredder.exe -Mettre CWShredder dans un répertoire dédié -fermer toutes les fenêtres -lancer CWShredder et cliquer sur "Fix". -élimine TOUT -Redémarre normalement et poste un nouveau log Hijackthis.