Fuse

Je note tout ça dans un coin tout en essayant d'en apprendre le maximum, car j'imagine que je ne suis pas à mon dernier virus (vu l'inventivité de certains). Encore une fois merci à tout ceux qui ont bien voulu me donner un coup de main. A charge de revanche ... Fuse

Non, en mode nomal, je n'ai pas pensé à le faire en mode sans échec, Antivir Guard ne se chargeait pas de manière automatique ... peut-être une solution ...

Tout a fait d'accord. Je ferais bien plus attention désormais.Je ne suis plus non plus sans armes pour essayer de me défendre. Merci encore pour tout. Fuse

Vraiment tout le monde en fait. La meilleure chose que je puisse faire pour répondre aux efforts de chacun pour essayer de m'aider en me proposant des conseils et des indications, c'est de les d'apprendre vite et bien pour les effectuer. J'ai vraiment appris bien des choses durant ces quelques heures de stress. merci encore. Par contre, un bon dimanche reposant sera le bienvenue ^^

MERCI MERCI MERCI !!!!!!!!! Je commençais à désespérer (avec en plus un mode sans échec qui commençait à merder et se bloquer…) et j’ai réussi à comprendre comment utiliser la console de récupération comme on me l’avait conseillé (avec le cd de Windows). Après avoir viré (avec la fonction delete) tous les fichiers un par un par des lignes de commandes, j’ai fait un rebbot et j’ai utilisé HijackThis pour fixer les lignes dans la base de registre. Tout est parti ……. OUF ! Merci encore beaucoup de tous vos encouragements et de votre aide. Impossible d'y arriver seul, surtout à mon niveau, vraiment bien bas. Fuse, bien content d’être sorti d’affaire ! Logfile of HijackThis v1.99.1 Scan saved at 16:38:03, on 01/05/2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ctfmon.exe C:\Program Files\AVPersonal\AVGUARD.EXE C:\Program Files\Microsoft Hardware\Keyboard\type32.exe C:\Program Files\Logitech\iTouch\iTouch.exe C:\Program Files\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\TWAIN_32\D66U\D066UUTY.EXE C:\WINDOWS\StartupMonitor.exe C:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exe C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe C:\Program Files\Winamp\winampa.exe C:\Program Files\AVPersonal\AVGNT.EXE C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Logitech\MouseWare\system\em_exec.exe C:\WINDOWS\system32\wuauclt.exe C:\Documents and Settings\Olivier\Bureau\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [intelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe" O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.exe -off O4 - HKLM\..\Run: [D066UUtility] C:\WINDOWS\TWAIN_32\D66U\D066UUTY.EXE O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe O4 - HKLM\..\Run: [NvMixerTray] C:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Ouvrir le fichier PDF dans Word - res://C:\Program Files\ScanSoft\OmniPagePro14.0\PdfCnv\IEShellExt.dll /300 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409 O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab O16 - DPF: {3BA66EC1-3F6A-49DD-A359-CBAA1290469F} (ToonsXYJ Control) - http://comics.yahoo.co.jp/component/ToonsXYJ.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1092074866078 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/...478/mcfscan.cab O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe

j'essaye de suivre ta méthode, Tesgaz, mais je ne vois pas comment je peut modifier les restrictions sur la clé (voir de modifier les droits d'accès de manière générale). A chaque fois que je modifie une des 3 clé, elle revient à la normale dans les 10 secondes qui suivent.

je me permets juste de répondre avant à Clafouti, que je remercie beaucoup de m'aider au passage. En fait, je n'arrive rien à supprimer sous Knoppix, pas le moindre petit fichier (que cela soit sur C ou une autre partition). Pourant, je fais clic gauche et supprimer ou mettre dans la corbeille ou encore la touche 'suppr'. A chaque fois, j'ai un refus. Quelle est la bonne méthode alors ? Désolé de poser ce type de question si générale ...

"impossible de supprimer le fichier /mnt/hda1/Windows/ServicesPackFiles/abreula.dll" Pareil quand j'essaye de le renommer ou modifier.

Je suis sous Knoppix, mais toujours impossible de supprimer les deux fichiers ( abreula.dll et aluerba.ini). mais pourquoi est-il aussi méchant ...

merci, je vais essayer ça de suite.

La seule manière de le modifier semble de le changer par un autre fichier « aluerba.ini2 » vide mais que l’on ouvre par un logiciel (ex : word) pour éviter la modification ou l’effacement. Si je continue à procéder de cette manière, après ce « aluerba.ini2 » apparaît un « aluerba.temp », puis un « aluerba.temp2 », puis un « aluerba.bak1 » et enfin, un « aluerba.bak2 ». Ensuite, il semble qu’un nouveau fichier virus avec une nouvelle extension prenne la place, mais de manière invisible et donc impossible à retrouver tel quel. J’espère que cela peut éclairer quelques points…. Fuse

Il réagit comme AntiVir Guard : il détecte le virus et me demande de redémarrer pour compléter le scan. Après le reboot, tout revient ... Par contre, j'ai essayé (naïvement certe), de changer le fichier aluerba.ini pour un autre fichier aluerba.ini vide et en "lecture seule". Au bout de 10s. un fichier aluerba.ini2 apparait. J'ai donc fait la même chose avec celui-ci. Au lieu d'arriver à un aluerba.ini3; le fichier aluerba.ini2 redevient le fichier virus de 385 ko. Biz'... bye', je vais me coucher moi aussi ... merci encore de toute votre patience et votre aide. Fuse

J'suis un peu aveugle ... J'ai essayé de virer les fichiers, de les changer de nom, ou de les remplacer. Pour le fichier ini aucun pb ... pendant 10s .... et puis tout revient. Impossible pour le fichier dll.

il y a un "aluerba.ini" à côté du fichier abreula.dll dans le répertoire ServicePackFiles. Un rapport entre les deux ou ils n'ont rien à voir ?

toujours pas ... Le début est équivalent "le module spécifié est introuvable" ensuite, j'en reviens à "Pending File Rename Opérations Registry Data Has Been Removed By External Process" et je dois rebooter manuellement. Le log reste le même ..... je ne sais que dire à part un grand merci pour tous tes efforts. Fuse