_J._

Merci pour tous ces conseils, j'en prends bonne note. J., nouveau paranoïaque

C'était pour du rire. Mais j'ai quand même un peu honte quand je vois comment mon pc était une passoire et surtout comment j'ai réussi à me faire avoir par un attachement de mail (faut dire que j'attendais un mail du genre et je ne me suis pas assez méfié). M'enfin bon, plus on échoue, plus on apprend. Encore un tout grand merci. J.

Voilà qui est fait. J'ai aussi fait donner les instructions pour construire un temple à ta gloire. Je veux bien qu'on aie une causette mais alors pas frapper Il me semblait pourtant être assez prudent en général mais au vu des conseils disséminés sur ce site, je me rends compte que je ne suis finalement qu'un misérable kroupouk moisi. J.

En effet, ça marche. Et zou, voici le log de la bête. Microsoft Windows 2000 [Version 5.00.2195] PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. »»»»»»»»»»»»»»»»»»»»»»»» Todo Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» aurora Files found »»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» Suspect's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Dont delete file's in the section without guidance If any doubt back them up first * UPX! C:\WINNT\TSC.EXE »»»»» lagitamate file's can/will show in this section. * UPX! C:\WINNT\VSAPI32.DLL »»»»»»»»»»»»»»»»»»»»»»»» Buddy file's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» SAHAgent Files found »»»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» Misc checks »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»» Check for Windows\SYSTEM32\cache32_rtneg* folder. Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 80DB-0683 R‚pertoire de C:\WINNT\SYSTEM32 »»»»» Checking for SAHAgent ico files. Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 80DB-0683 R‚pertoire de C:\WINNT\system32 18/10/2000 15:57 8ÿ542 mrsid.ico 06/01/2005 20:15 1ÿ406 oi-uninstaller.ico 2 fichier(s) 9ÿ948 octets 0 R‚p(s) 52ÿ990ÿ627ÿ840 octets libres »»»»»»»»»»»»»»»»»»»»»»»». J.

Re, Je viens d'aller voir, le fichier "Temp" est vide maintenant. Le lien ne marche pas. Les forums sont apparament temporairement inaccessibles, j'y repasserai tout à l'heure. J.

Salut, Là je n'ai plus de symptomes suspects si ce n'est que ZoneAlarm me signale de temps en temps que spoolsv.exe tente de se connecter à l'internet. Et ça je ne sais pas si c'est normal... Je vous adresse donc un grand merci et que le bonheur et la fertilité s'étende sur queruack et sur sa descendance pour treize générations ! J. [Edit] Posté en même temps que le dernier post de queruack, je fais tout de suite ce que tu me demandes. [/Edit]

Salut queruack, Tout d'abord un tout grand merci pour ton post. Je vais te décrire ce que j'ai fait étape par étape, la numérotation que j'utilise est celle que tu as utilisé. En préambule, je tiens à signaler que je n'ai "touché à rien", hormis l'installation de Ewido et sa mise à jour. Il a "instantanément" trouver un truc, je n'ai lancé aucun scan. Je suppose que c'est son mode "surveillance" qui a fait ça. Je n'ai eu aucun problème pour les étapes -1- à -6-. À l'étape -7-, j'ai bien supprimé la clé O2 mais je n'ai pas trouvé la clé F2, ni la clé O4, ni la clé O23. Par contre j'ai trouvé, en regard d'une clé O4, un fichier qui me paraissait très louche (c'était la première fois que je le voyais dans un log hijackthis) nommé "uotgtyo.exe". Vu que google ne le connaissait pas, j'ai pris l'initiative de le supprimer, j'espère que cette initiative n'était pas malencontreuse (sinon dis-le et je me châtirerai dûrement). Pas de problème avec l'étape -8-. À l'étape -10-, j'ai effacé Shex.exe mais je n'ai pas trouvé Nail.exe, ni svcproc.exe, ni hkniog.exe. Par contre, j'y ai trouvé le fameux "uotgtyo.exe" que j'ai, à nouveau, pris l'inititative d'effacer (même remarque que ci-dessus si un châtiment est nécessaire). Autre pépin : trois fichiers n'ont jamais voulu s'effacer du dossier "Temp". Il s'agit de Type=click&FlightID18405&AdiD=47187&TargetID=5911&Segments=10,461,2811,7108, 7109,7270,7331,7486,7525,7553&Targets=5911,6072,6267,6306,6336&Values=31,43,51,60,72,85,90,1[1] et Type=click&FlightID18405&AdiD=47187&TargetID=5911&Segments=10,461,2811,7108,7109,7270,7331, 7486,7525,7553&Targets=5911,6072,6267,6306,6336&Values=31,43,51,60,72,85,90,1[1].htm qui se trouvaient dans C:\Documents and Settings\Administrateur\Local Settings\Temp\Temporary Internet Files\Content.IE5\E1QJ2XYL ainsi que memberembedded;dcopt=ist;kw=nouvelle+loi+sur+les+asbl+moniteur;h=misc;sz=468x60;!category=adult; !category=sexualovertones;!category=gaming;!category=tobacco;!category=ad[1].htm qui se trouvait dans C:\Documents and Settings\Administrateur\Local Settings\Temp\Temporary Internet Files\Content.IE5\W54PIFCD Sinon RAS pour les étapes -10- à -13-. Voici donc le log Hijackthis Logfile of HijackThis v1.99.1 Scan saved at 11:57:30, on 08/06/2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Program Files\NavNT\defwatch.exe C:\WINNT\System32\svchost.exe C:\Program Files\ewido\security suite\ewidoctrl.exe C:\Program Files\ewido\security suite\ewidoguard.exe C:\Program Files\NavNT\rtvscan.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\SOUNDMAN.EXE C:\Program Files\Microsoft Hardware\Mouse\point32.exe C:\Program Files\NavNT\vptray.exe C:\WINNT\system32\MsgSys.EXE C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\WINNT\system32\RUNDLL32.EXE C:\WINNT\system32\internat.exe C:\Install\Hijackthis\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ulg.ac.be/mathgen O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [anvshell] anvshell.exe O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{D8ADD042-A583-494C-B0FB-2CE7F4F84F30}: NameServer = 139.165.32.13,139.165.16.1 O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe Et celui de Ewido --------------------------------------------------------- ewido security suite - Rapport de scan --------------------------------------------------------- + Créé le: 11:19:50, 08/06/2005 + Somme de contrôle: BDC86899 + Date des signatures: 07/06/2005 + Version du moteur de recherche: v3.0 + Temps: 53 min + Fichiers scannés: 143887 + Vitesse: 44.93 Fichiers/Secondes + Fichers infectés: 1 + Fichiers supprimés: 1 + Fichiers mis en quarantaine: 1 + Fichiers ne pouvant pas être ouverts: 0 + Fichiers ne pouvant pas être nettoyés: 0 + Liés: Oui + Cryptés: Oui + Archives: Oui + Elements scannés: C:\ + Résultats du scan: C:\Documents and Settings\Administrateur\Cookies\j@xiti[1].txt -> Spyware.Tracking-Cookie -> Nettoyer et sauvegarder ::Fin du rapport C'est grave docteur ? J., très très reconnaissant parce que ça à l'air d'aller mieux.

Salut queruak, Merci d'avance pour ton aide. Vu que c'est mon ordi du boulot, je ne peux opérer la bête et faire les incantations nécessaires que la journée (horaires de bureau en plus ) donc ne t'étonne pas trop si je ne réponds plus de 17h30 à 8h30. Ewido a déjà détecté une crasse. (il a d'ailleurs fait ça avec un bruit de sirène, j'ai eu peur et j'ai failli tomber bas de mes chaussures ) Mais puisque tu m'as dit de ne rien toucher, j'ai laissé vivre la bestiole. J.

Bonjour à tous, Je découvre ce site que je trouve très bien fait. J'ai été mené jusqu'à vous après m'être bêtement fait avoir par un $#@"µ de virus qui m'a transformé mon ordi en mine à crasses. Faut dire qu'à la lecture de votre site, je me suis demandé comment je n'avais pas eu de problème plus tôt tant mon ordi était mal protégé En suivant les conseils de l'article "tutorial d'hijackthis", j'ai déjà réussi à virer pas mal de choses mais il reste quelques éléments récalcitrants. Ma machine fonctionne sous windows 2000. Mon antivirus (Norton Corporate) ne trouve plus rien sur le disque et l'antivirus en ligne de secuser.com non plus. Par contre un scan avec l'antivirus en ligne que vous proposez sur ce site m'a par contre donné ceci : Incident Statut Analyse Adware:Adware/Aurora No Désinfecté c:\winnt\system32\hkniog.exe Spyware:Spyware/ISTbar No Désinfecté Registre Windows Adware:Adware/Aurora No Désinfecté C:\WINNT\nail.exe Adware:Adware/PurityScan No Désinfecté C:\Documents and Settings\Administrateur\Local Settings\Temp\sdexe.exe Adware:Adware/Transponder No Désinfecté C:\WINNT\Nail.exe Adware:Adware/Aurora No Désinfecté C:\WINNT\system32\hkniog.exe Adware:Adware/PurityScan No Désinfecté C:\WINNT\system32\Shex.exe Il y a donc des vilains pas beaux qui sont toujours là malgré mes essais de les supprimer à la main en mode sans échec. Spybot S&D et Ad-Aware n'en sont pas venu à bout. Et CWShredder non plus. Je me permets donc de vous poster mon rapport hijackthis et si l'un d'entre vous pouvait être assez aimable pour me donner un petit coup de main, je lui rendrai grâce jusqu'à ce que l'éternité paraisse courte. Logfile of HijackThis v1.99.1 Scan saved at 14:38:04, on 07/06/2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Program Files\NavNT\defwatch.exe C:\WINNT\System32\svchost.exe C:\Program Files\NavNT\rtvscan.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\MsgSys.EXE C:\WINNT\Explorer.exe C:\WINNT\SOUNDMAN.EXE C:\Program Files\Microsoft Hardware\Mouse\point32.exe C:\Program Files\NavNT\vptray.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\WINNT\system32\RUNDLL32.EXE c:\winnt\system32\hkniog.exe C:\WINNT\system32\internat.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINNT\System32\svchost.exe C:\PROGRA~1\TEXNIC~1\TEXCNTR.EXE C:\LATEX\TEX\MIKTEX\BIN\YAP.EXE C:\WINNT\system32\NOTEPAD.EXE C:\Install\Hijackthis\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ulg.ac.be/mathgen F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {0C9D02D6-CA6C-99B6-18B2-E3BC6F0EB7C9} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [anvshell] anvshell.exe O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [uhicgrp] c:\winnt\system32\hkniog.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{D8ADD042-A583-494C-B0FB-2CE7F4F84F30}: NameServer = 139.165.32.13,139.165.16.1 O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINNT\svcproc.exe (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe Merci d'avance. J.