Mark

Ok, merci de ces informations détaillées ! Télécharge ce petit utilitaire créé par Doug Knox : http://www.dougknox.com/xp/utils/SysRestoreCalendar.zip ..et sauvegarde le sur ton Bureau. Dézippe l'outil (SysRestoreCalendar.exe)sur le Bureau, puis lance le ; clique "Repair" et ensuite redémarre. Dis moi si ça a marché

Salut José Bah Symantec s'expriment plutôt mal... Ton compte régulier, s'il a les pouvoirs Admin, fera très bien l'affaire. Si t'as pas les pouvoirs, demande à un autre utilisateur qui les a. Bon succès

BON ANNIVERSAIRE YANN !!!!!!!!!!!!! Profite bien de ta journée !!

LOL !! Non-non, tu gardes Avast!, car c'est un antivirus, et Spy Sweeper est un nettoyeur de trojans/spywares. La protection "résidente" (Shield) de ces deux programmes ne causent pas de conflits (j'ai les deux sur ma bécane !!). Content de voir que ces clés MSEvents ne te causent plus de soucis !! (et à moi non plus !! ). Ok, qu'en est-il des autres dysfonctionnements ? Pourrais tu m'expliquer chacun d'entre eux ? (sauf les comptes utilisateurs, car tu as déjà expliqué l'erreur générée).. Si tu peux mettre des captures d'écran...mais je ne te demande pas l'impossible !!

Ok, assurons nous que ton PC est vraiment propre avant d'entreprendre des restaurations pour ces problèmes système. Je veux m'assurer que tu n'as pas des tonnes de fichiers temporaires qui polluent ton ordi, alors je te fais passer CCleaner : Télécharge CCleaner et installe le. Lance le en double cliquant sur CCleaner.exe Ajoute les raccourcis à ta Corbeille (qui permettent de lancer CCleaner avec clic-droit sur celle-ci). -=Suppression des fichiers temporaires=- Va dans la section "Options" situé dans la marge gauche. Va dans "Avancé" et décoche "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Clique sur "Nettoyeur" (à gauche). Clique sur le bouton Lancer le Nettoyage Patiente quelques secondes afin de permettre à l'outil de bosser. Ferme le lorsque le nettoyage est terminé. Note : Il est important de passer CCleaner avec les options par défaut seulement. Ne va pas dans la section "Erreurs", car ça peut être dangeureux (pour experts seulement !!!). ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Maintenant ; tu avais tenté de scanner avec Spy Sweeper en début de fix, et ça avait planté. On va réessayer !! Va dans le Panneau de Config >> Ajout/Suppression des programmes, et désinstalle Spy Sweeper si tu le vois dans la liste (pas grave s'il n'y est plus !). Webroot viennent tout juste de lancer une version d'essai de 90 jours, alors ça vaut la peine de tenter la manip à nouveau : Télécharge SpySweeper (de Webroot) de ce lien (version d'essai de 90 jours) : http://www.webroot.com/land/90day.php Clique sur "90 Days Free - Download now" (à droite). Installe le programme. Une fois installé, il se lancera. L'option de le mettre à jour s'affichera; clic Yes. Lorsque les mises à jour seront installées, clic Options sur la gauche. Clic sur l'onglet Sweep Options. Sous What to Sweep, coche les options suivantes: Sweep Memory Sweep Registry Sweep Cookies Sweep All User Accounts Enable Direct Disk Sweeping Sweep Contents of Compressed Files Sweep for Rootkits DÉCOCHE Do not Sweep System Restore Folder. [*]Clic Sweep Now sur la gauche. [*]Clic sur Start. [*]Quand le scan est terminé, clic sur Next. [*]Assure-toi que tous les items sont cochés, puis clic sur Next. [*]Tous les items cochés seront éliminés. [*]Si Spy Sweeper veut redémarrer pour terminer le nettoyage : ACCEPTE. [*]Clic Session Log au haut - à droite, et copie tout ce qu'il y a dans la fenêtre. [*]Clic sur l'onglet Summary, puis clic sur Finish. [*]Colle le contenu du "Session Log" dans ta prochaine réponse. Poste un nouveau rapport HijackThis! également. @+ tard

Bonsoir John, et désolé pour le délai Virtumonde est un spyware (trojan) assez féroce, qui te produit beaucoup de popups et de ralentissements ; il est donc important de l'éradiquer. Dans ton cas, il était déjà neutralisé lorsque ti t'es présenté ici, mais il y avait d'autres infections coriaces. Ces clés MSEvents détectées n'étaient pas dangeureuses, mais seulement des rebus de l'infection Vundo originale (clés orphelines). Pour ce qui est du parefeu Windows, de ta restauration et de l'accès aux comptes utilisateurs, ben ça sent effectivement la corruption de certains fichiers système (Windows). On peut tenter de réparer par contre Tu me parles de Zone Labs (parefeu Zone Alarm), mais toi tu as celui de Sygate (autre compagnie, très bon parefeu) ; est-il toujours en fonction ? Ok, prochaine étape, le System File Checker de Windows, qui peut réparer des fichiers système manquants ou corrompus. Le CD de Windows est obligatoire pour cette manip (si tu l'as pas, on passera à une autre étape). Clique sur "Démarrer" >> "Exécuter" ; tape ceci dans la boîte : sfc /scannow ..et clique OK (remarque l'espace après sfc). Le System File Checker va se lancer discrètement, et te demandera d'insérer la galette de XP. Laisse le bosser, et puis redémarre ton PC. Aucun rapport ne sera généré (dommage..). Tente d'accéder à la Restauration ; si tu réussis, désactive là. On verra pour la suite

Bonsoir John, et merci pour les manips ! As-tu eu une erreur qui s'affichait lors de la fusion du fichier .reg ? J'ai vu un ou deux cas semblables il y a quelques mois. Ce qui semble se produire c'est que, par un phénomène inexpliqué, les droits d'accès à ces clés de registre ont été modifiés, dont tu ne peux les virer à la régulière. J'avais une manip avec RegLite (plutôt rigolotte...), mais l'outil a changé, et tout est en Anglais, donc je devrai bosser un peu afin de préparer quelque chose de potable. Ton infection n'est plus active, donc le temps nous presse un peu moins maintenant. Donne moi une journée ou deux, pis je reviendrai avec la technique. À très bientôt

Salut schpountz, salut Charles Pour le rapport d'Ewido : quand tu étais en Sans Échec, avais tu choisi ton compte usuel ou bien "Administrateur" ? Si t'étais en "Admin", ben le rapport est dans ces "Mes Documents" (pas dans les tiens). Si tu as plus d'un seul compte utilisateur de configurer, ben tu peux redémarrer le PC et quand tu te trouves à l'écran d'accueil, tu fais "CTRL+ALT+SUPP+SUPP" ; dans la boîte de login (style Windows 2000), entre Administrateur et rien pour le mot de passe (si t'en as pas) et valide. Trouve le rapport Ewido et déplace le dans "Tes Documents" par l'Explorateur Windows, puis quitte cette session. Si t'as juste un compte de configurer, ben tu devras récupérer le rapport en Sans Échec, et le déplacer dans ton compte (par l'Explorateur Windows). En espérant que ça aide un peu ?..

Merci ! Étrange... car même les gens d'Ewido suggèrent Blacklight pour cette détection (avec de bons résultats..). Avant d'utiliser RootkitRevealer, je vais te faire passer un autre scan : Télécharge SpySweeper (de Webroot) de ce lien (version d'essai de 14 jours) : http://www.webroot.com/fr/products/spysweeper Clique sur "Essayer" afin de télécharger l'outil. Transporte le fichier d'installation sur ton PC malade (Bureau). Installe le programme. Une fois installé, il se lancera. L'option de le mettre à jour s'affichera; clic Yes. Lorsque les mises à jour seront installées, clic Options sur la gauche. Clic sur l'onglet Sweep Options. Sous What to Sweep, coche les options suivantes: Sweep Memory Sweep Registry Sweep Cookies Sweep All User Accounts Enable Direct Disk Sweeping Sweep Contents of Compressed Files Sweep for Rootkits DÉCOCHE Do not Sweep System Restore Folder. [*]Clic Sweep Now sur la gauche. [*]Clic sur Start. [*]Quand le scan est terminé, clic sur Next. [*]Assure-toi que tous les items sont cochés, puis clic sur Next. [*]Tous les items cochés seront éliminés. [*]Si Spy Sweeper veut redémarrer pour terminer le nettoyage : ACCEPTE. [*]Clic Session Log au haut - à droite, et copie tout ce qu'il y a dans la fenêtre. [*]Clic sur l'onglet Summary, puis clic sur Finish. [*]Colle le contenu du "Session Log" dans ta prochaine réponse.

Hmmm... Tu peux transporter un outil sur ce PC malade ? avec clé USB, disquette ou CD, car tu en auras besoin. Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau et colle le ensuite dans une clé USB ou disquette, etc... Sauvegarde l'outil sur le Bureau du PC infecté. Double-clique blbeta.exe et accepte la licence ; laisse [X]scan through Windows Explorer activé ; clique Scan puis Next Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres). Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

Salut Jufi, Jack et Charles , bonjour à toutes et à tous ; Jufi, Wareout t'a flanqué un Rootkit Essayons ceci pour ta connexion : Panneau de configuration >> Connexions réseau : fais un clic-droit sur ta connexion par défaut et clique ensuite sur "Propriétés" ; double-clique sur "Protocole Internet (TCP/IP)" et clique le bouton "Obtenir les adresses des serveurs DNS automatiquement" puis clique "Ok" et "Ok". Redémarre le PC et dis nous si ta connexion fonctionne. Je reviens avec instructions pour le rootkit d'ici 15 minutes...

Bonjour julf4, salut Charles Deux petits commentaires rapides : 1) Beau travail vous deux !! 2) Outil indésirable:Application/Processor No Désinfecté C:\WINDOWS\system32\Process.exe >> ActiveScan détecte maintenant un module de SmitfraudFix comme "indésirable" Faut simplement ignorer...

Ok, on y arrive !! Supprime le fichier vundo.reg s'il te plaît. Ouvre le Bloc Notes, puis copie tout le contenu de la boîte Code ci-bas (sans le mot Code), puis colle tout ça dans le fichier texte : REGEDIT4 [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents.1] Clique sur le menu "Fichier" >> "Enregistrer sous.." puis choisis le Bureau comme destination. Nomme le fichier vundo2.reg et change le Type: pour Tous les fichiers. Clique Enregistrer De ton Bureau, double clique le fichier vundo2.reg et accepte la fusion. Redémarre ton PC. Relance l'outil regsrch.vbs et recherche pour MSEvents à nouveau. Copie/colle le rapport dans ta prochaine réponse

Ok, on attaque MSEvents. L'outil Regsearch de Bobbi ne fouille pas dans la ruche HKCR, donc on va faire autrement. Je te fais passer un fix "standard" pour la bdr. Prends le temps de bien lire les instructions qui suivent avant de procéder. Ouvre le Bloc Notes, puis copie tout le contenu de la boîte Code ci-bas (sans le mot Code), puis colle tout ça dans le fichier texte : REGEDIT4 [-HKEY_CLASSES_ROOT\MSEvents.MSEvents.1] [-HKEY_CLASSES_ROOT\MSEvents.MSEvents] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44}] [-HKEY_CLASSES_ROOT\CLSID\{44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{39D2FC9B-041C-470E-AE72-F8C001247626}] [-HKEY_CLASSES_ROOT\CLSID\{39D2FC9B-041C-470E-AE72-F8C001247626}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF7FCAFB-9FDB-4F5E-BAC6-68BDEE61D6C6}] [-HKEY_CLASSES_ROOT\CLSID\{AF7FCAFB-9FDB-4F5E-BAC6-68BDEE61D6C6}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B8B55274-0F9A-41E5-9067-A3539BD9E860}] [-HKEY_CLASSES_ROOT\CLSID\{B8B55274-0F9A-41E5-9067-A3539BD9E860}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CBE0D59D-F985-4AC6-8826-FEE957065D42}] [-HKEY_CLASSES_ROOT\CLSID\{CBE0D59D-F985-4AC6-8826-FEE957065D42}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7BF451AC-2010-4804-B256-DB2F0A8D9EB6}] [-HKEY_CLASSES_ROOT\CLSID\{7BF451AC-2010-4804-B256-DB2F0A8D9EB6}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44}] "Compatibility Flags"=dword:00000400 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{39D2FC9B-041C-470E-AE72-F8C001247626}] "Compatibility Flags"=dword:00000400 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{AF7FCAFB-9FDB-4F5E-BAC6-68BDEE61D6C6}] "Compatibility Flags"=dword:00000400 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{B8B55274-0F9A-41E5-9067-A3539BD9E860}] "Compatibility Flags"=dword:00000400 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{CBE0D59D-F985-4AC6-8826-FEE957065D42}] "Compatibility Flags"=dword:00000400 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{7BF451AC-2010-4804-B256-DB2F0A8D9EB6}] "Compatibility Flags"=dword:00000400 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6DD0BC06-4719-4BA3-BEBC-FBAE6A448152}] [-HKEY_CLASSES_ROOT\CLSID\{6DD0BC06-4719-4BA3-BEBC-FBAE6A448152}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{6DD0BC06-4719-4BA3-BEBC-FBAE6A448152}] "Compatibility Flags"=dword:00000400 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{827DC836-DD9F-4A68-A602-5812EB50A834}] [-HKEY_CLASSES_ROOT\CLSID\{827DC836-DD9F-4A68-A602-5812EB50A834}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{827DC836-DD9F-4A68-A602-5812EB50A834}] "Compatibility Flags"=dword:00000400 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{52B1DFC7-AAFC-4362-B103-868B0683C697}] [-HKEY_CLASSES_ROOT\CLSID\{52B1DFC7-AAFC-4362-B103-868B0683C697}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{52B1DFC7-AAFC-4362-B103-868B0683C697}] "Compatibility Flags"=dword:00000400 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00DBDAC8-4691-4797-8E6A-7C6AB89BC441}] [-HKEY_CLASSES_ROOT\CLSID\{00DBDAC8-4691-4797-8E6A-7C6AB89BC441}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{00DBDAC8-4691-4797-8E6A-7C6AB89BC441}] "Compatibility Flags"=dword:00000400 Clique sur le menu "Fichier" >> "Enregistrer sous.." puis choisis le Bureau comme destination. Nomme le fichier vundo.reg et change le Type: pour Tous les fichiers. Clique Enregistrer De ton Bureau, double clique le fichier vundo.reg et accepte la fusion. Redémarre ton PC. Supprime l'outil Regsearch (le dossier), ainsi que le dossier téléchargé de l'outil (regsearch.zip). Télécharge l'outil Regsrch (de Billsway) de ce lien : http://www.billsway.com/vbspage/ Va tout au bas de la page et télécharge Registry Search Tool sur ton Bureau. Dézippe le contenu sur le Bureau (fichier Regsrch.vbs). Double clique sur ce fichier. Si ton antivirus t'averti qu'un script tente de s'exécuter, accepte. Dans la boîte de recherche, tape (ou copie/colle) ceci : MSEvents ..et click OK. Sois patient et tu verras le résultat de recherche apparaître. Clique OK et un fichier texte s'ouvrira. Copie/colle le contenu de ce fichier ici, dans ta prochaine réponse. @ Plus tard

Bien reçu, et Merci Voici donc les rapports : --------------------------------------------------------- ewido anti-malware - Rapport de scan --------------------------------------------------------- + Créé le: 12:24:58, 09/01/2006 + Somme de contrôle: ECE4EAF6 + Résultats du scan: HKLM\SOFTWARE\Classes\MSEvents.MSEvents -> Spyware.VirtuMonde : Erreur durant le nettoyage HKLM\SOFTWARE\Classes\MSEvents.MSEvents\CLSID -> Spyware.VirtuMonde : Erreur durant le nettoyage HKLM\SOFTWARE\Classes\MSEvents.MSEvents\CurVer -> Spyware.VirtuMonde : Erreur durant le nettoyage HKLM\SOFTWARE\Classes\MSEvents.MSEvents.1 -> Spyware.VirtuMonde : Erreur durant le nettoyage C:\Program Files\Comureus\Cache\00004823_43a289d8_000c4994.mwt -> Downloader.IstBar.j : Nettoyer et sauvegarder ::Fin du rapport Voila le rapport de RegSearch: REGEDIT4 ; Registry Search by Bobbi Flekman ; Version: 1.0.2.1 ; Results at 09/01/2006 20:03:55 for strings: ; 'msevents' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{00063077-0000-0000-C000-000000000046}] @="ItemsEvents" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents\CLSID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents\CurVer] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents\CurVer] @="MSEvents.MSEvents.1" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents.1] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents.1\CLSID] ; End Of The Log... Et HijackThis: Logfile of HijackThis v1.99.1 Scan saved at 20:08:57, on 09/01/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Program Files\ewido anti-malware\ewidoctrl.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe C:\Program Files\MessengerPlus! 3\MsgPlus1.exe C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe C:\WINDOWS\system32\VTTimer.exe C:\WINDOWS\system32\VTtrayp.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Shareaza\Shareaza.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus1.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\googletoolbar.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\googletoolbar.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\googletoolbar.dll/cmcache.html O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\googletoolbar.dll/cmsimilar.html O8 - Extra context menu item: Translate into English - res://C:\Program Files\Google\googletoolbar.dll/cmtrans.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540013} - http://adserver.sharewareonline.com/adserver/Install.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1128709150617 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{413A4BAE-C6B7-47B2-BAB0-08F5129CBB0F}: NameServer = 80.118.196.41 80.118.192.111 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe J'analyse le tout. J'ai un peu de recherche à faire... Réponse bientôt..

Bonjour John Ne t'en fais pas pour ces clés MSEvents ; normal qu'Ewido s'y bute. J'aime bien Ewido car il est puissant, mais pas 300+ que les autres !! Non... il t'a détecté pleins de cookies qui ne sont pas réellement méchants, mais pas gentils-gentils non plus !! Tu chopes des cookies lorsque tu surfes, cé normal (quasiment tous les sites en installe sur ton PC). J'aurais dû te refaire passer Easy Cleaner avant Ewido... pas grave... Bon, le rapport d'Ewido est incomplet (trop long pour notre forum..), alors j'aimerais que tu me l'envoies par email à l'adresse suivante : nubhelperAAgmail.com (remplace AA par @ bien entendu). Merci Maintenant, pourrais tu me poster ce rapport du RegSearch s'il te plaît, avec un nouveau rapport HijackThis! également ? Thanks..

Salut lainlain Bizarre cette erreur avec eScan Ça m'est arrivé une fois quand ma version était périmée. As-tu déjà utilisé eScan ? Pour vérifier, cherche et supprime ces dossiers, s'ils existent : C:\Kaspersky C:\Downloads C:\Bases Supprime mwav.exe que tu viens de télécharger, puis recommence avec les instructions de Charles. Dis nous si ça fonctionne ! Edit : je viens de tout supprimer eScan sur ma bécane, puis réinstaller à neuf. Tout fonctionne bien.

Salut John77 Ok, nous allons fouiller et trouver ces clés de Virtumonde, puis les supprimer. Pour ce qui est de la restauration système, ben attendons que ton PC soit complètement propre avec d'y aller, car y faudra la désactiver de toute façon Le pare-feu ? Ah ben tu utilises déjà Sygate (comme moi - excellent !), donc il ne faut pas activer celui de Windows (jamais deux firewalls activés en même temps... ça cause des conflits..). Bon, quelques petits scans maintenant ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Imprime ces instructions (ou colle les dans un fchier texte, pour lecture en Sans Échec). Télécharge la version d'essai d'Ewido Anti-Malware ici : http://www.ewido.net/fr/ ..et installe le (Important: pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu"). Démarre Ewido avec l'icône qui se trouve sur ton Bureau. Clique sur mise à jour, attendre la fin de cette mise à jour puis, ferme le programme. Du mode Sans Échec, relance Ewido et clique sur scanner puis sur scan complet du système. Si des fichiers infectés sont trouvés, garde l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et coche "Effectuer cette action avec toutes les infections". A la fin du scan, sauvegarde le rapport (Fichier/Enregistrer sous...) sur le Bureau. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Télécharge RegSearch.exe (Registry Search de Bobbi Flekman) -> http://www.bleepingcomputer.com/files/misc/regsearch.zip - dézippe dans un répertoire dédié tel que C:\Program Files - double clique sur RegSearch.exe - copie colle ceci dans la première ligne de la zone de recherche : MSEvents - rien dans la deuxième ligne de la zone de recherche - clique sur OK - après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées - le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch - copie-colle le contenu de la fenêtre dans un post, ici - ferme le bloc-notes - ferme RegSearch par Cancel ... et poste un tout nouveau rapport HijackThis! également, et celui d'Ewido aussi !. @plus tard

Bonjour John77 Ton rapport est quasi propre maintenant ; merci d'avoir eu la patience de compléter ces scans et manips !! Bon, eScan a éradiqué plusieurs fichiers viraux dans tes points de restauration, quelques trojans actifs et ces fameux fichiers Eicar (qui ne sont pas dangeureux effectivement, mais codés comme des virus ). Avast! est très bon (c'est celui que j'utilise) ; si tu le maintiens à jour et surf avec vigilance, ça devrait suffire. eScan est un scanneur antivirus "sur demande" seulement, donc il ne te protège pas en temps réel ; il est très puissant cependant, et tu peux le conserver comme outil d'appoint. Il ne bouffe aucunes ressources et ne gênera pas ton antivirus résident. Ok, lance HijackThis! et clique "Do a system scan only", puis coche cette ligne ; ferme tous les autres programmes (navigateur compris) et clique "Fix checked" : R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank Ferme HijackThis!. Maintenant, tu peux essayer Spy Sweeper à nouveau ; lance un scan en mode Normal, et dis nous si ça fonctionne cette fois. Poste le rapport généré ici (je suis curieux...). Edit : Oups, je vois que tu as désinstallé Spy Sweeper !! Laisse tomber alors... Lance également SpyBot à nouveau et dis nous s'il détecte toujours des clés MSEvents ; si oui, on fouillera dans la bdr avec un outil puis on les éliminera

Télécharge Killbox (par Option^Explicit) sur ton Bureau. Double-clique killbox.exe. Choisis l'option "Delete on reboot". Copie le texte en gras ci-bas : C:\WINDOWS\System32\luvjrqys.dll C:\WINDOWS\System32\jmnmp.ini2 C:\WINDOWS\System32\jmnmp.bak2 C:\WINDOWS\System32\jmnmp.bak1 C:\WINDOWS\System32\jmnmp.tmp C:\WINDOWS\System32\jmnmp.ini C:\WINDOWS\System32\ms32.pif C:\WINDOWS\System32\msnq3insller.exe C:\WINDOWS\lgakkx.exe C:\WINDOWS\gvhvey.exe Clique sur le menu 'File' (en haut à gauche) et choisis Paste from clipboard Tous les fichiers doivent maintenant apparaître dans la boîte "Full Path of File to Delete". Si tu cliques sur la petite flèche à droite de cette boîte, tu devrais y voir tous les fichiers collés ! Clique sur le bouton : All Files (!important!) Clique maintenant sur le bouton Kill (cercle rouge avec un X blanc) Killbox va te demander "Would like to Reboot now ?", clique YES et attends le redémarrage. Si tu ne reçois pas ce message, redémarre le PC normalement. Lance HijackThis! et clique "Do a system scan only" ; coche toutes les lignes suivantes (si elles existent toujours), ferme tous les programmes et fenêtres autres que HijackThis! puis clique "Fix checked" : R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {9275aef3-594a-4bef-a1ce-2b254561ff40} - C:\WINDOWS\system32\luvjrqys.dll O2 - BHO: (no name) - {a34519bd-f316-4324-8e74-92c2ea1b01c7} - C:\WINDOWS\system32\luvjrqys.dll O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing) O4 - HKLM\..\Run: [Windows Security] ms32.pif O4 - HKLM\..\Run: [MS Unix Binary] msnq3insller.exe O4 - HKLM\..\Run: [TSJs9] C:\WINDOWS\lgakkx.exe O4 - HKLM\..\Run: [VtpESEDbI] C:\WINDOWS\gvhvey.exe O4 - HKLM\..\RunServices: [Windows Security] ms32.pif O4 - HKLM\..\RunServices: [MS Unix Binary] msnq3insller.exe O4 - HKCU\..\Run: [Windows Security] ms32.pif O4 - HKCU\..\Run: [MS Unix Binary] msnq3insller.exe O4 - HKCU\..\RunServices: [Windows Security] ms32.pif O20 - Winlogon Notify: pmnmj - C:\WINDOWS\System32\pmnmj.dll (file missing) Ferme HijackThis!. Tu peux désinstaller "VirusKeeper", car deux antivirus qui roulent en même temps ça cause des problèmes et tu es moins protégé qu'avec un seul ; Avast! est supérieur ! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Un dernier scan : eScan Antivirus Toolkit ; imprime ces instructions, ou colle les dans un fichier texte pour lecture en Sans Échec. Étape 1: Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau. Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2. Étape 2: Voici comment mettre l'outil à jour : 1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (Kaspersky) situé à la racine du lecteur C:\ (C:\Kaspersky.). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit"). 2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes. 3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer. Ne pas lancer le scan tout de suite ! Étape 3: Redémarre en mode Sans Échec Étape 4: Du mode Sans Échec, voici comment utiliser le programme : 1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky 2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran. 3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services. 4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\. 5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files. 6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite ! 7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum. Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse, avec un tout nouveau log HijackThis! également. On verra pour la suite

Bonjour John77 ; Spy Sweeper crash très rarement ; difficile de dire ce qui s'est passé dans ton cas. Ton PC est infecté par quelque chose de nouveau, donc ça pourrait expliquer. J'analyse ton rapport, et réponse dans 20 à 30 minutes

Ben là je comprends pas... Personne ne t'en veut maintenant !!! Tout le monde a dit bonjour, et Jack te présente un début de fix, alors qu'est ce qui ne va pas ??? Si Tenga est bien présent sur ta bécane, ben il a tendance à détruire des fichiers exécutables, alors tu devrais poursuivre ici..

Bonne soirée du 31 rafos, et bon réveillon à toutes et à tous Ok, merci pour la rapport Panda (qui a bien bossé !), et merci pour le rapport d'Ewido Pour ce Web-Nexus qui apparaît dans le Panneau de config ; lance HijackThis! et clique sur "Open the Misc Tools section", puis clique sur "Open Uninstall Manager" ; clique une fois sur Web Nexus et clique sur le bouton "Delete this entry". Ferme HijackThis! Il ne reste que quelques fichiers à virer, alors voici : Télécharge Killbox (par Option^Explicit) sur ton Bureau. Double-clique killbox.exe. Choisis l'option "Delete on reboot". Copie le texte en gras ci-bas : C:\WINDOWS\autoheal.exe C:\WINDOWS\Downloaded Program Files\bridge.inf C:\WINDOWS\drsmartload.dat C:\WINDOWS\inf\twaintec.inf C:\WINDOWS\system32\atmtd.dll C:\WINDOWS\system32\exclean.exe C:\WINDOWS\system32\tsuninst.exe C:\WINDOWS\twaintec.ini Clique sur le menu 'File' (en haut à gauche) et choisis Paste from clipboard Tous les fichiers doivent maintenant apparaître dans la boîte "Full Path of File to Delete". Si tu cliques sur la petite flèche à droite de cette boîte, tu devrais y voir tous les fichiers collés ! Clique sur le bouton : All Files (!important!) Clique maintenant sur le bouton Kill (cercle rouge avec un X blanc) Killbox va te demander "Would like to Reboot now ?", clique YES et attends le redémarrage. Si tu ne reçois pas ce message, redémarre le PC normalement. Dis moi si ton PC a toujours des dysfonctionnements ! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ J'en profite pour poster ton rapport Ewido (sans les cookies), car certain(e)s aimeront visualiser le travail accompli ! : --------------------------------------------------------- ewido anti-malware - Rapport de scan --------------------------------------------------------- + Créé le: 13:08:33, 30/12/2005 + Somme de contrôle: 75EDB311 + Résultats du scan: HKLM\SOFTWARE\180solutions -> Spyware.180Solutions : Nettoyer et sauvegarder HKLM\SOFTWARE\Classes\CLSID\{14D2CFFE-6656-4BEC-8D9E-DDE6F2D4EAE5} -> Spyware.BlazeFind : Nettoyer et sauvegarder HKLM\SOFTWARE\Classes\CLSID\{6EC11407-5B2E-4E25-8BDF-77445B52AB37} -> Spyware.VX2 : Nettoyer et sauvegarder HKLM\SOFTWARE\Classes\CLSID\{80BB7465-A638-43B5-9827-8E8FE38DFCC1} -> Spyware.BlazeFind : Nettoyer et sauvegarder HKLM\SOFTWARE\Classes\CLSID\{83DE62E0-5805-11D8-9B25-00E04C60FAF2} -> Spyware.BlazeFind : Nettoyer et sauvegarder HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{6EC11407-5B2E-4E25-8BDF-77445B52AB37} -> Spyware.VX2 : Nettoyer et sauvegarder HKLM\SOFTWARE\Classes\Interface\{8EEE58D5-130E-4CBD-9C83-35A0564E1357} -> Spyware.NaviSearch : Nettoyer et sauvegarder HKLM\SOFTWARE\Classes\Interface\{8EEE58D5-130E-4CBD-9C83-35A0564EA119} -> Spyware.CashBack : Nettoyer et sauvegarder HKLM\SOFTWARE\Classes\Interface\{B88A3AF1-4F1B-4400-8FFB-3FCB108CE115} -> Spyware.BlazeFind : Nettoyer et sauvegarder HKLM\SOFTWARE\Classes\Interface\{C6906A23-4717-4E1F-B6FD-F06EBED11357} -> Spyware.NaviSearch : Nettoyer et sauvegarder HKLM\SOFTWARE\Classes\Jao.jao -> Spyware.BlazeFind : Nettoyer et sauvegarder HKLM\SOFTWARE\Classes\Jao.jao\CLSID -> Spyware.BlazeFind : Nettoyer et sauvegarder HKLM\SOFTWARE\Classes\Jao.jao\CurVer -> Spyware.BlazeFind : Nettoyer et sauvegarder HKLM\SOFTWARE\Classes\Jao.jao.1 -> Spyware.BlazeFind : Nettoyer et sauvegarder HKLM\SOFTWARE\Classes\TypeLib\{4EB7BBE8-2E15-424B-9DDB-2CDB9516C2E3} -> Spyware.NaviSearch : Nettoyer et sauvegarder HKLM\SOFTWARE\Classes\TypeLib\{C094876D-1B0E-46FA-B6A6-7FFC0F970C27} -> Spyware.BlazeFind : Nettoyer et sauvegarder HKLM\SOFTWARE\eXactUtil -> Spyware.BargainBuddy : Nettoyer et sauvegarder HKLM\SOFTWARE\msbb -> Spyware.180Solutions : Nettoyer et sauvegarder HKLM\SYSTEM\CurrentControlSet\Control\Video\{007EED16-902E-4917-95E9-792B7F64B3C8}\0000\\DALRULE_MACROVISIONINFOREPORT -> Spyware.BonziBuddy : Nettoyer et sauvegarder HKU\S-1-5-21-3696935960-1978221919-1273940498-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{000020DD-C72E-4113-AF77-DD56626C6C42} -> Spyware.TwainTech : Nettoyer et sauvegarder HKU\S-1-5-21-3696935960-1978221919-1273940498-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83DE62E0-5805-11D8-9B25-00E04C60FAF2} -> Spyware.BlazeFind : Nettoyer et sauvegarder HKU\S-1-5-21-3696935960-1978221919-1273940498-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9C691A33-7DDA-4C2F-BE4C-C176083F35CF} -> Spyware.WinFavorites : Nettoyer et sauvegarder HKU\S-1-5-21-3696935960-1978221919-1273940498-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} -> Spyware.BargainBuddy : Nettoyer et sauvegarder HKU\S-1-5-21-3696935960-1978221919-1273940498-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} -> Spyware.BargainBuddy : Nettoyer et sauvegarder HKU\S-1-5-21-3696935960-1978221919-1273940498-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F4E04583-354E-4076-BE7D-ED6A80FD66DA} -> Spyware.BargainBuddy : Nettoyer et sauvegarder HKU\S-1-5-21-3696935960-1978221919-1273940498-1005\Software\msbb -> Spyware.180Solutions : Nettoyer et sauvegarder [796] c:\program files\fichiers communs\microsoft shared\web folders\ibm00001.dll -> Trojan.Agent.bu : Nettoyer et sauvegarder [932] c:\program files\fichiers communs\microsoft shared\web folders\ibm00002.dll -> Logger.Small.dg : Nettoyer et sauvegarder [1620] c:\program files\fichiers communs\microsoft shared\web folders\ibm00002.dll -> Logger.Small.dg : Erreur durant le nettoyage C:\Documents and Settings\Rafy\Bureau\l2mfix\backup.zip/dlls/dFdim700.dll -> Spyware.Look2Me : Nettoyer et sauvegarder C:\Documents and Settings\Rafy\Bureau\l2mfix\backup.zip/dlls/dnrgui.dll -> Spyware.Look2Me : Nettoyer et sauvegarder C:\Documents and Settings\Rafy\Bureau\l2mfix\backup.zip/dlls/lv4009hme.dll -> Spyware.Look2Me : Nettoyer et sauvegarder C:\Documents and Settings\Rafy\Bureau\l2mfix\backup.zip/dlls/lv4409hqe.dll -> Spyware.Look2Me : Nettoyer et sauvegarder C:\Documents and Settings\Rafy\Bureau\l2mfix\backup.zip/dlls/maieftp.dll -> Spyware.Look2Me : Nettoyer et sauvegarder C:\Documents and Settings\Rafy\Bureau\l2mfix\backup.zip/dlls/mzaudite.dll -> Spyware.Look2Me : Nettoyer et sauvegarder C:\Documents and Settings\Rafy\Bureau\l2mfix\backup.zip/dlls/srdoclc.dll -> Spyware.Look2Me : Nettoyer et sauvegarder C:\Documents and Settings\Rafy\Bureau\l2mfix\dlls\dFdim700.dll -> Spyware.Look2Me : Nettoyer et sauvegarder C:\Documents and Settings\Rafy\Bureau\l2mfix\dlls\dnrgui.dll -> Spyware.Look2Me : Nettoyer et sauvegarder C:\Documents and Settings\Rafy\Bureau\l2mfix\dlls\lv4009hme.dll -> Spyware.Look2Me : Nettoyer et sauvegarder C:\Documents and Settings\Rafy\Bureau\l2mfix\dlls\lv4409hqe.dll -> Spyware.Look2Me : Nettoyer et sauvegarder C:\Documents and Settings\Rafy\Bureau\l2mfix\dlls\maieftp.dll -> Spyware.Look2Me : Nettoyer et sauvegarder C:\Documents and Settings\Rafy\Bureau\l2mfix\dlls\mzaudite.dll -> Spyware.Look2Me : Nettoyer et sauvegarder C:\Documents and Settings\Rafy\Bureau\l2mfix\dlls\srdoclc.dll -> Spyware.Look2Me : Nettoyer et sauvegarder C:\Program Files\AVPersonal\INFECTED\adtech2006a.VIR -> Hijacker.VB.kc : Nettoyer et sauvegarder C:\Program Files\AVPersonal\INFECTED\H9XAIPWH.COM.VIR -> Worm.Bagle.at : Nettoyer et sauvegarder C:\Program Files\AVPersonal\INFECTED\KCLGJ6SX.PIF.VIR -> Worm.Bagle.G : Nettoyer et sauvegarder C:\Program Files\AVPersonal\INFECTED\PYYIWI.EXE.VIR -> Downloader.Qoologic.at : Nettoyer et sauvegarder C:\Program Files\AVPersonal\INFECTED\pyyiwi.VIR -> Downloader.Qoologic.at : Nettoyer et sauvegarder C:\Program Files\AVPersonal\INFECTED\sywsvcs.VIR -> Proxy.Lager.f : Nettoyer et sauvegarder C:\Program Files\AVPersonal\INFECTED\timessquare.VIR -> Hijacker.StartPage.aw : Nettoyer et sauvegarder C:\Program Files\AVPersonal\INFECTED\timessquare.VIR00 -> Hijacker.StartPage.aw : Nettoyer et sauvegarder C:\Program Files\AVPersonal\INFECTED\uqwrm.VIR -> Downloader.TSUpdate.n : Nettoyer et sauvegarder C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.dll -> Trojan.Agent.bu : Nettoyer et sauvegarder C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe -> Trojan.Zapchast.ad : Nettoyer et sauvegarder C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00002.dll -> Logger.Small.dg : Nettoyer et sauvegarder C:\Program Files\Fichiers communs\Sony Shared\Visualizer\ExlGen.dll -> Dialer.Generic : Nettoyer et sauvegarder C:\RECYCLER\S-1-5-21-3696935960-1978221919-1273940498-1005\Dc3\uqwrd\uqwrc.dll -> Downloader.Small : Nettoyer et sauvegarder C:\RECYCLER\S-1-5-21-3696935960-1978221919-1273940498-1005\Dc4\asappsrv.dll -> Spyware.CommAd : Nettoyer et sauvegarder C:\RECYCLER\S-1-5-21-3696935960-1978221919-1273940498-1005\Dc4\command.exe -> Adware.CommAd : Nettoyer et sauvegarder C:\WINDOWS\hosts -> Trojan.Qhost.el : Nettoyer et sauvegarder C:\WINDOWS\system32\apuc.dll -> Spyware.BargainBuddy : Nettoyer et sauvegarder C:\WINDOWS\system32\bbchk.exe -> Spyware.BargainBuddy : Nettoyer et sauvegarder C:\WINDOWS\system32\drivers\i386p.sys -> Not-A-Virus.SpamTool.Win32.Mailbot.b : Nettoyer et sauvegarder C:\WINDOWS\system32\exdl.exe -> Spyware.BargainBuddy : Nettoyer et sauvegarder C:\WINDOWS\system32\exdl0.exe -> Spyware.BargainBuddy : Nettoyer et sauvegarder C:\WINDOWS\system32\exul.exe -> Spyware.BargainBuddy : Nettoyer et sauvegarder C:\WINDOWS\system32\instsrv.exe -> Spyware.BargainBuddy : Nettoyer et sauvegarder C:\WINDOWS\system32\javexulm.vxd -> Spyware.BargainBuddy : Nettoyer et sauvegarder C:\WINDOWS\system32\kggef.dll -> Downloader.Small : Nettoyer et sauvegarder C:\WINDOWS\system32\mqexdlm.srg -> Spyware.BargainBuddy : Nettoyer et sauvegarder C:\WINDOWS\system32\msctl32.dll -> Not-A-Virus.SpamTool.Win32.Mailbot.q : Nettoyer et sauvegarder C:\WINDOWS\system32\netut80ex.vxd/C:/WINDOWS/system32/exdl.exe -> Spyware.BargainBuddy : Nettoyer et sauvegarder C:\WINDOWS\system32\netut80ex.vxd/C:/WINDOWS/system32/mqexdlm.srg -> Spyware.BargainBuddy : Nettoyer et sauvegarder C:\WINDOWS\system32\netut80ex.vxd/C:/WINDOWS/system32/exul.exe -> Spyware.BargainBuddy : Nettoyer et sauvegarder C:\WINDOWS\system32\netut80ex.vxd/C:/WINDOWS/system32/javexulm.vxd -> Spyware.BargainBuddy : Nettoyer et sauvegarder C:\WINDOWS\system32\netut80ex.vxd/C:/WINDOWS/system32/bbchk.exe -> Spyware.BargainBuddy : Nettoyer et sauvegarder C:\WINDOWS\system32\netut80ex.vxd/C:/WINDOWS/system32/msexreg.exe -> Spyware.BargainBuddy : Nettoyer et sauvegarder C:\WINDOWS\system32\netut80ex.vxd/C:/WINDOWS/system32/instsrv.exe -> Spyware.BargainBuddy : Nettoyer et sauvegarder C:\WINDOWS\system32\paradise.raw -> Proxy.Lager.f : Nettoyer et sauvegarder C:\WINDOWS\system32\wqqap.dat -> Downloader.Qoologic.at : Nettoyer et sauvegarder C:\WINDOWS\twaintec.dll -> Spyware.BiSpy : Nettoyer et sauvegarder ::Fin du rapport

Merci Tornado noetil : Salut ! Tu es venu au bon endroit ! Nous allons utilisé un outil spécialement conçu pour cette peste de Vundo. Il arrive que le mode Sans Échec ne fonctionne pas avec celle-ci présente (pas grave..). Suis d'abord les instructions de Tornado, et puis on attaquera kiki1968 : boucle ta ceinture et regarde... pas besoin de formater pour cette infection !

C'est parfait Ewido lui a fait la peau à ce Qoologic ; il ne reste qu'une clé de registre orpheline. Ouvre un fichier texte (du Bloc Notes) et copie le contenu de la boîte Code ci-dessous (sans le mot Code), puis colle le dans le fichier texte : REGEDIT4 [HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers] "mggnfnnq"=- Du menu "Fichier", choisis "Enregistrer sous..." et nomme le Qoofix.reg De la boîte "Type" (juste en-dessous du nom), choisis "Tous les fichiers" et sauvegarde le sur ton Bureau. Double-clique sur Qoofix.reg et accepte la fusion. Fais un ActiveScan en ligne chez Panda à partir du lien suivant : http://www.pandasoftware.com/activescan/fr...n_principal.htm ...clique sur "Analyser votre PC". Ce scan exige Internet Explorer, et tu devras accepter l'installation d'un contrôle ActiveX. À la fin du scan, prière de sauvegarder le rapport généré. J'aimerais bien voir ton rapport Ewido... celui de 355 lignes Pourrais-tu me l'envoyer (zippé) ? : nubhelperAAgmail.com (remplace AA par @ bien entendu). Merci Ah oui ; tu peux poster ton rapport d'ActiveScan ici, dans ta prochaine réponse. On t'enlèvera ce Web-Nexus du Panneau de Contrôle dans le prochain post !