Fichier introuvable

Eric -  
 Eric -
Bonjour,

J'ai été attaqué par un Download.Trojan et un win32.spybot.worm.

J'ai réussi à tuer 11 fichiers sur 12 et voici les résultats de mon dernier scan anti virus :

C:\WINDOWS\Downloaded Program Files\ISTactivex.dll est contaminé par Adware.Istbar

Je cherche le fichier depuis hier, je pensai même l'avoir trouver et enlever (y compris de la racine) mais il est toujours là.

Je n'ai plus de solution possible à ma connaissance, pour le moment, aussi j'aimerai un petit peu d'aide...

Merci d'avance
Eragon

14 réponses

  1. Teddy-Bear Messages postés 759 Statut Membre 91
     
    Bonsoir,

    Tu fait démarrer exécuter
    tu tape :

    regsvr32.exe /u c:/windows/system32/ISTactivex.dll

    ou

    regsvr32 -u c:/windows/system32/ISTactivex.dll
    0
  2. Eric
     
    Je viens d'effectuer la commande et ça me répond "loadlibrary a échoué - le module spécifié est introuvable.

    Et pourtant il est détecter en fichier infecté
    0
  3. Marcellus
     
    As-tu désactivé la restauration système ?
    [Clic droit sur Poste de travail->propriétés ->Restauration système ->désactiver sur tous les lecteurs]

    Tu utilise quel antivirus?
    0
  4. Eric
     
    La restauration système est bien désactivée.
    Mon antivirus c'est Norton.
    et j'analyse en ligne par le site symantec depuis 3 jours. C'est avec eux que le fichier ressort. Et c'est grace à eux que j'ai supprimer les autres fichiers.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    mode sans echec et assure toi de ceci et tu devrait le trouver
    Affiche tous les fichiers et dossiers :
    cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
    Cocher afficher les dossiers cacher
    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
    Puis fais «Ok» pour valider les changements.
    Décocher masquer les extensions dont le type est connu
    Et appliquer
    0
  7. Eric
     
    J'en ai marre, je ne le trouve pas...

    voici ce que j'ai trouvé sur le registre comme trace
    HKEY_USERS/HKEY_USERS\S-1-5-21-790525478-436374069-1343024091-500/software/microsoft/windows/explorer/menu order/runmru
    regsvr32.exe /u c:/windows/system32/ISTactivex.dll\1

    Et voici ce que donne la dernière recherche anti virus par symantec.
    Norton lui continu de ne rien trouver.
    Pourtant hier j'étais de nouveau bloqué sur l'accès internet. Et ce matin en allumant l'ordinateur sans connexion, j'ai eu la joie de voir apparaître 63 fenêtres internet.

    j'ai réussi à nettoyer en virant les temp, cookies, fichier à 0 octet, et autres suspects que j'avais déjà viré.
    C:\WINDOWS\Downloaded Program Files\ISTactivex.dll est contamin?ar Adware.Istbar

    A part passé l'ordinateur par la fenêtre, quelle solution me reste-t-il ?
    Bonne journée
    0
  8. Utilisateur anonyme
     
    b'jour,

    Commence par utiliser des vrais anti-spywares et pas des anti-virus pour supprimer des spys

    télécharger Ad-aware.SE/ Spybot.s&d 1.3
    les 2!! <-- c'est le minimum a avoir dans une machine/gratuits d'utilisations/complémentaires et efficaces
    http://www.lavasoftusa.com/software/adaware/
    http://www.safer-networking.org/fr/index.html

    * le tuto ad-aware :
    **http://41822.aceboard.net/41822-232-6216-0-Tutorial-Aware-Personal.htm
    * les tutos spybot 1.3 : http://tomcoyote.com/SPYBOT/indexfr.php
    **http://assiste.free.fr/p/internet_utilitaires/spybot_search_destroy.php

    Rajoute
    a² d'Emisoft (anti-trojans à dl pour 30 jours d'essai)
    http://www.emsisoft.net/fr/software/download/

    SpySweeper 1.3/anti-spywares (30 jours d'essai)<--si tu n'en veux qu'un en essai, je te conseille celui-là
    http://www.webroot.com/fr/index.php
    http://www.webroot.com/

    Effectue TOUS les scans -Hors connexion!! - avec chacun d'eux

    Ensuite fait un log Hijackthis, le spyware Istbar est une vraie m**de à virer parfois ...

    http://www.zebulon.fr/articles/HijackThis.php

    (screenshot)
    http://www.bleepingcomputer.com/forums/index.php?showtutorial=42
    http://www.ordi-netfr.org/tutorialhijackthis.html <- en français

    - Le mettre dans 1 dossier ex: C:\HijackThis
    - Le lancer -> Scan -> Save log
    - Récupérer ce log/texte avec le bloc-notes.
    - Le copier/coller ici

    @+
    0
  9. Eric
     
    Voici le rapport de scan antivirus, je suis de plus en plus perplexe.
    A qui puis-je faire confiance, à symantec, à norton à ravantivirus...

    Scan started at 13/02/2005 13:10:27

    Scanning memory...
    Scanning boot sectors...
    Scanning files...

    Scanned
    ============================
    Objects: 11126
    Directories: 1003
    Archives: 1163
    Size(Kb): -1904342
    Infected files: 0

    Found
    ============================
    Viruses found: 0
    Suspicious files: 0
    Disinfected files: 0
    Mail files: 147
    0
  10. Utilisateur anonyme
     
    ok les rapports sont clean mais si tu dis que tu trouves encore des traces d'Istbar dans ta machine (qui est une vraie saleté sournoise) c'est peut être après plusieurs reboot que le spyware va se restaurer ou muter avec d'autres xxxx.exeS aléatoires

    je t'ai donné des logiciels anti-spywares, 2 sont gratuits et efficaces les 2 autres te proposent 1 mois d'essai gratos, je peux pas te dire PLUS.....

    0
  11. Eric
     
    Voici les résultats du scan après avoir utilisé les anti-spywares

    Logfile of HijackThis v1.99.0
    Scan saved at 18:01:40, on 13/02/2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\SYSTEM32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\system32\pctspk.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\System32\wxmst.exe
    C:\WINDOWS\System32\winsystem32.exe
    C:\PROGRA~1\NORTON~1\navapw32.exe
    C:\WINDOWS\System32\YPager.EXE
    C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
    C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\HijackThis.exe
    C:\WINDOWS\system32\NOTEPAD.EXE

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=153802
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=153802
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cegetel.net/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://freebox.free.fr/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=153802
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - Default URLSearchHook is missing
    O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_18_0.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Yahoo! Compagnon - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_18_0.dll
    O4 - HKLM\..\Run: [Windows_Protect] winsystem32.exe
    O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
    O4 - HKLM\..\Run: [Yahoo Messenger] YPager.EXE
    O4 - HKLM\..\Run: [*wuauclt.exe] wxmst.exe
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
    O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\RunServices: [Windows_Protect] winsystem32.exe
    O4 - HKLM\..\RunServices: [Yahoo Messenger] YPager.EXE
    O4 - HKLM\..\RunServices: [*wuauclt.exe] wxmst.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [Windows_Protect] winsystem32.exe
    O4 - HKCU\..\Run: [*wuauclt.exe] wxmst.exe
    O4 - HKCU\..\Run: [regmgr32nt] msbin32.exe
    O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
    O4 - HKCU\..\RunServices: [regmgr32nt] msbin32.exe
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    O14 - IERESET.INF: START_PAGE_URL=http://freebox.free.fr/
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/yinst/yinst_current.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
    O20 - AppInit_DLLs: PAVWAIT.DLL
    O23 - Service: *wuauclt.exe - Unknown - C:\WINDOWS\System32\wxmst.exe
    O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
    O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
    O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
    O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
    O23 - Service: Service Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
    O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
    O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
    O23 - Service: PCTEL Speaker Phone - Unknown - C:\WINDOWS\system32\pctspk.exe
    O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
    O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
    O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
    O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
    O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
    O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
    O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe
    O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
    O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

    Merci pour toute info utiles
    0
  12. Utilisateur anonyme
     
    1° tu fais les fix dans l'hijack et 2° les suppressions de fichiers

    1°) fixer (cocher)

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http$://www.couldnotfind.com/search_page.html?&account_id=153802
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http$://www.couldnotfind.com/search_page.html?&account_id=153802
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http$://www.couldnotfind.com/search_page.html?&account_id=153802

    R3 - Default URLSearchHook is missing

    Les 04
    1) ctrl/alt/supp : arrête ces processus dans le gestionnaire des tâches
    2) tu repasses sur le log et tu fixes

    O4 - HKLM\..\Run: [Windows_Protect] winsystem32.exe
    O4 - HKLM\..\Run: [*wuauclt.exe] wxmst.exe
    O4 - HKCU\..\Run: [Windows_Protect] winsystem32.exe (2 fois/donc 2 fix dans l'hijack)
    O4 - HKCU\..\Run: [*wuauclt.exe] wxmst.exe (2 fois)
    O4 - HKCU\..\Run: [regmgr32nt] msbin32.exe
    O4 - HKCU\..\RunServices: [regmgr32nt] msbin32.exe (2 fois)

    O23 - Service: *wuauclt.exe - Unknown - C:\WINDOWS\System32\wxmst.exe

    2°) rechercher dans l'Explorateur Windows (+) <--déploie et supprime les xxxx.exeS

    C:\WINDOWS\System32\<-- situé ici----> supprime : --->wxmst.exe
    C:\WINDOWS\System32\---> supprime : winsystem32.exe <-- Worm W32/Rbot-UO
    http://www.sophos.com/virusinfo/analyses/w32rbotuo.html
    C:\WINDOWS\System32\supprime : --->wuauclt.exe
    C:\WINDOWS\System32\wuauclt.exe(soit présent 1 fois soit 2 fois )

    FAIRE

    1) désactive ta restauration système
    Panneau de configuration puis dans Système>>onglet Restauration du sytème>>coche la case Désactiver la Restauration du système sur tous les lecteurs

    2) affiche les dossiers cachés
    :
    Clique sur "Démarrer" >> "Panneau de Configuration" >> "Options des Dossiers"
    Clique sur l'onglet "Affichage">> Dans la liste des "Paramètre avancés", sous la rubrique "Fichiers et dossiers cachés">>[[!! coche!!]] "Afficher les fichiers et dossiers cachés"
    Pour afficher les autres fichiers cachés>>[[ !!décoche!!]] la case "Masquer les fichiers protégés du système d'exploitation" *

    3) passe en mode sans échec
    :
    donne des impulsions rapides dès l'allumage de ton ordi sur la touche F8 ou F5
    http://assiste.free.fr/p/comment/demarrer_mode_sans_echec.php

    4) recherche et supprime
    C:\WINDOWS\SYSTEM32\xxxxxx.exe à supprimer

    5) redémarre en mode normal
    - vide ton cache internet (options internet : supprimer les cookies/supprimer les fichiers temps) + vide la corbeille et effectue un nettoyage de disque>programmes>accessoires>outils système>nettoyage de disque : clique OK (pour tout)

    6) réactive ta restauration système


    Pour le log :

    *ferme TOUS les programmes
    *fixe les lignes trouvées dans l'hijack
    *ferme l'hijack
    *reboot ton ordi
    *nettoie le cache internet (options internet : supprimer cookies et temps) vide ta corbeille
    *effectue un nettoyage de disque (démarrer/program./accessoires/outils système/répondre OK à TOUT)

    screen
    http://www.ordi-netfr.org/tutorialhijackthis.html <- en français

    refait un log de contrôle ensuite

    *Devise : Je m'intéresse à l'avenir parceque
    c'est là que je vais passer le reste de ma vie*
    0
  13. Eric
     
    Voilà ce que cela donne après les différntes manipulation

    Logfile of HijackThis v1.99.0
    Scan saved at 19:48:49, on 13/02/2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\SYSTEM32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\system32\pctspk.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\PROGRA~1\NORTON~1\navapw32.exe
    C:\WINDOWS\System32\YPager.EXE
    C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
    C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Documents and Settings\Eric\Bureau\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cegetel.net/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://freebox.free.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_18_0.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Yahoo! Compagnon - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_18_0.dll
    O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
    O4 - HKLM\..\Run: [Yahoo Messenger] YPager.EXE
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
    O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [*wuauclt.exe] wxmst.exe
    O4 - HKLM\..\Run: [Windows_Protect] winsystem32.exe
    O4 - HKLM\..\RunServices: [Yahoo Messenger] YPager.EXE
    O4 - HKLM\..\RunServices: [*wuauclt.exe] wxmst.exe
    O4 - HKLM\..\RunServices: [Windows_Protect] winsystem32.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
    O4 - HKCU\..\Run: [*wuauclt.exe] wxmst.exe
    O4 - HKCU\..\Run: [Windows_Protect] winsystem32.exe
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    O14 - IERESET.INF: START_PAGE_URL=http://freebox.free.fr/
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/yinst/yinst_current.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B64D3B41-53ED-498E-9F7C-E320356D5F8E}: NameServer = 217.19.192.131 217.19.192.132
    O20 - AppInit_DLLs: PAVWAIT.DLL
    O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
    O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
    O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
    O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
    O23 - Service: Service Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
    O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
    O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
    O23 - Service: PCTEL Speaker Phone - Unknown - C:\WINDOWS\system32\pctspk.exe
    O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
    O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
    O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
    O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
    O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
    O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
    O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe
    O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
    O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
    0
  14. Eric
     
    Voilà ce que cela donne après les manipulations

    Logfile of HijackThis v1.99.0
    Scan saved at 19:48:49, on 13/02/2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\SYSTEM32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\system32\pctspk.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\PROGRA~1\NORTON~1\navapw32.exe
    C:\WINDOWS\System32\YPager.EXE
    C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
    C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Documents and Settings\Eric\Bureau\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cegetel.net/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://freebox.free.fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_18_0.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Yahoo! Compagnon - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_3_18_0.dll
    O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
    O4 - HKLM\..\Run: [Yahoo Messenger] YPager.EXE
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
    O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [*wuauclt.exe] wxmst.exe
    O4 - HKLM\..\Run: [Windows_Protect] winsystem32.exe
    O4 - HKLM\..\RunServices: [Yahoo Messenger] YPager.EXE
    O4 - HKLM\..\RunServices: [*wuauclt.exe] wxmst.exe
    O4 - HKLM\..\RunServices: [Windows_Protect] winsystem32.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
    O4 - HKCU\..\Run: [*wuauclt.exe] wxmst.exe
    O4 - HKCU\..\Run: [Windows_Protect] winsystem32.exe
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    O14 - IERESET.INF: START_PAGE_URL=http://freebox.free.fr/
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/yinst/yinst_current.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B64D3B41-53ED-498E-9F7C-E320356D5F8E}: NameServer = 217.19.192.131 217.19.192.132
    O20 - AppInit_DLLs: PAVWAIT.DLL
    O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
    O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
    O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
    O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
    O23 - Service: Service Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
    O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
    O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
    O23 - Service: PCTEL Speaker Phone - Unknown - C:\WINDOWS\system32\pctspk.exe
    O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
    O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
    O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
    O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
    O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
    O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
    O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe
    O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
    O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
    0
  15. Eric
     
    Visiblement, je n'ai plus de fichier contaminé sur mon mirco...
    Merci pour les différents conseils que vous m'avez donné.

    Eric
    0