Sujet Précédent Sujet Suivant

Spyware... comment faire ?

Laurent -  
balltrap34 Messages postés 16241 Statut Contributeur sécurité -
Bonjour a tous,

voila, en revenant de cours aujourdui je m'apercoit que mon PC est blindé de virus/spywares etc...

je décide donc de les suprimer, pour cela jai utilisé 3 logiciels différents (CounterSpy, Spybot searc&destroy et Adaware) j'en ai suprimé beacoup (plus d'une centaine) mais il en reste quelques uns qui continuent a parasiter mon ordi:
1) impossible de choisir ma page web d'acueil + popup de pub a chaque lancement d'internet (pub casino, ou popup me disant que jai des spy...)
2) impossible d'aller sur hotmail pour les mails (je suis automatiquement redirigé vers une page web de pub)

mon systeme d'exploitation :
Win Xp Pro 1Ghz 256 ram

Si quelqu'un peut m'aider ca pourrait être bien sympatique.

Merci beaucoup
A voir également:

21 réponses

  • 1
  • 2
Réponse 1 / 21
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
salut
Hijackthis http://pageperso.aol.fr/balltrap34/page%20virus.htm

telecharge le et met le dans son propre dossier ex/c :hj

clik sur do a systeme scan et save a logfile
et copier coller le rapport
0
THORNER NATHALIE
 
salut !!!

Voilà rapport de rav antivirus :

Scanning memory...
Scanning boot sectors...
Scanning files...
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx->Message.38: (irenepeglou@cegetel.net [tdarefninvf])->(part0002:data.zip)->data.ht... - Win32/Lovgate.V@mm -> Infected
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx->Message.28: (marie.baras@wanadoo.fr [hi])->(part0002:file.zip)->file.pif - Win32/Lovgate.V@mm -> Infected
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx->Message.26: (dominique.quentin@worldonline.fr [Server Report])->(part0002:text.scr) - Win32/Lovgate.V@mm -> Infected
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx->Message.25: (xxxxxxxxxx@sms.umc.com.ua [Error])->(part0002:document.scr) - Win32/Lovgate.V@mm -> Infected
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx->Message.24: (andrecassan@club-internet.fr [Status])->(part0002:file.zip)->file.do... - Win32/Lovgate.V@mm -> Infected
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx->Message.20: ("Bs.autos" [Re:])->(part0001:price.exe) - Win32/Bagle.AS@mm -> Infected
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx->Message.19: ("Bs.autos" [Re: Thank you!])->(part0001:Price.scr) - Win32/Bagle.AS@mm -> Infected
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx->Message.17: ("Bs.autos" [Re: Hi])->(part0001:Joke.scr) - Win32/Bagle.AS@mm -> Infected
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx->Message.16: (lgoodale@dbsalliance.org [read it immediately])->(part0001:object.exe) - Win32/Netsky.B@mm -> Infected
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx->Message.15: (temma@temma.com [fake])->(part0001:textfile.com) - Win32/Netsky.B@mm -> Infected
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx->Message.13: (hcsrcxxbbglp@hotmail.com [hello])->(part0001:creditcard.txt.pif) - Win32/Netsky.B@mm -> Infected
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx->Message.12: (".5000809"@wanadoo.fr [fake])->(part0001:message.txt.com) - Win32/Netsky.B@mm -> Infected
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx->Message.11: (upport@firstcup101.com [something for you])->(part0001:details.exe) - Win32/Netsky.B@mm -> Infected
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx->Message.10: (meet@htie289aze.com [something for you])->(part0001:ranking.exe) - Win32/Netsky.B@mm -> Infected
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx->Message.9: (81904@s3068.mb00.net [information])->(part0001:friend.htm.pif) - Win32/Netsky.B@mm -> Infected
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx->Message.8: (rancoisewanadoo@mx19148.hh02.com [read it immediately])->(part0001:ms... - Win32/Netsky.B@mm -> Infected

Scanned
============================
Objects: 60500
Directories: 4823
Archives: 926
Size(Kb): 1985986
Infected files: 16

Found
============================
Viruses found: 3
Suspicious files: 0
Disinfected files: 0
Mail files: 550
0
karim > THORNER NATHALIE
 
si vous avez deux systéme d'exploitation entre par le systéme non infécté et cherche *.*spy et suprimer le si vous avez un seul tu entre par "dos" "dir" et suprimer le et j'ai un antivirus spécialite de spyware contacter moi pour le t'envoiyer -----désolé pour le français je parle pas bien le français allez bonne nuit
0
Réponse 2 / 21
Laurent
 
Voila le rapport :

Logfile of HijackThis v1.99.1
Scan saved at 14:47:32, on 12/03/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\GEARSEC.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\sevz\Local Settings\Temporary Internet Files\Content.IE5\JFD3RDCW\HijackThis[1].exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\053359926c4c8258433d00b3f6f789ae\update\update.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://bigbr.cc?u=1538 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://bigbr.cc?u=1538 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://bigbr.cc?u=1538 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://bigbr.cc?u=1538 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\sevz\LOCALS~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\sevz\LOCALS~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://bigbr.cc?u=1538 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://w-find.com/index.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll
O2 - BHO: (no name) - {D0C316EA-0F05-48CE-BFEA-E35B40EC25E0} - C:\WINDOWS\System32\kgae.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\sevz\LOCALS~1\Temp\se.dll,DllInstall
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [SkwatAutoconnect] C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
O4 - HKCU\..\Run: [ngrvjyb] c:\windows\tjdqqdn.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - Startup: winupdate50809240[1].exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O9 - Extra button: Microsoft AntiSpyware helper - {3B09FECE-FD6B-4C82-AD6E-7DBB0D35EF47} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {3B09FECE-FD6B-4C82-AD6E-7DBB0D35EF47} - (no file) (HKCU)
O9 - Extra button: Microsoft AntiSpyware helper - {A75B83AD-22ED-414C-B8CB-30B7BD969EC4} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {A75B83AD-22ED-414C-B8CB-30B7BD969EC4} - (no file) (HKCU)
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{352E2A52-1469-4F9C-80AB-977DD5AC554B}: NameServer = 80.10.246.130 80.10.246.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{352E2A52-1469-4F9C-80AB-977DD5AC554B}: NameServer = 80.10.246.130 80.10.246.3
O17 - HKLM\System\CS3\Services\Tcpip\..\{352E2A52-1469-4F9C-80AB-977DD5AC554B}: NameServer = 80.10.246.130 80.10.246.3
O18 - Filter: text/html - {2DC7A698-7352-437C-BBBE-A73DA7956799} - C:\WINDOWS\System32\kgae.dll
O18 - Filter: text/plain - {2DC7A698-7352-437C-BBBE-A73DA7956799} - C:\WINDOWS\System32\kgae.dll
O21 - SSODL: System - {8FAEA79A-523B-466F-90C9-A27A79B0D007} - C:\WINDOWS\system32\system32.dll (file missing)
O21 - SSODL: NTDBGTOOL - {4B89FB68-0F00-4026-A7B8-8EA70BECB7AF} - C:\WINDOWS\System32\logmcdll.dll
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSEC.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 3 / 21
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
salut
imprime ceci pour ne rien oublier et tous faire
tous faire dans l ordre imperativement
-------------------------
tous da bord telecharge ces programmes et met les a jour mais ne les utilise pas encore
adaware (1)
spyboot (2)
(ici) http://pageperso.aol.fr/balltrap34/page%20virus.htm
----------------

demarre en mode sans echec
mode sans echec pour cela tu tapote la touche f8
des le debut de l allumage du pc sans t arreter
une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec
une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal.si f8 ne marche pas utilise la touche f5
-------------------------
desactive ta restauration systeme
pour ça tu fais clic droit sur poste de travail
propriété tu clique sur onglet restauration système
tu coche la case désactiver la restauration et applique
------------

assure toi de ceci
Affiche tous les fichiers et dossiers :
cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.

Et appliquer
----------------------
vide tes fichiers temps et tempory internet file sur tous les utilisateur
utilise ceci pour le faire
http://pageperso.aol.fr/Balltrap34/CleanUp312.exe

--------------------
clik sur demarrer /panneau de configuration/outil d administration/services
recherche dans la liste ceci
Service: Network Security Service
double clik dessus dans le menu deroulent tu met sur desactiver et plus bas tu clik sur arreter
et appliquer
----------------
relance hijack coche ces lignes et ensuite clik sur fix
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://bigbr.cc?u=1538 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://bigbr.cc?u=1538 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://bigbr.cc?u=1538 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://bigbr.cc?u=1538 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\sevz\LOCALS~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\sevz\LOCALS~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://bigbr.cc?u=1538 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://w-find.com/index.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {D0C316EA-0F05-48CE-BFEA-E35B40EC25E0} - C:\WINDOWS\System32\kgae.dll
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\sevz\LOCALS~1\Temp\se.dll,DllInstall
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [ngrvjyb] c:\windows\tjdqqdn.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - Startup: winupdate50809240[1].exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O9 - Extra button: Microsoft AntiSpyware helper - {3B09FECE-FD6B-4C82-AD6E-7DBB0D35EF47} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {3B09FECE-FD6B-4C82-AD6E-7DBB0D35EF47} - (no file) (HKCU)
O9 - Extra button: Microsoft AntiSpyware helper - {A75B83AD-22ED-414C-B8CB-30B7BD969EC4} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {A75B83AD-22ED-414C-B8CB-30B7BD969EC4} - (no file) (HKCU)
O18 - Filter: text/html - {2DC7A698-7352-437C-BBBE-A73DA7956799} - C:\WINDOWS\System32\kgae.dll
O18 - Filter: text/plain - {2DC7A698-7352-437C-BBBE-A73DA7956799} - C:\WINDOWS\System32\kgae.dll
O21 - SSODL: System - {8FAEA79A-523B-466F-90C9-A27A79B0D007} - C:\WINDOWS\system32\system32.dll (file missing)
O21 - SSODL: NTDBGTOOL - {4B89FB68-0F00-4026-A7B8-8EA70BECB7AF} - C:\WINDOWS\System32\logmcdll.dll

----------------------

recherche et suppr ceci
attention seulement les fichiers
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\053359926c4c8258433d00b3f6f789ae\update\update.exe
C:\DOCUME~1\sevz\LOCALS~1\Temp\se.dll/sp.html
C:\WINDOWS\System32\kgae.dll
C:\WINDOWS\System32\spoolsrv32.exe
c:\windows\tjdqqdn.exe
C:\WINDOWS\System32\logmcdll.dll

---------------

passe adaware et vire tous se qu il trouve

----------
passe spy boot et vire tous se qu il trouvent
-------------
tu vide ta poubelle et tu redemarre en mode normal et refait un hijack

--
0
THORNER NATHALIE
 
Salut !!!

Voilà mon rapport

ogfile of HijackThis v1.99.1
Scan saved at 21:25:45, on 12/03/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Multimedia\Nikon\NkView6\NkvMon.exe
C:\OLIFAXVX\TOOLBAR.EXE
C:\Program Files\Outil Internet\e-Carte Bleue\LA POSTE\CVD ADESIO\ECB.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Program Files\Logiciels\Microsoft Office\Office10\msoffice.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Utilitaires\Trend Micro\PC-cillin 9\Tmntsrv.exe
C:\Program Files\Utilitaires\Trend Micro\PC-cillin 9\PCCPFW.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Logiciels\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?bayzm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?bayzm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\about.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: HyperSearchHook - {4D1FAA7F-63D1-4707-8E42-C05054CFEFAC} - C:\Program Files\Fichiers communs\Hyperbar\HyperbarSS3.dll (file missing)
O1 - Hosts: 1159680172 auto.search.msn.com
O4 - Startup: Barre d'Outils Olitec.lnk = C:\OLIFAXVX\TOOLBAR.EXE
O4 - Startup: e-Carte Bleue Adésio La Poste.lnk = C:\Program Files\Outil Internet\e-Carte Bleue\LA POSTE\CVD ADESIO\ECB.exe
O4 - Startup: Moniteur Fax-Voix.lnk = C:\OLIFAXVX\MONITEUR.EXE
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Logiciels\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: MSN Messenger 7.0.lnk = ?
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Multimedia\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\LOGICI~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Utilitaires\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Utilitaires\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Utilitaires\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Utilitaires\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\LOGICI~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102035614375
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://www.securitoo.com/fra/pages/navol/fscax.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {CEDB9D83-ECE9-11D2-A369-6C4209C10000} (RnSMidi Control) - http://www.musicalis.fr/v1/Cours/RnSMidi.cab
O16 - DPF: {E6A3C1E2-F792-483E-9133-596215172BE9} (AcceptLang Class) - http://runonce.msn.com/setacceptlang.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6FE2FD41-2FFD-4E27-9686-DCD5F5C78C00}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{7D63D8B1-3AC6-4B91-96C3-8D7B9BEC6878}: NameServer = 80.10.246.1 80.10.246.132
O19 - User stylesheet: C:\WINDOWS\stsheets.dat
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Program Files\Utilitaires\Trend Micro\PC-cillin 9\PCCPFW.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Program Files\Utilitaires\Trend Micro\PC-cillin 9\Tmntsrv.exe


merci

nath à+
0
THORNER NATHALIE
 
Salut !!!

Voilà le rapport sur bitdefender :


C:\Documents and Settings\All Users\Application Data\AMOK HECK PROXY DELETE\Reftitle.exe: infected with Trojan.Downloader.Swizzor.CR
C:\Documents and Settings\All Users\Application Data\AMOK HECK PROXY DELETE\Reftitle.exe: disinfection failed
C:\Documents and Settings\THORNER Nathalie\Application Data\MetaNamePoke\mode drv wait.exe: infected with Trojan.Downloader.Swizzor.CB
C:\Documents and Settings\THORNER Nathalie\Application Data\MetaNamePoke\mode drv wait.exe: disinfection failed
C:\Documents and Settings\THORNER Nathalie\Application Data\MetaNamePoke\qmvujmbh.exe: infected with Trojan.Downloader.Swizzor.CR
C:\Documents and Settings\THORNER Nathalie\Application Data\MetaNamePoke\qmvujmbh.exe: disinfection failed
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 3)=>[Subject: tdarefninvf][Date: Mon, 9 Feb 2004 18:31:18 +0100]=>(MIME part)=>data.zip=>data.htm .scr: infected with Win32.Lovgate.V@mm
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 3)=>[Subject: tdarefninvf][Date: Mon, 9 Feb 2004 18:31:18 +0100]=>(MIME part)=>data.zip=>data.htm .scr: deleted
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 3)=>[Subject: tdarefninvf][Date: Mon, 9 Feb 2004 18:31:18 +0100]=>(MIME part)=>data.zip: updated
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 3)=>[Subject: tdarefninvf][Date: Mon, 9 Feb 2004 18:31:18 +0100]=>(MIME part): updated
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 3): updated
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx: update failed
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 13)=>[Subject: hi][Date: Fri, 2 Jan 2004 22:09:17 +0100]=>(MIME part)=>file.zip=>file.pif: infected with Win32.Lovgate.V@mm
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 13)=>[Subject: hi][Date: Fri, 2 Jan 2004 22:09:17 +0100]=>(MIME part)=>file.zip=>file.pif: deleted
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 13)=>[Subject: hi][Date: Fri, 2 Jan 2004 22:09:17 +0100]=>(MIME part)=>file.zip: updated
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 13)=>[Subject: hi][Date: Fri, 2 Jan 2004 22:09:17 +0100]=>(MIME part): updated
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 13): updated
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx: update failed
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 15)=>[Subject: Server Report][Date: Thu, 1 Jan 2004 22:43:11 +0100]=>(MIME part)=>text.scr: infected with Win32.Lovgate.V@mm
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 15)=>[Subject: Server Report][Date: Thu, 1 Jan 2004 22:43:11 +0100]=>(MIME part)=>text.scr: deleted
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 15)=>[Subject: Server Report][Date: Thu, 1 Jan 2004 22:43:11 +0100]=>(MIME part): updated
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 15): updated
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx: update failed
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 16)=>[Subject: Error][Date: Mon, 2 Feb 2004 21:03:58 +0100]=>(MIME part)=>document.scr: infected with Win32.Lovgate.V@mm
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 16)=>[Subject: Error][Date: Mon, 2 Feb 2004 21:03:58 +0100]=>(MIME part)=>document.scr: deleted
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 16)=>[Subject: Error][Date: Mon, 2 Feb 2004 21:03:58 +0100]=>(MIME part): updated
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 16): updated
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx: update failed
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 17)=>[Subject: Status][Date: Thu, 1 Apr 2004 21:03:10 +0200]=>(MIME part)=>file.zip=>file.doc .exe: infected with Win32.Lovgate.V@mm
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 17)=>[Subject: Status][Date: Thu, 1 Apr 2004 21:03:10 +0200]=>(MIME part)=>file.zip=>file.doc .exe: deleted
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 17)=>[Subject: Status][Date: Thu, 1 Apr 2004 21:03:10 +0200]=>(MIME part)=>file.zip: updated
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 17)=>[Subject: Status][Date: Thu, 1 Apr 2004 21:03:10 +0200]=>(MIME part): updated
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 17): updated
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx: update failed
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 21)=>[Subject: Re:][Date: Sun, 21 Nov 2004 16:02:16 +0100]=>(MIME part)=>price.exe: infected with Win32.Bagle.AX@mm
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 21)=>[Subject: Re:][Date: Sun, 21 Nov 2004 16:02:16 +0100]=>(MIME part)=>price.exe: deleted
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 21)=>[Subject: Re:][Date: Sun, 21 Nov 2004 16:02:16 +0100]=>(MIME part): updated
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 21): updated
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx: update failed
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 22)=>[Subject: Re: Thank you!][Date: Fri, 19 Nov 2004 20:36:22 +0100]=>(MIME part)=>Price.scr: infected with Win32.Bagle.AX@mm
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 22)=>[Subject: Re: Thank you!][Date: Fri, 19 Nov 2004 20:36:22 +0100]=>(MIME part)=>Price.scr: deleted
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 22)=>[Subject: Re: Thank you!][Date: Fri, 19 Nov 2004 20:36:22 +0100]=>(MIME part): updated
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 22): updated
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx: update failed
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 24)=>[Subject: Re: Hi][Date: Wed, 17 Nov 2004 19:44:20 +0100]=>(MIME part)=>Joke.scr: infected with Win32.Bagle.AX@mm
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 24)=>[Subject: Re: Hi][Date: Wed, 17 Nov 2004 19:44:20 +0100]=>(MIME part)=>Joke.scr: deleted
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 24)=>[Subject: Re: Hi][Date: Wed, 17 Nov 2004 19:44:20 +0100]=>(MIME part): updated
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 24): updated
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx: update failed
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 25)=>[Subject: read it immediately][Date: Wed, 17 Nov 2004 17:51:31 +0100]=>(MIME part)=>object.exe: infected with Win32.Netsky.B@mm
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 25)=>[Subject: read it immediately][Date: Wed, 17 Nov 2004 17:51:31 +0100]=>(MIME part)=>object.exe: deleted
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 25)=>[Subject: read it immediately][Date: Wed, 17 Nov 2004 17:51:31 +0100]=>(MIME part): updated
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 25): updated
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx: update failed
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 26)=>[Subject: fake][Date: Wed, 17 Nov 2004 12:33:01 +0100]=>(MIME part)=>textfile.com: infected with Win32.Netsky.B@mm
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 26)=>[Subject: fake][Date: Wed, 17 Nov 2004 12:33:01 +0100]=>(MIME part)=>textfile.com: deleted
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 26)=>[Subject: fake][Date: Wed, 17 Nov 2004 12:33:01 +0100]=>(MIME part): updated
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 26): updated
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx: update failed
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 28)=>[Subject: hello][Date: Mon, 15 Nov 2004 11:32:27 +0100]=>(MIME part)=>creditcard.txt.pif: infected with Win32.Netsky.B@mm
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 28)=>[Subject: hello][Date: Mon, 15 Nov 2004 11:32:27 +0100]=>(MIME part)=>creditcard.txt.pif: deleted
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 28)=>[Subject: hello][Date: Mon, 15 Nov 2004 11:32:27 +0100]=>(MIME part): updated
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 28): updated
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx: update failed
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 29)=>[Subject: fake][Date: Wed, 10 Nov 2004 14:43:48 +0100]=>(MIME part)=>message.txt.com: infected with Win32.Netsky.B@mm
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 29)=>[Subject: fake][Date: Wed, 10 Nov 2004 14:43:48 +0100]=>(MIME part)=>message.txt.com: deleted
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 29)=>[Subject: fake][Date: Wed, 10 Nov 2004 14:43:48 +0100]=>(MIME part): updated
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 29): updated
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx: update failed
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 30)=>[Subject: something for you][Date: Mon, 8 Nov 2004 17:08:54 +0100]=>(MIME part)=>details.exe: infected with Win32.Netsky.B@mm
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 30)=>[Subject: something for you][Date: Mon, 8 Nov 2004 17:08:54 +0100]=>(MIME part)=>details.exe: deleted
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 30)=>[Subject: something for you][Date: Mon, 8 Nov 2004 17:08:54 +0100]=>(MIME part): updated
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 30): updated
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx: update failed
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 31)=>[Subject: something for you][Date: Mon, 8 Nov 2004 13:45:31 +0100]=>(MIME part)=>ranking.exe: infected with Win32.Netsky.B@mm
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 31)=>[Subject: something for you][Date: Mon, 8 Nov 2004 13:45:31 +0100]=>(MIME part)=>ranking.exe: deleted
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 31)=>[Subject: something for you][Date: Mon, 8 Nov 2004 13:45:31 +0100]=>(MIME part): updated
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 31): updated
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx: update failed
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 32)=>[Subject: information][Date: Sun, 7 Nov 2004 12:51:53 +0100]=>(MIME part)=>friend.htm.pif: infected with Win32.Netsky.B@mm
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 32)=>[Subject: information][Date: Sun, 7 Nov 2004 12:51:53 +0100]=>(MIME part)=>friend.htm.pif: deleted
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 32)=>[Subject: information][Date: Sun, 7 Nov 2004 12:51:53 +0100]=>(MIME part): updated
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 32): updated
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx: update failed
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 33)=>[Subject: read it immediately][Date: Fri, 5 Nov 2004 11:28:00 +0100]=>(MIME part)=>msg.rtf.com: infected with Win32.Netsky.B@mm
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 33)=>[Subject: read it immediately][Date: Fri, 5 Nov 2004 11:28:00 +0100]=>(MIME part)=>msg.rtf.com: deleted
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 33)=>[Subject: read it immediately][Date: Fri, 5 Nov 2004 11:28:00 +0100]=>(MIME part): updated
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx=>(message 33): updated
C:\Documents and Settings\THORNER Nathalie\Local Settings\Application Data\Identities\{C7228547-2913-47AD-874A-AEB0E68D745C}\Microsoft\Outlook Express\Boîte de réception.dbx: update failed
C:\Documents and Settings\THORNER Nathalie\Local Settings\Temp\AutoUpdate0\auto_update_install.exe: infected with Adware.POP.dl
C:\Documents and Settings\THORNER Nathalie\Local Settings\Temp\AutoUpdate0\auto_update_install.exe: disinfection failed
C:\Documents and Settings\THORNER Nathalie\Local Settings\Temp\jkill.exe: infected with Application.ProcKill.Jk
C:\Documents and Settings\THORNER Nathalie\Local Settings\Temp\jkill.exe: disinfection failed
C:\Documents and Settings\THORNER Nathalie\Local Settings\Temp\optimize.exe: infected with Adware.AvenueM.A
C:\Documents and Settings\THORNER Nathalie\Local Settings\Temp\optimize.exe: disinfection failed
C:\Documents and Settings\THORNER Nathalie\Local Settings\Temp\webrebates.exe=>(NSIS o)=>zlib_nsis0001: infected with Application.ProcKill.Jk
C:\Documents and Settings\THORNER Nathalie\Local Settings\Temp\webrebates.exe=>(NSIS o)=>zlib_nsis0001: disinfection failed
C:\Program Files\NewDotNet\newdotnet6_38.dll: infected with Application.Adware.NewDotNet.B
C:\Program Files\NewDotNet\newdotnet6_38.dll: disinfection failed
D:\Logiciels\Multimedia\Audio\Winamp\winamp291_full.exe=>(NSIS o)=>zlib_nsis0012=>(CAB Sfx r)=>asfsipc.dll: bad crc
D:\Logiciels\Multimedia\Audio\Winamp\winamp291_full.exe=>(NSIS o)=>zlib_nsis0012=>(CAB Sfx r)=>DRMClien.dll: bad crc
D:\Logiciels\Multimedia\Audio\Winamp\winamp291_full.exe=>(NSIS o)=>zlib_nsis0012=>(CAB Sfx r)=>DrmStor.dll: bad crc
G:\Mp3s\the black eyed peas - let`s get it started @ www.bitone.dl.am\the black eyed peas - let`s get it started @ www.bitone.dl.am.part01.rar=>the black eyed peas - let`s get it started @ www.bitone.dl.am.avi: password protected
I:\Nathalie\Azureus\downloads\Maroon5_Songs_About_Jane\Maroon5_Songs_About_Jane.rar=>01-Harder_To_Breathe.mp3: bad crc
I:\Nathalie\Azureus\downloads\Maroon5_Songs_About_Jane\Maroon5_Songs_About_Jane.rar=>02-This_Love.mp3: bad crc
I:\Nathalie\Azureus\downloads\The_Servant\The_Servant.rar=>03-Liquefy.mp3: bad crc
I:\Nathalie\Azureus\downloads\The_Servant\The_Servant.rar=>01-Celis.mp3: bad crc


merci

nath
0
Réponse 4 / 21
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
salut nath 
Faites votre propre message ne le faites pas sur le message d’un autre
sinon on sait plus ou on en est.
pour cela
tu clique sur écrire nouveaux message en haut de cette page
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 21
THORNER NATHALIE
 
Excuse !!!!

Je ne savais pas !!!!

Voilà mon problème :

Je ne peux plus configurer ma page de démarrage internet !!!
J'ai toujours la page : http://rl.webtracer.cc/-/?bayzm

merci

nath
0
Réponse 6 / 21
Laurent
 
Tout d'abord merci Balltrap34 pour ton aide

j'ai suivi toutes tes indications à la lettre par contre je n'ai pas trouvé les fichiers :
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\053359926c4c8258433d00b3f6f789ae\update\update.exe
C:\WINDOWS\System32\kgae.dll

et je n'ai pas réussi a suprimé :
C:\DOCUME~1\sevz\LOCALS~1\Temp\se.dll/sp.html

De plus, après avoir passé adaware (qui a trouvé 6 trucs que j'ai suprimé) j'ai lancé Spybot et il n'en a trouvé aucun. Mais lorsque je suis repssé en mode normal de windows, j'ai relancé une fois spybot et cette fois il a trouvé 3 trucs est-ce normal ?

Voila donc le rapport de hijack après avoir fait tout ce que tu m'a dis :

Logfile of HijackThis v1.99.1
Scan saved at 12:58:02, on 13/03/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\GEARSEC.EXE
C:\windows\sgcqsbd.exe
C:\Documents and Settings\sevz\Menu Démarrer\Programmes\Démarrage\winupdate50809240[1].exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\DOCUME~1\sevz\LOCALS~1\Temp\tmp3D.tmp
C:\DOCUME~1\sevz\LOCALS~1\Temp\tmp44.tmp
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\sevz\LOCALS~1\Temp\tmp49.tmp
C:\DOCUME~1\sevz\LOCALS~1\Temp\tmp4D.tmp
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\rundll32.exe
C:\Documents and Settings\sevz\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://w-find.com/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w-find.com/index.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://w-find.com/index.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [SkwatAutoconnect] C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
O4 - HKCU\..\Run: [bfwjqod] c:\windows\hhtbasn.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - Startup: winupdate50809240[1].exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{352E2A52-1469-4F9C-80AB-977DD5AC554B}: NameServer = 80.10.246.130 80.10.246.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{352E2A52-1469-4F9C-80AB-977DD5AC554B}: NameServer = 80.10.246.130 80.10.246.3
O17 - HKLM\System\CS3\Services\Tcpip\..\{352E2A52-1469-4F9C-80AB-977DD5AC554B}: NameServer = 80.10.246.130 80.10.246.3
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSEC.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Merci.
0
Réponse 7 / 21
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
tu na pas du respecter toutes la procedure dans l ordre
il y a encore des lignes que je t ai fait fixer et supprimmer les exe qui y sont encore
soit tu les a oublier c est pour cela que je met d imprimer
0
Réponse 8 / 21
Laurent
 
oui c'est possible ...

je dois donc tout refaire ? le mode sans échec etc...
0
Réponse 9 / 21
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
oui recommence du debut
et pour ces lignes si cela n est pas ta page de demarrage
fix les aussi
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://w-find.com/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w-find.com/index.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://w-find.com/index.htm
0
Réponse 10 / 21
Laurent
 
J'ai tout recommencé, il y avait effectivement des lignes que j'avais oublié.
par contre j'ai bien fixé les nouvelles lignes que tu ma dis (2 fois) :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://w-find.com/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w-find.com/index.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://w-find.com/index.htm

mais bon en faisant un hijack elles sont toujours la !!

Logfile of HijackThis v1.99.1
Scan saved at 17:10:04, on 13/03/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\GEARSEC.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\windows\bhestqq.exe
C:\Documents and Settings\sevz\Menu Démarrer\Programmes\Démarrage\winupdate50809240[1].exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\DOCUME~1\sevz\LOCALS~1\Temp\tmp73.tmp
C:\DOCUME~1\sevz\LOCALS~1\Temp\tmp75.tmp
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\sevz\LOCALS~1\Temp\tmp78.tmp
C:\DOCUME~1\sevz\LOCALS~1\Temp\tmp7C.tmp
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\rundll32.exe
A:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://w-find.com/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w-find.com/index.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://w-find.com/index.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [SkwatAutoconnect] C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
O4 - HKCU\..\Run: [oombsxj] c:\windows\nsrovhq.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - Startup: winupdate50809240[1].exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{352E2A52-1469-4F9C-80AB-977DD5AC554B}: NameServer = 80.10.246.130 80.10.246.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{352E2A52-1469-4F9C-80AB-977DD5AC554B}: NameServer = 80.10.246.130 80.10.246.3
O17 - HKLM\System\CS3\Services\Tcpip\..\{352E2A52-1469-4F9C-80AB-977DD5AC554B}: NameServer = 80.10.246.130 80.10.246.3
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSEC.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 11 / 21
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
je ne comprend pas
tu doit oublier quelque chose
deja je vois des temps alors que je te fait utiliser cleanup
il ne devrait plus y en avoir et des lignes que tu fix et qui sont toujours la
je recommence une derniere foix
-----------
fait tous dans l ordre et n oublie rien donc imprime
---------

demarre en mode sans echec
mode sans echec pour cela tu tapote la touche f8
des le debut de l allumage du pc sans t arreter
une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec
une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal.si f8 ne marche pas utilise la touche f5
-------------------------
desactive ta restauration systeme
pour ça tu fais clic droit sur poste de travail
propriété tu clique sur onglet restauration système
tu coche la case désactiver la restauration et applique
------------

assure toi de ceci
Affiche tous les fichiers et dossiers :
cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.

Et appliquer
----------------------
vide tes fichiers temps et tempory internet file sur tous les utilisateur
utilise ceci pour le faire
http://pageperso.aol.fr/Balltrap34/CleanUp312.exe

--------------------

relance hijack coche ces lignes et ensuite clik sur fix
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://w-find.com/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w-find.com/index.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://w-find.com/index.htm
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - Startup: winupdate50809240[1].exe

----------------------

recherche et suppr ceci
attention seulement les fichiers
C:\WINDOWS\System32\spoolsrv32.exe
winupdate50809240[1].exe
---------------

passe adaware et vire tous se qu il trouve

----------
passe spy boot et vire tous se qu il trouvent
-------------
tu vide ta poubelle et tu redemarre en mode normal et refait un hijack

--
0
Réponse 12 / 21
Laurent
 
j'ai re recommencé en suivant toutes tes instructions (en utilisant cleanup etc...) et les lignes apparaissent toujours dans le raport du hijack... alors que je les avais fixé !

Logfile of HijackThis v1.99.1
Scan saved at 18:49:46, on 13/03/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\GEARSEC.EXE
C:\WINDOWS\System32\cmdtel.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\windows\nsrovhq.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\sevz\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://w-find.com/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w-find.com/index.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://w-find.com/index.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
O4 - HKCU\..\Run: [SkwatAutoconnect] C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
O4 - HKCU\..\Run: [kxfcmfq] c:\windows\mlerxdi.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{352E2A52-1469-4F9C-80AB-977DD5AC554B}: NameServer = 80.10.246.130 80.10.246.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{352E2A52-1469-4F9C-80AB-977DD5AC554B}: NameServer = 80.10.246.130 80.10.246.3
O17 - HKLM\System\CS3\Services\Tcpip\..\{352E2A52-1469-4F9C-80AB-977DD5AC554B}: NameServer = 80.10.246.130 80.10.246.3
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSEC.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Loading Outpost Connections (KDE) - Unknown owner - C:\WINDOWS\System32\cmdtel.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 13 / 21
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
fait ctrl alt suppr
onglet processus et recherche quelque chose en rapport avec ceci
mlerxdi.exe
clik dessus et sur terminer le processus
--------

relance hijack
coche ceci
O4 - HKCU\..\Run: [kxfcmfq] c:\windows\mlerxdi.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://w-find.com/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w-find.com/index.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://w-find.com/index.htm
-------
recherche et suppr ceci
c:\windows\mlerxdi.exe

-------
vide ta corbeille et fait nouvel hj
0
Réponse 14 / 21
Laurent
 
Je n'ai pas trouvé mlerxdi.exe dans l'onglet processus

j'ai coché et fixé les lignes puis j'ai bien suprimé mlerxdi.exe

et voila le nouveau rapport de hj :

Logfile of HijackThis v1.99.1
Scan saved at 20:09:18, on 13/03/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\GEARSEC.EXE
C:\WINDOWS\System32\cmdtel.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\windows\nsrovhq.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Outlook Express\msimn.exe
D:\Downloads\Appz\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
O4 - HKCU\..\Run: [SkwatAutoconnect] C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{352E2A52-1469-4F9C-80AB-977DD5AC554B}: NameServer = 80.10.246.130 80.10.246.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{352E2A52-1469-4F9C-80AB-977DD5AC554B}: NameServer = 80.10.246.130 80.10.246.3
O17 - HKLM\System\CS3\Services\Tcpip\..\{352E2A52-1469-4F9C-80AB-977DD5AC554B}: NameServer = 80.10.246.130 80.10.246.3
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSEC.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Loading Outpost Connections (KDE) - Unknown owner - C:\WINDOWS\System32\cmdtel.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 15 / 21
Laurent
 
er!!
apres avoir lancé une page web je viens de refaire un hj et les lignes sont revenus...

Logfile of HijackThis v1.99.1
Scan saved at 20:14:09, on 13/03/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\GEARSEC.EXE
C:\WINDOWS\System32\cmdtel.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\windows\nsrovhq.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Downloads\Appz\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://w-find.com/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://w-find.com/index.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe
O4 - HKCU\..\Run: [SkwatAutoconnect] C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
O4 - HKCU\..\Run: [kxfcmfq] c:\windows\mlerxdi.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{352E2A52-1469-4F9C-80AB-977DD5AC554B}: NameServer = 80.10.246.130 80.10.246.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{352E2A52-1469-4F9C-80AB-977DD5AC554B}: NameServer = 80.10.246.130 80.10.246.3
O17 - HKLM\System\CS3\Services\Tcpip\..\{352E2A52-1469-4F9C-80AB-977DD5AC554B}: NameServer = 80.10.246.130 80.10.246.3
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSEC.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Loading Outpost Connections (KDE) - Unknown owner - C:\WINDOWS\System32\cmdtel.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 16 / 21
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
houla
recommence
desactive ta restauration vide tes temps
avec ceci
http://pageperso.aol.fr/Balltrap34/CleanUp312.exe
-------
ensuite bloque ta page de demarrage avec spyboot
tu clik sur vaccination/
coche activer le blocage permanent et en dessous met sur
bloquer les pages silencieusement
0
bernie61
 
salut balltrap
salut laurent
petit conseuil désinstalle Security iGuard
vu ceci
http://startup.iamnotageek.com/srch-Security%20iGuard.html
a+
0
Réponse 17 / 21
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
salut bernie
bien vue
des foix cela est sous les yeux et on le voie pas lol
0
Réponse 18 / 21
Laurent
 
Alors j'ai désinstallé Security iguard (c'était ca la source du probleme ? j'ai pas bien compris en quoi ca nuisait...), ca a l'air de fonctionner maintenant, voila le rapport que j'obtient avec hj

Logfile of HijackThis v1.99.1
Scan saved at 22:14:06, on 13/03/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\GEARSEC.EXE
C:\WINDOWS\System32\cmdtel.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Winamp\winamp.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Downloads\Appz\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.3000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [SkwatAutoconnect] C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{352E2A52-1469-4F9C-80AB-977DD5AC554B}: NameServer = 80.10.246.1 80.10.246.132
O17 - HKLM\System\CS1\Services\Tcpip\..\{352E2A52-1469-4F9C-80AB-977DD5AC554B}: NameServer = 80.10.246.130 80.10.246.3
O17 - HKLM\System\CS3\Services\Tcpip\..\{352E2A52-1469-4F9C-80AB-977DD5AC554B}: NameServer = 80.10.246.1 80.10.246.132
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSEC.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Loading Outpost Connections (KDE) - Unknown owner - C:\WINDOWS\System32\cmdtel.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 19 / 21
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
tu as essayer de te reconnecte sur differente page pour voir si cela tient
le rapport avec c est que c est un rogue
c est a dire qu il est en quelque sorte lui meme un spy
0
Réponse 20 / 21
Laurent
 
Oui ca a l'air de tenir, google reste bien en page d'accueil !

En tout cas merci beaucoup pour ton aide et ta patience. je n'y serais jamais arrivé tout seul ;)
0