[Virus - Trojans et d'autres petits]

bonsoir,

* Télécharge LopXPMH sur ton Bureau.
http://perso.numericable.fr/%7Ealtshift/Info/Fichiers/lopxpMH2.zip

* Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat.
* Poste le contenu du rapport qui va s'ouvrir.

Voilà le rapport :

Rapport fait à 23:39:57,79 le 05/02/2007

******************************************
## Répertoires Application Data

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 70A4-0D8F

R‚pertoire de C:\Documents and Settings\Administrateur\Application Data

01/01/2005 00:31 <REP> .
01/01/2005 00:31 <REP> ..
13/11/2006 23:14 <REP> .BitTornado
01/05/2006 20:59 <REP> Adobe
03/10/2006 18:00 <REP> AdobeUM
18/10/2006 17:22 <REP> Apple Computer
08/01/2007 23:01 <REP> BitGrabber
13/11/2006 16:21 <REP> BitTorrent
08/01/2007 23:01 <REP> DownloadMeetSend
17/11/2006 20:06 <REP> dvdcss
22/05/2006 20:09 <REP> Google
01/01/2005 00:31 <REP> Identities
05/02/2007 21:15 <REP> Lavasoft
17/01/2007 00:26 <REP> LG Electronics
25/04/2006 22:42 <REP> Macromedia
01/01/2005 00:31 <REP> Microsoft
09/01/2005 07:36 <REP> Mozilla
12/01/2007 04:07 <REP> PC Tools
16/01/2007 04:00 <REP> Plusheck
01/06/2006 23:22 <REP> Real
02/05/2006 11:34 <REP> Shareaza
05/01/2007 21:30 <REP> Simple Sudoku
26/04/2006 00:58 <REP> Sun
25/04/2006 22:32 <REP> Talkback
25/04/2006 22:32 <REP> Thunderbird
01/05/2006 22:14 <REP> Visicom Media
04/05/2006 11:17 <REP> vlc
20/11/2006 18:44 <REP> XCPCSync.OEM
01/01/2005 00:31 62 desktop.ini
08/06/2006 23:18 94 sversion.ini
2 fichier(s) 156 octets
28 R‚p(s) 105ÿ485ÿ213ÿ696 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 70A4-0D8F

R‚pertoire de C:\Documents and Settings\Administrateur\Local Settings\Application Data

01/01/2005 00:31 <REP> .
01/01/2005 00:31 <REP> ..
01/05/2006 20:59 <REP> Adobe
02/06/2006 15:23 <REP> Apple Computer
25/04/2006 22:41 <REP> Google
04/02/2007 14:55 <REP> Identities
19/05/2006 06:44 <REP> Logitech-LS
01/01/2005 00:31 <REP> Microsoft
09/01/2005 07:36 <REP> Mozilla
02/05/2006 11:34 <REP> Shareaza
04/02/2007 14:48 <REP> Stardock
15/01/2007 00:02 <REP> Symantec
25/04/2006 22:32 <REP> Thunderbird
02/05/2006 18:35 108ÿ544 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
19/06/2006 21:15 21ÿ664 GDIPFONTCACHEV1.DAT
2 fichier(s) 130ÿ208 octets
13 R‚p(s) 105ÿ485ÿ213ÿ696 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 70A4-0D8F

R‚pertoire de C:\Documents and Settings\All Users\Application Data

01/01/2005 00:19 <REP> .
01/01/2005 00:19 <REP> ..
01/05/2006 19:41 <REP> Adobe
01/05/2006 19:44 <REP> Adobe Systems
02/06/2006 15:22 <REP> Apple Computer
05/02/2007 20:02 <REP> CA
14/01/2007 16:27 <REP> DogOpenNurbDart
28/09/2006 00:38 <REP> Google
09/05/2006 12:17 <REP> Messenger Plus!
01/01/2005 00:19 <REP> Microsoft
08/01/2007 23:01 <REP> Show inter mix poll
09/01/2005 07:41 <REP> Spybot - Search & Destroy
15/01/2007 00:01 <REP> Symantec
12/01/2007 04:08 <REP> TEMP
04/09/2006 17:43 <REP> Windows Genuine Advantage
05/02/2007 20:46 3ÿ120 118300.34
01/01/2005 00:20 62 desktop.ini
2 fichier(s) 3ÿ182 octets
15 R‚p(s) 105ÿ485ÿ201ÿ408 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 70A4-0D8F

R‚pertoire de C:\Documents and Settings\Default User\Application Data

01/01/2005 00:19 <REP> .
01/01/2005 00:19 <REP> ..
01/01/2005 00:19 <REP> Microsoft
01/01/2005 00:20 62 desktop.ini
1 fichier(s) 62 octets
3 R‚p(s) 105ÿ485ÿ197ÿ312 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 70A4-0D8F

R‚pertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

01/01/2005 00:20 <REP> .
01/01/2005 00:20 <REP> ..
01/01/2005 00:27 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 105ÿ485ÿ197ÿ312 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 70A4-0D8F

R‚pertoire de C:\Documents and Settings\LocalService\Application Data

01/01/2005 00:31 <REP> .
01/01/2005 00:31 <REP> ..
01/01/2005 00:31 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 105ÿ485ÿ197ÿ312 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 70A4-0D8F

R‚pertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

01/01/2005 00:31 <REP> .
01/01/2005 00:31 <REP> ..
01/01/2005 00:31 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 105ÿ485ÿ197ÿ312 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 70A4-0D8F

R‚pertoire de C:\Documents and Settings\NetworkService\Application Data

01/01/2005 00:31 <REP> .
01/01/2005 00:31 <REP> ..
01/01/2005 00:31 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 105ÿ485ÿ197ÿ312 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 70A4-0D8F

R‚pertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

01/01/2005 00:31 <REP> .
01/01/2005 00:31 <REP> ..
01/01/2005 00:31 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 105ÿ485ÿ197ÿ312 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 70A4-0D8F

R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

01/01/2005 00:29 <REP> .
01/01/2005 00:29 <REP> ..
01/01/2005 00:29 <REP> Microsoft
01/01/2005 00:29 62 desktop.ini
1 fichier(s) 62 octets
3 R‚p(s) 105ÿ485ÿ197ÿ312 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 70A4-0D8F

R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

01/01/2005 00:29 <REP> .
01/01/2005 00:29 <REP> ..
01/01/2005 00:29 <REP> Microsoft
0 fichier(s) 0 octets
3 R‚p(s) 105ÿ485ÿ197ÿ312 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 70A4-0D8F

R‚pertoire de C:\WINDOWS\Tasks

16/01/2007 04:00 284 AAF26ED091A1ED5C.job
01/01/2005 00:26 6 SA.DAT
01/01/2005 00:25 65 desktop.ini
01/01/2005 00:25 <REP> ..
01/01/2005 00:25 <REP> .
3 fichier(s) 355 octets
2 R‚p(s) 105ÿ485ÿ197ÿ312 octets libres

******************************************
## Répertoires de Program files

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 70A4-0D8F

R‚pertoire de C:\Program Files

05/02/2007 21:30 <REP> .
05/02/2007 21:30 <REP> ..
12/08/2006 01:25 <REP> 802.11 Wireless LAN
18/10/2006 17:32 <REP> Adobe
15/05/2006 20:38 <REP> amsn
03/09/2006 23:37 <REP> ASUS
24/04/2006 16:27 <REP> ATI Technologies
19/06/2006 21:22 <REP> AVSMedia
08/01/2007 23:02 <REP> BitGrabber
13/11/2006 23:13 <REP> BitTornado
21/01/2007 01:31 <REP> BitTorrent
05/02/2007 20:02 <REP> CA
09/01/2005 07:18 <REP> Common Files
01/01/2005 00:24 <REP> ComPlus Applications
02/05/2006 18:41 <REP> DivX
16/01/2007 04:00 <REP> DownloadMeetSend
05/02/2007 20:02 <REP> Fichiers communs
09/01/2005 07:18 <REP> Free.fr
15/10/2006 01:15 <REP> FreeBrowser
15/10/2006 01:04 <REP> Freeplayer
19/10/2006 13:07 <REP> Google
04/02/2007 14:48 <REP> Internet Explorer
05/07/2006 14:42 <REP> Java
05/02/2007 21:15 <REP> Lavasoft
16/01/2007 12:48 <REP> LG Electronics
16/01/2007 12:48 <REP> LG PC Suite
19/05/2006 17:10 <REP> Logitech
15/01/2007 01:12 <REP> messenger
28/12/2006 17:07 <REP> Messenger Plus! Live
14/05/2006 13:53 <REP> MessengerPlus! 3
01/01/2005 00:27 <REP> microsoft frontpage
28/12/2006 14:30 <REP> Monaco Systems
14/01/2007 16:04 <REP> Movie Maker
05/02/2007 22:58 <REP> Mozilla Firefox
05/02/2007 22:16 <REP> Mozilla Thunderbird
01/01/2005 00:24 <REP> MSN Gaming Zone
04/02/2007 14:19 <REP> MSN Messenger
24/04/2006 16:29 <REP> My Company Name
01/05/2006 21:52 <REP> Namo
20/11/2006 16:22 <REP> NEC
20/11/2006 16:23 <REP> NEC Synchronization
14/01/2007 16:00 <REP> NetMeeting
05/07/2006 14:24 <REP> Ottodikt
05/07/2006 14:40 <REP> OUIDIRE LookHere
04/02/2007 16:17 <REP> Outlook Express
02/06/2006 15:22 <REP> QuickTime
15/05/2006 21:42 <REP> Real
15/05/2006 21:42 <REP> Reality Fusion
01/01/2005 00:24 <REP> Services en ligne
02/05/2006 11:34 <REP> Shareaza
05/01/2007 21:30 <REP> Simple Sudoku
21/06/2006 01:34 <REP> SLD Codec Pack
23/01/2007 18:50 <REP> Spybot - Search & Destroy
13/01/2007 21:19 <REP> Spyware Doctor
26/01/2007 21:10 <REP> StarOffice7
15/01/2007 00:02 <REP> Symantec
15/01/2007 00:10 <REP> symantec_antivirus_client_v8_1_0_825
05/02/2007 20:01 <REP> symantec_client_firewall_v5_1
19/10/2006 22:19 <REP> Tablet
19/10/2006 22:19 <REP> Tablette
09/05/2006 23:03 <REP> TimeAdjuster
01/01/2005 00:09 <REP> ToniArts
05/07/2006 15:20 <REP> ttable
04/05/2006 10:28 <REP> VideoLAN
17/05/2006 18:02 <REP> Virtools Web Player 3.5
02/05/2006 18:35 <REP> Visicom Media
01/05/2006 22:14 <REP> vmntoolbar
14/01/2007 22:40 <REP> Winamp
18/05/2006 22:13 <REP> Windows Media Components
04/02/2007 14:48 <REP> Windows Media Player
14/01/2007 16:00 <REP> Windows NT
17/05/2006 17:58 <REP> WinRAR
01/01/2005 00:27 <REP> xerox
12/01/2007 04:00 <REP> xp-AntiSpy
20/01/2007 03:00 <REP> Xvid
0 fichier(s) 0 octets
75 R‚p(s) 105ÿ485ÿ193ÿ216 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
www.userplane.com REG_BINARY
netsearchsoft.com REG_SZ
www.netsearchsoft.com REG_SZ
fr.worldsbiggestchat.com REG_BINARY

* Mozilla Firefox (1 autorisé 2 interdit)

******************************************
## Registre

* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Mix Poll Thunk Name REG_SZ C:\Documents and Settings\All Users\Application Data\Show inter mix poll\proxy default.exe
nurb dart amen part REG_SZ C:\Documents and Settings\All Users\Application Data\DogOpenNurbDart\JUNKSAVE.exe

* [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
DogKind REG_SZ C:\DOCUME~1\ADMINI~1\APPLIC~1\DOWNLO~1\scr store mode.exe

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 70A4-0D8F

R‚pertoire de C:\WINDOWS

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 70A4-0D8F

R‚pertoire de C:\WINDOWS

*************** Fin du rapport ****************

Merci d'etre si rapide déjà

je regarde ton rapport et te prépare les manips d'ici un petit moment

OK, merci beaucoup de ton aide

re

Note comment démarrer en mode sans échec

https://docs.microsoft.com/en-us/?mfr=true

1* Télécharge : - CCleaner
http://www.filehippo.com/download_ccleaner.html

("Download Latest Version", sur la droite). Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

* Crée un nouveau document texte :

clic droit de souris sur le bureau, "Nouveau"> "Document Texte".

Ouvre-le et copie-colle dedans de ce qui est en citation ci-dessous, (copie tout d'un trait) :

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Mix Poll Thunk Name"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nurb dart amen part"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DogKind"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow]
"www.userplane.com REG_BINARY"=-
"netsearchsoft.com REG_SZ"=-
"www.netsearchsoft.com REG_SZ"=-
"fr.worldsbiggestchat.com REG_BINARY"=-

Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : reglop.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

*****Copie ce qui suit dans un fichier texte et redémarre en mode sans échec (choisis ta session habituelle, pas le compte "Administrateur" ou autre)*****

/ désinstalle via "Ajout/Suppression de programmes", si tu trouves :
(si l'un de ces programmes ne figure pas dans la liste ajout/suppression de programmes, recherche un fichier "uninstall..." dans un répertoire du même nom, dans C:\Program Files et exécute-le)

C:\Program Files\ DownloadMeetSend

/ Assure toi d'avoir accès aux dossiers/fichiers cachés :

Ouvrir un dossier, n'importe lequel. Aller dans :
Outils/Options des dossiers/Affichage et
- cocher "afficher les dossiers et fichiers cachés",
- décocher "masquer les extensions des fichiers dont le type est connu".
- décocher masquer les fichiers protégés du système d'exploitation (recommandé)"
"appliquer" et "ok"

/ recherche et supprime ces dossiers ou fichiers, si tu les trouves :

C:\Documents and Settings\Administrateur\Application Data \Plusheck
C:\Documents and Settings\All Users\Application Data \DogOpenNurbDart
C:\Documents and Settings\All Users\Application Data \Show inter mix poll

/ démarrer/exécuter, tape cmd et valide par entrée. Colle la ligne suivante dans la fenêtre noire qui s'ouvre :

del /a C:\WINDOWS\Tasks\AAF26ED091A1ED5C.job

valide par entrée, puis ferme la fenêtre de commande.

/ double clique sur reglop.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"

/ Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

*Redémarre normalement et poste un nouveau rapport HijackThis, toutes fenêtres et applications fermées.
Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

J'ai pas bien saisi à quel moment je devais redémarrer en mode sans echec... avant ou après avoir installé CCleaner ou bien je suis totalement largué ?

c'est écrit ici :

*****Copie ce qui suit dans un fichier texte et redémarre en mode sans échec (choisis ta session habituelle, pas le compte "Administrateur" ou autre)*****

tu télécharges ccleaner, tu regardes comment redémarrer en mode sans échec, et tu suis la procédure.
La suite demain en ce qui me concerne, il se fait tard.
bonne nuit

Ah oui, pardon j'ai lu trop vite et j'avais pas remarqué la "*" à côté du ? Autant pour moi alors. Bon très bien, je vais essayer de tout suivre (j'aurai besoin de noter les étapes à partir du mode sans echec puisque j'aurai plus accès à Internet pour les consulter ?).
Merci encore une fois pour ton aide

Non c'est bon, faut que je change ma paire d'oeils je lis une ligne sur deux. Pas besoin de répondre à la question précédente, ca m'apprendra à pas bien lire.
Y'a pas une fonction éditer ses messages ? Ca évite les doubles posts

Oui, mais je pense qu'elle est dispo que pour les abonnés ,-)

OK, ca semble logique aussi :)

Sinon j'ai essayé maintes fois de rédemarrer en mode sans échec mais rien n'y fait. Quand je redemarre normalement il ignore mon F8, mais quand je le force un peu en lui faisant un reset, il dédaigne à me sortir les différents systèmes dont "mode sans echec" mais impossible d'utiliser les flèches pour choisir mon mode et du coup je passe en windows normalement après 30secondes de délai. J'ai essayé de mettre le clavier en ver. numérique ou pas avant le redémarrage (parce que pendant la séléction du mode sans echec le clavier ne réagit plus du tout et n'est même plus allumé).

bonsoir,

désolée, mais j'ai dû m'absenter aujourd'hui et ne suis pas certaine d'être là demain

en attendant essaye avec
http://www.freewarefiles.com/program_9_217_17269.html
pour le mode sans échec

Merci pour le lien, j'ai pu redemarré correctement en mode sans echec ;) j'suis sidéré de voir tous les trucs que vous connaissez en informatique lol.

Bref, donc j'ai suivi ce qui a été dit dans les consignes et tout n'a pas très bien fonctionné ...

/ désinstalle via "Ajout/Suppression de programmes", si tu trouves :
(si l'un de ces programmes ne figure pas dans la liste ajout/suppression de programmes, recherche un fichier "uninstall..." dans un répertoire du même nom, dans C:\Program Files et exécute-le)

C:\Program Files\ DownloadMeetSend

Alors je n'ai pas trouvé de programme dans "Ajout/Suppresion de Programmes" ni même en faisant en search dans windows. En cherchant manuellement (Poste de Travail > C:>Programs Files) j'ai trouvé le dossier "Download MeetSend" que j'ai supprimé (et il était vide, même avec les options d'affichages de dossiers).

/ Assure toi d'avoir accès aux dossiers/fichiers cachés :

Ouvrir un dossier, n'importe lequel. Aller dans :
Outils/Options des dossiers/Affichage et
- cocher "afficher les dossiers et fichiers cachés",
- décocher "masquer les extensions des fichiers dont le type est connu".
- décocher masquer les fichiers protégés du système d'exploitation (recommandé)"
"appliquer" et "ok"


Bon ca OK y'a pas eu de souçis ...

/ recherche et supprime ces dossiers ou fichiers, si tu les trouves :

C:\Documents and Settings\Administrateur\Application Data \Plusheck
C:\Documents and Settings\All Users\Application Data \DogOpenNurbDart
C:\Documents and Settings\All Users\Application Data \Show inter mix poll

Je les ai tous trouvé et tous supprimé.

/ démarrer/exécuter, tape cmd et valide par entrée. Colle la ligne suivante dans la fenêtre noire qui s'ouvre :

del /a C:\WINDOWS\Tasks\AAF26ED091A1ED5C.job

valide par entrée, puis ferme la fenêtre de commande.

Alors, je l'ai bien fait, mais une fois tapé entrée, le ms dos me sort "C:\WINDOWS\Tasks\AAF26ED091A1ED5C.job le lien spéficié n'existe pas" ou "impossible de trouver C:\WINDOWS\Tasks\AAF26ED091A1ED5C.job" enfin un truc du genre, je me souviens plus exactement, mais en gros il trouvait pas ce lien : C:\WINDOWS\Tasks\AAF26ED091A1ED5C.job.

Et j'ai essayé de le faire juste avec C:\WINDOWS\Tasks\AAF26ED091A1ED5C.job ou bien sans le "del" : /a C:\WINDOWS\Tasks\AAF26ED091A1ED5C.job. Rien à faire, toujours des messages d'erreurs.

/ double clique sur reglop.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"

Alors j'ai bien eu le message sauf que c'était marqué le lien du fichier ".reg" au lieu de" les informations contenues dans ce fichier .reg" mais c'est un détail on s'en fiche je pense, mais j'préférais le préciser.
J'ai bien cliqué sur oui et là j'ai eu cette erreur que j'ai recopié :
"Le fichier spécifié n'est pas un script du registre. Vous pouvez uniquement importer des fichiers du registre binaire à partir de l'éditeur du registre."


/ Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

C'est fait, pas de souçis.

Et voici le rapport avec Internet fermé, l'antivirus aussi et toutes les applications.
Logfile of HijackThis v1.99.1
Scan saved at 18:21:09, on 07/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
C:\WINDOWS\System32\XCSyncML.exe
C:\PROGRA~1\SYMANT~1\vptray.exe
C:\PROGRA~1\SYMANT~2\IAMAPP.EXE
C:\Program Files\CA\eTrust Internet Security Suite\caissdt.exe
C:\WINDOWS\system32\ctfmon.exe
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Program Files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.51 V1.00\WlanCU.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
C:\PROGRA~1\SYMANT~1\DefWatch.exe
C:\Program Files\symantec_client_firewall_v5_1\NISUM.EXE
C:\PROGRA~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\symantec_client_firewall_v5_1\SymPxSvc.exe
C:\WINDOWS\System32\Tablet.exe
C:\Program Files\symantec_client_firewall_v5_1\NISSERV.EXE
C:\Program Files\Messenger\MSMSGS.EXE
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: (no name) - {BBD8D7FA-BE03-2D33-BC7E-7BD7119C2C99} - C:\DOCUME~1\ADMINI~1\APPLIC~1\Plusheck\help title.exe (file missing)
O3 - Toolbar: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Control Center] C:\Program Files\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [XCSyncML] C:\WINDOWS\System32\XCSyncML.exe
O4 - HKLM\..\Run: [Mix Poll Thunk Name] C:\Documents and Settings\All Users\Application Data\Show inter mix poll\proxy default.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\SYMANT~2\IAMAPP.EXE
O4 - HKLM\..\Run: [nurb dart amen part] C:\Documents and Settings\All Users\Application Data\DogOpenNurbDart\JUNKSAVE.exe
O4 - HKLM\..\Run: [CaISSDT] "C:\Program Files\CA\eTrust Internet Security Suite\caissdt.exe"
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Program Files\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [DogKind] C:\DOCUME~1\ADMINI~1\APPLIC~1\DOWNLO~1\scr store mode.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O4 - Global Startup: Wireless Configuration Utility HW.51.lnk = C:\Program Files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.51 V1.00\WlanCU.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\DefWatch.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Symantec Client Firewall Service (NISSERV) - Symantec Corporation - C:\Program Files\symantec_client_firewall_v5_1\NISSERV.EXE
O23 - Service: Symantec Client Firewall Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\symantec_client_firewall_v5_1\NISUM.EXE
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\Rtvscan.exe
O23 - Service: Symantec Client Firewall Proxy Service (SymPxSvc) - Symantec Corporation - C:\Program Files\symantec_client_firewall_v5_1\SymPxSvc.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe

Une fois encore, merci beaucoup de votre aide ;)

Bonjour,

désolée pour le retard

merci pour tes explications,

avais tu bien sélectionné ceci :

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Mix Poll Thunk Name"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nurb dart amen part"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DogKind"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow]
"www.userplane.com REG_BINARY"=-
"netsearchsoft.com REG_SZ"=-
"www.netsearchsoft.com REG_SZ"=-
"fr.worldsbiggestchat.com REG_BINARY"=- 

ni plus, ni moins. C'est assez capricieux !

ensuite pour la tâche

del /a C:\WINDOWS\Tasks\AAF26ED091A1ED5C.job

c'est pareil, tu as bien copié coller, et non recopié ?

parce qu'en fait, on en est au même point bien sûr.