Spy Sheriff : voilà le résultat de Hijackthis !

Tu peux savoir directement ce qu'il faut supprimer dans ton log à http://www.hijackthis.de/fr

Ok merci je vais voir. ;-)

Euh oui donc j'ai téléchargé et dézzipé Hijackthis sur mon bureau, et ça a cré Hijackthis.log, il suffit que j'ouvre ce fichier, que je fasse copier coller le contenu dans la fenetre et evaluer ? ^^

ah voilà ça marche lol . . . bon je supprime et je te dis la situation ensuite  

voilà mon nouveau log, mais les 015 reviennes toujours =(


Logfile of HijackThis v1.99.1
Scan saved at 23:36:50, on 22/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svhost.exe
C:\WINDOWS\System32\sstray.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
c:\windows\system32\urhqve.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\program files\valve\steam\steam.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\Documents and Settings\Jean-Marie\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://web.qxodrsvewciiddw.com/rNhQISUlMWhoxau8dcpJ/pou...
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: (no name) - {FEDA2B15-D393-A52F-2F31-D4972D4BAEBC} - C:\DOCUME~1\JEAN-M~1\APPLIC~1\Cakegrey\Antebleh.exe (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Microsoft boot system cfg32] actboost.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [64settingsflaphtm] C:\Documents and Settings\All Users\Application Data\cdrom cool 64 settings\Lite Less.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [platformsectlitetick] C:\Documents and Settings\All Users\Application Data\phoneoneplatformsect\extrathis.exe
O4 - HKLM\..\Run: [System backup] C:\WINDOWS\System32\msxmidi.exe
O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\System32\yaemu.exe
O4 - HKLM\..\Run: [vzlgyy] c:\windows\system32\urhqve.exe r
O4 - HKLM\..\RunServices: [Microsoft boot system cfg32] actboost.exe
O4 - HKCU\..\Run: [Microsoft boot system cfg32] actboost.exe
O4 - HKCU\..\Run: [Taskmgr] C:\WINDOWS\system32\taskmge.exe
O4 - HKCU\..\Run: [flag style] C:\DOCUME~1\JEAN-M~1\APPLIC~1\GLUETI~1\Fork Great Tray.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Steam] "c:\program files\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [System backup] C:\WINDOWS\System32\msxmidi.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [MessengerPlus3] "\" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O16 - DPF: Interface Chat Voila - http://chat10.x-echo.com/version5/Applet/vchatsign.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267....
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x40...
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Cont...
O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://11731.kit.carpediem.fr/NueDiana.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClie...
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.ca...
O17 - HKLM\System\CCS\Services\Tcpip\..\{2DA4DC7E-0361-49BD-902D-A540CDD8C697}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{5304650E-8199-4C66-BCE3-C7D903198D11}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{86803BF1-1BF3-42BD-A6E0-DF523F38BEEB}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{86E31F1D-BA85-4502-8361-C987F7EE600A}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{A5D7512E-4C7F-4E7B-95EE-A38F07E46E96}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4F0AC84-7538-40BB-A780-F470036988D2}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB90764E-F89A-46D1-8B43-DCE51910FAFF}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1D352A5-68DE-4BDF-B0E3-57A7EF27DF89}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{F006AA64-D9DD-47F4-A36A-7589DB1CD7CE}: NameServer = 69.50.184.84,195.225.176.37
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Labs - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

essaye ça : http://www.mvps.org/winhelp2002/DelDomains.inf
enregistrer la cible sous ... et installe. ensuite refais un hijack this.

merki  

ok, voilà . . seul un petit

C:\WINDOWS\System32\svhost.exe


persiste , c le seul fichier mechant =/

je suis pas sûr du tout que ce soit un fichier méchant ...
Au contraire ça me fait penser au processus du même nom qui est assez important pour le système
je te conseille de ne pas le supprimer ...

svchost.exe est un processus de windows pas svhost.exe
je cherche comment te debarrasser de ça...
(edit) alors recherche svhost.exe et supprime le
supprime aussi : C:\WINDOWS\System32\Proxyspam.exe.
C:\WINDOWS\System32\Socks8080.exe
et dans le registre supprime les clés contanant svhost dans ces repertoires :
HKEY\LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY\LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Ok, j'ai supprimé 1 svhost en mode sans echec . . .par contre je suis noob, je peux supprimer

C:\WINDOWS\System32\Proxyspam.exe.

et C:\WINDOWS\System32\Socks8080.exe


mais je sais pas ce que c'est le registre . . .

éventuellement si vous conaissez un programme qui détruit un fichier, car souvent ça me refuse la supprésion d'unn fichier

voila j'ai supprimé svhost , mais le probleme persiste, quelle est la suite de la démarche ? ^^

Voilà mon analyse actuelle Logfile of HijackThis v1.99.1
Scan saved at 00:53:04, on 23/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
c:\windows\system32\zoncyeg.exe
C:\WINDOWS\System32\sstray.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\program files\valve\steam\steam.exe
C:\Program Files\SpySheriff\SpySheriff.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\Documents and Settings\Jean-Marie\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://web.qxodrsvewciiddw.com/rNhQISUlMWhoxau8dcpJ/pou...
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
F3 - REG:win.ini: run=C:\WINDOWS\System32\svhost.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: (no name) - {FEDA2B15-D393-A52F-2F31-D4972D4BAEBC} - C:\DOCUME~1\JEAN-M~1\APPLIC~1\Cakegrey\Antebleh.exe (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Microsoft boot system cfg32] actboost.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [64settingsflaphtm] C:\Documents and Settings\All Users\Application Data\cdrom cool 64 settings\Lite Less.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [platformsectlitetick] C:\Documents and Settings\All Users\Application Data\phoneoneplatformsect\extrathis.exe
O4 - HKLM\..\Run: [System backup] C:\WINDOWS\System32\msxmidi.exe
O4 - HKLM\..\Run: [jpizpj] c:\windows\system32\zoncyeg.exe r
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe
O4 - HKLM\..\RunServices: [Microsoft boot system cfg32] actboost.exe
O4 - HKCU\..\Run: [Microsoft boot system cfg32] actboost.exe
O4 - HKCU\..\Run: [Taskmgr] C:\WINDOWS\system32\taskmge.exe
O4 - HKCU\..\Run: [flag style] C:\DOCUME~1\JEAN-M~1\APPLIC~1\GLUETI~1\Fork Great Tray.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Steam] "c:\program files\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [MessengerPlus3] "\" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: Interface Chat Voila - http://chat10.x-echo.com/version5/Applet/vchatsign.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267....
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x40...
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Cont...
O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://11731.kit.carpediem.fr/NueDiana.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClie...
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.ca...
O17 - HKLM\System\CCS\Services\Tcpip\..\{2DA4DC7E-0361-49BD-902D-A540CDD8C697}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{5304650E-8199-4C66-BCE3-C7D903198D11}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{86803BF1-1BF3-42BD-A6E0-DF523F38BEEB}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{86E31F1D-BA85-4502-8361-C987F7EE600A}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{A5D7512E-4C7F-4E7B-95EE-A38F07E46E96}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4F0AC84-7538-40BB-A780-F470036988D2}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB90764E-F89A-46D1-8B43-DCE51910FAFF}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1D352A5-68DE-4BDF-B0E3-57A7EF27DF89}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{F006AA64-D9DD-47F4-A36A-7589DB1CD7CE}: NameServer = 69.50.184.84,195.225.176.37
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Labs - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

Je bloque là . . . qu'est-ce que vous en pensez ? :-x

Bonsoir,

Belles infections

1 Télécharge
CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.

ABIremover
http://forum.hijackthis.de/attachment.php?attachmentid=...

CWShredder
http://cwshredder.net/bin/CWShredder.exe
Mettre CWShredder dans un répertoire dédié

2 Tu clique sur Démarrer puis Exécuter, tu tapes services.msc et tu cliques sur OK.
Dans la liste des services, cherche et sélectionne
"System Startup Service" / double clique sur la ligne
/ vérifie dans Chemin d'accès des fichiers exécutables qu'il
s'agit bien de "C:\WINDOWS\svcproc.exe" / dans Type de démarrage,
sélectionne Désactiver / valide la modification.

3 Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée.

4 Installer ABIRemover.exe ,patienter... pendant l'installation l'explorateur windows se fermera.

5 Redémarre en mode sans échec

6 Désinstalle ces applications (si tu les trouves) dans Ajout-Suppression de programmes :

Messenger Plus! 3
C'est un nid à spyware. Il est responsable en partie de ton infection.
Désinstalle le maintenant.
Une fois l'ordinateur propre, soit tu mets une autre version, soit tu réinstalle le même mais en n'oubliant pas de décocher la case Autoriser les sponsors.

7 Relance un scan HijackThis et coche les lignes en gras ci-dessous :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://web.qxodrsvewciiddw.com/rNhQISUlMWhoxau8dcpJ/pou...
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
F3 - REG:win.ini: run=C:\WINDOWS\System32\svhost.exe
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: (no name) - {FEDA2B15-D393-A52F-2F31-D4972D4BAEBC} - C:\DOCUME~1\JEAN-M~1\APPLIC~1\Cakegrey\Antebleh.exe (file missing)
O4 - HKLM\..\Run: [Microsoft boot system cfg32] actboost.exe
O4 - HKLM\..\Run: [64settingsflaphtm] C:\Documents and Settings\All Users\Application Data\cdrom cool 64 settings\Lite Less.exe
O4 - HKLM\..\Run: [platformsectlitetick] C:\Documents and Settings\All Users\Application Data\phoneoneplatformsect\extrathis.exe
O4 - HKLM\..\Run: [System backup] C:\WINDOWS\System32\msxmidi.exe
O4 - HKLM\..\Run: [jpizpj] c:\windows\system32\zoncyeg.exe r
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe
O4 - HKLM\..\RunServices: [Microsoft boot system cfg32] actboost.exe
O4 - HKCU\..\Run: [Microsoft boot system cfg32] actboost.exe
O4 - HKCU\..\Run: [Taskmgr] C:\WINDOWS\system32\taskmge.exe
O4 - HKCU\..\Run: [flag style] C:\DOCUME~1\JEAN-M~1\APPLIC~1\GLUETI~1\Fork Great Tray.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [MessengerPlus3] "\" /WinStart
O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://11731.kit.carpediem.fr/NueDiana.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{2DA4DC7E-0361-49BD-902D-A540CDD8C697}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{5304650E-8199-4C66-BCE3-C7D903198D11}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{86803BF1-1BF3-42BD-A6E0-DF523F38BEEB}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{86E31F1D-BA85-4502-8361-C987F7EE600A}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{A5D7512E-4C7F-4E7B-95EE-A38F07E46E96}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4F0AC84-7538-40BB-A780-F470036988D2}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB90764E-F89A-46D1-8B43-DCE51910FAFF}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1D352A5-68DE-4BDF-B0E3-57A7EF27DF89}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{F006AA64-D9DD-47F4-A36A-7589DB1CD7CE}: NameServer = 69.50.184.84,195.225.176.37
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »


8 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer

9 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

C:\Program Files\SpySheriff
C:\Documents and Settings\Jean-Marie\Application Data\Cakegrey
C:\Documents and Settings\All Users\Application Data\cdrom cool 64 settings
C:\Documents and Settings\All Users\Application Data\phoneoneplatformsect
C:\Documents and Settings\Jean-Marie\Application Data\GLUETI~1
C:\winstall.exe
C:\WINDOWS\svcproc.exe
C:\WINDOWS\Nail.exe
C:\WINDOWS\System32\hgqhp.exe
:\WINDOWS\system32\taskmge.exe
C:\WINDOWS\System32\svhost.exe
C:\WINDOWS\System32\msxmidi.exe
c:\windows\system32\zoncyeg.exe
actboost.exe --> Fais une recherche sur l'ordinateur

10 Lance CWShredder et clique sur "Fix".

11 Lance et exécute CCleaner.

Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

12 Redémarre normalement et poste un nouveau log HijackThis pour vérification.

Hier soir, dans la précipitation, j'ai oublié l'étape 9

voici donc la situation après avoir fait ce que tu m'as dit :

Logfile of HijackThis v1.99.1
Scan saved at 16:49:48, on 23/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
c:\windows\system32\jegkcas.exe
C:\WINDOWS\System32\sstray.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\sex.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\program files\valve\steam\steam.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\COMMON~1\mioq\mioqm.exe
C:\PROGRA~1\COMMON~1\mioq\mioqa.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Fichiers communs\services.exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\Program Files\WebSiteViewer\127062.dlr
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Documents and Settings\Jean-Marie\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: Shorty - {11A4CA8C-A8B9-49c2-A6D3-3F64C9EEBAE6} - C:\Program Files\DNS\Catcher.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll
O2 - BHO: ohb - {999A06FF-10EF-4A29-8640-69E99882C26B} - C:\WINDOWS\System32\nsu5.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Microsoft boot system cfg32] actboost.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [64settingsflaphtm] C:\Documents and Settings\All Users\Application Data\cdrom cool 64 settings\Lite Less.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows Service] C:\WINDOWS\System32\sex.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [wfdpio] c:\windows\system32\jegkcas.exe r
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Steam] "c:\program files\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [DNS] C:\Program Files\Fichiers communs\mc-58-12-0000093.exe
O4 - HKCU\..\Run: [Windows Service] C:\WINDOWS\System32\sex.exe
O4 - HKCU\..\Run: [mioq] C:\PROGRA~1\COMMON~1\mioq\mioqm.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O16 - DPF: Interface Chat Voila - http://chat10.x-echo.com/version5/Applet/vchatsign.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267....
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x40...
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Cont...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClie...
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.ca...
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Labs - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe

( toujours Spy Sheriff, et je ne peux pas mettre Kaspersky en route, il est " déjà lancé par un autre utilisateur )

up

Bonjour
Il en reste encore.

1 Télécharge DelDomains.inf
http://www.mvps.org/winhelp2002/DelDomains.inf
clic droit / Enregistrer la cible sous....

2 Ouvre le Bloc notes et copie colle le texte suivant(sans les tirets):

------------------------------------------
@ECHO OFF
cd\windows
Nail.exe /FULLREMOVE
attrib -s -r -h nail.exe
del nail.exe
exit
-------------------------------------------

Enregistre le fichier sur le bureau, nom du fichier: remove.bat, Type: Tous les fichiers

3 Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.

4 Désinstalle ces applications (si tu les trouves) dans Ajout-Suppression de programmes :

DNS
isrvs

5 Double clique sur remove.bat
une fenêtre va s'ouvrir et se refermer aussitôt.

6 Relance un scan HijackThis et coche les lignes ci-dessous :

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: Shorty - {11A4CA8C-A8B9-49c2-A6D3-3F64C9EEBAE6} - C:\Program Files\DNS\Catcher.dll
O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll
O2 - BHO: ohb - {999A06FF-10EF-4A29-8640-69E99882C26B} - C:\WINDOWS\System32\nsu5.dll
O4 - HKLM\..\Run: [Microsoft boot system cfg32] actboost.exe
O4 - HKLM\..\Run: [64settingsflaphtm] C:\Documents and Settings\All Users\Application Data\cdrom cool 64 settings\Lite Less.exe
O4 - HKLM\..\Run: [Windows Service] C:\WINDOWS\System32\sex.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [wfdpio] c:\windows\system32\jegkcas.exe r
O4 - HKCU\..\Run: [DNS] C:\Program Files\Fichiers communs\mc-58-12-0000093.exe
O4 - HKCU\..\Run: [Windows Service] C:\WINDOWS\System32\sex.exe
O4 - HKCU\..\Run: [mioq] C:\PROGRA~1\COMMON~1\mioq\mioqm.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »

7 Fais un clic droit le fichier Del_Domains.inf -->Installer

8 Assure toi d'avoir accés à tous les fichiers.

9 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

C:\Program Files\DNS
C:\Program Files\COMMON~1\mioq
C:\Documents and Settings\All Users\Application Data\cdrom cool 64 settings
C:\Program Files\Fichiers communs\mc-58-12-0000093.exe
C:\winstall.exe
C:\WINDOWS\isrvs
C:\WINDOWS\Nail.exe
C:\WINDOWS\System32\nsu5.dll
C:\WINDOWS\System32\sex.exe
c:\windows\system32\jegkcas.exe
actboost.exe --> Fais une recherche sur l'ordinateur

10 Lance et exécute CCleaner.

Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

11 Redémarre normalement et poste un nouveau log HijackThis pour vérification.

je n'arrive pas a poster la suite .. je te PM ..

Plusieurs choses:
Tu n'as pas utiliser DelDomain comme je te l'avais dit. Tu l'as ouvert, alors qu'il fallait faire Clic droit et Installer. Mais ce n'est pas gènant, car les lignes 015 ont disparues.
DelDomain et le texte du point 2 sont deux choses différentes.
Il ne faut pas rater l'étape 2, car le duo Nail/System Startup Service est très résistant.

Je mets ici le rapport que tu m'as envoyer par MP afin que tout le monde puisse suivre l'évolution.

Je prépare ma réponse, et je reviens.

Si tu as des doutes, si tu as des difficultés, demandes.

1 Tu clique sur Démarrer puis Exécuter, tu tapes services.msc et tu cliques sur OK.

Dans la liste des services, cherche et sélectionne
"System Startup Service" / double clique sur la ligne
/ vérifie dans Chemin d'accès des fichiers exécutables qu'il
s'agit bien de "C:\WINDOWS\svcproc.exe" / dans Type de démarrage,
sélectionne Désactiver / valide la modification.

Clique sur Démarrer, Exécuter, puis tapes cmd et OK.
Copie/Colle la ligne suivante dans la fenêtre.
sc delete SvcProc
Et appuie sur Entrée.
Ferme la fenêtre.

2 Ouvre le Bloc notes et copie colle le texte suivant(sans les tirets):

---------------------------------------------
@ECHO OFF
process -k explorer.exe
cd %windir%
Nail.exe /fullremove
sc config SvcProc start= disabled
sc stop SvcProc
sc delete SvcProc
attrib -s -r -h nail.exe
attrib -s -r -h svcproc.exe
del nail.exe
del svcproc.exe
cd %windir%\system32
attrib -s -r -h DrPMon.dll
del DrPMon.dll
start explorer.exe
exit
-----------------------------------------------

Enregistre le fichier sur le bureau, nom du fichier: fixnail.bat, Type: Tous les fichiers


3 Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.

4 Double clique sur fixnail.bat
une fenêtre va s'ouvrir et se refermer aussitôt.

5 Relance un scan HijackThis et coche les lignes ci-dessous :

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O4 - HKLM\..\Run: [ifjqbb] c:\windows\system32\hkfveyc.exe r
O17 - HKLM\System\CCS\Services\Tcpip\..\{2DA4DC7E-0361-49BD-902D-A540CDD8C697}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{5304650E-8199-4C66-BCE3-C7D903198D11}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{86803BF1-1BF3-42BD-A6E0-DF523F38BEEB}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{86E31F1D-BA85-4502-8361-C987F7EE600A}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{A5D7512E-4C7F-4E7B-95EE-A38F07E46E96}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4F0AC84-7538-40BB-A780-F470036988D2}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB90764E-F89A-46D1-8B43-DCE51910FAFF}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1D352A5-68DE-4BDF-B0E3-57A7EF27DF89}: NameServer = 69.50.184.84,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{F006AA64-D9DD-47F4-A36A-7589DB1CD7CE}: NameServer = 69.50.184.84,195.225.176.37
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »

6 Assure toi d'avoir accés à tous les fichiers.

7 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

C:\WINDOWS\svcproc.exe
C:\WINDOWS\Nail.exe
c:\windows\system32\hkfveyc.exe

8 Lance et exécute CCleaner.

Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

9 Redémarre normalement et poste un nouveau log HijackThis pour vérification.

Qu'est ce que tu as comme parefeu ?

As-tu reçu la suite ? je t'ai envoyé un PM mais je ne sais pas si ça a marché car j'ai eu plusieurs error 500 en voulant poster ici hier

Bonjour,

Oui je l'ai reçu et tu es sacrément infecté. Plus qu'avant :-?

Je dois savoir plusieurs choses:

As tu fait du surf à risque depuis ma derniére analyse ( site de crack, warez, X, ...)
As tu un logiciel de P2P et lequel ?
Je vois Kaspersky et Norton, lequel as tu vraiment ? Et fais tu les mises à jours ?
As tu un parefeu ?

Bonjour,

J'ai besoin d'aide. Je suis responsable des ordinateurs d'une petite PME et un des employés vient d'attraper Spy Sheriff. J'ai voulu suivre la procédure indiquée mais je fonctionne sous Windows 200 Professionnel et je n'ai pas trouvé le service "System Startup Services".

Que faire s'il vous plait ?

Voici ma log sous HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 09:06:35, on 08/08/2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\EASYPH~1\Apache\apache.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\mnmsrvc.exe
C:\WINNT\svchost.exe
C:\PROGRA~1\EASYPH~1\MySql\bin\mysqld.exe
C:\PROGRA~1\EASYPH~1\Apache\apache.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\atiptaxx.exe
C:\program files\umsd\umsd.exe
C:\Program Files\Client CAPI\RccIcon.exe
C:\WINNT\system32\cssrs.exe
C:\WINNT\system32\winldra.exe
C:\winstall.exe
C:\Program Files\msal\osaa.exe
C:\WINNT\system32\n?tepad.exe
C:\winstall.exe
C:\Program Files\SpySheriff\SpySheriff.exe
C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\WINNT\System32\locator.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Master\Mes documents\Thomas\Tous contre Spysheriff\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file://C:\WINNT\blank.mht
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {8F263C7A-C3C7-A699-1030-F1A667A17212} - dePloy.dll (file missing)
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINNT\system32\meokb.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {B75F75B8-93F3-429D-FF34-660B206D897A} - C:\WINNT\system32\zolker006.dll
O2 - BHO: ZToolbar Activator Class - {FFF5092F-7172-4018-827B-FA5868FB0478} - C:\WINNT\system32\ztoolb006.dll
O3 - Toolbar: ZToolbar - {A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB} - C:\WINNT\system32\ztoolb006.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [PLoader] c:\program files\umsd\umsd.exe sys_auto_run C:\Program Files\UMSD
O4 - HKLM\..\Run: [RccIcon] C:\Program Files\Client CAPI\RccIcon
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [desktop] C:\WINNT\system32\desktop.exe
O4 - HKLM\..\Run: [DTOURS] KeywordFinder.exe
O4 - HKLM\..\Run: [backd] slamm.exe
O4 - HKLM\..\Run: [load32] C:\WINNT\system32\winldra.exe
O4 - HKLM\..\RunServices: [desktop] C:\WINNT\system32\desktop.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [Turh] C:\Program Files\msal\osaa.exe
O4 - HKCU\..\Run: [Rpnc] C:\WINNT\system32\n?tepad.exe
O4 - HKCU\..\Run: [WareOut] "C:\Program Files\WareOut\WareOut.exe"
O4 - HKCU\..\Run: [runload32] stuffmon.exe
O4 - HKCU\..\Run: [BoundRec] syspanel.exe
O4 - HKCU\..\Run: [WhatsNewBot] StatusCheck.exe
O4 - HKCU\..\Run: [SNInstall] C:\winstall.exe
O4 - HKCU\..\Run: [Foxmail] "C:\Program Files\Foxmail\Foxmail.exe" -min
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Raccourci vers serveur.bat.lnk = C:\serveur.bat
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 67.19.178.84
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/a...
O16 - DPF: {02BED220-FBC7-4392-93A2-3A50B056F78E} - http://down.plaxo.com/down/release/instub.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/fr/big/1.1.62-big/Google...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall...
O17 - HKLM\System\CCS\Services\Tcpip\..\{4776761B-2145-4E24-9023-76444B4232E3}: NameServer = 195.95.218.1,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{9BDB8B2A-1805-4C2A-B5A6-A75209128FF3}: Domain = fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{9BDB8B2A-1805-4C2A-B5A6-A75209128FF3}: NameServer = 195.95.218.1,85.255.112.7
O21 - SSODL: System - {05898508-266F-493A-A5A3-117737943226} - vr_sys.dll (file missing)
O21 - SSODL: Adobe Photoshop 6.0 - {D4C1A517-5DE0-A73A-521F-270E5BBEB7F0} - c:\program files\adobe\photoshop 6.0\wgzru32.dll
O23 - Service: Apache - Unknown owner - C:\PROGRA~1\EASYPH~1\Apache\apache.exe" --ntservice (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: svchost.exe (moto) - Unknown owner - C:\WINNT\svchost.exe
O23 - Service: MySql - Unknown owner - C:\PROGRA~1\EASYPH~1\MySql\bin\mysqld.exe

J'ai vraiment besoin d'aide, merci par avance

Bonjour

L'ordinateur est très infecté.

* Télécharge
SmitfraudFix de S!Ri:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Tu le dézippes sur le Bureau.

Ewido
http://www.ewido.net/fr/download/
Tu l'installes et tu le mets à jour.

* Tu ouvres SmitfraudFix, tu double cliques sur SmitfraudFix.cmd et tu choisis l’option 1
Postes le rapport.

* Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarres l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuyes sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionnes le mode sans échec approprié et appuyes sur Entrée.

* Lances un scan d'Ewido.
Sauvegardes le rapport.

* Relances SmitfraudFix et choisis cette fois l’option 2 et réponds oui à tout.

* Redémarres normalement et communiques le deuxième rapport de SmitfraudFix, le rapport d'Ewido avec un nouveau rapport Hijackthis.

Merci pour cette réponse, ça va déjà beaucoup mieux. Comme ce n'était pas précisé, lors du scan d'Ewido, j'ai supprimé tous les fichiers infectés. Le rapport d'Ewido est alors:

---------------------------------------------------------
ewido security suite - Rapport de scan
---------------------------------------------------------

+ Créé le: 09:25:57, 09/08/2005
+ Somme de contrôle: 4CAD805F

+ Résultats du scan:

HKLM\SOFTWARE\Classes\CLSID\{08BEC6AA-49FC-4379-3587-4B21E286C19E} -> Spyware.SBSoft : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB} -> Spyware.Azsearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{B75F75B8-93F3-429D-FF34-660B206D897A} -> Spyware.PurityScan : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\CLSID\{FFF5092F-7172-4018-827B-FA5868FB0478} -> Spyware.ZToolbar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Interface\{6DEEE498-08CC-43F0-BCA0-DBB5A25C9501} -> Spyware.SimpleBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\TypeLib\{84C94803-B5EC-4491-B2BE-7B113E013B77} -> Spyware.SimpleBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\ZToolbar.activator -> Spyware.Azsearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\ZToolbar.activator\CLSID -> Spyware.Azsearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\ZToolbar.activator\CurVer -> Spyware.Azsearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\ZToolbar.ParamWr -> Spyware.Azsearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\ZToolbar.ParamWr\CLSID -> Spyware.Azsearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\ZToolbar.ParamWr\CurVer -> Spyware.Azsearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\ZToolbar.StockBar -> Spyware.Azsearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\ZToolbar.StockBar\CLSID -> Spyware.Azsearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\ZToolbar.StockBar\CurVer -> Spyware.Azsearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{08BEC6AA-49FC-4379-3587-4B21E286C19E} -> Spyware.SBSoft : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B75F75B8-93F3-429D-FF34-660B206D897A} -> Spyware.PurityScan : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FFF5092F-7172-4018-827B-FA5868FB0478} -> Spyware.ZToolbar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Best Search Engine!!! -> Spyware.CoolWebSearch : Nettoyer et sauvegarder
HKU\S-1-5-21-448539723-1993962763-854245398-500\Software\WareOut -> TrojanDownloader.Wareout : Nettoyer et sauvegarder
HKU\S-1-5-21-448539723-1993962763-854245398-500\Software\WareOut\FirstRun -> TrojanDownloader.Wareout : Nettoyer et sauvegarder
HKU\S-1-5-21-448539723-1993962763-854245398-500\Software\WareOut\Options -> TrojanDownloader.Wareout : Nettoyer et sauvegarder
HKU\S-1-5-21-448539723-1993962763-854245398-500\Software\WareOut\Registration -> TrojanDownloader.Wareout : Nettoyer et sauvegarder
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\016FWTEZ\load02[1].exe -> TrojanDropper.Small.aad : Nettoyer et sauvegarder
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\SLY7KDUJ\loadppc[1].exe -> TrojanDropper.Small.abx : Nettoyer et sauvegarder
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\SLY7KDUJ\loadppc[2].exe -> TrojanDropper.Small.abx : Nettoyer et sauvegarder
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\W1Q7KXQJ\loadppc[1].exe -> TrojanDropper.Small.abx : Nettoyer et sauvegarder
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\W1Q7KXQJ\loadppc[2].exe -> TrojanDropper.Small.abx : Nettoyer et sauvegarder
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\YLUJ2B49\load01[1].exe -> Backdoor.Dumador.dg : Nettoyer et sauvegarder
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\YLUJ2B49\me[1].dat -> TrojanProxy.Small.cq : Nettoyer et sauvegarder
C:\Documents and Settings\Master\Cookies\master@247realmedia[2].txt -> Spyware.Cookie.247realmedia : Nettoyer et sauvegarder
C:\Documents and Settings\Master\Cookies\master@2o7[1].txt -> Spyware.Cookie.2o7 : Nettoyer et sauvegarder
C:\Documents and Settings\Master\Cookies\master@ad.yieldmanager[1].txt -> Spyware.Cookie.Yieldmanager : Nettoyer et sauvegarder
C:\Documents and Settings\Master\Cookies\master@ads.addynamix[2].txt -> Spyware.Cookie.Addynamix : Nettoyer et sauvegarder
C:\Documents and Settings\Master\Cookies\master@adtech[2].txt -> Spyware.Cookie.Adtech : Nettoyer et sauvegarder
C:\Documents and Settings\Master\Cookies\master@as-eu.falkag[1].txt -> Spyware.Cookie.Falkag : Nettoyer et sauvegarder
C:\Documents and Settings\Master\Cookies\master@bluestreak[2].txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder
C:\Documents and Settings\Master\Cookies\master@bs.serving-sys[1].txt -> Spyware.Cookie.Serving-sys : Nettoyer et sauvegarder
C:\Documents and Settings\Master\Cookies\master@fl01.ct2.comclick[1].txt -> Spyware.Cookie.Comclick : Nettoyer et sauvegarder
C:\Documents and Settings\Master\Cookies\master@revenue[1].txt -> Spyware.Cookie.Revenue : Nettoyer et sauvegarder
C:\Documents and Settings\Master\Cookies\master@rotator.adjuggler[1].txt -> Spyware.Cookie.Adjuggler : Nettoyer et sauvegarder
C:\Documents and Settings\Master\Cookies\master@sales.liveperson[2].txt -> Spyware.Cookie.Liveperson : Nettoyer et sauvegarder
C:\Documents and Settings\Master\Cookies\master@serving-sys[2].txt -> Spyware.Cookie.Serving-sys : Nettoyer et sauvegarder
C:\Documents and Settings\Master\Cookies\master@www.smartadserver[2].txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder
C:\Documents and Settings\Master\Local Settings\Temp\2.qtdfmp -> Not-A-Virus.Hoax.Renos.i : Nettoyer et sauvegarder
C:\Documents and Settings\Master\Local Settings\Temp\Del21.tmp -> TrojanDownloader.Small.asf : Nettoyer et sauvegarder
C:\Documents and Settings\Master\Local Settings\Temp\maxdd.game -> Dialer.Generic : Nettoyer et sauvegarder
C:\Documents and Settings\Master\Local Settings\Temp\res24.tmp -> Spyware.180Solutions : Nettoyer et sauvegarder
C:\Documents and Settings\Master\Local Settings\Temp\vx1.game -> TrojanDropper.Small.acg : Nettoyer et sauvegarder
C:\Documents and Settings\Master\Local Settings\Temp\vx2.game -> Trojan.Crypt.i : Nettoyer et sauvegarder
C:\Documents and Settings\Master\Local Settings\Temp\vx4.game -> Spyware.Hijacker.Generic : Nettoyer et sauvegarder
C:\Documents and Settings\Master\Local Settings\Temp\vxt1.game -> TrojanDropper.Small.aad : Nettoyer et sauvegarder
C:\Documents and Settings\Master\Local Settings\Temporary Internet Files\Content.IE5\AH1EFMHK\count[1].gif -> TrojanDropper.Agent.qb : Nettoyer et sauvegarder
C:\Documents and Settings\Master\Local Settings\Temporary Internet Files\Content.IE5\FK9JPO6W\zang-100[1].0000 -> TrojanDownloader.Small.asf : Nettoyer et sauvegarder
C:\Documents and Settings\Master\Local Settings\Temporary Internet Files\Content.IE5\MYFNX4N3\index[1].htm -> Not-A-Virus.Exploit.VBS.Phel.a : Nettoyer et sauvegarder
C:\Documents and Settings\Reloaded\Local Settings\Temporary Internet Files\Content.IE5\016FWTEZ\load02[1].exe -> TrojanDropper.Small.aad : Nettoyer et sauvegarder
C:\Documents and Settings\Reloaded\Local Settings\Temporary Internet Files\Content.IE5\SLY7KDUJ\loadppc[1].exe -> TrojanDropper.Small.abx : Nettoyer et sauvegarder
C:\Documents and Settings\Reloaded\Local Settings\Temporary Internet Files\Content.IE5\YLUJ2B49\me[1].dat -> TrojanProxy.Small.cq : Nettoyer et sauvegarder
C:\lo-581354041.exe -> TrojanDownloader.Small.agq : Nettoyer et sauvegarder
C:\Program Files\Adobe\Photoshop 6.0\wgnox32.dll -> TrojanDownloader.Murlo.ar : Nettoyer et sauvegarder
C:\Program Files\Adobe\Photoshop 6.0\wgzru32.dll -> TrojanDownloader.Murlo.ar : Nettoyer et sauvegarder
C:\Program Files\SpySheriff -> Spyware.SpySheriff : Nettoyer et sauvegarder
C:\Program Files\SpySheriff\found.wav -> Spyware.SpySheriff : Nettoyer et sauvegarder
C:\Program Files\SpySheriff\IESecurity.dll -> Spyware.SpySheriff : Nettoyer et sauvegarder
C:\Program Files\SpySheriff\notfound.wav -> Spyware.SpySheriff : Nettoyer et sauvegarder
C:\Program Files\SpySheriff\ProcMon.dll -> Spyware.SpySheriff : Nettoyer et sauvegarder
C:\Program Files\SpySheriff\removed.wav -> Spyware.SpySheriff : Nettoyer et sauvegarder
C:\Program Files\SpySheriff\SpySheriff.dvm -> Spyware.SpySheriff : Nettoyer et sauvegarder
C:\Program Files\SpySheriff\SpySheriff.exe -> Spyware.SpySheriff : Nettoyer et sauvegarder
C:\Program Files\SpySheriff\SpySheriff_1.dat -> Spyware.SpySheriff : Nettoyer et sauvegarder
C:\Program Files\SpySheriff\SpySheriff_2.dat -> Spyware.SpySheriff : Nettoyer et sauvegarder
C:\Program Files\SpySheriff\Uninstall.exe -> Spyware.SpySheriff : Nettoyer et sauvegarder
C:\Program Files\WinAce\winace.exe -> Heuristic.Win32.AVKiller : Nettoyer et sauvegarder
C:\Program Files\Windows Media Player\wmplayer.exe -> TrojanDropper.Agent.qb : Nettoyer et sauvegarder
C:\WINNT\dvpd.dll -> Backdoor.Dumador.dg : Nettoyer et sauvegarder
C:\WINNT\system\svchost.dll -> Backdoor.Agent.iw : Nettoyer et sauvegarder
C:\WINNT\system\svchost.exe -> Backdoor.Agent.iw : Nettoyer et sauvegarder
C:\WINNT\system\svchosthook.dll -> Backdoor.Agent.iw : Nettoyer et sauvegarder
C:\WINNT\system32\1323212.exe -> TrojanDropper.Small.aad : Nettoyer et sauvegarder
C:\WINNT\system32\1325586.exe -> TrojanDropper.Small.aad : Nettoyer et sauvegarder
C:\WINNT\system32\1326877.exe -> TrojanDropper.Small.aad : Nettoyer et sauvegarder
C:\WINNT\system32\2197609.exe -> TrojanDropper.Small.aad : Nettoyer et sauvegarder
C:\WINNT\system32\702720.exe -> Backdoor.Dumador.dg : Nettoyer et sauvegarder
C:\WINNT\system32\703641.exe -> TrojanDropper.Small.aad : Nettoyer et sauvegarder
C:\WINNT\system32\704893.exe -> TrojanDropper.Small.aad : Nettoyer et sauvegarder
C:\WINNT\system32\705304.exe -> TrojanDropper.Small.aad : Nettoyer et sauvegarder
C:\WINNT\system32\706005.exe -> TrojanDropper.Small.aad : Nettoyer et sauvegarder
C:\WINNT\system32\706415.exe -> TrojanDropper.Small.aad : Nettoyer et sauvegarder
C:\WINNT\system32\708869.exe -> TrojanDropper.Small.aad : Nettoyer et sauvegarder
C:\WINNT\system32\abc.exe -> TrojanSpy.LdPinch.os : Nettoyer et sauvegarder
C:\WINNT\system32\abirvalg32.dll -> TrojanProxy.Small.cn : Nettoyer et sauvegarder
C:\WINNT\system32\cssrs.exe -> TrojanSpy.PdPinch : Nettoyer et sauvegarder
C:\WINNT\system32\desktop.dll -> TrojanProxy.Small.cq : Nettoyer et sauvegarder
C:\WINNT\system32\desktop.exe -> TrojanProxy.Small.cq : Nettoyer et sauvegarder
C:\WINNT\system32\dmxlo.exe -> TrojanDropper.Vidro.u : Nettoyer et sauvegarder
C:\WINNT\system32\init32m.exe -> TrojanDownloader.Agent.ho : Nettoyer et sauvegarder
C:\WINNT\system32\love.exe -> TrojanProxy.Small.cq : Nettoyer et sauvegarder
C:\WINNT\system32\maxd1.exe -> Dialer.Generic : Nettoyer et sauvegarder
C:\WINNT\system32\meokb.dll -> Spyware.SBSoft : Nettoyer et sauvegarder
C:\WINNT\system32\vxgame1.exe -> TrojanDropper.Small.acg : Nettoyer et sauvegarder
C:\WINNT\system32\vxgame2.exe -> Trojan.Crypt.i : Nettoyer et sauvegarder
C:\WINNT\system32\vxgame3.exe -> TrojanDownloader.Agent.ho : Nettoyer et sauvegarder
C:\WINNT\system32\vxgame4.exe -> Spyware.Hijacker.Generic : Nettoyer et sauvegarder
C:\WINNT\system32\vxgame6.exe -> Backdoor.Agent.iw : Nettoyer et sauvegarder
C:\WINNT\system32\vxgamet1.exe -> TrojanDropper.Small.aad : Nettoyer et sauvegarder
C:\WINNT\system32\vxgamet2.exe -> Trojan.LowZones.y : Nettoyer et sauvegarder
C:\WINNT\system32\vxh8jkdq1.exe -> TrojanDownloader.Agent.qx : Nettoyer et sauvegarder
C:\WINNT\system32\vxh8jkdq2.exe -> Not-A-Virus.Hoax.Renos.i : Nettoyer et sauvegarder
C:\WINNT\system32\vxh8jkdq5.exe -> TrojanDownloader.Small.awa : Nettoyer et sauvegarder
C:\WINNT\system32\vxh8jkdq6.exe -> TrojanDownloader.Small.aux : Nettoyer et sauvegarder
C:\WINNT\system32\vxh8jkdq7.exe -> TrojanDownloader.Small.atl : Nettoyer et sauvegarder
C:\WINNT\system32\vxh8jkdq8.exe -> TrojanDownloader.Agent.qx : Nettoyer et sauvegarder
C:\WINNT\system32\wins32.dll -> TrojanDownloader.Small.bez : Nettoyer et sauvegarder
C:\WINNT\system32\zolker005.dll -> Spyware.Azesearch : Nettoyer et sauvegarder
C:\WINNT\system32\zolker006.dll -> Spyware.Azesearch : Nettoyer et sauvegarder
C:\WINNT\system32\ztoolb005.dll -> Spyware.Zbar : Nettoyer et sauvegarder
C:\WINNT\system32\ztoolb006.dll -> Spyware.Zbar : Nettoyer et sauvegarder
C:\WINNT\system32\~update.exe -> Trojan.Crypt.i : Nettoyer et sauvegarder
C:\WINNT\vr_sys.dll -> TrojanSpy.LdPinch.os : Nettoyer et sauvegarder
C:\winstall.exe -> Not-A-Virus.Hoax.Renos.i : Nettoyer et sauvegarder


::Fin du rapport


Le rapport de SmitfraudFix réalisé après le fix (en mode sans échec toujours) donne:

SmitFraudFix v1.5

Rapport fait à 9:26:27,50 le mar. 09/08/2005
Executé à partir de C:\Documents and Settings\Master\Bureau
OS: Microsoft Windows 2000 [Version 5.00.2195]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINNT\desktop.html supprimé


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport



D'où le dernier rapport de Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 09:44:53, on 09/08/2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\EASYPH~1\Apache\apache.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\PROGRA~1\EASYPH~1\Apache\apache.exe
C:\WINNT\System32\mnmsrvc.exe
C:\PROGRA~1\EASYPH~1\MySql\bin\mysqld.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\atiptaxx.exe
C:\program files\umsd\umsd.exe
C:\Program Files\Client CAPI\RccIcon.exe
C:\Program Files\msal\osaa.exe
C:\WINNT\system32\n?tepad.exe
C:\Program Files\Foxmail\Foxmail.exe
C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\WINNT\System32\locator.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\CIEL\WGCCLIENT\WGC_32.EXE
C:\Documents and Settings\Master\Mes documents\Thomas\Tous contre Spysheriff\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alphacomed.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {8F263C7A-C3C7-A699-1030-F1A667A17212} - dePloy.dll (file missing)
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB} - (no file)
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [PLoader] c:\program files\umsd\umsd.exe sys_auto_run C:\Program Files\UMSD
O4 - HKLM\..\Run: [RccIcon] C:\Program Files\Client CAPI\RccIcon
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [DTOURS] KeywordFinder.exe
O4 - HKLM\..\Run: [backd] slamm.exe
O4 - HKCU\..\Run: [Turh] C:\Program Files\msal\osaa.exe
O4 - HKCU\..\Run: [Rpnc] C:\WINNT\system32\n?tepad.exe
O4 - HKCU\..\Run: [WareOut] "C:\Program Files\WareOut\WareOut.exe"
O4 - HKCU\..\Run: [runload32] stuffmon.exe
O4 - HKCU\..\Run: [BoundRec] syspanel.exe
O4 - HKCU\..\Run: [WhatsNewBot] StatusCheck.exe
O4 - HKCU\..\Run: [Foxmail] "C:\Program Files\Foxmail\Foxmail.exe" -min
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Raccourci vers serveur.bat.lnk = C:\serveur.bat
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 67.19.178.84
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/a...
O16 - DPF: {02BED220-FBC7-4392-93A2-3A50B056F78E} - http://down.plaxo.com/down/release/instub.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/fr/big/1.1.62-big/Google...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall...
O17 - HKLM\System\CCS\Services\Tcpip\..\{4776761B-2145-4E24-9023-76444B4232E3}: NameServer = 195.95.218.1,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{9BDB8B2A-1805-4C2A-B5A6-A75209128FF3}: Domain = fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{9BDB8B2A-1805-4C2A-B5A6-A75209128FF3}: NameServer = 195.95.218.1,85.255.112.7
O21 - SSODL: System - {05898508-266F-493A-A5A3-117737943226} - vr_sys.dll (file missing)
O21 - SSODL: Adobe Photoshop 6.0 - {D4C1A517-5DE0-A73A-521F-270E5BBEB7F0} - c:\program files\adobe\photoshop 6.0\wgzru32.dll (file missing)
O23 - Service: Apache - Unknown owner - C:\PROGRA~1\EASYPH~1\Apache\apache.exe" --ntservice (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: svchost.exe (moto) - Unknown owner - C:\WINNT\svchost.exe (file missing)
O23 - Service: MySql - Unknown owner - C:\PROGRA~1\EASYPH~1\MySql\bin\mysqld.exe

Par avance merci de me dire si il y a encore des soucis

Bonsoir

Oui, encore quelques corrections, mêm si le néttoyage préliminaire a été très efficace.

1 Télécharge
CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.

DelDomain.inf
http://www.mvps.org/winhelp2002/restricted.htm
clic droit / Enregistrer la cible sous... Mettre sur le bureau.

2 Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.

3 Désinstalle ces applications (si tu les trouves) dans Ajout-Suppression de programmes :

WareOut
msal

4 Relance un scan HijackThis et coche les lignes ci-dessous :

R3 - URLSearchHook: (no name) - {8F263C7A-C3C7-A699-1030-F1A667A17212} - dePloy.dll (file missing)
O3 - Toolbar: (no name) - {A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB} - (no file)
O4 - HKLM\..\Run: [DTOURS] KeywordFinder.exe
O4 - HKLM\..\Run: [backd] slamm.exe
O4 - HKCU\..\Run: [Turh] C:\Program Files\msal\osaa.exe
O4 - HKCU\..\Run: [Rpnc] C:\WINNT\system32\n?tepad.exe
O4 - HKCU\..\Run: [WareOut] "C:\Program Files\WareOut\WareOut.exe"
O4 - HKCU\..\Run: [runload32] stuffmon.exe
O4 - HKCU\..\Run: [BoundRec] syspanel.exe
O4 - HKCU\..\Run: [WhatsNewBot] StatusCheck.exe
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 67.19.178.84
O16 - DPF: {02BED220-FBC7-4392-93A2-3A50B056F78E} - http://down.plaxo.com/down/release/instub.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4776761B-2145-4E24-9023-76444B4232E3}: NameServer = 195.95.218.1,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{9BDB8B2A-1805-4C2A-B5A6-A75209128FF3}: NameServer = 195.95.218.1,85.255.112.7
O21 - SSODL: System - {05898508-266F-493A-A5A3-117737943226} - vr_sys.dll (file missing)
O21 - SSODL: Adobe Photoshop 6.0 - {D4C1A517-5DE0-A73A-521F-270E5BBEB7F0} - c:\program files\adobe\photoshop 6.0\wgzru32.dll (file missing)
O23 - Service: svchost.exe (moto) - Unknown owner - C:\WINNT\svchost.exe (file missing)

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »

5 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer

6 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

C:\Program Files\WareOut
C:\Program Files\msal
C:\WINNT\svchost.exe
C:\WINNT\system32\n?tepad.exe
KeywordFinder.exe
slamm.exe
stuffmon.exe
syspanel.exe
StatusCheck.exe
Pour ce 5 derniers, fais une recherche dans le PC. Probablement dans C:\WINNT\system32 ou C:\WINNT

7 Fais un clic droit le fichier Del_Domains.inf -->Installer

8 Lance et exécute CCleaner.

Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

9 Redémarre normalement et poste un nouveau log HijackThis pour vérification.

Up !

Encore merci pour cette aide très précieuse.
Voici le dernier scan HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 10:06:37, on 10/08/2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\EASYPH~1\Apache\apache.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\mnmsrvc.exe
C:\PROGRA~1\EASYPH~1\MySql\bin\mysqld.exe
C:\PROGRA~1\EASYPH~1\Apache\apache.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\atiptaxx.exe
C:\program files\umsd\umsd.exe
C:\Program Files\Client CAPI\RccIcon.exe
C:\Program Files\Foxmail\Foxmail.exe
C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINNT\System32\locator.exe
C:\Documents and Settings\Master\Mes documents\Thomas\Tous contre Spysheriff\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alphacomed.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [PLoader] c:\program files\umsd\umsd.exe sys_auto_run C:\Program Files\UMSD
O4 - HKLM\..\Run: [RccIcon] C:\Program Files\Client CAPI\RccIcon
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [Foxmail] "C:\Program Files\Foxmail\Foxmail.exe" -min
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Raccourci vers serveur.bat.lnk = C:\serveur.bat
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/a...
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/fr/big/1.1.62-big/Google...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall...
O17 - HKLM\System\CCS\Services\Tcpip\..\{9BDB8B2A-1805-4C2A-B5A6-A75209128FF3}: Domain = fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{9BDB8B2A-1805-4C2A-B5A6-A75209128FF3}: NameServer = 212.27.32.176,212.27.32.177
O23 - Service: Apache - Unknown owner - C:\PROGRA~1\EASYPH~1\Apache\apache.exe" --ntservice (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: MySql - Unknown owner - C:\PROGRA~1\EASYPH~1\MySql\bin\mysqld.exe

Bonjour

Plus de signe d'infection dans ce rapport.

Fais une analyse antivirus en ligne sur Panda
http://www.pandasoftware.com/activescan/fr/activescan_p...

Colle son rapport ici.

Qu'est ce qu'il y a comme protection sur l'ordinateur ?
Pas de trace d'antivirus et de parefeu ?!?

Bonsoir,

Résultat de Panda:

/wareout No Désinfecté C:\Documents and Settings\Master\Application Data\wo.tmp
Hacktool:Hacktool/Processor No Désinfecté C:\Documents and Settings\Master\Mes documents\Thomas\Tous contre Spysheriff\Etape 1\Process.exe
Hacktool:Hacktool/Processor No Désinfecté C:\WINNT\system32\Process.exe
Adware:Adware/PurityScan No Désinfecté C:\WINNT\system32\Shex.exe
Adware:adware/adsmart No Désinfecté C:\WINNT\system32\vx.tll
Adware:adware/azesearch No Désinfecté C:\WINNT\zsettings.dll

Là, je vais installer AVG 7.0 sur les ordinateurs.

Pour le pare feu, je dirai ou pas en fait. L'ancien informaticien est parti lorsque la license de l'ancien a expiré et le patron n'a pas voulu mettre d'argent pour un nouveau (à cause du serveur de la société, ça coutait trop cher...)

Cependant, je reste ouvert à tout conseil éclairé ;-)

Bonjour

Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.

Assure toi d'avoir accés à tous les fichiers.

Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

SmitfrauFix
C:\Documents and Settings\Master\Application Data\wo.tmp
C:\Documents and Settings\Master\Mes documents\Thomas\Tous contre Spysheriff\Etape 1\Process.exe
C:\WINNT\system32\Process.exe
C:\WINNT\system32\Shex.exe
C:\WINNT\system32\vx.tll
C:\WINNT\zsettings.dll

Lance et exécute CCleaner.

Recache les fichiers systeme afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.

Redémarre normalement.

Fais les mises à jour de l'ordinateur. Télécharge le pack SP2.
http://update.microsoft.com

Pour le parefeu, ZoneAlarm Free ne marche pas pour les sociètès. Pour les autres, je ne sais pas. Sinon, avec le SP2 tu as un parefeu intègré.Il bloque bien les connections entrantes.

Fais une analyse antivirus en ligne sur BitDefender
http://www.bitdefender.fr/scan8/ie.html

Colle son rapport ici. Cela permettra de finir le nettoyage.

Bonjour,

Je n'ai pas encore eu le temps de faire ces opérations.

En fait, j'ai déjà le SP 2 et je n'ai pas semble t'il de pare feu intégré. Est ce sûr que Windws 2000 SP 2 en possède un ?

De plus, le lien vers Zone Alarm semble mort et tous ceux que j'ai trouvé semblent dans le même état, avez vous une solution ?

Merci d'avance

Bonsoir

Je crois que je me suis emmêlé avec le SP2,le 2000....
Il n'y a pas de parefeu.

Va voir là. Il y a Kério et Sygate qui marchent peut être pour les sociétés..
http://foireauxtutoriaux.free.fr/tutoriaux_firewall.php

Et le lien pour ZoneAlarm
http://fr.zonelabs.com/

Bonjour
Voila ma je n'est pas télécharger le logiciel , ni installer mais je n'arrive pas a me débarasser de l'icone avec le attention qui vous fait dl ce programme !!! ( j'en ai dja enlever 1 sur 2 c dja sa !!! ) Comment faire ? j'ai fait un scan avec Spybot , 1 Avec panda antivirus titanium 2006 , r1   que dois je faire :-?
edit : J'ai même refait avec trend micro anti spyware = 15 spyware mais aucun changement au niveau du logo sachant que j'ai eu sa quand je susi passer de la version 7.0.14 a la 7.0.15  

Cree ton propre sujet!

1/ Télécharge SmitfraudFix
Dézippe-le sur le Bureau.
Ouvre le dossier SmitfraudFix et lance SmitfraudFix.cmd
Choisis l'option 1 (Recherche)

2/ Redémarre en mode sans échec (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)

Relance SmitfraudFix et choisis cette fois l’option 2 et réponds oui à chaque question

merci sa a fonctionner nikel  

Bonjour à tous. Je suis nouveau ici. Je suis aussi salement infecté, notamment par spy sheriff... Voilà mon log hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 20:49:46, on 17/05/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\Program Files\Norton SystemWorks\Norton Antivirus\OPScan.exe
C:\Documents and Settings\Stéphane\Bureau\HijackThis.exe
C:\Program Files\Messenger\msmsgs.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://krieg.warlust.net/forum/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\winsock\csrss.exe
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [Microsoft (R) Windows Update Manager] C:\WINDOWS\update\updmgr.exe
O4 - HKCU\..\Run: [WindowsRegKey update] Windowsup.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x....
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0...
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://locator1.cdn.imagesrvr.com/sites/winfixer.com/ww...
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: xptptt - C:\WINDOWS\SYSTEM32\xptptt.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: MicroSoft Media Tools - Unknown owner - C:\WINDOWS\MSmedia.exe (file missing)
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINDOWS\update\updmgr.exe (file missing)
O23 - Service: Windows TCP/IP Socket Driver (winsck) - Unknown owner - C:\WINDOWS\winsock\csrss.exe (file missing)
O23 - Service: Windows User Mode Drivers (WUMD) - Unknown owner - C:\WINDOWS\system32\wumd.exe (file missing)


Merci de votre aide !

Salut perversifier,

Crée toi ton propre sujet ne skouatte pas celui des autres (risques de confusions). Tu vois en haut de la page à droite tu clique sur le bouteau "Nouveau message". As tu vu à quand remonte le premier poste ?