Un virus qui se renouvelle...

Salut tt le monde,

J'ai encore la suprise de constater encore ces barres search, j'en ai vraiment marre, tous les 6 à 8 jours, ces barres s'implantent sur ce pc sans rien me demander, je ne télécharge pourtant rien, et pourtant elles sont là avec bien sûr accompagné d'une dizaines de trojans et de spywares qui viennent complètement ralentir mon système...

Je me demande si ces foutus barres ne viendrait pas de cette clé de registre qui n'est pas normal à mon goût: ce "ALTNET"

Je viens de faire une analyse avec HijackThis :

Logfile of HijackThis v1.99.1
Scan saved at 15:07:26, on 10/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\PC-cillin 9\Tmntsrv.exe
C:\Program Files\Trend Micro\PC-cillin 9\PCCPFW.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Analog Devices\SoundMAX\PmProxy.exe
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\system32\TFNF5.exe
C:\WINDOWS\system32\TPWRTRAY.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Trend Micro\PC-cillin 9\pccguide.exe
C:\Program Files\Trend Micro\PC-cillin 9\PCCClient.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Trend Micro\PC-cillin 9\Pop3trap.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Cyril\Mes documents\Dossier de tous les téléchargements et installations\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.rd.yahoo.com/customize/i [...] oo.co(...)
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.tiscali.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\ycomp5_3_18_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Compagnon - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\ycomp5_3_18_0.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [PmProxy] C:\Program Files\Analog Devices\SoundMAX\PmProxy.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 9\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 9\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 9\Pop3trap.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [meetdrvjumpwipe] C:\Documents and Settings\All Users\Application Data\MEOW LOUD MEET DRV\wave mfcd.exe
O4 - HKLM\..\Run: [WinFixer 2005] C:\Program Files\WinFixer 2005\wfx5.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Search - http://kx.bar.need2find.com/KX/menusearch.html?p=KX
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000
O9 - Extra button: MrB Poker - {1DAA624F-A7AB-4b31-97A4-67205FF6963C} - C:\Program Files\mrbookmakerfrMPP\MPPoker.exe
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Program Files\Yahoo!\Messenger\yhexbmes.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/ga [...] /ct2_x.cab
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/ga [...] ltt3_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/ga [...] pote_x.cab
O16 - DPF: {01347765-1965-426B-91A4-AA6BB342B9A3} (InstallerObj Class) - http://www.1-click.com/common/file [...] -notag.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] web_s(...)
O16 - DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} (VirginMega DownloadManager) - https://www.virginmega.fr/DownloadM [...] ownMan.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {D28C3640-A6D7-4668-A53C-07A9CF67D157} (CFnacComposantCtrl Object) - http://www.fnacmusic.com/telecharg [...] posant.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 9\PCCPFW.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 9\Tmntsrv.exe

Merci de m'aider svp.

slt , je viens de désinstaller complètement MSN Messenger Plus de mon pc, je suis allé sur le site pour la désinstallation du lop, mais j'ai rencontré un pb au niveau du téléchargement , ça a commencé à téléchargé mais une fenêtre s'est affiché pour me singaler que le fichier est protégé en écriture ou possible qu'en lecture seul...

voilà, j'ai arrivé à supprimer des virus mais apparament après une analyse avec bitdefender, rien n'est fameu, je vous poste mon rapport

BitDefender Online Scanner



Scan report generated at: Sat, Aug 13, 2005 - 14:11:29





Scan path: C:\;D:\;







Statistics

Time
00:25:06

Files
140396

Folders
3308

Boot Sectors
2

Archives
1111

Packed Files
19870




Results

Identified Viruses
3

Infected Files
4

Suspect Files
0

Warnings
0

Disinfected
0

Deleted Files
4




Engines Info

Virus Definitions
199331

Engine build
AVCORE v1.0 (build 2292) (i386) (Mar 3 2005 11:57:29)

Scan plugins
13

Archive plugins
39

Unpack plugins
4

E-mail plugins
6

System plugins
1




Scan Settings

First Action
Disinfect

Second Action
Delete

Heuristics
Yes

Enable Warnings
Yes

Scanned Extensions
exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

Exclude Extensions


Scan Emails
Yes

Scan Archives
Yes

Scan Packed
Yes

Scan Files
Yes

Scan Boot
Yes




Scanned File
Status

C:\WINDOWS\system32\.pif
Infected with: Backdoor.BotGet.FtpB.Gen

C:\WINDOWS\system32\.pif
Deleted

C:\Documents and Settings\Florence\Mes documents\CHRISSY.exe=>wise0020
Detected with: Application.Adware.NewDotNet.B.Dropper

C:\Documents and Settings\Florence\Mes documents\CHRISSY.exe=>wise0020
Deleted

C:\Documents and Settings\Florence\Mes documents\CHRISSY.exe
Update failed

C:\Documents and Settings\Florence\Mes documents\CHRISSY.exe=>wise0023
Infected with: Trojan.Muldrop.1869.A

C:\Documents and Settings\Florence\Mes documents\CHRISSY.exe=>wise0023
Disinfection failed

C:\Documents and Settings\Florence\Mes documents\CHRISSY.exe=>wise0023
Deleted

C:\Documents and Settings\Florence\Mes documents\CHRISSY.exe
Update failed

C:\System Volume Information\_restore{FE32DDCA-30FF-4C2F-A021-39EAE75462BD}\RP2\A0001193.pif
Infected with: Backdoor.BotGet.FtpB.Gen

C:\System Volume Information\_restore{FE32DDCA-30FF-4C2F-A021-39EAE75462BD}\RP2\A0001193.pif
Deleted




Merci de m'aider svp, j'ai fait des analyses avec spybot search, a2, ad-aware, toutes mises à jour faites, tout à été fait en mode sans échec, ensuite, j'ai aussi fait une analyse avec ewido en mode sans échec dont le rapport suivant :

---------------------------------------------------------
ewido security suite - Rapport de scan
---------------------------------------------------------

+ Créé le: 15:12:26, 13/08/2005
+ Somme de contrôle: 5E09897A

+ Résultats du scan:

HKLM\SOFTWARE\Altnet -> Spyware.Altnet : Erreur durant le nettoyage
HKLM\SOFTWARE\Altnet\Dashboard -> Spyware.Altnet : Erreur durant le nettoyage
HKLM\SOFTWARE\Altnet\Dashboard\Messages -> Spyware.Altnet : Erreur durant le nettoyage
HKLM\SOFTWARE\Altnet\Dashboard\Settings -> Spyware.Altnet : Erreur durant le nettoyage
HKLM\SOFTWARE\Classes\ADM.ADM -> Spyware.Altnet : Erreur durant le nettoyage
HKLM\SOFTWARE\Classes\ADM25.ADM25 -> Spyware.Altnet : Erreur durant le nettoyage
HKLM\SOFTWARE\Classes\ADM4.ADM4 -> Spyware.Altnet : Erreur durant le nettoyage
HKLM\SOFTWARE\Classes\instafink.INSTAFINK -> Spyware.InstaFinder : Erreur durant le nettoyage
HKLM\SOFTWARE\Classes\Need2FindBar.SettingsPlugin -> Spyware.Need2Find : Erreur durant le nettoyage
HKLM\SOFTWARE\Classes\Need2FindBar.ToolbarPlugin -> Spyware.Need2Find : Erreur durant le nettoyage
HKLM\SOFTWARE\Classes\RprtsPSClient.PSExecuter -> Spyware.HotBar : Erreur durant le nettoyage
HKLM\SOFTWARE\Classes\RXToolBar.TBInfo -> Spyware.RXToolbar : Erreur durant le nettoyage
HKLM\SOFTWARE\Classes\ShprRprts.HbAx -> Spyware.HotBar : Erreur durant le nettoyage
HKLM\SOFTWARE\Classes\ShprRprts.HbCommBand -> Spyware.HotBar : Erreur durant le nettoyage
HKLM\SOFTWARE\Classes\ShprRprts.HbInfoBand -> Spyware.HotBar : Erreur durant le nettoyage
HKLM\SOFTWARE\Classes\ShprRprts.IEButton -> Spyware.HotBar : Erreur durant le nettoyage
HKLM\SOFTWARE\Classes\ShprRprts.IEButtonA -> Spyware.HotBar : Erreur durant le nettoyage
HKLM\SOFTWARE\Classes\ShprRprts.SmrtShprCtl -> Spyware.HotBar : Erreur durant le nettoyage
HKLM\SOFTWARE\Classes\SigningModule.SigningModule -> Spyware.Altnet : Erreur durant le nettoyage
C:\Documents and Settings\Cyril\Cookies\cyril@adtech[2].txt -> Spyware.Cookie.Adtech : Nettoyer et sauvegarder
C:\Documents and Settings\Cyril\Cookies\cyril@bluestreak[2].txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder
C:\Documents and Settings\Cyril\Cookies\cyril@www.smartadserver[1].txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder
C:\Documents and Settings\Xavier\Cookies\xavier@atdmt[2].txt -> Spyware.Cookie.Atdmt : Nettoyer et sauvegarder
C:\Documents and Settings\Xavier\Cookies\xavier@valueclick[2].txt -> Spyware.Cookie.Valueclick : Nettoyer et sauvegarder
C:\Documents and Settings\Xavier\Cookies\xavier@tradedoubler[1].txt -> Spyware.Cookie.Tradedoubler : Nettoyer et sauvegarder
C:\Documents and Settings\Xavier\Cookies\xavier@fl01.ct2.comclick[1].txt -> Spyware.Cookie.Comclick : Nettoyer et sauvegarder
C:\Documents and Settings\Xavier\Cookies\xavier@www.smartadserver[1].txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder
C:\Documents and Settings\Xavier\Cookies\xavier@servedby.advertising[1].txt -> Spyware.Cookie.Advertising : Nettoyer et sauvegarder
C:\Documents and Settings\Xavier\Cookies\xavier@advertising[1].txt -> Spyware.Cookie.Advertising : Nettoyer et sauvegarder
C:\Documents and Settings\Florence\Cookies\florence@bluestreak[1].txt -> Spyware.Cookie.Bluestreak : Nettoyer et sauvegarder
C:\Documents and Settings\Florence\Cookies\florence@advertising[1].txt -> Spyware.Cookie.Advertising : Nettoyer et sauvegarder
C:\Documents and Settings\Florence\Cookies\florence@adtech[2].txt -> Spyware.Cookie.Adtech : Nettoyer et sauvegarder
C:\Documents and Settings\Florence\Cookies\florence@atdmt[2].txt -> Spyware.Cookie.Atdmt : Nettoyer et sauvegarder
C:\Documents and Settings\Florence\Cookies\florence@www.smartadserver[2].txt -> Spyware.Cookie.Smartadserver : Nettoyer et sauvegarder
C:\Documents and Settings\Florence\Cookies\florence@servedby.advertising[1].txt -> Spyware.Cookie.Advertising : Nettoyer et sauvegarder


::Fin du rapport

en ce qui concerne les cookies, tt a été supprimé

merci pour un coup de main et bonne appétit à tous

voilà le rapport de panda :


Incident Statut Analyse

Spyware:spyware/altnet No Désinfecté Registre Windows
bonne nuit et encore merci pour l'aide, on verra demain pour la suite