Bonjour,

je me manifeste ds un nouveau post car je suis très embétée.
Je tourne sous Xp pro. Je sais que MutechB, Elitbar et Mytob ont infecté mon Pc mais je n'arrive pas à m'en débarasser.
DarkAngel m'a déjà donné un début de réponse, mais là je pédale.
Merci à qui aura la gentillesse de me venir en aide,
Je colle dessous le log Hijack

Talanie
Logfile of HijackThis v1.99.1
Scan saved at 19:20:39, on 09/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\atievxx.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Nath\Mes documents\nath\tri\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/engli [...] nicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 3729742864
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activ [...] asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub [...] wflash.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: a-squared Anti-Spam Service (A2AntiSpamService) - Unknown owner - C:\Program Files\a-squared Anti-Spam\A2AntiSpamSrv.exe (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Moi je te conseille Microsoft-Anti spyware (il est encore en beta, mais il ne les plus concidere)

Fais :"run afull spyware scan" et il devrait te les montre (ne les mais pas en quarantaine, fais "remove".

Pour le telecharger va sur ce site: http://www.generation-nt.com/telec [...] ware-beta/ :-D

Bonjour,

en fait, je n'ai pas une clé authentique...

http://securityresponse.symantec.com/avcenter/FixMytob.exe
Voila pour MytoB

Merci X-Ray !
J'essaie encore, même s'il a bloqué ce matin

J'ai presque trouvé pour mutech !

Alors si tu as deja utilisé regedit, il faut que tu vires ca :
[HKLM\SYSTEM\CurrentControlSet\Services\NetPT]
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPT]
[HKLM\SYSTEM\CurrentControlSet\Services\PerfFont]
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PERFFONT]
[HKCR\CLSID\{4DE225BF-CF59-4CFC-85F7-68B90F185355}\InprocServer32]
[HKLM\SOFTWARE\Classes\CLSID\{4DE225BF-CF59-4CFC-85F7-68B90F185355}\
InprocServer32]

Puis, vire :
C:\WINDOWS\system32\perfont.exe
C:\WINDOWS\system32\wbem\wmiprvi.dl
C:\WINDOWS\system32\DRIVERS\netpt.sys

Pfiew :-o, ca m'a pris du temps ^^
Apres ca, plus de Mutech.B !

Je sais lancer Regedit mais je ne lis que des repertoires commençant par HKEY

Pour Elitbar, essaie http://users.telenet.be/bluepatchy/miekiemoes/tools/LQfix.zip
Puis, demarre en mode sans echec (F8 au demarrage, avant le logo de win xp) et lance LQfix.bat (je sais pas si ca va marcher, mais y'a des chances)

Oops mais quel idiot :-?
J'ai oublié de virer les raccourcis ^^
HKLM = HKEY_LOCAL_MACHINE
HKCR = HKEY_CURRENT_USER

Je veux bien le croire que c'est dur, parce que moi je n'arrive pas à scratcher
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPT]
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PERFFONT]
j'ai vidé l'intérieur

celle-ci est carrément introuvable :
[HKCR\CLSID\{4DE225BF-CF59-4CFC-85F7-68B90F185355}\InprocServer32]

dans les trois derniers, je ne trouve que C:\WINDOWS\system32\wbem\wmiprvi.dl et pas possible de le supprimrer

les deux autres introuvables !
C:\WINDOWS\system32\perfont.exe
C:\WINDOWS\system32\DRIVERS\netpt.sys

le fixMytob bloque !
Là, je suis perdue..

X-Ray, merci beaucoup pour ton aide !
Je renonce pour ce soir (le PC va voler par la fenetre), mais j'aimerais beaucoup, si tu as du temps pour y réfléchir, que tu continues demain à me prêter main -forte.
Bonne soirée

Pour les fix, (comme mytob), essaie le mode sans echec !! :-)

bonjour !

fraiche et dispose, j'ai lancé en mode sans echec
le fix elitbar : nada
le fixMytob : nada
un scan complet ewido : rien non plus.

Je suis perplexe.
je colle mon log hijack

Logfile of HijackThis v1.99.1
Scan saved at 12:41:05, on 10/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\atievxx.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Nath\Mes documents\nath\tri\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/engli [...] nicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 3729742864
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activ [...] asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub [...] wflash.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: a-squared Anti-Spam Service (A2AntiSpamService) - Unknown owner - C:\Program Files\a-squared Anti-Spam\A2AntiSpamSrv.exe (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

T'as essayé de virer ce fichier en mode sans echec ?
Et les deux autres, essaie d'activer les fichiers cachés, ptetre qu'ils sont cachés !

Ca veut dire que t'as rien trouvé ou que le fix n'a pas fonctionné?

le fix n'a rien trouvé

les fichiers cachés osnt affichés depuis le départ.
je viens de regarder en mode sans échec : le fichier system32\wbem\wmiprvi.dll n'est plus là.

je crois que je vais scanner un coup chez Kaspersky

Bonne idée :-)