Voilà, je suis atteint d'un virus ( du moins, me semble-t-il qui est survenu lors de l'affichage de mon propre
site, même pas publié,que je testais avec l'aperçu de FrontPage lorsque tout d'un coup, j'ai été déconnecté.
J'ai fermé FrontPage et j'ai remarqué que j'avais un "nouveau" fond d'écran avec affiché dessus :

"Warning!
You're in danger!

ALL YOU DO WITH COMPUTER QHITH IS STORED FOREVER IN YOUR HARD DISK. WHEN YOU
VISIT SITES, SEND EMAILS... ALL YOUR ACTIONS ARE LOGGED. AND IT IS IMPOSSIBLE TO
REMOVE THEM WITH STANDARD TOOLS. YOUR DATA IS STILL AVAILABLE FOR
FORENSICS. AND IN SOME CASES FOR YOUR BOSS, YOUR FRIENDS, YOUR WIFE, YOUR CHILDREN.

Every site you or somebody or even something, like spyware, opened in your browsed with
all images, and all downloads and maybe later removed movies or mp3 songs - ARE STILL THERE
and could broke your life !

SECURE YOURSELF RIGHT NOW!
REMOVE ALL SPYWARE FROM YOUR PC!"


Autre chose étrange : c'est un lien hypertexte, me disant qu'au point où j'en était, cela valait la peine de
regarder. Je me trouve sur un site d'antivirus : AntivirusGold 2.0
On me propose de faire une analyse gratuite, je la fait, me trouve enciron 1000 à 2000 spywares. Je trouve
cela louche étant donné que je viens de faire une recherche avec spybot. Puis, à la fin, une fenêtre s'affiche avec
"YOUR COMPUTER IS INFECTED
DELETE SPYWARE ?"
Bien évidement, je fais "YES", et là, on me demande de donner le serial ou de l'acheter (20$). Vous vous douterais
bien que j'ai fais une recherche sur le serial, mais je n'en dit point plus pour respecter la charte du forum.

J'ai aussi remarqué que dans la barre des tâches (à côté de l'affichage de l'heure), une nouvelle icône est
apparue, c'est croix blanche dans un cercle rouge qui affiche lors du survol de la souris "Your computer is infected!'.
Aussi, je n'arrive pas à faire plus d'un certain nombre de clicks (très peu, environ 20). C'est pour celà que je
n'écris pas sur internet mais plutot sur word pour faire un copier-coller.

Quelques manips' que j'ai faites :
-Lancer Spybot.
-Lancer Kaspersky.
-Lancer Mc Afee Firewall.
-Arrêter les processus du gestionnaire de tâches qui me parraissaient louches (genre daemon).
-Supprimer les derniers fichiers téléchargés.

Donc voilà, help please.

Je viens de faire un,e nouvelle manip', je crois que c'est la bonne, j'ai fait la manip' avec hijackthis, j'ai évalué le log et supprimé quelques trucs et ça a l'air de fonctionner pour l'instant. :-D J'ajoute à ça une nouvelle session et le tour est joué !

J'ai le mème probléme que toi. J'ai reussis a enlever le fond d'ecran d'alerte en supprimant le screen dans le répertoire window mais j'ai toujour ce message sur la barre des tache avec ecris "your computer is infected " et surtout maintenant au lieu d'avoir le message sur fond noir, j'ai un fond d'ecran qui change de couleur passant du blanc au blanc cassé.

J'aimerais dons savoir exactement ce que tu a supprimé sur hijackthis, merci d'avance...

Salut!
Depuis hier j'ai un probleme avec mon ordinateur (windows xp pack 2 pas d'anti virus) semblabe aux votre, dans la barre de tache près de l'horloge j'ai effectivement un gros cercle rouge à l'intérieur il y a une croie blanche (lorsque je clique dessus j'ai un message "your computer is infected" et j'ai de la pub pour des anti virus qui apparait. En plus j'ai en arrière plan sur le bureau un message comme le votre "Warning ......"

Je ne sais pas comment faire pour supprimer ces choses j'ai téléchargé le logiciel microsoft antispyware ça a supprime 4 trucs mais j'ai toujours les meme problemes.

Merci de m'aider je ne suis pas un as en informatique

Airness56

Maintenant j'ai fait une analyse gratuite avec securitoo et il me dise que j'ai 6 virus voici la liste mercide me dire comment les supprimer:

Virus : Trojan.Win32.Agent.ep
Trouvé dans : C:\Documents and Settings\proprietaire\Local Settings\Temp\gipl.exe

Virus : Trojan-Downloader.Win32.Agent.bc
Trouvé dans : C:\Program Files\Microsoft AntiSpyware\Quarantine\02713004-767D-4B59-9B8F-46F130\EC51C79A-4035-4F97-98CF-3AF1BC

Virus : Trojan-Downloader.Win32.Agent.bc
Trouvé dans : C:\Program Files\Microsoft AntiSpyware\Quarantine\02713004-767D-4B59-9B8F-46F130\EC51C79A-4035-4F97-98CF-3AF1BC

Virus : Trojan-Downloader.Win32.Agent.bc
Trouvé dans : C:\Program Files\Microsoft AntiSpyware\Quarantine\4948CA7C-13F6-41B6-982D-9CE76D\A29970D5-A817-496C-9910-92697E

Virus : Trojan-Downloader.Win32.Agent.bc
Trouvé dans : C:\Program Files\Microsoft AntiSpyware\Quarantine\4948CA7C-13F6-41B6-982D-9CE76D\A29970D5-A817-496C-9910-92697E

Virus : Trojan.Win32.Agent.cs
Trouvé dans : C:\WINDOWS\repair\sfax.dll

Virus : Trojan.Win32.Qhost.r
Trouvé dans : C:\WINDOWS\system32\drivers\etc\hosts

Virus : Trojan.Win32.Agent.ep
Trouvé dans : C:\WINDOWS\system32\hookdump.exe

Il suffit de les envoyer a la corbeille et ensuite de la vider. Ensuite refais une analyse et normalment il y aura plus de pb.

slt je n'ai plus dans la barre des taches l'icone decrite auparavant mais en fond d'ecran j'ai maintenant un fond blanc puis blanc cassé puis blanc puis blanc cassé ...etc, je ne peux pas l'enlever comment faire j'ai fait une analyse avec panda et j'ai maintenant un infecté dans C:\WINDOWS\repair\sfax.dll je l'avais supprimer auparavant c'est bizarre

Que doit je faire ? mrci de me répondre
Dois je reeinstaler windows xp et si oui j'insere les cd de réinstallation au démarage de l'ordinateur ou pendant son fonctionnement?

Airness56

j'ai oublié de vous dire lorsque j'ai fait l'analyse avec panda il m'on dit que c'etait un spyware virtualmonde comment l'enlever je n'ai pas t'an tivirus

Merci

ça y est j'ai réinstallé windows xp et ça fonctionne normalement tant mieux
Merci

Oui, moi aussi, je n'ai eu que le choix de formater le disque dur et de tout réinstaller... :-(

J'ai exactement le même problème, même écran de fond, même alerte, mêmes icônes en bas d'écran, même proposition.

Mon anti-virus Norton à jour ne trouve aucun virus.

Quelqu'un a t-il trouvé les fichiers à supprimer ?

Bonsoir

Télécharge HijackThis v1.99.1
http://www.merijn.org/files/hijackthis.zip
Tutorial
http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm
Fais un scan.
Tu créé ton propre post/message et tu le mets sur le forum.

Merci chercheurPCA

Voilà ce que ça donne :

Logfile of HijackThis v1.99.1
Scan saved at 09:08:55, on 27/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\dslagent.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\ahead\InCD\InCD.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\intel32.exe
C:\WINDOWS\system32\svcnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Pascal\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdocsv.dll/blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://shdocsv.dll/asst.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [HDAudio Driver 1.0] C:\WINDOWS\System32\ythomin.exe
O4 - HKLM\..\Run: [HDAudio Driver 2.0] C:\WINDOWS\System32\knoxe.exe
O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\System32\intel32.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Fast Start] C:\WINDOWS\system32\svcnt.exe home
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 2821712637
O17 - HKLM\System\CCS\Services\Tcpip\..\{6322C575-6DA7-472D-B8D2-BB4BF9C482E3}: NameServer = 80.10.246.130 80.10.246.3
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe