Bonjour, j'ai été victime d'une attaque virale avec quelques petits soucis comme la demande incessante d'installation de "ultimate cleaner", de nombreux ralentissements et problemes de connexion, mon vieil anti-virus kaspersky ayant du mal a me défendre contre un certain "Banwarum"... J'ai donc passé CCleaner, EasyCleaner, voici maintenant les rapports AVG et Hijack. Merci par avance de votre collaboration. Rapport AVG : AVG Anti-Spyware - Rapport d'analyse --------------------------------------------------------- + Créé à: 17:53:38 24/10/2006 + Résultat de l'analyse: C:\WINDOWS\system32\dlh9jkdq6.exe -> Downloader.Tibs.ir : Aucune action entreprise. C:\WINDOWS\system32\dlh9jkdq7.exe -> Downloader.Tibs.ir : Aucune action entreprise. C:\WINDOWS\system32\kernels8.exe -> Downloader.Tibs.ir : Aucune action entreprise. Fin du rapport RAPPORT HIJACK : Logfile of HijackThis v1.99.1 Scan saved at 17:54:51, on 24/10/2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe C:\Program Files\Soft4Ever\looknstop\looknstop.exe C:\Program Files\OO Software\CleverCache\OOCCSVC.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\PHILIP~1\VProperty.exe C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe C:\WINDOWS\System32\atiptaxx.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\System32\rundll32.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe D:\donkey\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cegetel.net/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {4F9C711C-C434-3406-9CD6-0272069C1D36} - C:\WINDOWS\System32\cjcqhdj.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: Barre de confiance CM-CIC - {55BDF3B0-C0A8-481A-B8A6-01CD2BE0F3FD} - C:\Program Files\BarreConfCMCIC\TAPBar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /wait O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe O4 - HKLM\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [epouxze.dll] C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\epouxze.dll,pqbginb O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28177.cab O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133458359734 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28177.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{C9E0A7A2-A4C5-4599-AAFA-77E5EDAE64C5}: NameServer = 85.255.116.39,85.255.112.105 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.39 85.255.112.105 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.39 85.255.112.105 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.39 85.255.112.105 O18 - Protocol: MSNim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll (file missing) O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /Service (file missing) O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe" /Service (file missing) O23 - Service: O&O CleverCache Pro (OOCleverCache) - O&O Software GmbH - C:\Program Files\OO Software\CleverCache\OOCCSVC.exe O23 - Service: O&O Defrag (OODefrag) - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe Merci encore de votre patience.

Bonjour, Plusieurs infections. Imprime ces instructions si nécessaire car il va y avoir un redémarrage de l'ordinateur. Télécharge le FixWareout d'un de ces deux sites sur le bureau: [url="http://downloads.subratam.org/Fixwareout.exe"]Lien n°1[/url] [url="http://swandog46.geekstogo.com/Fixwareout.exe"]Lien n°2[/url] Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish. Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal. Quand ton système aura redémarré, suis les invites des messages. Ensuite lance HijackThis. Clique sur Do a System Only puis coche les lignes suivantes : O17 - HKLM\System\CCS\Services\Tcpip\..\{C9E0A7A2-A4C5-4599-AAFA-77E5EDAE64C5}: NameServer = 85.255.116.39,85.255.112.105 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.39 85.255.112.105 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.39 85.255.112.105 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.39 85.255.112.105 Clique sur Fix Checked. Ferme HijackThis et clique sur OK pour continuer la procédure. A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC. Au final, poste le contenu de C:\fixwareout\report.txt. Télécharge [url="http://siri.urz.free.fr/Fix/SmitfraudFix.zip"]Smitfraudfix[/url] Dézippe-le sur le Bureau. Ouvre le dossier SmitfraudFix et lance SmitfraudFix(.cmd) Choisis l'Option 1 (Recherche) Poste le premier rapport ici. NOTE : process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. -- Clique Droit sur HijackThis : -> Choisis " Renommer " -> Tape Scanner.exe puis valide - Lance l'application - Choisis l'option Do a system scan and save a logfile -- Le Bloc-Notes s'ouvre : -> Edition / Sélectionner Tout -> Edition / Copier - Colle le rapport ici.

Merci AngelDark de prendre un peu de temps pour mes petits soucis... Voici donc mon rapport Fixwareout : ixwareout ver 1.003 Last edited 8/11/2006 Post this report in the forums please Reg Entries that were deleted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\putesprpgd HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\onisacputes ... Microsoft (R) Windows Script Host Version 5.6 Random Runs removed from HKLM ... PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. »»»»» Searching by size/names... »»»»» Search five digit cs, dm and jb files. This WILL/CAN also list Legit Files, Submit them at Virustotal Other suspects. Directory of C:\WINDOWS\system32 »»»»» Misc files. Le rapport SmitfraudFix : SmitFraudFix v2.113 Rapport fait à 10:39:09,06, 25/10/2006 Executé à partir de C:\Documents and Settings\olivier\Bureau\utilitaires\SmitfraudFix\SmitfraudFix OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT Fix executé en mode normal »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 C:\WINDOWS\system32\dlh9jkdq?.exe PRESENT ! C:\WINDOWS\system32\kernels8.exe PRESENT ! C:\WINDOWS\system32\zlbw.dll PRESENT ! »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles Puis enfin le rapport HijackThis ( dois-je le laisser nommer scanner ou renommer hijack d'ailleurs?) Logfile of HijackThis v1.99.1 Scan saved at 10:42:35, on 25/10/2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe C:\Program Files\OO Software\CleverCache\OOCCSVC.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe C:\Program Files\Soft4Ever\looknstop\looknstop.exe C:\PROGRA~1\PHILIP~1\VProperty.exe C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe C:\WINDOWS\System32\atiptaxx.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\System32\rundll32.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe C:\WINDOWS\notepad.exe C:\Documents and Settings\olivier\Bureau\utilitaires\Scanner.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {4F9C711C-C434-3406-9CD6-0272069C1D36} - C:\WINDOWS\System32\cjcqhdj.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: Barre de confiance CM-CIC - {55BDF3B0-C0A8-481A-B8A6-01CD2BE0F3FD} - C:\Program Files\BarreConfCMCIC\TAPBar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /wait O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe O4 - HKLM\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [epouxze.dll] C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\epouxze.dll,pqbginb O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28177.cab O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133458359734 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28177.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O18 - Protocol: MSNim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll (file missing) O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /Service (file missing) O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe" /Service (file missing) O23 - Service: O&O CleverCache Pro (OOCleverCache) - O&O Software GmbH - C:\Program Files\OO Software\CleverCache\OOCCSVC.exe O23 - Service: O&O Defrag (OODefrag) - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe merci beucoup de ta patience et de ta science.

Re, On continue. [url="http://forum.telecharger.com/index.php?forum=telecharger&category=16&page=forum3&topic=387297&post=5357596&referer=forum2search&refererid=4086&refererpage=1#post5357596 "]Redémarre en mode sans échec[/url] Relance SmitfraudFix et choisis cette fois l’Option 2 et réponds oui à la ou les questions Sauvegarde puis poste le rapport. ---------- Télécharge [url="http://www.atribune.org/ccount/click.php?id=4"]VundoFix.exe[/url] (par Atribune) sur ton Bureau. [*]Double-clique VundoFix.exe afin de le lancer [*]Clique sur le bouton Scan for Vundo [*]Lorsque le scan est complété, clique sur le bouton Remove Vundo [*]Une invite te demandera si tu veux supprimer les fichiers, clique YES [*]Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers [*]Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK [*]Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo". Observes-tu des changements ?

Bonjour AngelDark, j'ai obsrervé scrupuleusemnt tes consignes et voici ce qui s'est produit : Demarrage en mode sans echec en passant par "Executer", la touche F8 ne donnant rien. Rapport SmitfraudFix ensuite que voici : SmitFraudFix v2.113 Rapport fait à 13:04:00,09, 26/10/2006 Executé à partir de C:\Documents and Settings\olivier\Bureau\utilitaires\SmitfraudFix\SmitfraudFix OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT Fix executé en mode sans echec »»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés C:\WINDOWS\system32\dlh9jkdq?.exe supprimé C:\WINDOWS\system32\kernels8.exe supprimé C:\WINDOWS\system32\zlbw.dll supprimé C:\Documents and Settings\olivier\Application Data\Install.dat supprimé »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre Nettoyage terminé. »»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Fin Ensuite lancement Vundofix en mode sans echec, et c'est ici que commencent les ennuis: J'ai laissé le PC tourner 12 heures et Vundo cherche toujours les .dll, le logiciel fonctionne puisque ces .dll defilent mais pas de rapport de fin... Alors je ferme l'application, redémarre l'ordi et là, le fond d'écran est bleu avce les icônes dessus. Et un "Spyware removal wizard" cherche toujours a s'installer sauvagement... Dois-je insister avec vundo? Essayer autre chose? Merci encore de ta patience.

Re, Vundofix a à faire en mode normal. Désolé si je n'ai pas assez séparé Smitfraudfix et Vundofix. Ouvre le dossier SmitfraudFix et lance SmitfraudFix(.cmd) Choisis l'Option 4 (Mise à jour) puis valide Suis les invites jusqu'à la mise en place des MAJ. Une fois les Mises à jour installées : Choisis l'Option 1 (Recherche) Poste le rapport ici. Retente le scan Vundofix.

Salut, c'est vrai qu'en mode normal ça marche tout de suite beaucoup mieux. Alors voici le rapport Smitfraudfix : SmitFraudFix v2.114 Rapport fait à 1:35:52,56, 28/10/2006 Executé à partir de C:\Documents and Settings\olivier\Bureau\utilitaires\SmitfraudFix\SmitfraudFix OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT Fix executé en mode normal »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\olivier »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\olivier\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\olivier\Favoris »»»»»»»»»»»»»»»»»»»»»»»» Bureau »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32 »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll »»»»»»»»»»»»»»»»»»»»»»»» Fin Le rapport Vundo VundoFix V6.2.6 Checking Java version... Java version is 1.5.0.6 Scan started at 13:10:52 26/10/2006 Listing files found while scanning.... C:\WINDOWS\system32\cjcqhdj.dll VundoFix V6.2.6 Checking Java version... Java version is 1.5.0.6 Scan started at 01:36:51 28/10/2006 Listing files found while scanning.... C:\WINDOWS\system32\cjcqhdj.dll Beginning removal... Attempting to delete C:\WINDOWS\system32\cjcqhdj.dll C:\WINDOWS\system32\cjcqhdj.dll Has been deleted! Performing Repairs to the registry. Done! Enfin le rapport HijackThis : Logfile of HijackThis v1.99.1 Scan saved at 01:58:42, on 28/10/2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe C:\Program Files\Soft4Ever\looknstop\looknstop.exe C:\PROGRA~1\PHILIP~1\VProperty.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe C:\WINDOWS\System32\atiptaxx.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\System32\rundll32.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Program Files\OO Software\CleverCache\OOCCSVC.exe C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\wuauclt.exe C:\Documents and Settings\olivier\Bureau\utilitaires\HiJackthis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {4F9C711C-C434-3406-9CD6-0272069C1D36} - C:\WINDOWS\System32\cjcqhdj.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: Barre de confiance CM-CIC - {55BDF3B0-C0A8-481A-B8A6-01CD2BE0F3FD} - C:\Program Files\BarreConfCMCIC\TAPBar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /wait O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe O4 - HKLM\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [epouxze.dll] C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\epouxze.dll,pqbginb O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28177.cab O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133458359734 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28177.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{8A6AC04C-C422-40EF-8504-BAE66AFBE453}: NameServer = 85.255.114.76 85.255.112.81 O17 - HKLM\System\CCS\Services\Tcpip\..\{C9E0A7A2-A4C5-4599-AAFA-77E5EDAE64C5}: NameServer = 85.255.114.76,85.255.112.81 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.76 85.255.112.81 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.76 85.255.112.81 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.76 85.255.112.81 O18 - Protocol: MSNim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll (file missing) O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /Service (file missing) O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe" /Service (file missing) O23 - Service: O&O CleverCache Pro (OOCleverCache) - O&O Software GmbH - C:\Program Files\OO Software\CleverCache\OOCCSVC.exe O23 - Service: O&O Defrag (OODefrag) - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe Merci...et bonne journée.

Re, - Assure toi d'avoir accès aux dossiers/fichiers cachés -> Démarrer -> Panneau de configuration -> Options des Dossiers, onglet Affichage : . Clique sur Afficher les dossiers cachés . Décoche Masquer les extensions des fichiers dont le type est connu . Décoche Masquer les fichiers protégés du système d'exploitation S'il te plaît, va [url="http://www.uploadmalware.com/"]ici[/url] pour uploader un fichier douteux pour analyse. [*]"Your Username:" - Entre ton pseudo sur ce forum [*]"Topic Where File Was Requested:" - Copie-colle le lien vers cette discussion [*]"File(s) To Submit:" - Bouton "Parcourir..." pour naviguer vers ce nom de fichier : C:\WINDOWS\System32\epouxze.dll [*]Cliquez sur Send File [*] Double-clique VundoFix.exe afin de le lancer [*] NE clique PAS sur le bouton Scan for Vundo [*] Clique Droit dans la fenêtre blanche, choisis Add more files ? [*] Rajoute dans la première ligne : C:\WINDOWS\System32\epouxze.dll [*] Clique successivement sur : - Add Files - Close Windows - Remove Vundo [*] Si l'outil te demande de redémarrer, accepte. [*] Copie/Colle ensuite le rapport C:\vundofix.txt - Lance HijackThis ->Do a system scan only ->Coche les lignes ci-dessous : O2 - BHO: (no name) - {4F9C711C-C434-3406-9CD6-0272069C1D36} - C:\WINDOWS\System32\cjcqhdj.dll (file missing) O4 - HKLM\..\Run: [epouxze.dll] C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\epouxze.dll,pqbginb O17 - HKLM\System\CCS\Services\Tcpip\..\{C9E0A7A2-A4C5-4599-AAFA-77E5EDAE64C5}: NameServer = 85.255.116.39,85.255.112.105 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.39 85.255.112.105 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.39 85.255.112.105 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.39 85.255.112.105 O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll (file missing) Clique sur Fix checked (en bas à gauche)

Salut Angel, j'espere ne plus t'embêter très longtemps, ce "epouxze.dll" aussi me paraissait louche. Quoiqu'il en soit, j'ai fait le scan Vundo et en relançant le PC, une fe^nêtre est apparue : "Erreur de chargement de C/Windows/system32/epouxze.dll - le module specifié est introuvable" De plus HijackThis m'a trouvé 5 lignes 017 et non 4 avec un "name server", du moins la serie de chiffre un peu differente.... Sinon voici le scan Vundo. : VundoFix V6.2.6 Checking Java version... Java version is 1.5.0.6 Scan started at 13:10:52 26/10/2006 Listing files found while scanning.... C:\WINDOWS\system32\cjcqhdj.dll VundoFix V6.2.6 Checking Java version... Java version is 1.5.0.6 Scan started at 01:36:51 28/10/2006 Listing files found while scanning.... C:\WINDOWS\system32\cjcqhdj.dll Beginning removal... Attempting to delete C:\WINDOWS\system32\cjcqhdj.dll C:\WINDOWS\system32\cjcqhdj.dll Has been deleted! Performing Repairs to the registry. Done! Beginning removal... Attempting to delete C:\WINDOWS\System32\epouxze.dll C:\WINDOWS\System32\epouxze.dll Has been deleted! Performing Repairs to the registry. Done! Merci encore.