Bonjour Ceci se passe sous XP familial (ce n'est pas mon PC) (SP1 et SP2 non mis, pas de connections Internet depuis longtemps!) Il est impossible de détruire ce virus! Revient toujours Je sais que c'est un virus mais lequel? (Worm...) Pas beaucoup d'options sur Google! 1. Désinstallation de la restauration effectuée avant! 2. AV passé en mode sans échec (reviens quand même) 3. Ad-aware passé en mode sans échec et ceci revient tout le temps: Location: Software\microsoft\windows nt\CurrentVersion\WinlogonShell () Comment: Shell Possible Compromise 4. Fichiers Tmp détruits ainsi que tous ce que contient Temporary > ContIe... 5. Passé Spybot(revient aussi) Nom: BACKWEB lite Autorun setting HKEY_user\s-1-5-21-1454471165-1060284298-1004 \sofware\microsoft\windows\CurrentVersion\Run\LDM 6. Passé A2 free Voici le rapport Hijacthis En vous remerciant Amicalement Logfile of HijackThis v1.99.1 Scan saved at 14:42:51, on 20/06/2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.exe C:\Program Files\Logitech\iTouch\iTouch.exe C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\WINDOWS\System32\autoexe.exe C:\WINDOWS\System32\OpenGL.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\Program Files\Creative\Shared Files\CAMTRAY.EXE C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\System32\sysmon32.exe C:\WINDOWS\System32\wuauclt.exe C:\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.secuser.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens F2 - REG:system.ini: Shell=Explorer.exe sysmon32.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [regedit] autoexe.exe O4 - HKLM\..\Run: [Local Area Network] OpenGL.exe O4 - HKLM\..\Run: [RNBz Test] wf32vbc.exe O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\Shared Files\CAMTRAY.EXE O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE O4 - HKLM\..\RunServices: [regedit] autoexe.exe O4 - HKLM\..\RunServices: [Local Area Network] OpenGL.exe O4 - HKLM\..\RunServices: [RNBz Test] wf32vbc.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [regedit] autoexe.exe O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Ajouter au tueur de pub - C:\Program Files\MyIE2\config/blacklist.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1119091766913 O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

Bonjour lapagaille, bonjour à tous, -1-Télécharge et installe EasyCleaner. http://personal.inet.fi/business/toniarts/ecleane.htm -2-Assure toi d'avoir accés à tous les fichiers. -3-Termine le(s) processus suivant(s). -autoexe.exe -OpenGL.exe -sysmon32.exe -4-Lance HijackThis,scan,et coche les lignes en gras ci-dessous. R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.secuser.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens F2 - REG:system.ini: Shell=Explorer.exe sysmon32.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [regedit] autoexe.exe O4 - HKLM\..\Run: [Local Area Network] OpenGL.exe O4 - HKLM\..\Run: [RNBz Test] wf32vbc.exe O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\Shared Files\CAMTRAY.EXE O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE O4 - HKLM\..\RunServices: [regedit] autoexe.exe O4 - HKLM\..\RunServices: [Local Area Network] OpenGL.exe O4 - HKLM\..\RunServices: [RNBz Test] wf32vbc.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [regedit] autoexe.exe O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Ajouter au tueur de pub - C:\Program Files\MyIE2\config/blacklist.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1119091766913 O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe -5-Ferme toutes les fenetres Internet Explorer,Outlook Express sauf HijackThis,puis clique sur "Fix checked" -6-Redémarre en mode sans echec. -7-Supprime les fichiers suivants. .C:\WINDOWS\System32\autoexe.exe <-le fichier .C:\WINDOWS\System32\sysmon32.exe <-le fichier .C:\WINDOWS\System32\wf32vbc.exe <-le fichier .C:\Program\BackWeb-8876480.exe<-le fichier -Vide la corbeille. -8-Termine le néttoyage par EasyCleaner. N'utilise que les fonctions InutilesetRegistre. Supprime tout ce qu'il te propose. -9-Redémarre normalement et poste un nouveau log HijackThis pour vérification. NB/ Est ce que c'est toi qui a installé ceci OpenGL.exe

Bonjour Merci pour la réponse aussi rapide Non ce n'est pas mon PC, je ne sais pas ce que c'est et pas été voir sur Google Je télécharge ton utilitaire, je change de PC et exécute ce que tu as dit Merci A tantôt pour un nouvelle analyse Amicalement

Bonjour queruak, et tous les autres Bien, j'ai exécuté ce que tu m'avais dit mais: Le premier n'a pas été trouvé après l'analyse hijckthis quand on deuxième, je n'ai trouvvé que le chiffre 8876480précédé de BW > j'ai supprimé (logitech, evt a remettre?) Pour le reste voici mon analyse Hijac En te (vous) remerciant Amicalement Logfile of HijackThis v1.99.1 Scan saved at 19:59:35, on 20/06/2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Logitech\iTouch\iTouch.exe C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\Program Files\Creative\Shared Files\CAMTRAY.EXE C:\Program Files\Messenger\msmsgs.exe C:\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.secuser.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\Shared Files\CAMTRAY.EXE O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Ajouter au tueur de pub - C:\Program Files\MyIE2\config/blacklist.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1119091766913 O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

Re, Bien ! lapagaille,tu vas,s'il te plait : -1-Lui faire installer -Un pare-feu,Kerio,ou zone alarme. [url="http://www.kerio.com/us/kpf_download.html"]Kerio[/url] [url="http://fr.zonelabs.com/download/znalmZAAV.html"]Zone Alarme[/url] http://www.vulgarisation-informatique.com/kerio.php http://blueduck.free.fr/informatique/windows/kerio/installation http://clement.reinier.free.fr/pages/tut/za.html -SpywareBlaster: http://www.javacoolsoftware.com/downloads.html Son tuto: http://www.ordi-netfr.org/tutorialspywareblaster.html -2-Ensuite,faire le scan le scan en ligne suivant. http://www.pandasoftware.com/activescan/fr/activescan_principal.htm A la fin du scan,colle son rapport ici.

Bonjour, pour SpywareBlaster c'est déjà fait Quand à Kerio ou à un autre, étant donné qu'il est beaucoup plus novice que moi (c'est le PC de sa fille), quand il va voir le pare-feu fonctionner, il faudra être près de lui pour lui expliquer. Enfin je lui donnerai le maximum d'explications! Je lui configure Kerio 2.1.5 sans problème, mais sous XP, étant donné que ce n'est que la 3ième fois que je travaille dessus, comment supprimer le pare-feu d'XP? Merci Amicalement Maintenant je vais re-tester son Pc A dans 10' minutes

Re Bonjour Pour le Scan, il travaille maintenant (02 jours) avec une connexion par cable (TV) Je n'ai pas son modem et installer le mien, il faut que je retrouve le CD d'installation ainsi que les mots de passe, Pop, smtp etc... Je le ferai demain chez lui. Merci J'ai aussi passé ton programme sur le mien, parfait, nettement plus rapide maintenant Amicalement @+ (je passe aussi secuser et bidefender)

Re, Je t'ai donné les liens pour les tutos. Maintenant la question du parfeu de windows ne se pose pas. Quand il passera au SP2,je te dirais comment désactiver le parefeu de windows. A demain alors ! Tchao ! [clindoeil]

Modifié par queruak le 20/06/2005 21:39

Bonjour et oui encore bon le fichier "msdirectx.sys" était toujour présent je l'ai supprimé en passant l'AV et rebooter le PC > fini > plus rien je mets dans le titre résolu et si cela peut aider quelqu'un! Maintenant je vais enfin manger un bon steak cela fait 2 jour que je suis dessus et après 284 virus et malware, c'était le dernier En te remerciant infiniment et à demain Amicalement

Re, Bon appétit ! Est ce que ceux que je t'ai fait supprimer,font partie du compte.LOL [clindoeil] De rien et à demain ! [smile]

Bonjour 1. impossible de faire le scan avec panda, je reste bloqué sur l'adresse Email 2. Aujourd'hui, à l'ouverture du PC, après 10', demande de déconnexion, obligé de faire shutdown -a. 3. passé antivirus an ligne, secuser.com, rien trouvé, passé un autre : idem et pourtant je pensais à Sasser! vu ceci: C:\WINDOWS\system32\lsass.exe précédé d'un message (je n'ai plus le pc) style llsa... Amicalement

Bonsoir, regarde dans les taches planifiés et fait le ménage car j'ai deja vu un "virus" si glisser afin de lancer un compte a rebour aprés démarrage... A suivre

Bonjour merci, si je suprime toutes les tâches planifiées, ne rique-t-il pas d'être quand même placé en "autorun"? Amicalement