Bonjour à tous, Je me suis chopé un joli petit virus que je n'arrive pas à virer complètement. Ce virus me lance à chaque démarrage de ma session un antispyware (security I-guard). Je ne peux pas le desinstaller. Il m'ouvre automatiquement une page web qui me demande de m'inscrire pour seulement 19$ !!! J'ai fait un scan avec mon antivirus (pc-cillin), il m'avait trouvé des virus que j'ai effacés au plus vite mais maintenant, il ne m'en trouve plus lors des scans. Cependant mon problème presiste et s'amplifie. En effet maintenant je ne peux plus effacer de fichiers (vidéos, images, etc.), je ne peux meme plus désinstaller de logiciels. J'ai un message d'erreur de ce genre lorsque je clik sur un fichier pour le supprimer : "Impossible de supprimer "...nom de fichier":Opération réussie" Je ne peux même plus quitter windows par le menu Démarrer/arrêter. Aidez moi s'il vous plait si vous avez eu le courage de tout lire. Merci d'avance et sinon merci pour toutes les infos qui sont disponibles sur ce forum grâce à tous vos posts et tutos.

as tu essayÚ avec spybot, adaware as tu essayÚ de demarrersans echec pour l'effacer ?

S'il peut se brancher, il devrait aussi faire un scan en ligne chez : [url]www.secuser.com[/url] Colonne de gauche : antivirus en ligne et aller jusqu'au bout de la procÚdure.

Modifié par laparade le 06/04/2005 21:53

Oui j'ai fait un scan avec spybot et adaware, Ó chaque fois il me trouve un ou deux spy mais rien de bien mÚchant et mon problÞme persiste. je suis un peu dans le flou lÓ. j'ai jamais eu de virus aussi chiant, d'habitude pc-cillin s'en sort trÞs bien tout seul. Je vais aller faire un tour sur ton lien laparade. Merci, et si vous avez d'autres idÚes n'hÚsitez pas. je vous tient au courant.

Ah oui, j'oubliais, je ne peux plus ouvrir mon moniteur en temps rÚel de pc-cillin. je peux faire un scan mais j'ai plus l'ic¶ne dans la barre de tÔches.

Oui, fais-le Et si Secuser ne trouve rien, fais-le aussi en ligne avec NORTON Ó :[url]http://security.symantec.com/sscv6/default.asp?productid=symhome&langid=fr&venid=sym[/url] et Ó la fin note bien les emplacements trouvÚs et les noms (pour vÚrifier ensuite si les suppressions ont bien ÚtÚ effectuÚes):=

bon je viens de faire le scan il m'a trouvÚ un virus nommÚ TROJ_STARPAG.SR mais je ne sais pas si il me l'a enlevÚ direct g fermÚ la fenetre un peu trop tot. Bon je vous laisse pour ce soir je reienvdrai peut etre un peu plus tard je v bouffer lÓ. merci Ó plus.

L'idÚe "finale", þa va Ûtre de nous mettre en ligne un fichier .log d'Hijackthis (un scan) pour qu'on Úpluche ce qui se lance avec ton ordi. Prends bien une version 1.99 d'Hijackthis. CrÚe sur C: un dossier Hijackthis DÚzippe-le dans ce dossier-lÓ et ensuite va dans ce dossier et tire vers le Bureau un raccourcis de l'exe de lancement avec le clic droit.

Ben avais-tu cochÚ la commande "CLEAN" sur Internet ? Ah lÓ ! lÓ !

Bon j'ai fait þa un peu plus sÚrieusement parce que tout Ó l'heure j'Útais pas Ó fond! lol Alors j'ai fait un scan sur secuser.com et ca n'a rien donnÚ ! -> pas de fichiers infectÚs. Sinon, j'ai fait comme tu m'as dit laparade, j'ai dl hijackthis et j'ai effectuÚ un scan. J'ai donc copiÚ le rapport sur un doc word parce que je pouvais pas l'enregistrer sur le bloc note. Tu me diras quoi en faire. si je le balance par mail ou si je le met sur le forum dans un post. LÓ je suis en train de faire un autre scan avec norton en ligne. Sinon, juste pour info c'est quoi exactement hijackthis? j'ai fait deux trois recherches en speed mais j'ai pas tout Ó fait compris. Merci pour le temps que vous passez Ó Úplucher les posts et Ó aider des petits utilisateurs comme nous (qui font pas mal de conneries sans rÚussir Ó les rÚparer!) Merci et bonne nuit.

Bon toujours pas couchÚ mais þa va pas tarder. Je viens de finir le scan avec Norton en ligne et il m'a quant Ó lui trouvÚ 19 fichiers infectÚs. J'ai Úgalement enregistrÚ le rapport. Ex: C:\285_java.exe.1 est contaminÚ par Download.Trojan ou encore : C:\Documents and Settings\nono\Local Settings\Temp\tmp1F.tmp est contaminÚ par Backdoor.Fivsec Il y en a donc 19 en tout. J'ai oubliÚ de vous prÚvenir et je ne sais pas si c'est important mais j'ai Maxthon comme explorer internet. Bon voilÓ pour ce soir. On verra þa demain maintenant. Merci Ó tous.

g eu un problÞme similaire mais en + avec une inrusion, ts mes fichiers de mon 2d disk ont ÚtÚ effacÚs! pareil, ni norton, ni bit defender n'ont trouvÚ de virus! g alors telechargÚ antivir personal et avast et Ó ma gde surprise j'avais 3 trojans et 5 fichiers infectÚs! g mis une semaine Ó tout remettre en place, il y a des logiciels libres qui font ca trÞs bien sinon mieux que norton & Cie! et surtout NETTOYER LA BASE DE REGISTRE avec easy cleaner trÞs bon log en anglais mais facile . bonne nuit!

Non, pas par mail. Ouvre ton .doc et fais simplement une copie du texte avec la souris et colle-la ensuite avec la souris dans un de tes messages ici. Et des astuciens "chevronnÚs", vont te dire ce qu'il faut "fixer" dans le scan : ** des clÚs qui lancent des fichiers de spywares dans ton ordi. ** des clÚs inutiles ** des clÚs qui alourdissent inutilement le fonctionnement de ton ordi. Et ensuite, Úventuellement les fichiers eux-mÛmes des spywares.

Modifié par laparade le 07/04/2005 07:14

voici donc le rapport de hijackthis : Logfile of HijackThis v1.99.1 Scan saved at 0:53:39, on 7/04/2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\Program Files\Trend Micro\PC-cillin 2002\Tmntsrv.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\Trend Micro\PC-cillin 2002\Pop3trap.exe C:\Program Files\Microsoft Hardware\Keyboard\type32.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE C:\windows\system32\taskmg.exe C:\WINDOWS\System32\Services\{61004D72-1001-48F4-867B-2330F8550F06}\SVCHOST.EXE C:\WINDOWS\System32\ctfmon.exe C:\themeGold55\CursorXP\CursorXP.exe C:\windows\vpyynor.exe C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe C:\Documents and Settings\nono\Menu DÚmarrer\Programmes\DÚmarrage\winupdate96327014[1].exe C:\Program Files\Trend Micro\PC-cillin 2002\PCCPFW.exe C:\DOCUME~1\nono\LOCALS~1\Temp\tmp49.tmp C:\WINDOWS\System32\rundll32.exe C:\Program Files\Maxthon\Maxthon.exe C:\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.vpkkzeovfhgdw.us//vn9lyy01NUesp7ZlL3sx2KFHP_WvBjVzjsP_tI0Xgem19mb2bh4kc8LsaLnEcBM.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://daosearch.com/index.php?id=585&said=nicket_a R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Loader Class - {2E246FAE-8420-11D9-870D-000C2917DE7F} - C:\WINDOWS\SYSTEM\Loader.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\Pop3trap.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [dwvjr.exe] dwvjr.exe O4 - HKLM\..\Run: [dwzwe.exe] dwzwe.exe O4 - HKLM\..\Run: [IntelliType] "C:\Program Files\Microsoft Hardware\Keyboard\type32.exe" O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66" O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Windows Task Manager] c:\windows\system32\taskmg.exe O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{679DC1C8-3B8C-474E-B54A-BE5595F5D9E5}\SVCHOST.EXE O4 - HKLM\..\Run: [Security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [CursorXP] C:\themeGold55\CursorXP\CursorXP.exe -s O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /M "Stylus C66" /EF "HKCU" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [erkghvj] c:\windows\gknanwi.exe O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE O4 - Startup: PeerGuardian.lnk = C:\Program Files\PeerGuardian2\pg2.exe O4 - Startup: winupdate96327014[1].exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Sagem - Utilitaire rÚseau pour ClÚ USB Wi-Fi 802.11g.lnk = ? O8 - Extra context menu item: Ajouter au tueur de pub - C:\Program Files\Maxthon\config/blacklist.htm O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Microsoft AntiSpyware helper - {07134927-246D-4F15-98E5-841C687DB0C5} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {07134927-246D-4F15-98E5-841C687DB0C5} - (no file) (HKCU) O9 - Extra button: Microsoft AntiSpyware helper - {1B0C935E-FB20-4E07-9378-97F35C76D458} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {1B0C935E-FB20-4E07-9378-97F35C76D458} - (no file) (HKCU) O9 - Extra button: Microsoft AntiSpyware helper - {56F6599B-7BCC-4750-B4C0-32C7CAC11A3C} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {56F6599B-7BCC-4750-B4C0-32C7CAC11A3C} - (no file) (HKCU) O9 - Extra button: Microsoft AntiSpyware helper - {B2057F54-A92C-4FAC-B3DB-CFA09A239623} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {B2057F54-A92C-4FAC-B3DB-CFA09A239623} - (no file) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {13AE5BC6-FF60-4C63-B5C1-0EF0261E701B} - http://69.50.182.94/1/rdgFR1882.exe O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by11fd.bay11.hotmail.msn.com/resources/MsnPUpld.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {75C96C49-7724-1B7D-DD16-158E7F3283CF} - http://69.50.182.94/1/rdgFR1882.exe O16 - DPF: {770CD50A-05E3-4E7C-D311-3AB31F6E5B47} - http://69.50.182.94/1/rdgFR1882.exe O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://skifunshop.no-ip.com/activex/AxisCamControl.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{27ABD9AD-E869-418C-AB54-AB3D89E3F521}: NameServer = 80.10.246.129,80.10.246.2 O17 - HKLM\System\CCS\Services\Tcpip\..\{D94CF648-F2AF-49A3-8530-196FB745156B}: NameServer = 80.10.246.129,80.10.246.2 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 2002\PCCPFW.exe O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 2002\Tmntsrv.exe Je me permet aussi de mettre celui du scan en ligne de norton : 33145 fichiers analysÚs, 19 fichier(s) contaminÚ(s) sur vos disques. Aucun virus n'a ÚtÚ dÚtectÚ dans la mÚmoire. Votre ordinateur est contaminÚ par au moins un virus ou cheval de Troie connu. Remarque : L'analyse a ÚtÚ annulÚe avant d'Ûtre terminÚe. Il se peut que d'autres fichiers soient contaminÚs sur cet ordinateur. Recherchez le nom du ou des virus rÚpertoriÚ(s) ci-dessous sur le site Symantec Security Response pour obtenir des instructions de suppression. C:\285_java.exe.1 est contaminÚ par Download.Trojan C:\WINDOWS\Web\desktop.html est contaminÚ par Download.Trojan C:\WINDOWS\system32\spoolsrv32.exe est contaminÚ par Download.Trojan C:\WINDOWS\system32\srpcsrv32.dll est contaminÚ par Packed.Adware C:\WINDOWS\system32\thun32.dll est contaminÚ par Backdoor.Fivsec C:\WINDOWS\Downloaded Program Files\server.exe.1 est contaminÚ par Download.Trojan C:\Documents and Settings\nono\Local Settings\Temporary Internet Files\Content.IE5\\09A3SPQ7\rdgFR1882[1].exe est contaminÚ par Dialer.DialPlatform C:\Documents and Settings\nono\Local Settings\Temp\tmp1D.tmp est contaminÚ par Download.Trojan C:\Documents and Settings\nono\Local Settings\Temp\tmp1F.tmp est contaminÚ par Backdoor.Fivsec C:\Documents and Settings\nono\Local Settings\Temp\tmp29.tmp est contaminÚ par Download.Trojan C:\Documents and Settings\nono\Local Settings\Temp\tmp2B.tmp est contaminÚ par Backdoor.Fivsec C:\Documents and Settings\nono\Local Settings\Temp\tmp37.tmp est contaminÚ par Download.Trojan C:\Documents and Settings\nono\Local Settings\Temp\tmp39.tmp est contaminÚ par Backdoor.Fivsec C:\Documents and Settings\nono\Local Settings\Temp\tmp42.tmp est contaminÚ par Download.Trojan C:\Documents and Settings\nono\Local Settings\Temp\tmp45.tmp est contaminÚ par Backdoor.Fivsec C:\Documents and Settings\nono\Local Settings\Temp\tmp4E.tmp est contaminÚ par Download.Trojan C:\Documents and Settings\nono\Local Settings\Temp\tmp50.tmp est contaminÚ par Backdoor.Fivsec C:\Documents and Settings\nono\Local Settings\Temp\tmp9.tmp est contaminÚ par Download.Trojan C:\Documents and Settings\nono\Local Settings\Temp\tmpB.tmp est contaminÚ par Backdoor.Fivsec Voila merci pour ceux qui arriveront Ó me guider, parce que moi je n'y comprend pas grans chose. A plus.

Personne n'a une petite idÚe? Parce que la je suis en train d'hÚsiter Ó rÚinstaller windows mais bon ca fait chier de tout virer mon C:

Je n'ose pas te proposer mon diagnostic, je ne suis pas assez s¹r de moi ! Ouvre un sujet nouveau sur le Forum SECURITE avec comme titre "Demande d'aide pour un Hijackthis" Et aprÞs une introduction courte pour dire ta difficultÚ, demande une aide et colle dessous ce que tu viens de mettre ici : tout le log et ce que tu as rajoutÚ. Tu auras plus facilement des rÚponses que dans ce forum-ci.

ok je v aller faire un tour sur ce forum. Merci pour ma'avoir guidÚ. A plus.

Bonsoir Ó tous, sans Ûtre un expert du HijackThis, j'ai quand mÛme vu quelque chose de bizarre, des les process qui tournent: C:\DOCUME~1\nono\LOCALS~1\Temp\tmp49.tmp Je ne vois pas ce qu'un fichier TMP fait dans cette liste si ce n'est pas une sal... D'autant plus que la liste de Norton semble indiquer des fichiers TMP infectÚs avec des noms trÞs voisin. LÓ les pro du forum sÚcuritÚ sont vraiment necessaires.

Pour des fichiers *.tmp, pas besoin d'Ûtre un pro : on peut TOUJOURS les supprimer tous ! Parfois, ils rÚsistent parce qu'ils sont utilisÚs. AprÞs le prochain dÚmarrage, ils pourront Ûtre supprimÚs.

ok merci je vais voir ca.

Ne dis rien ! Tu as une sacrÚe chance ! Mais c'est queruak qui te rÚponds ! C'est un des plus costauds du Forum sur cette question !

je vois qu'il a l'air de connaitre son truc quand mÛme. il m'a fait un post super bien expliquÚ et trÞs bien dÚtaillÚ. Par contre fait chier j'arrive pas Ó redÚmarrer mon pc en mode sans echec.

Oui, il est d'une clartÚ exceptionnelle ! Pour re-dÚmarrer en Mode sans Úchec : ** Faire un RESET ** Et quand commence Ó appara¯tre du texte sur l'Úcran noir tapoter -assez rapisement- le touche F8 jusqu'Ó ce qu'apparaisse la liste des options. ** SÚlectionner le MOde sans Úchec avec les flÞches du clavier ** Et faire OK

C'est bon tout est rÚsolu. C'est un magicien Merci Ó tous. Je vais reposter un autre sujet Ó propos d'outlook car je voudrais sauvegarder mes contacts pour rÚinstaller une autres version de windows.