Bonjour,

Commence par scanner ton pc avec ces 2 anti spywares complémentaires :

1/Spybot S&D 1.4 <<nouvelle version
http://www.safer-networking.org/fr/index.htm

Démo d’utilisation (merci à Balltrap34 pour cette réalisation)
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm


2/Ad-Aware SE 1.06 <<nouvelle version
http://www.lavasoftusa.com/software/adaware/
-Une aide:
http://www.tutopat.com/viewtopic.php?t=1191
- installe le patch français, tu pourras le trouver ici:
http://download.lavasoft.de.edgesuite.net/public/pllangs.exe
et une petite vidéo d'utilisation ici:(merci à Moe31 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/adawrevid.asf

puis----------------------------------------------------------------------------
¤Vide tes fichiers temps et tempory internet file:
utilise ceci pour le faire
http://pageperso.aol.fr/balltrap34/CleanUp40.exe

et télécharge HijackThis ici:
http://www.hijackthis.de/downloads/hijackthis_199.zip

Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre le bien dans c : !
Lance le puis:
clique sur "do a system scan and save logfile" (cf démo)
faire un copier coller du log entier sur le forum

Démo : (merci à balltrap34 pour cette réalisation)
http://pageperso.aol.fr/balltrap34/demohijack.htm

Bon courage

A+

Merci pour ton aide...

J'ai fait tt ca, mais spybot a rien trouvé, ad-aware non plus. Scan avast non plus, scan en ligne bitdefender a planté, et scan en ligne ravantivirus non plus. (entre temps, avast m'a trouvé Trojan (win32-trojan). Mais bon, j'ai lancé cleanup puis hijackthis.
Voici le résultat :
Merci bcp
Marc


Logfile of HijackThis v1.99.1
Scan saved at 22:38:09, on 08/11/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.exe
D:\mes programmes\Winamp\winampa.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
D:\mes programmes\Adobe Version Cue\ControlPanel\VersionCueTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
D:\active sync\WCESCOMM.EXE
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\WINDOWS\System32\fovnsfu.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.oemji.com/side_search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oemji.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.oemji.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oemji.com/side_search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.oemji.com/side_search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.esc-lille.fr/site/www/fr/home_page_fr/presentatio­n_groupe_esc_lille/les_campus_desc_lille/campus_de_lille.asp­x
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\mes programmes\Adobe Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: PBHelper - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\Program Files\Oemji\Toolbar\PopupBlocker\PBHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: BHOmodObj Class - {7F6828CA-9E42-462C-BC60-418C8144012C} - c:\windows\system\bhomod01.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: OemjiSearchPlus - {D240DC29-C093-4388-B71F-A7103C796B0C} - C:\Program Files\Oemji\OemjiSearchPlus\OemjiPls.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll (file missing)
O3 - Toolbar: Oemji - {804DB5C7-31E6-4885-850A-F1941B58A4C7} - C:\Program Files\Oemji\Toolbar\OemjiSrc.dll
O4 - HKLM\..\Run: [WinampAgent] D:\mes programmes\Winamp\winampa.exe
O4 - HKLM\..\Run: [ChelloDesktop] нA\ChelloDesktop.exe
O4 - HKLM\..\Run: [ChelloBackground] нA\ChelloMessenger.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AdobeVersionCue] D:\mes programmes\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [bSUpLZ5Be] C:\WINDOWS\rokvym.exe
O4 - HKLM\..\Run: [bO²
ùð.×y-¯Œ] C:\WINDOWS\rokvym.exe
O4 - HKLM\..\Run: [bO²
ùõö/‚D%)ßfÏNb½¾C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rokvym.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [qofsoin] C:\WINDOWS\System32\fovnsfu.exe r
O4 - HKCU\..\Run: [zqwm] C:\PROGRA~1\COMMON~1\zqwm\zqwmm.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\active sync\WCESCOMM.EXE"
O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\ACTIVE SYNC\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\ACTIVE SYNC\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\ACTIVE SYNC\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O18 - Filter: text/html - {350BA9F9-CEF6-458A-BA47-B3BF32C6B021} - C:\Documents and Settings\Aude\Local Settings\Application Data\microsoft\internet explorer\V0.34.dat
O23 - Service: AdobeVersionCue - Adobe Sytems - D:\mes programmes\Adobe Version Cue\service\VersionCue.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Oh rage, oh désespoir...
Je sais plus quoi faire.. je peu même plus scaner le pc!
le scan avec avast et ravantivirus (en ligne) passent mais ne trouvent rien...
Les scan avec bitdefender et trendmicro (les 2 en ligne) font planter le pc : rupture totale avec redemarrage... (comme avec counterspy d'ailleurs)!
Et toujours ce spyware www.abetterinternet.com (aureco.exe et thnall1z.exe) qui me nargue... tt comme win32-trojan (ce qui est bizarre, c'est qu'une alerte avast me préviens et me permet de le supprimer, mais quand je scan il trouve rien.)
Et même spybot maintenant... j'ai étendu le scan aux traceurs, je rescan et là spybot se coupe à 1/4 du scan.. comme ca! je le relance (je suis têtu...) et là... rupture, redemarrage!
Mes nerfs vont rompre!
si qqun a connu ou a été amené à résoudre le même problème je lui serai reconnaissant de m'aider à trouver une solution.. s'il y en a une (à part le formatage...)

Merci d'avance de votre aide.

Marc

Salut

► imprime ceci pour ne rien oublier et tous faire
tous faire dans l ordre imperativement
-------------------------
► tous da bord telecharge ces programmes si tu ne les a pas et met les a jour mais ne les utilise pas encore et verifie que tu as les bonnes version c est imperatif

♪ ad-aware (1)version 1.06

(ici) http://www.florensac-chasse-trap.com/ section virus
voir demo
http://pageperso.aol.fr/balltrap34/adwseflash.zip ♪ spybot (2)version 1.4

(ici) section virus
voir demo

--
et aussi ceci
♪ CleanUp40.exe(3)

voir demo

--
♪ a2(4)


penser a le metre a jour avant de scanner le pc
-------
telecharge ceci

decompresse le double clik sur l2mfix.bat appuie sur n importe quelle touche et ensuite choisi l option 2



----------------
► desactive ta restauration systeme

pour ça tu fais clic droit sur poste de travail
propriété tu clique sur onglet restauration système
tu coche la case désactiver la restauration et applique
------------

► assure toi de ceci

Affiche tous les fichiers et dossiers :
cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.

Et appliquer
----------------------
► vide tes fichiers temps et tempory internet file sur tous les utilisateur

utilise ceci pour le faire
♪


--------------------
► relance hijack coche ces lignes et ensuite clik sur fix
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: BHOmodObj Class - {7F6828CA-9E42-462C-BC60-418C8144012C} - c:\windows\system\bhomod01.dll (file missing)
O4 - HKLM\..\Run: [bSUpLZ5Be] C:\WINDOWS\rokvym.exe
O4 - HKLM\..\Run: [bO²
ùð.×y-¯Œ] C:\WINDOWS\rokvym.exe
O4 - HKLM\..\Run: [bO²
ùõö/‚D%)ßfÏNb½¾C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\rokvym.exe
O4 - HKLM\..\Run: [qofsoin] C:\WINDOWS\System32\fovnsfu.exe r
O4 - HKCU\..\Run: [zqwm] C:\PROGRA~1\COMMON~1\zqwm\zqwmm.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe




----------------------
clik sur Démarrer->exécuter->tape: services.msc

Double-clique: System Startup Service (SvcProc)

Règle-le sur "Arrêté" et "Désactivé".

-------------------------
► redemarre en mode sans echec

mode sans echec pour cela tu tapote la touche f8
des le debut de l allumage du pc sans t arreter
une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec
une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal.si f8 ne marche pas utilise la touche f5
-------------------------
► recherche et suppr ceci

attention seulement les fichiers si tu trouve
C:\WINDOWS\Nail.exe
c:\windows\system\bhomod01.dll
C:\WINDOWS\rokvym.exe
C:\WINDOWS\System32\fovnsfu.exe
C:\Program Files\ISTsvc<==le dossier
C:\PROGRA~1\COMMON~1\zqwm<==le dossier
C:\PROGRA~1\COMMON~1\zqwm\zqwmm.exe
C:\WINDOWS\svcproc.exe

-----------------
repasse a nouveau l2mfix option 2



►passe adaware et vire tous se qu il trouve
----------
►passe spy boot et vire tous se qu il trouvent
-------------

tu vide ta poubelle et tu redemarre en mode normal et refait un hijack

et precise ou en sont tes soucis


--

--
la chasse et le balltrap ma vrai passion
voir site perso dans profil

Yep,

Ba voilà, j'ai mis le temps, mais j'ai bien respecté la procédure...
J'ai rencontré un seul problème : avec spybot... (en mode sans echec comme indiqué) malgrès une réinstallaton avant de tt commencer :
Il s'est coupé lors du premier scan,
il y a eu rupture totale et redemarrage lors du second
et comme je suis tétu, je l'ai relancé une 3 è fois.. et encore une fois il n'a pas eu le temps de finir... mais il a eu le tps dafficher 3 messages d'erreur :

1. Erreur lors des vérifications
InterSysInc[224] (Access violation at adress O3C2FCBF. Read of adress O3C2FCBF)

2.même chose mais avec "TagoDialer[639]" à la place de "InterSysInc[224]" (même adresse)

3.même chose avec "TIBS[48]" (idem)

Et là... le tps de noter.. je lève ls yeux sur l'ecran... NOIR! il etait en train de redemarrer.
Bref, les scan avec ad-aware et a2 pas de prob, j'ai viré les trucs qu'ils m'ont trouvé... Le nouveau log Hijackthis est à la fin.

Mais voilà, je me remet en mode normal, et là zone alarm se manifeste et me redemande l'autorisation d'acces à internet (que je refuse systematiquement) à aurareco.exe et thnall1z.exe et un petit nouveau "thnall1a.exe"...
Et uste apres, "wouwou" alerte avast! pour "Win32-Adan-124[Adw]"

Voilà, là je vais aller me coucher car je suis gavé
Merci pour tt en tt cas.
si tu trouve qque chose, une solution, une idée, elle sera bienvenue, mais si ca continu je crois que je vais formater tt ca (tant pis), ca va etre jouissif...

Marc






Logfile of HijackThis v1.99.1
Scan saved at 04:28:06, on 08/12/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\kfbdfqy.exe
D:\mes programmes\Winamp\winampa.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
D:\mes programmes\Adobe Version Cue\ControlPanel\VersionCueTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
D:\active sync\WCESCOMM.EXE
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.esc-lille.fr/site/www/fr/home_page_fr/presentation_groupe_esc_lille/les_campus_desc_lille/campus_de_lille.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\mes programmes\Adobe Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: PBHelper - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\Program Files\Oemji\Toolbar\PopupBlocker\PBHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: OemjiSearchPlus - {D240DC29-C093-4388-B71F-A7103C796B0C} - C:\Program Files\Oemji\OemjiSearchPlus\OemjiPls.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll (file missing)
O3 - Toolbar: Oemji - {804DB5C7-31E6-4885-850A-F1941B58A4C7} - C:\Program Files\Oemji\Toolbar\OemjiSrc.dll
O4 - HKLM\..\Run: [WinampAgent] D:\mes programmes\Winamp\winampa.exe
O4 - HKLM\..\Run: [ChelloDesktop] нA\ChelloDesktop.exe
O4 - HKLM\..\Run: [ChelloBackground] нA\ChelloMessenger.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AdobeVersionCue] D:\mes programmes\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [xopqpnk] C:\WINDOWS\System32\kfbdfqy.exe r
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\active sync\WCESCOMM.EXE"
O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\ACTIVE SYNC\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\ACTIVE SYNC\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\ACTIVE SYNC\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O18 - Filter: text/html - {350BA9F9-CEF6-458A-BA47-B3BF32C6B021} - C:\Documents and Settings\Aude\Local Settings\Application Data\microsoft\internet explorer\V0.34.dat
O23 - Service: AdobeVersionCue - Adobe Sytems - D:\mes programmes\Adobe Version Cue\service\VersionCue.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Desactive a2 le temp de la manip

telecharger ceci
http://www.ewido.net/en/download/
Quand le téléchargement a fini, place ewido-setup.exe sur ton Bureau.
Double cliquez-y pour commencer l'installation.

Dans la fenêtre de ' les Options Complémentaires, decoche
'Install required for automatic updates (background guard)' and
'Install scan via context menu'.

Quand l'installation est complète, vous devrez mettre à jour Ewido aux derniers fichiers de définition :

Double cliquez sur l'icône de Bureau.
Dans l'écran principal, du côté gauche le côté, clique sur Update.
Dans l'écran suivant, cliquez sur Start Update

Quand il a fini de mettre à jour
Si vous avez des problèmes avec le logiciel de mise à jour, vous pouvez manuellement mettre à jour Ewido. Cliquez ici.
http://www.ewido.net/en/download/updates/


2) Télécharger Nailfix d'ici et met le sur ton bureau
http://www.noidea.us/easyfile/file.php?download=200505150107­47824
decompresse le ne l utilise pas encore


3)telecharge cleanup
http://pageperso.aol.fr/Balltrap34/CleanUp40.exe
voir demo
http://pageperso.aol.fr/balltrap34/democleanup.htm

demarre en mode sans echec

4) Exécuté Nailfix.cmd


5) Exécuté Ewido.
Cliquez sur Scanner
Cliquez Complete System Scan
si il te demande de nettoyer des fichiers cliquer sur OK.
Quand il demande si vous voulez nettoyer le premier fichier, cocher dans le coin plus bas gauche de la boîte qui dit ' Perform action with all infections' clique sur OK.
Une fois que le balayage a achevé, il y aura un bouton placé en bas de l'écran nommé Save report cliquer dessus
Sauvegardez report.txt le fichier à votre bureau.

Fermez maintenant la suite de sécurité ewido.


6) ? relance hijack coche ces lignes et ensuite clik sur fix

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
C:\WINDOWS\System32\kfbdfqy.exe

7) recherche et suppr ces fichiers si tu trouve
C:\WINDOWS\Nail.exe
c:\windows\system32\xqzxkm.exe
c:\windows\SvcProc.exe



8)copie colle ceci dans le bloc note se qui est entre les etoiles

*********************
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcPro­c]
"start"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc]
"start"=dword:00000004

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B8B55274-0F9A-41E5-9067-A3539BD9E860}]

[-HKEY_CLASSES_ROOT\CLSID\{581F22DA-7202-4F21-AEF3-114787156016}]

[-HKEY_CLASSES_ROOT\MSEvents.MSEvents]

[-HKEY_CLASSES_ROOT\MSEvents.MSEvents.1]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSEvents.MSEvents.1]



*******************
enregistre le et donne lui comme nom
xxx.reg et met tous fichiers dans type

double clik dessus et confirme

9=la redemarre et refait un hijack et met nous le rapport Eweido




la chasse et le balltrap ma vrai passion
voir site perso dans profil

Yep,

voilà le rapport 1. Hijackthis et 2. ewido

Merci encore, je n'ai pas eu d'alertes en redemarrant.. aucune...



1.
Logfile of HijackThis v1.99.1
Scan saved at 13:24:25, on 08/12/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\mes programmes\Winamp\winampa.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
D:\mes programmes\Adobe Version Cue\ControlPanel\VersionCueTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
D:\active sync\WCESCOMM.EXE
C:\WINDOWS\System32\gsvryhy.exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.esc-lille.fr/site/www/fr/home_page_fr/presentatio­n_groupe_esc_lille/les_campus_desc_lille/campus_de_lille.asp­x
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\mes programmes\Adobe Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: PBHelper - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\Program Files\Oemji\Toolbar\PopupBlocker\PBHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: OemjiSearchPlus - {D240DC29-C093-4388-B71F-A7103C796B0C} - C:\Program Files\Oemji\OemjiSearchPlus\OemjiPls.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Oemji - {804DB5C7-31E6-4885-850A-F1941B58A4C7} - C:\Program Files\Oemji\Toolbar\OemjiSrc.dll
O4 - HKLM\..\Run: [WinampAgent] D:\mes programmes\Winamp\winampa.exe
O4 - HKLM\..\Run: [ChelloDesktop] нA\ChelloDesktop.exe
O4 - HKLM\..\Run: [ChelloBackground] нA\ChelloMessenger.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AdobeVersionCue] D:\mes programmes\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [jpnuoy] C:\WINDOWS\System32\gsvryhy.exe r
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\active sync\WCESCOMM.EXE"
O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\ACTIVE SYNC\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\ACTIVE SYNC\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\ACTIVE SYNC\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O18 - Filter: text/html - {350BA9F9-CEF6-458A-BA47-B3BF32C6B021} - C:\Documents and Settings\Aude\Local Settings\Application Data\microsoft\internet explorer\V0.34.dat
O23 - Service: AdobeVersionCue - Adobe Sytems - D:\mes programmes\Adobe Version Cue\service\VersionCue.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe












2.
---------------------------------------------------------
ewido security suite - Rapport de scan
---------------------------------------------------------

+ Créé le: 12:56:10, 08/12/2005
+ Somme de contrôle: F0A86878

+ Résultats du scan:

HKLM\SOFTWARE\Classes\CLSID\{014DA6C9-189F-421a-88CD-07CFE51CFF10} -> Spyware.MySearch : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Interface\{AA4939C3-DECA-4A48-A454-97CD587C0EF5} -> Spyware.ISTBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\Interface\{EEE4A2E5-9F56-432F-A6ED-F6F625B551E0} -> Dialer.Generic : Nettoyer et sauvegarder
HKLM\SOFTWARE\Classes\TypeLib\{09CA52B3-703C-4B17-9690-C13F736E3DCD} -> Dialer.Generic : Nettoyer et sauvegarder
HKLM\SOFTWARE\IST -> Spyware.ISTBar : Nettoyer et sauvegarder
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\ins -> Spyware.WebRebates : Nettoyer et sauvegarder
HKLM\SOFTWARE\Windows ServeAd -> Spyware.BlazeFind : Nettoyer et sauvegarder
[832] C:\WINDOWS\System32\ubnxfzf.exe -> Trojan.Agent.cp : Nettoyer et sauvegarder
[972] VM_00E90000 -> Adware.BetterInternet : Erreur durant le nettoyage
C:\Documents and Settings\Aude\Local Settings\Application Data\Microsoft\Internet Explorer\V0.29.dat -> Dialer.Generic : Nettoyer et sauvegarder
C:\Documents and Settings\Aude\Local Settings\Application Data\Microsoft\Internet Explorer\V0.30.dat -> Dialer.Generic : Nettoyer et sauvegarder
C:\Program Files\Oemji\OemjiSearchPlus\OemjiPls.dll -> Spyware.Nomeh : Nettoyer et sauvegarder
C:\WINDOWS\Downloaded Program Files\fra_glob.exe -> Dialer.Generic : Nettoyer et sauvegarder
C:\WINDOWS\system32\ubnxfzf.exe -> Trojan.Agent.gp : Nettoyer et sauvegarder
D:\mes documents\Cookies\aude@112.2o7[1].txt -> Spyware.Cookie.2o7 : Nettoyer et sauvegarder
D:\mes documents\Cookies\aude@burstnet[2].txt -> Spyware.Cookie.Burstnet : Nettoyer et sauvegarder
D:\mes documents\Cookies\aude@hotbabes.com.19522.fb.dbbsrv[2].txt -> Spyware.Cookie.Dbbsrv : Nettoyer et sauvegarder
D:\mes documents\Cookies\aude@ilead.itrack[1].txt -> Spyware.Cookie.Itrack : Nettoyer et sauvegarder


::Fin du rapport

Ah si... nouvel demande d'acces à internet de thnall1z.exe et thnall1a.exe toujours de www.abetterinternet.com....

Héhé... le temps de valider et nouvel alarm avast! : toujours le même web32-trojan. fichier infecté :
C:\windows\ougusmqixco.exe
je l'efface?

J'ai trouvé une solution à cette adrese :
http://www3.ca.com/securityadvisor/pest/pest.aspx?id=4530769­92
tu peu me dire ce que tu en penses stp?

Merci bien

Marc

Oui c est tres bon regarde si tu trouve les fichiers citer et suppr la chasse et le balltrap ma vrai passion
voir site perso dans profil

Yep merci bcp en tt cas pour ton aide... de toute facon si ca ne marche pas, je crois que je vais formater.. Il faut dire que ce pc est à un pote, et il s'en est servi un certain temps pour aller sur internet sans antivirus ni firewall.. d'ou la difficulté de le netoyer je pense..
a+
Marc

Non c est toujours nettoyable la chasse et le balltrap ma vrai passion
voir site perso dans profil

Je veut bien te croire, mais là j'ai beau fixer Nail et Svcproc ils reviennent tjs.. j'ai suivi les instructions du lien dt je t'ai parlé et ca n'a rien changé... enfin bref, là j'en ai marre..
Merci quand même pour ton aide et le temps que tu as passé pour m'aider.
a+

Marc

Sur le dernier log il ny etais plus la chasse et le balltrap ma vrai passion
voir site perso dans profil