Bonjour,
 
Je tape ce message depuis le tabouret d'où je vais me jeter pour me pendre.
 
En effet, depuis ce matin, une petite ordure qui s'appelle, en autre, yom.htm me mène la vie dure. Mon PC marche comme un zombie sous tranxen et mon écran affiche un magnifique avertissement au sujet des infections virales.
 
J'ai épuisé ADware (on ne rie pas), Avast et Bitdefendre, plus d'autres petites cochoneries mais rien n'y fait...
 
 
Pourriez vous m'aider?
 
S'il vous plait...
 

Bonjour carnivore,
 
* Bienvenue sur HardWare *
 
 
Télécharge HijackThis ici:  
http://www.01net.com/telecharger/w [...] 29061.html  
 
Dézippe le dans un dossier prévu à cet effet.  
Par exemple C:\hijackthis < Enregistre le bien dans c : !  
Démo : (Merci a Balltrap34 pour cette réalisation)    
http://pageperso.aol.fr/balltrap34/Hijenr.gif  
 
Renomme HijackThis.exe en carnivore.exe
Lance le puis:  
clique sur "do a system scan and save logfile" (cf démo)  
faire un copier coller du log entier sur le forum
 
Démo : (Merci a Balltrap34 pour cette réalisation)    
http://pageperso.aol.fr/balltrap34/demohijack.htm

Merci beaucoup pour cette main tendue!
 
Logfile of HijackThis v1.99.1
Scan saved at 17:27:42, on 30/09/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sumsw32.exe
C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Program Files\ATI Multimedia\main\ATIDtct.EXE
C:\Program Files\Netropa\Onscreen Display\OSD.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Borland\InterBase\bin\ibguard.exe
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\WgaTray.exe
C:\Program Files\Borland\InterBase\bin\ibserver.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Documents and Settings\Fireball 5\Bureau\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O2 - BHO: Class - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - C:\Program Files\LinkOptimizer\LinkOptimizer.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [rock] rock.exe
O4 - HKLM\..\Run: [egpo1.exe] C:\WINDOWS\TEMP\egpo1.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adware.Srv32] C:\WINDOWS\System32\runsrv32.exe
O4 - HKLM\..\Run: [Transponder] C:\WINDOWS\System32\susp.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\WINSOS\WINSOS.EXE" MINI
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Program Files\ATI Multimedia\main\launchpd.exe"
O4 - HKCU\..\Run: [ATI DeviceDetect] C:\Program Files\ATI Multimedia\main\ATIDtct.EXE
O4 - Global Startup: E-Compagnon.lnk = C:\Program Files\ColiPoste\e-COMO\e-COMO.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Program Files\ATI Multimedia\dtv\EXPLBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://fr.systemdoctor.com/downloa [...] all_fr.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.c [...] acscom.cab
O16 - DPF: {7D1E9C49-BD6A-11D3-87A8-009027A35D73} (Yahoo! Audio UI1) - http://chat.yahoo.com/cab/yacsui.cab
O16 - DPF: {7DD95801-9882-11CF-9FA9-00AA006C42C4} - http://www.plugin-access.com/active-x/264962.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activ [...] asinst.cab
O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399F83} - https://www14.bancobrasil.com.br/plugin/GbPluginBb.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5C9006F0-DCD0-4ABB-AE61-CE16886E07AC}: NameServer = 80.10.246.1 80.10.246.132
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0DC96F8-70B3-43B0-90E7-A694FB1CC643}: NameServer = 192.168.2.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibserver.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: JoG - Unknown owner - C:\:qZl.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe (file missing)
 
 
 
 
Voila la fiche...

Voilà Carnivore,
 
* Suis scrupuleusement cette procédure. Si tu as des questions, surtout, n'hésite pas à les poser ;                                                                   nous sommes là pour t'aider *
 
 
1) Crée un point de restauration du système : http://www.vulgarisation-informati [...] ration.php
 
 
2) Télécharge les programmes suivants (mets-le sur ton bureau) :
 
        * Cleanup de Steven Gould : http://www.stevengould.org/downloa [...] nUp452.exe
 
        * RegCleaner de Jouni Vuorio: http://pierre.szwarc.free.fr/Files/RegCleaner.exe
 
        * SmitfraudFix de S!Ri: http://siri.urz.free.fr/Fix/SmitfraudFix.zip
 
 
3) Redémarre ta machine en mode sans échec sur ta session : http://service1.symantec.com/suppo [...] 5112131924
 
 
4) Relance HijackThis et coche les lignes suivantes :
 
 
R3 - Default URLSearchHook is missing  
 
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)  
 
O2 - BHO: Class - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - C:\Program Files\LinkOptimizer\LinkOptimizer.dll (file missing)  
 
O4 - HKLM\..\Run: [rock] rock.exe  
 
O4 - HKLM\..\Run: [egpo1.exe] C:\WINDOWS\TEMP\egpo1.exe    
 
O4 - HKLM\..\Run: [Adware.Srv32] C:\WINDOWS\System32\runsrv32.exe  
 
O4 - HKLM\..\Run: [Transponder] C:\WINDOWS\System32\susp.exe  
 
O4 - Global Startup: E-Compagnon.lnk = C:\Program Files\ColiPoste\e-COMO\e-COMO.exe [Si tu n'utilises plus ce programme]
 
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://fr.systemdoctor.com/downloa [...] all_fr.cab  
 
O16 - DPF: {E37CB5F0-51F5-4395-A808-5FA49E399F83} - https://www14.bancobrasil.com.br/plugin/GbPluginBb.cab  [Si ce n'est pas ton système de PC-Banking]
 
O16 - DPF: {7DD95801-9882-11CF-9FA9-00AA006C42C4} - http://www.plugin-access.com/active-x/264962.cab  
 
O23 - Service: JoG - Unknown owner - C:\:qZl.exe  
 
 
                                                          ------> Clique ensuite sur "Fix Checked"
 
 
5) Lance alors un scan complet avec "Avast" et supprime (ou mets en quarantaine) tout ce qu'il trouve...
 
 
6) Toujours en mode sans échec, installe et exécute "Cleanup"
 
 
7) Lance le programme et clique sur "Cleanup", puis sur "NON" pour rendre le nettoyage effectif
 
 
8) Redémarre l'ordinateur en mode normal
 
 
9) Exécute SmitFraudFix après l'avoir décompressé comme HijackThis, double-clique sur Smitfraudfix.cmd choisis l’option 1, il va générer un rapport
Copie-colle ce rapport ici...
 
 
10) Reposte également ici un log HijackThis...
 
 
       /*\ Comment se porte ton ordinateur ?
       /*\ As-tu encore des problèmes ?
 
 
                                             ------> Laisse-moi à nouveau te remercier pour ta confiance en ce forum...
 
   Bonne chance et bonne après-midi à toi !

Faudra aussi penser à installer le SP2 de Windows XP

C'est exactement ce que j'allais écrire... mais il faut que la machine soit désinfectée AVANT !  

Oui, enfin faut pas s'étonner de chopper des merdes avec une machine pas à jour

Bon... j'ai tout essayé et si le mode sans échec se lance bien (faut pas exagéré), finalement, il refuse de créer le point de réstauratiion.
 
Il m'annonce qu'il manque le composant rstrui.exe  et l'élément framedyn.dll
 
Que faire ?    
 
 
Déjà, je suis agréablement surpris par la rapidité et l'élégance de votre aide.

Bonsoir Carnivore...
 
Je te réponds dans une heure...
@ très vite !    

 
Merci beaucoup...

Bonsoir Carnivore,
 
*** Avant de commencer, vérifie que la restauration du système est bien activée ***
Clic-droit sur "Poste de travail" --> Propriétés :
http://www.libellules.ch/desactive_restauration1.gif --> La case doit être DECOCHEE !
 
 
1) Clique sur "démarrer", "exécuter" et tape "cmd" avant de valider avec ENTER.
 
Entre ensuite la commande suivante :

 
 
2) Redémarre en mode sans échec sur ta session : http://service1.symantec.com/suppo [...] 5112131924
 
3) Assure-toi d'avoir accès aux fichiers cachés et système : http://perso.orange.fr/astwinds/as [...] aches.html
 
4) Clique avec le bouton droit sur le fichier "Windows\inf\sr.inf" ---> Windows te demandera probablement d'insérer le CD d'installation.
 
5) Choisis "Installer"
 
6) Redémarre en mode normal et applique le reste de la procédure...
 
 
Bonne nuit !

Vous êtes vraiment adorable, et ne croyez pas que j'y mets de la mauvaise volonté... mais la case se refuse à âtre cochée... je le jure!
 
 
       
 
 
Et si je réinstalle windows?

Et si tu essayes de recocher la case après les manipulations 1 à 5 ?

 
 
Bon... y'a eu de la purge...
 
Il se fait un peu tirer l'oreille pour accepter de cocher le safeboot.ini mais on y arrive... par contre... il lance les points de restauration, on a l'impression que tout se passe bien mais après redémarrage il dit que le point de restauration n'a pu être effectué....comme ça, sans raison.
 
Sinon, voila les deux rapports, celui de  smitfraud et celui de Hijack
 
Vous êtes vraiment super de m'aider comme ça!
 
C:\WINDOWS\adware-sheriff-box.gif supprimé
C:\WINDOWS\adware-sheriff-header.gif supprimé
C:\WINDOWS\alexaie.dll supprimé
C:\WINDOWS\alxie328.dll supprimé
C:\WINDOWS\alxtb1.dll supprimé
C:\WINDOWS\antispylab-logo.gif supprimé
C:\WINDOWS\bg_bg.gif supprimé
C:\WINDOWS\big_red_x.gif supprimé
C:\WINDOWS\blue-bg.gif supprimé
C:\WINDOWS\BTGrab.dll supprimé
C:\WINDOWS\buy_now.gif supprimé
C:\WINDOWS\buy-now-btn.gif supprimé
C:\WINDOWS\click_for_free_scan.gif supprimé
C:\WINDOWS\close_ico.gif supprimé
C:\WINDOWS\corner-left.gif supprimé
C:\WINDOWS\corner-right.gif supprimé
C:\WINDOWS\dlmax.dll supprimé
C:\WINDOWS\download.gif supprimé
C:\WINDOWS\download_product.gif supprimé
C:\WINDOWS\facts.gif supprimé
C:\WINDOWS\footer.gif supprimé
C:\WINDOWS\free_scan_red_btn.gif supprimé
C:\WINDOWS\free-scan-btn.gif supprimé
C:\WINDOWS\h-line-gradient.gif supprimé
C:\WINDOWS\header-bg.gif supprimé
C:\WINDOWS\icon_warning_big.gif supprimé
C:\WINDOWS\infected_top_bg.gif supprimé
C:\WINDOWS\info.gif supprimé
C:\WINDOWS\logo.gif supprimé
C:\WINDOWS\navibar_bg.gif supprimé
C:\WINDOWS\navibar_corner_left.gif supprimé
C:\WINDOWS\navibar_corner_right.gif supprimé
C:\WINDOWS\no-icon.gif supprimé
C:\WINDOWS\product_box.gif supprimé
C:\WINDOWS\Pynix.dll supprimé
C:\WINDOWS\red_warning_ico.gif supprimé
C:\WINDOWS\reg-freeze-box.gif supprimé
C:\WINDOWS\reg-freeze-header.gif supprimé
C:\WINDOWS\remove_spyware_header.gif supprimé
C:\WINDOWS\remove-spyware-btn.gif supprimé
C:\WINDOWS\safe_and_trusted.gif supprimé
C:\WINDOWS\spacer.gif supprimé
C:\WINDOWS\spacer.gif' supprimé
C:\WINDOWS\spyware_detected.gif supprimé
C:\WINDOWS\spyware-sheriff-header.gif supprimé
C:\WINDOWS\spyware-sheriff-box.gif supprimé
C:\WINDOWS\star-grey.gif supprimé
C:\WINDOWS\true-stories.gif supprimé
C:\WINDOWS\susp.exe supprimé
C:\WINDOWS\win-sec-center-logo.gif supprimé
C:\WINDOWS\windows-compatible.gif supprimé
C:\WINDOWS\yellow_warning_ico.gif supprimé
C:\WINDOWS\yes-icon.gif supprimé
C:\WINDOWS\ZServ.dll supprimé
C:\WINDOWS\system32\a.exe supprimé
C:\WINDOWS\system32\adobepnl.dll supprimé
C:\WINDOWS\system32\alxres.dll supprimé
C:\WINDOWS\system32\bridge.dll supprimé
C:\WINDOWS\system32\dailytoolbar.dll supprimé
C:\WINDOWS\system32\jao.dll supprimé
C:\WINDOWS\system32\questmod.dll supprimé
C:\WINDOWS\system32\runsrv32.dll supprimé
C:\WINDOWS\system32\runsrv32.exe supprimé
C:\WINDOWS\system32\tcpservice2.exe supprimé
C:\WINDOWS\system32\txfdb32.dll supprimé
C:\WINDOWS\system32\udpmod.dll supprimé
C:\WINDOWS\system32\winapi32.dll supprimé
C:\WINDOWS\system32\wstart.dll supprimé
 
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé.  
 
»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
 
 
 
Logfile of HijackThis v1.99.1
Scan saved at 15:55:18, on 02/10/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\sumsw32.exe
C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ATI Multimedia\main\ATIDtct.EXE
C:\Program Files\Netropa\Onscreen Display\OSD.exe
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Borland\InterBase\bin\ibguard.exe
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Borland\InterBase\bin\ibserver.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\WgaTray.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\NOTEPAD.EXE
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Documents and Settings\Fireball 5\Bureau\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Class - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Adware.Srv32] C:\WINDOWS\System32\runsrv32.exe
O4 - HKLM\..\Run: [Transponder] C:\WINDOWS\System32\susp.exe
O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\WINSOS\WINSOS.EXE" MINI
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Program Files\ATI Multimedia\main\launchpd.exe"
O4 - HKCU\..\Run: [ATI DeviceDetect] C:\Program Files\ATI Multimedia\main\ATIDtct.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Program Files\ATI Multimedia\dtv\EXPLBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.c [...] acscom.cab
O16 - DPF: {7D1E9C49-BD6A-11D3-87A8-009027A35D73} (Yahoo! Audio UI1) - http://chat.yahoo.com/cab/yacsui.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activ [...] asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0DC96F8-70B3-43B0-90E7-A694FB1CC643}: NameServer = 192.168.2.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibserver.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe (file missing)
 

Bonsoir Carnivore,
 
1) Appuie sur CTRL + ALT + DEL et arrête les processus suivants (si présents)
 
                       * sumsw32.exe
                       * runsrv32.exe  
                       * susp.exe
 
 
2) Relance HijackThis et fixe les lignes suivantes :
 
 
O2 - BHO: Class - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)  
 
O4 - HKLM\..\Run: [Adware.Srv32] C:\WINDOWS\System32\runsrv32.exe  
 
O4 - HKLM\..\Run: [Transponder] C:\WINDOWS\System32\susp.exe  
 
 
3) Si tu avais fixé les lignes avant, le fait qu'elles soient revenues pourrait laisser croire à une infection par rootkit...
 
       ---> Télécharge BlackLight ici : https://europe.f-secure.com/blacklight/try.shtml
       ---> Double-clique sur blbeta.exe et accepte la licence ; laisse [X] scan through Windows Explorer activé ; clique sur Scan puis Next
 
       ---> Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log   (les xxxxxxx sont des chiffres).  
 
       ---> Copie et colle le contenu de ce rapport dans ta prochaine réponse  
 
 
4) Télécharge enfin Combofix http://download.bleepingcomputer.com/sUBs/combofix.exe
 
       ---> Lorsque le scan sera complété, un rapport apparaîtra.  
       ---> Copie/colle ce rapport dans ta prochaine réponse.  
 
 
5) Remets-nous également un rapport HijackThis...
 
 
Bonne soirée à toi !

merci pour lui .
 
j'ai l'impression que ce virus/spyware est dévastateur. il a du déja serieusement lui bouffer une partie de son windows.

Déjà, premier rapport Hijack...
 
C'est la fête mais la p....n de ligne 02-BHO: Class arrête pas de revenir...
 
Bon, je lance le reste...
 
Logfile of HijackThis v1.99.1
Scan saved at 00:50:20, on 03/10/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ATI Multimedia\main\launchpd.exe
C:\Program Files\ATI Multimedia\main\ATIDtct.EXE
C:\Program Files\Netropa\Onscreen Display\OSD.exe
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Borland\InterBase\bin\ibguard.exe
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Borland\InterBase\bin\ibserver.exe
C:\WINDOWS\System32\WgaTray.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Fireball 5\Bureau\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Class - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\WINSOS\WINSOS.EXE" MINI
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Program Files\ATI Multimedia\main\launchpd.exe"
O4 - HKCU\..\Run: [ATI DeviceDetect] C:\Program Files\ATI Multimedia\main\ATIDtct.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Program Files\ATI Multimedia\dtv\EXPLBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.c [...] acscom.cab
O16 - DPF: {7D1E9C49-BD6A-11D3-87A8-009027A35D73} (Yahoo! Audio UI1) - http://chat.yahoo.com/cab/yacsui.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activ [...] asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0DC96F8-70B3-43B0-90E7-A694FB1CC643}: NameServer = 192.168.2.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibserver.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe (file missing)
 

Quelque chose m'empêche de lancer Blacklight...
 
Selon ses propres termes:
 
FSBL could not acquire necessary privileges (sedebug privileges)
 
-Your computer setting may prevent acquiriing these privileges
-a malicious programm might have disabled these privileges.
 
 
(Je vais fouiller la question du SeDebugPrivileges)

Bonsoir Carnivore,
 
*-*- Qu'en est-il de Combofix ? -*-*
*-*- Désactive la restauration du système (après avoir sauvé TOUTES tes données-*-*)
 
 
1) Télécharge ceci : "Debug-Restore"   http://download.bleepingcomputer.c [...] estore.exe  
 
                         --> Exécute "SeDebug-Restore.exe"
                         --> Attends jusqu'à la fin  
                         --> Presse une touche
                         --> Redémarre le PC
                         --> Relance blacklight  
 
 
2) Linkoptimizer est l'un des pires rootkits du moment [C.F.R. AngelDark, très reconnu dans le "milieu", d'après lui, il n'y a pour l'instant aucune autre solution que le formatage]. Effectivement, tout le monde en parle dans les forums cachés internationnaux...
 
 
3) On va quand même essayer ceci :
 
   ---> Télécharge FixLinkopt.exe à partir de : http://securityresponse.symantec.c [...] nkopt.exe.  
   ---> Enregistre-le à un endroit où tu vas le retrouver...
   ---> Ferme tous les programmes en cours
   ---> Déconnecte-toi COMPLETEMENT du net
   ---> Exécute FixLinkopt.exe
   ---> Appuie sur "Start" pour lancer la désinfection
   ---> NOTE: Si certains problèmes apparaissent, redémarre l'ordinateur en mode sans échec et repasse l'outil...
   ---> Redémarre l'ordinateur  
   ---> Relance le fix pour t'assurer que ta machine est nettoyée...
 
 
4) En mode sans échec, clique sur "démarrer", "exécuter", tape "regedit" et valide avec ENTER
 
   ---> L'éditeur de registre s'ouvre alors...
   ---> Clique sur "Edition", "rechercher" et copie-colle "DA39029C-D291-A968-3FF4-D0990D5CB5FC" (sans les guillemets)
   ---> Supprime tout ce qu'il trouve, et préviens-moi s'il en reste... on utilisera l'artillerie lourde !  
 
 
5) Reposte un rapport BlackLight, HijackThis, Combofix...
 
Bonne chance !

En fait, tout mes problèmes se sont résolus avec votre aide! Ouf.
 
Merci beaucoup (J'ai mis du temps à retrouver le sujet)