Bon j ai un gros gros probleme avec CxtPlus.exe, il s agirait d un virus qui m ouvre despages de publicités tout le temps,qui reviens a chaque fois que je le met a la corbeille. Mon anti virus le suprime mais il reviens, mon anti trojan de meme ainsi que ad aware.
 
Il m empeche daller sur des sites de sécurité et de telecharger des antivirus ou meme de faire des mises a jours de sécurité.  
 
Je ne sais  plus quoi faire .... au secour !!!

Je precise qu il m ai impossible de telecharger HijackThis, ce virus semble m en empecher, j ai essayé CWShredLast.exe mais ca n arien fait (que j ai d ailleur pu telecharger par miracle sur un seul site apres des dizaines d essais sur d autres sites).
 
Lorsque je dit que le virus m empeche de telecharger ca veut dire qu en lein milieu du telechargement il me fait une erreur qui est :
 
Impossible de copier Fichier :Impossible de lire a partir du fichier ou de la disquette source.
 
et cela a 99% du telechargement.
 
Je peux telecharger n importe quoi sauf les utilitaires de securité comme si le virus m empecher de trouver un moyen de le desinstaller.
 
Au secour !!!

Bon jai réussi a telecharger HiJackThis mais en zippé (car il porte le nom de hij au lieu hijack je pense) mais le probleme c est que je peux pas le deziper ...
 
Y a t il un specialiste dans ce genre de virus ???
 
 
------------------------------------------------------------------------
 
Apres maintes essai de dezipage mon dezipeur est endomagé ...
Encore a cause de ce virus ??? arg
Les dossiers issus des tentatives de dezipage sont vide ... mais lorque j essai de le suprimer il me dit :
 
Impossible de suprimer hij: Le repertoire n'est pas vide
 
Aidez moi svp !!!
 
 
------------------------------------------------------------------------
 
En fait lorsque je suprime manuellement CxtPlus.exe, ca marche mais il reaparait a cause d un processus qui se lance alors qui s'appelle autoupdate.exe et qui telecharge des trucs des que je me connecte sur internet via IE.
Si je suprime autoupdate.exe il reviens a l aide d'un dizaine de processus qui apparaissent alors (si la liste est vraiment importante je peux la recopier) et impossible de tous les suprimer (trois ou quatre rebelles). windows me dit qu'un programme utilise deja cette ressource (meme apres avoir stopé tous les processus sauf les indispensables pour agir sous windows).
 
Bon ... je commence a perdre espoir de trouver quelqu un qui aurait la solution a mon probleme ici  

a tu essayé d'allez sur secuser.com et scanner ton dd en ligne

hello,
 
regarde dans ma signature, va chercher stinger de mcafee... si il le vire automatiquement, change le nom du fichier avant de l'enregistrer depuis iexplorer, tu peux faire ça...  
 
Après tu reboot en mode sans echec et tu passe stinger. ensuite base de registre pour enlever la merde et supprime les fichiers à la main si il en reste

Essaie directement en rebootant sous dos (via les options de démarrage, ou un CD/disquette de boot) avec f-prot par exemple.
je t'ai mis la base de virus à jour, f-prot est pret à l'emploi et s'auto extraira sous dos(j'ai cru comprendre que ton logiciel zip était endommagé).  
tu dois juste plomber le fichier puis le renommer en exe SOUS DOS, et l'executer sous dos! Ensuite la suite tu la connais à priori.
Tant que tu es sous dos le traditionnel fdisk /mbr si le support sur quoi tu a booté le contient.
 
le lien vers le logiciel préparé, ha oui j'invite tous les boulets à scanner ce fichier que j'ai préparé et à constater qu'effectivement ya des bout de code malicieux (ça s'apelle la base de signature de virus), ça me gonflerais d'entendre ou de lire "non surtout télécharge pas, c'est une collection de virus il va te pourrir ton pc !!"
 
http://www.meta.rezoo.org/help.htm
 
edit: pourquoi procéder de la sorte ? pour que son virus n'altère pas le code lors de l'écriture sur le disque, enfin j'espère...

oups ma signature n'était pas visible... maintenant on peut la voir

Bon j ai reussi a me procurer hijackthis (en passant par un telechargement msn de l'exe meme en renommant le fichier )
Voila mon log :
 
Logfile of HijackThis v1.98.2
Scan saved at 19:04:59, on 13/10/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
C:\WINDOWS\system32\pcs\pcsvc.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
K:\Telechargements\hjt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
 
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.isearch.com/index.php?a [...] ct1&Terms=
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\System32\SearchBar.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.isearch.com/index.php?a [...] ct1&Terms=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.free.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = iexplore
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =  
R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {85B0941D-8776-BA1A-BE38-A4846768DCCB} - (no file)
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {C5183ABC-EB6E-4E05-B8C9-500A16B6CF94} - (no file)
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - (no file)
O3 - Toolbar: (no name) - {339BB23F-A864-48C0-A59F-29EA915965EC} - (no file)
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [CM-SmWizard] C:\WINDOWS\System\SmWizard.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [mmtask] C:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [v8y1U.exe] C:\documents and settings\patastronch\local settings\temp\v8y1U.exe
O4 - HKLM\..\Run: [updater] C:\Program Files\Common files\updater\wupdater.exe
O4 - HKLM\..\Run: [1YpAeg4.exe] C:\documents and settings\patastronch\local settings\temp\1YpAeg4.exe
O4 - HKLM\..\Run: [saie] c:\windows\system32\saie.exe
O4 - HKLM\..\Run: [Pcsv] C:\WINDOWS\system32\pcs\pcsvc.exe
O4 - HKLM\..\Run: [eDonkey2000] "K:\eDonkey2000\edonkey2000.exe" -t
O4 - HKLM\..\Run: [0jV6rtBP.exe] C:\documents and settings\patastronch\local settings\temp\0jV6rtBP.exe
O4 - HKLM\..\Run: [BOLTCOPY] C:\PROGRA~1\phone shim jugs\SafeBagsInside.exe
O4 - HKLM\..\Run: [PXV.exe] C:\documents and settings\patastronch\local settings\temp\PXV.exe
O4 - HKLM\..\Run: [1b19c62e664b] C:\WINDOWS\System32\ATPartne.exe
O4 - HKLM\..\Run: [5SZHA9F354P@DS] C:\WINDOWS\System32\JqvGne.exe
O4 - HKLM\..\Run: [TBPS] C:\PROGRA~1\Toolbar\TBPS.exe
O4 - HKLM\..\Run: [6407e5b024ba] C:\WINDOWS\System32\BROWSEUI.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\Msmsgs.exe" /background
O4 - HKCU\..\Run: [bo4mROiEW] lpr_ps.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: OpenOffice.org 1.1.0.lnk = C:\Program Files\OpenOffice.org1.1.0\program\quickstart.exe
O4 - Startup: Reboot.exe
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: (no name) - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\maxspeed.exe
O9 - Extra 'Tools' menuitem: MaxSpeed - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\maxspeed.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {10000000-0000-0000-0000-000000000000} - http://213.159.118.226/x/x.exe
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - http://toolbar.isearch.com/general/drm.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/ [...] .0.0.8.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn. [...] ngctrl.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/122b5c [...] 601_fr.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/5 [...] taller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 7617266941
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] Client.cab
O16 - DPF: {99802379-7362-40E2-9D28-8A3B9AF880B7} - http://hotsearchbar.com/toolbar2/winhot32.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f006.mail.caramail.lycos.fr [...] loader.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://lw11fd.law11.hotmail.msn.co [...] Atchmt.ocx
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
 
J ai testé ce que vous m avez demandé a part l'idée de efflamm (que j essairai d ici peu !) le reste a eu quelques effets sur le coup mais au final c est pareil.
 
Si quelqu un sait interprété correctement les log de Hijackthis je suis preneur, sinon j u tiliserais l analyseur en ligne .
 
Encore merci pour votre aide.

voila le vrai scan sans toucher mon ordi apres un reboot :
 
Logfile of HijackThis v1.98.2
Scan saved at 19:32:55, on 13/10/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Messenger Plus! 2\MsgPlus.exe
C:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
C:\WINDOWS\system32\pcs\pcsvc.exe
K:\eDonkey2000\edonkey2000.exe
C:\WINDOWS\System32\ATPartne.exe
C:\WINDOWS\System32\BROWSEUI.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\Program Files\Messenger\Msmsgs.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\getta.exe
C:\WINDOWS\System32\shesubs.exe
C:\DOCUME~1\PATAST~1\LOCALS~1\Temp\AutoUpdate0\auto_update_install.exe
C:\DOCUME~1\PATAST~1\LOCALS~1\Temp\AutoUpdate1\auto_update_install.exe
K:\Telechargements\hjt.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.isearch.com/index.php?a [...] ct1&Terms=
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\System32\SearchBar.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.isearch.com/index.php?a [...] ct1&Terms=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.free.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =  
R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)
O2 - BHO: (no name) - {01C5BF6C-E699-4CD7-BEA1-786FA05C83AB} - C:\Program Files\CxtPls\CxtPls.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {85B0941D-8776-BA1A-BE38-A4846768DCCB} - (no file)
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {C5183ABC-EB6E-4E05-B8C9-500A16B6CF94} - (no file)
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - (no file)
O3 - Toolbar: (no name) - {339BB23F-A864-48C0-A59F-29EA915965EC} - (no file)
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [CM-SmWizard] C:\WINDOWS\System\SmWizard.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [mmtask] C:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [v8y1U.exe] C:\documents and settings\patastronch\local settings\temp\v8y1U.exe
O4 - HKLM\..\Run: [updater] C:\Program Files\Common files\updater\wupdater.exe
O4 - HKLM\..\Run: [1YpAeg4.exe] C:\documents and settings\patastronch\local settings\temp\1YpAeg4.exe
O4 - HKLM\..\Run: [saie] c:\windows\system32\saie.exe
O4 - HKLM\..\Run: [Pcsv] C:\WINDOWS\system32\pcs\pcsvc.exe
O4 - HKLM\..\Run: [eDonkey2000] "K:\eDonkey2000\edonkey2000.exe" -t
O4 - HKLM\..\Run: [0jV6rtBP.exe] C:\documents and settings\patastronch\local settings\temp\0jV6rtBP.exe
O4 - HKLM\..\Run: [BOLTCOPY] C:\PROGRA~1\phone shim jugs\SafeBagsInside.exe
O4 - HKLM\..\Run: [PXV.exe] C:\documents and settings\patastronch\local settings\temp\PXV.exe
O4 - HKLM\..\Run: [1b19c62e664b] C:\WINDOWS\System32\ATPartne.exe
O4 - HKLM\..\Run: [5SZHA9F354P@DS] C:\WINDOWS\System32\JqvGne.exe
O4 - HKLM\..\Run: [TBPS] C:\PROGRA~1\Toolbar\TBPS.exe
O4 - HKLM\..\Run: [6407e5b024ba] C:\WINDOWS\System32\BROWSEUI.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [qFng3EO] getta.exe
O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program Files\Messenger Plus! 2\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\Msmsgs.exe" /background
O4 - HKCU\..\Run: [bo4mROiEW] shesubs.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: OpenOffice.org 1.1.0.lnk = C:\Program Files\OpenOffice.org1.1.0\program\quickstart.exe
O4 - Startup: Reboot.exe
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: (no name) - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\maxspeed.exe
O9 - Extra 'Tools' menuitem: MaxSpeed - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\maxspeed.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {10000000-0000-0000-0000-000000000000} - http://213.159.118.226/x/x.exe
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - http://toolbar.isearch.com/general/drm.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/ [...] .0.0.8.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {45E83043-1F6F-4D22-A5E7-0138EA171B49} (FileSharingCtrl Class) - http://appdirectory.messenger.msn. [...] ngctrl.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/122b5c [...] 601_fr.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/5 [...] taller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 7617266941
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] Client.cab
O16 - DPF: {99802379-7362-40E2-9D28-8A3B9AF880B7} - http://hotsearchbar.com/toolbar2/winhot32.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f006.mail.caramail.lycos.fr [...] loader.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://lw11fd.law11.hotmail.msn.co [...] Atchmt.ocx
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
 

va sur  
www.hijackthis.de
 
et copie ton log, tu verras ce qu'il y à a effacer

j'ai regardé par curiosité, vire tout ce qui n'est pas checké afin de faire place net.
Puis si tu constates des disfonctionnements vis à vis de tes périphériques, tu pourras probablement ré-activé les services d'arrière plan via msconfig ou regedit.
 
Si ton système est redevenu propre après avoir tout viré et rebooté, un coup de moulinette pour le moucher une fois pour toute! La moulinette que je t'ai préparée ou tout autre FRAICHEMENT téléchargée! Ne va pas ré-infecter ton système inutilement.
 
Si ton système n'est pas propre après hijackthis, tu es en présence d'un virus particulièrement malin qui se régénère par exemple via l'execution de fichier windows indispensable au démarrage du pc, un fichier contaminé, le MBR ou que sais-je encore..
Une solution est de passer autant de moulinette différente à ta disposition sous dos, après un fdisk /mbr histoire de...

 
regarde aussi dans ma signature pour le nettoyage des spy

bon jai tout suprimé la mojorité des non checked de hijackthis, j ai passé ad aware et free-avg, et ce virus est toujours la.
hijackthis il vaut mieu le faire en mode sans echec ? parceque je l ai pas fait en mode sans echec.
 
Bon je crois que je vais reformater en fait. Le pire c est que je trouve rien sur le net sur ce virus a part 2 ou 3 personnes qui se plaignent comme moi.
 
En tous cas merci de votre aide.

salut
Télécharger ce petit programme qui nous donnera la liste  
des services :  
 
get_active_services
                   http://pageperso.aol.fr/balltrap34/page%20virus.htm
 
Le poser sur le bureau.  
Le lancer.  
Copier/coller le fichier texte qui apparaît.
--------
et ceci aussi
dllfix
                   http://pageperso.aol.fr/balltrap34/page%20virus.htm
 
 
-Pose-le sur le bureau.  
-Double-clique.  
-Décompresse-le sur le bureau.  
-Double-clique "Start.bat" et choisis l'option 1 pour le rapport.  
-Une fois la recherche terminée, un fichier txt doit apparaître sous  
le nom "Output.txt" et sera sauvegardé dans le dossier.  
-Copie/colle le contenu de "Output.txt" dans ta réponse.

Bon finallement jai toujours pas reformété car j ai retenté toutes ces manips conseillé et ca eu l air d'avoir eu effet.
J ai plus CxTPlus.exe.
 
Mais !!!
 Je n ai pas pu telecharger spyboot. La meme erreur s est reproduise, donc ce n etaitpas CxtPlus.exe le responsable qui m empechait de telecharger des progs de securité etc
 
CxTPlus n est qu une consequence du vrai virus qui est je pense : Autoupdate.exe
En effet mon anti virus s est reveillé et a detecté autoupdate.exe comme etant un trojan mais il a été incapable de le suprimer.
Voila si vous avez des informations sur ce truc ...
 
balltrap j ai fait ce que tu m'as demandé apres un reboot de mon ordinateur qui a suivi une a tous les scans possible que j avais et des fixs sur tous les eventuellement mechant ou plus de hijackthis.
 
Voila les resultats :
 
Pour Get_active :
-----------------------------------------------------------------------
C:\WINDOWS\system32\svchost.exe -k netsvcs
 
 GESTIONNAIRE DE TÉLÉCHARGEMENT: uploadmgr
C:\WINDOWS\System32\svchost.exe -k netsvcs
 
 INFRASTRUCTURE DE GESTION WINDOWS: winmgmt
C:\WINDOWS\system32\svchost.exe -k netsvcs
 
 MISES À JOUR AUTOMATIQUES: wuauserv
C:\WINDOWS\system32\svchost.exe -k netsvcs
 
 CONFIGURATION AUTOMATIQUE SANS FIL: WZCSVC
C:\WINDOWS\System32\svchost.exe -k netsvcs
 
 AVG6 SERVICE: AvgServ
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
 
 CLIENT DNS: Dnscache
C:\WINDOWS\System32\svchost.exe -k NetworkService
 
 JOURNAL DES ÉVÉNEMENTS: Eventlog
C:\WINDOWS\system32\services.exe
 
 PLUG-AND-PLAY: PlugPlay
C:\WINDOWS\system32\services.exe
 
 ASSISTANCE TCP/IP NETBIOS: LmHosts
C:\WINDOWS\System32\svchost.exe -k LocalService
 
 ACCÈS À DISTANCE AU REGISTRE: RemoteRegistry
C:\WINDOWS\system32\svchost.exe -k LocalService
 
 SERVICE DE DÉCOUVERTES SSDP: SSDPSRV
C:\WINDOWS\System32\svchost.exe -k LocalService
 
 WEBCLIENT: WebClient
C:\WINDOWS\System32\svchost.exe -k LocalService
 
 MACHINE DEBUG MANAGER: MDM
"C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE"
 
 NVIDIA DISPLAY DRIVER SERVICE: NVSvc
C:\WINDOWS\System32\nvsvc32.exe
 
 SERVICES IPSEC: PolicyAgent
C:\WINDOWS\System32\lsass.exe
 
 EMPLACEMENT PROTÉGÉ: ProtectedStorage
C:\WINDOWS\system32\lsass.exe
 
 GESTIONNAIRE DE COMPTES DE SÉCURITÉ: SamSs
C:\WINDOWS\system32\lsass.exe
 
 APPEL DE PROCÉDURE DISTANTE (RPC): RpcSs
C:\WINDOWS\system32\svchost -k rpcss
 
 SPOULEUR D'IMPRESSION: Spooler
C:\WINDOWS\system32\spoolsv.exe
----------------------------------------------------------------------
 
pour dllfix :
 
----------------------------------------------------------------------
--==***@@@ FIND-ALL' VERSION MODIFIED -6/05 @@@***==--  
--==***@@@ ORIGINAL BY FREEATLAST           @@@***==--  
 
16/10/2004  
15:42
 
System Info:  
 
Microsoft Windows XP [version 5.1.2600]
C: "Windows" (38EE:9890) - FS:NTFS clusters:4k
Total: 10 487 197 696 [10G] - Free: 2 403 471 360 [2.2G]
 
 
 *IE version and Service packs:  
             6.0.2800.1106  C:\Program Files\Internet Explorer\Iexplore.exe
 *Notepad version :  
                5.1.2600.0  C:\WINDOWS\system32\notepad.exe
                5.1.2600.0  C:\WINDOWS\notepad.exe
 *Media Player version :  
                9.0.0.2980  C:\Program Files\Windows Media Player\wmplayer.exe
 
! REG.EXE VERSION 2.0
 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    MinorVersion REG_SZ ;SP1;Q832894;Q330994;Q820223;Q837009;Q831167;
 
 
 
Locked or 'Suspect' file(s) found...  
These may be other files that Dllfix doesnt target.  
 
 
Scanning for main Hijacker:  
 
 
REGEDIT4
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
 
REGEDIT4
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
 
REGEDIT4
 
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter]
 
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/octet-stream]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"
 
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/x-complus]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"
 
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/x-msdownload]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"
 
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"
 
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
 
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
 
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"
 
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
@="WebView MIME Filter"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"
 
 
! REG.EXE VERSION 2.0
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
    AppInit_Dlls REG_SZ  
 
*Security settings for 'Windows' key:  
 
 
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
 
Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(NI)    ALLOW  Read         BUILTIN\Utilisateurs
(IO)    ALLOW  Read         BUILTIN\Utilisateurs
(NI)    ALLOW  Read         BUILTIN\Utilisateurs avec pouvoir
(IO)    ALLOW  Read         BUILTIN\Utilisateurs avec pouvoir
(NI)    ALLOW  Full access  BUILTIN\Administrateurs
(IO)    ALLOW  Full access  BUILTIN\Administrateurs
(NI)    ALLOW  Full access  AUTORITE NT\SYSTEM
(IO)    ALLOW  Full access  AUTORITE NT\SYSTEM
(NI)    ALLOW  Full access  BUILTIN\Administrateurs
(IO)    ALLOW  Full access  CREATEUR PROPRIETAIRE
 
Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read           BUILTIN\Utilisateurs
Read           BUILTIN\Utilisateurs avec pouvoir
Full access    BUILTIN\Administrateurs
Full access    AUTORITE NT\SYSTEM
------------------------------------------------------------------------

 
c est pas oulu mais ca rebooot pas au demarage pour autant ... je l ai fixé de toute facon.
 

 
impossible de suprimer :
 
-----------------------------------------------------------------------
C:\Documents and Settings\Patastronch\Local Settings\Temp\AAWTMP\C15460841\19ADA9
 
*** il me dit que le repertoire n'est pas vide ...
-----------------------------------------------------------------------
C:\Documents and Settings\Patastronch\Local Settings\Temp\Temporary Internet Files\Content.IE5\7HCB8HFD
 
C:\Documents and Settings\Patastronch\Local Settings\Temp\Temporary Internet Files\Content.IE5\9JC5IL30
 
C:\Documents and Settings\Patastronch\Local Settings\Temp\Temporary Internet Files\Content.IE5\AOLY7J96
 
C:\Documents and Settings\Patastronch\Local Settings\Temp\Temporary Internet Files\Content.IE5\WJJ1104A
 
***il me dit : Impossible de supprimer BTYPE_~1:Le fichier spécifié est introuvable. Vérifiez que le chemin et le nom de fichier spécifiés sont corrects.
------------------------------------------------------------------------

re
bon pas de services mauvais et pas de dll cacher
pour tes temp
tu click sur demarrer/panneaux de configuration/option internet
une fenetre s ouvre tu click sur supprime les fichiers
<gras>une nouvelle petite fenetre s ouvre tu coche effacer tous le contenu hors connection et click ok</gras>

merci ca a marchépour la supression des fichiers temporaires.
 
mais ca ne change rienau fait que suis bloqué pour telecharger les utilitaires de sécurité (erreur a 99% : Impossible de copier Fichier :Impossible de lire a partir du fichier ou de la disquette source. ) mettre en favoris des sites d'anti virus ou autres, deziper des utilitaires de securité (erreur : cré un fichier vide a la place et ce fichier n est pas supprimable car soit disant non vide).
Voila c est les seuls problemes qu ils me restent pour l instant.
 
merci beaucoup pour l'aide que vous m avez fournit.

re
a tout hazard
Avec le bloc-notes, ouvre le fichier : C:\WINDOWS\system32\drivers\etc\hosts  
fait un copier coller de son contenu
Sous 2000 et xp c'est C:\WINDOWS\system32\drivers\etc\hosts  
Sous les win 9x c'est C:\WINDOWS\hosts
------
met ton niveau de securite sur moyen dans les options internet

sous 2000 c'est : C:\WINNT\system32\drivers\etc\hosts

127.0.0.1 hard-virgins.com
127.0.0.1 www.hard-virgins.com
127.0.0.1 petite-virgins.biz
127.0.0.1 wwww.petite-virgins.biz
127.0.0.1 only-virgins.com
127.0.0.1 www.only-virgins.com

c est  censé etre quoi ce fichier normalement ?

hi hi  
 
normalement y a que ça
 

 
copie/colle, sauve le fichier et mets le en lecture seule...
 
(c'est pas bien d'aller sur les sites de pétanque... )

eh oh !!! je m occupe comme je peux !
a la fois je vois pas ce que c est comme site, quand j essai d y aller ca fait une page non trouvé.
 
merci pour le veritable fichier.

hi hi

re
ne modifie pas ton fichier host
ces sites sont de mauvais sites laisse les
tu as mis la totalite du fichier

oui c est l integralité de mon fichier host.
Bon le bilan apres quelques jours c est que j ai plus rien merci a part cette connerie de blocage pour certains telechargements...en tous cas je vous remercit vraiment pour votre aide a tous.