Salut tout le monde,
 
Je reviens de chez un pot qui malheuresement a été victime d'une invasion de spywares, virus, trojans...et biensûr ça tombe toujours sur les débutants en info. Bref, son fond d'écran change de couleur, il a de la pub pour des logiciels anti-spywares, des fenêtres qui s'ouvrent au démarrage...
J'avoue avoir jamais vu autant de problèmes sur un PC et j'avoue aussi ne pas pouvoir l'aider vu la gravité et je suis loin d'être un expert en hijackthis.
 
Bref, je lui ai fait faire un log avec hijackthis que voici :
Logfile of HijackThis v1.99.1  
Scan saved at 18:10:19, on 21/09/2005  
Platform: Windows XP SP2 (WinNT 5.01.2600)  
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)  
 
Running processes:  
C:\WINDOWS\System32\smss.exe  
C:\WINDOWS\system32\winlogon.exe  
C:\WINDOWS\system32\services.exe  
C:\WINDOWS\system32\lsass.exe  
C:\WINDOWS\system32\svchost.exe  
C:\WINDOWS\System32\svchost.exe  
C:\WINDOWS\system32\spoolsv.exe  
C:\WINDOWS\Explorer.EXE  
C:\WINDOWS\system32\msole32.exe  
C:\WINDOWS\popuper.exe  
C:\WINDOWS\system32\shnlog.exe  
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe  
C:\WINDOWS\system32\intell32.exe  
C:\WINDOWS\system32\ctfmon.exe  
C:\Program Files\Messenger\msmsgs.exe  
C:\Program Files\McAfee\McAfee Shared Components\Instant  
Updater\RuLaunch.exe  
C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe  
C:\WINDOWS\system32\intmonp.exe  
C:\WINDOWS\system32\intmon.exe  
C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe  
C:\Program Files\McAfee\McAfee VirusScan\Vshwin32.exe  
C:\Program Files\Fichiers communs\Network Associates\McShield\Mcshield.exe  
C:\Program Files\McAfee\McAfee VirusScan\Avconsol.exe  
C:\WINDOWS\system32\wuauclt.exe  
C:\WINDOWS\Explorer.EXE  
C:\DOCUME~1\abc\LOCALS~1\Temp\Répertoire temporaire 1 pour  
hijackthis_199.zip\HijackThis.exe  
C:\Program Files\Internet Explorer\iexplore.exe  
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =  
about:blank  
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =  
http://www.bestwebslinks.com/search.php?qq=%1  
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =  
http://www.bestwebslinks.com/bar.html  
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =  
http://www.bestwebslinks.com/search.php?qq=%1  
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =  
http://www.bestwebslinks.com/search.php?qq=%1  
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =  
http://www.bestwebslinks.com/search.php?qq=%1  
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =  
http://www.bestwebslinks.com/search.php?qq=%1  
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =  
http://www.bestwebslinks.com/  
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =  
Liens  
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe  
O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} -  
C:\WINDOWS\system32\hp7501.tmp  
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB}  
- C:\Program Files\McAfee\McAfee VirusScan\VSCShellExtension.dll  
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program  
Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll (file missing)  
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program  
Files\Java\jre1.5.0_04\bin\jusched.exe  
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u  
O4 - HKLM\..\Run: [intell32.exe] C:\WINDOWS\system32\intell32.exe  
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe  
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe"  
/background  
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program  
Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe"  
/STARTMONITOR  
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe"  
/background  
O4 - Startup: RegFreeze.lnk = C:\Program Files\RegFreeze\regfreeze.exe  
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -  
C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll  
O9 - Extra 'Tools' menuitem: Console Java (Sun) -  
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program  
Files\Java\jre1.5.0_04\bin\npjpi150_04.dll  
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -  
C:\Program Files\Messenger\msmsgs.exe  
O9 - Extra 'Tools' menuitem: Windows Messenger -  
{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program  
Files\Messenger\msmsgs.exe  
O15 - Trusted Zone: *.coolwebsearch.com  
O15 - Trusted Zone: *.searchmeup.com  
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -  
http://v5.windowsupdate.microsoft. [...] 5729468002  
O20 - Winlogon Notify: style32 - C:\WINDOWS\q122325_disk.dll  
O23 - Service: AVSync Manager (AvSynMgr) - Network Associates, Inc. -  
C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe  
O23 - Service: McShield - Unknown owner - C:\Program Files\Fichiers  
communs\Network Associates\McShield\Mcshield.exe  
 
------------------
 
Donc j'aurais besoin de vos conseils sur ce log !
 
Pour lui virer ces problèmes je pense donc  
1) supprimer les entrées que vous m'aurez dit de virer dans hijackthis
2) passer ad-aware, spybot et mcafee (tout ça à jour biensur)
 
Je pense que comme ça, ça devrait le faire.
 
Autre chose, j'ai fait le log hijackthis en mode normal pensant qu'on y verrait plus clair sur les problèmes.
Mais je suppose que pour supprimer les entrées il faudra passer en mode sans échec non ? Mais Hijackthis verra t-il les du coup les mêmes lignes en mode sans échec.
 
Merci

Salut,
Je ne suis pas un expert-mais j'ai eu un peu le même soucis de spyware.
 
Essaie ça :
 
1) scanne ton pc avec un antivirus.  
 
 
télécharge sysclean ici (gratuit) (il s'agit de l'antivirus pccillin de Trend Micro):  
 
http://fr.trendmicro-europe.com/fi [...] sclean.com  
 
puis télécharge lpt849.zip ici (fichier de définitions de virus/pattern file):  
http://fr.trendmicro-europe.com/gl [...] lpt849.zip  
 
dézippe ensuite lpt849.zip et tu obtiendras le fichier lpt$vpn.849  
 
une fois obtenu le fichier lpt$vpn.849 (qui doit être placé au même endroit que sysclean.com) tu lance sysclean.com  
 
et tu clique sur le bouton scan.  
 
a executer en mode sans échec et restauration système désactivée afin de pouvoir effectuer un nettoyage complet.  
 
si le numéro de numéro de pattern (lpt***.zip) a changé,  
le fichier de définition de virus ne sera plus téléchargeable directement en utilisant les liens donnés ci-dessus.  
==>dans ce cas voir le lien ci-dessous pour télécharger lpt***.zip  
http://fr.trendmicro-europe.com/en [...] attern.php  
 
 
pour mettre a jour le scanner antivirus il suffit d'effacer la vieille version et de télécharger la derniére version des fichiers.  
 
***  
 
si ton accés internet ne fonctionne plus, procéde comme suit:  
télécharge sysclean a partir d'un pc sain de préférence:  
(copain/ami/voisin/parents/boulot/cyber café etc...)  
puis grave le sur un cd, cd/rw,ou copie le sur une clé usb, ou sur un disque dur amovible et scanne ton pc avec.  
 
 
***  
 
2) scanne ton pc avec des anti-spywares.  
 
 
curatif==>  
 
nettoie ton pc avec ccleaner(gratuit)  
http://www.ccleaner.com/  
 
nettoie aussi ta base de registre avec regseeker:  
http://www.hoverdesk.net/freeware.htm  
 
télécharge/installe/met a jour et nettoie ton pc avec spybot (gratuit)  
http://www.safer-networking.org/fr/mirrors/index.html  
 
télécharge/installe/met a jour et nettoie ton pc avec adaware (gratuit)  
http://www.lavasoftusa.com/default.shtml.fr  
 
télécharge/installe/met a jour et nettoie ton pc avec a-squared Free (a²) (gratuit)  
http://www.emsisoft.net/fr/software/free/  
 
télécharge/installe/met a jour et nettoie ton pc avec Microsoft anti-spyware (GIANT anti-spyware) (gratuit)  
http://www.microsoft.com/athome/se [...] fault.mspx  
 
en cas d'échec des solutions gratuites précédentes:  
télécharge/installe/met a jour et nettoie ton pc avec spysweeper:  
(démo valable 30 jours)  
http://www.webroot.com/fr/products/spysweeper/  
 
afin de ne plus te faire infecter a nouveau applique les solutions préventives ci-dessous:  
 
préventif==>  
 
télécharge/installe et vaccine ton pc avec spywareblaster (gratuit)  
http://www.javacoolsoftware.com/spywareblaster.html  
 
change de navigateur internet  
remplace internet explorer par firefox (gratuit)  
http://www.mozilla-europe.org/fr/products/firefox/  
 
si tu est sous Windows 2000 / XP / 2003 server  
vaccine ton pc avec Windows Worms Doors Cleaner (gratuit)  
http://www.firewallleaktester.com/wwdc.htm  
 
 
***  
 
ne soumettre un rapport hijackthis et/ou utiliser hijackthis que si toutes les solutions antispywares ci-dessus ont échouées.  
 
 
tutoriel hijackthis (gratuit)  
http://www.zebulon.fr/articles/HijackThis.php  
* analyse automatique en ligne (gratuit)  
http://www.hijackthis.de/index.php?langselect=french  
* analyse automatique en ligne (gratuit)  
http://hjt.iamnotageek.com/  
 
* les résultats fournis par les sites d'analyse automatique en ligne ci-dessus ne sont qu'une aide au diagnostic pour les personnes qui maitrisent hijackthis.  
les résultats fournis ne sont pas fiables a 100%, et doivent être vérifiés au préalable avant toute modification du système et/ou suppression de fichiers.

euh la il risque de pas s en sortir lol
telecharge  
http://siri.urz.free.fr/Fix/SmitfraudFix.zip  
tu le decompresse tu double clik dessus et tu choisi l option 1  
cela vas generer un rapport donne nous le
*******  
redemarre en sans echec  
 
relance le et choisi cette fois l option 2 et repond oui a tous  
redemarre et donne le nouveau rapport  
*******
et completer a la fin par hijack
 
 
a+

Euhh c'est vrai qu'en relisant mon mess c'est un peu compliqué :-))
Note que ça a très bien fonctionné pour moi.
 
Mais ta solution est plus appropriée ! ;-)))  

D'abord merci pour vos réponses.
Pour tout vous dire comme c'était urgent pour mon pot, j'avais aussi posté sur un autre forum et j'ai pu résoudre le problème plus rapidement. Mais MERCI quand même pour votre aide, heusement que sur le web il y a des gens qui n'hésitent pas à filer un coup de main.
ça a marché et effectivement il y avait le smitfraudfix.
Voici ce qu'on m'a dit de faire et qui a donc marché (ça peut toujours servir) :
 
 
"1/ Télécharge SmitfraudFix
Dézippe-le sur le Bureau.
Ouvre le dossier SmitfraudFix et lance SmitfraudFix.cmd
Choisis l'option 1 (Recherche)
Poste le rapport ici  
 
2/ Redémarre en mode sans échec (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)
 
Relance SmitfraudFix et choisis cette fois l’option 2 et réponds oui à chaque question
Sauvegarde le rapport.
 
3/ Redémarre normalement et poste le 2ème rapport de SmitfraudFix"
 
 
PUIS
 
"1/ Désinstalle icoo loader 2.5, razespyware, regfreeze 5.3.1
Garde spywareblaster v3.4 (protège contre les ActiveX hostiles)
 
2/ Redémarre en mode sans échec, lance HijackThis et fixe les lignes suivantes :
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
about :blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
http://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
http://www.bestwebslinks.com/
 
O2 - BHO: C:\WINDOWS\adsldpbc.dll -
{405132A4-5DD1-4BA8-A181-95C8D435093A} - C:\WINDOWS\adsldpbc.dll (file
missing)
 
O15 - Trusted Zone: *.coolwebsearch.com
 
O20 - Winlogon Notify: style32 - C:\WINDOWS\q122325_disk.dll
 
3/ Supprime le fichier C:\WINDOWS\q122325_disk.dll
 
4/ Redémarre normalement et poste un rapport HJT pour vérif."
 
PUIS
 
"1/Télécharge ETRemover_V201.zip
Dézippe-le sur le Bureau.
 
2/ Télécharge CWShredder
Lance-le et clique sur "Check For Update" pour màj
Télécharge la màj si besoin.
 
3/ Redémarre en mode sans échec (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...)
 
4/ Lance cwshredder.exe et clique sur FIX
 
5/ Lance ETRemover_v201.exe
Clique sur le bouton "Scan and kill malwares"
A la fin, à la question "C:\WINDOWS\prefetch\*.*, êtes-vous sûr <O/N> ?" répondre O.
 
6/ Lance HJT et fixe les lignes suivantes si encore présentes :
 
O2 - BHO: C:\WINDOWS\adsldpbc.dll -
{405132A4-5DD1-4BA8-A181-95C8D435093A} - C:\WINDOWS\adsldpbc.dll
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
 
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.searchmeup.com
 
O20 - Winlogon Notify: style32 - C:\WINDOWS\q122325_disk.dll
 
7/ Redémarre normalement et poste un nouveau rapport HJT."
 
et enfin :
 
"Effectivement il reste ça :
O20 - Winlogon Notify: style32 - C:\WINDOWS\q122325_disk.dll
 
Télécharge win32delfkil.exe
Place-le sur le bureau.
Lance-le.
Le dossier win32delfkil est créé.
Ferme tous les prog, toutes les fenêtres.
Ouvre ce dossier et double-clic sur win32delfkil.exe
Le PC redémarrera et normalement il sera désinfecté de cette saleté."
 
 

ok, tant mieux pr toi
ciao

 
Bah j'espère que tu le prends pas mal!
J'ai obtenu la réponse sur l'autre site(plus axé sur la sécurité) avant même que ici on puisse me répondre donc j'ai suivi ce qu'on m'a dit de faire et je le partage aussi ici car ça peut servir si quelqu'un est confronté au même pépin. Donc par politesse je suis passé sur ce topic pour remmercier ceux qui avaient posté(j'en ai simplement pas profité puisque j'avais déjà obtenu la solution).
On peut pas être parfait partout : la section Hardware de forum hardware est pour moi la meilleure sur le web français. la section sécurité est bien aussi mais peut-être pas la plus dynamique donc comme c'était urgent et pour un pot...
 
je m'embarque peut-être, mais comme ton message n'a pas de smiley

non non pas de soucis
moi je bosse sur un autre forum aussi, donc voila si tu as reglé ton soucis tant mieux pour toi ^^
 
bonne nuit