Bonjour,
 
Ma soeur est infecté de pleins de virus dont le se.dll que je n'arrive pas a lui enlever. Je l'ai supprimé en mode sans echec, je lui ai mis FireFox, j'ai enlevé avec HiJackThis mais ca revient tout le temps avec IE. Une idée spéciale ?
 
Merci,
 
RaSk

Bonsoir, poste un rapport Hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 21:39:35, on 17/05/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\services.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\HbTools\Bin\4.6.2.0\HbtOEAddOn.exe
C:\Program Files\HbTools\Bin\4.6.2.0\HbtWeatherOnTray.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\EUROBA~1\erobar.exe
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\HbTools\Bin\4.6.2.0\HbtSrv.exe
C:\Documents and Settings\Sophie\Mes documents\HiJackThis\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Sophie\LOCALS~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Sophie\LOCALS~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ShprRprts - {2A8A997F-BB9F-48F6-AA2B-2762D50F9289} - C:\Program Files\ShopperReports\Bin\1.0.5.0\ShprRprt.dll
O2 - BHO: HbTools - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.6.2.0\HbtHostIE.dll
O2 - BHO: (no name) - {9E359BA4-D564-4D50-B145-5D470762C22E} - C:\WINDOWS\System32\mije.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: H&otbar - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.6.2.0\HbtHostIE.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Sophie\LOCALS~1\Temp\se.dll,DllInstall
O4 - HKLM\..\Run: [HbTools] C:\Program Files\HbTools\Bin\4.6.2.0\HbtOEAddOn.exe
O4 - HKLM\..\Run: [tgkgmgvx] C:\WINDOWS\System32\beenadtb.exe
O4 - HKLM\..\Run: [WeatherOnTray] C:\Program Files\HbTools\Bin\4.6.2.0\HbtWeatherOnTray.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Eurobarre.lnk = C:\Program Files\eurobarre\eb.exe
O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE14} - C:\Program Files\ShopperReports\Bin\1.0.5.0\ShprRprt.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: ShopperReports - Compare product prices - {E77EDA01-3C56-4a96-8D08-02B42891C169} - C:\Program Files\ShopperReports\Bin\1.0.5.0\ShprRprt.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D73AC9A-639F-4C40-968C-EAC8D58ECD0C}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{3D73AC9A-639F-4C40-968C-EAC8D58ECD0C}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{3D73AC9A-639F-4C40-968C-EAC8D58ECD0C}: NameServer = 192.168.0.1
O18 - Filter: text/html - {764838C5-C974-49E8-827E-06E7F23916ED} - C:\WINDOWS\System32\mije.dll
O18 - Filter: text/plain - {764838C5-C974-49E8-827E-06E7F23916ED} - C:\WINDOWS\System32\mije.dll
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
 

Tu peux au moins commencer par ca:
 
En faisant le FixIT avec HijackThis v1.99.1; Ca devrait deja allé mieux. Pour les virer absolument:
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Sophie\LOCALS~1\Temp\se.dll/spage.html
 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Sophie\LOCALS~1\Temp\se.dll/spage.html
 
 
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
 
O2 - BHO: ShprRprts - {2A8A997F-BB9F-48F6-AA2B-2762D50F9289} - C:\Program Files\ShopperReports\Bin\1.0.5.0\ShprRprt.dll
 
 
Quant à   C:\WINDOWS\services.exe  
C'est bein louche.
Essai de verifier si il y en a un aussi dans system32; Dans ce cas à ta place je l'effacerais et sinon je le metterais dans system32, mais à toi de voir.

Bonsoir, je regarde ton rapport, réponse dans un moment

Re, télécharge ces utilitaires:
 
CleanUp
http://downloads.stevengould.org/cleanup/CleanUp40.exe
 
About:Buster
http://downloads.subratam.org/AboutBuster.zip
Dézippe le dans un répertoire dédié et place un raccourci sur le bureau
 
SpSeHjfix:
http://www.trojaner-info.de/cgi-bi [...] le=sphjfix
Tu le lances et tu cliques sur start desinfection. En cas d'infection le pc sera redémarré.
 
1 Termine les processus suivants en ouvrant le gestionnaire de tâches (Alt-Ctrl-Supp)
 
HbtOEAddOn.exe  
HbtWeatherOnTray.exe
erobar.exe  
HbtSrv.exe  
 
2 Désintalle ces applications via ajout/suppression de programmes si elles existent:
WeatheronTray ou HbTools, Eurobarre
 
3 Démarre en mode sans échec (F5 ou F8). Assure toi d'avoir accès à tout les fichiers:
 

 
4 Lance Hijackthis Do a system scan only, assure toi que la case Make Backups before fixing items est activée et coche les lignes suivantes:
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Sophie\LOCALS~1\Temp\se.dll/spage.html  
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Sophie\LOCALS~1\Temp\se.dll/spage.html  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank  
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank  
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank  
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe  
O2 - BHO: ShprRprts - {2A8A997F-BB9F-48F6-AA2B-2762D50F9289} - C:\Program Files\ShopperReports\Bin\1.0.5.0\ShprRprt.dll  
O2 - BHO: HbTools - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.6.2.0\HbtHostIE.dll  
O2 - BHO: (no name) - {9E359BA4-D564-4D50-B145-5D470762C22E} - C:\WINDOWS\System32\mije.dll  
O3 - Toolbar: H&otbar - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Program Files\HbTools\Bin\4.6.2.0\HbtHostIE.dll  
O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Sophie\LOCALS~1\Temp\se.dll,DllInstall  
O4 - HKLM\..\Run: [HbTools] C:\Program Files\HbTools\Bin\4.6.2.0\HbtOEAddOn.exe  
O4 - HKLM\..\Run: [tgkgmgvx] C:\WINDOWS\System32\beenadtb.exe  
O4 - HKLM\..\Run: [WeatherOnTray] C:\Program Files\HbTools\Bin\4.6.2.0\HbtWeatherOnTray.exe  
O4 - Startup: Eurobarre.lnk = C:\Program Files\eurobarre\eb.exe  
O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE14} - C:\Program Files\ShopperReports\Bin\1.0.5.0\ShprRprt.dll  
O9 - Extra button: ShopperReports - Compare product prices - {E77EDA01-3C56-4a96-8D08-02B42891C169} - C:\Program Files\ShopperReports\Bin\1.0.5.0\ShprRprt.dll  
O18 - Filter: text/html - {764838C5-C974-49E8-827E-06E7F23916ED} - C:\WINDOWS\System32\mije.dll  
O18 - Filter: text/plain - {764838C5-C974-49E8-827E-06E7F23916ED} - C:\WINDOWS\System32\mije.dll  
 
Ferme toutes les fenêtres, tous les programmes puis Fix checked.
 
5 Démarre About Buster.
 
6 Supprime les fichiers/dossiers incriminés s'ils sont toujours présents:
 
C:\WINDOWS\system32\fservice.exe  
C:\Program Files\ShopperReports
C:\Program Files\HbTools
C:\WINDOWS\System32\mije.dll
C:\WINDOWS\System32\beenadtb.exe
C:\Program Files\eurobarre
 
7 Lance CleanUp. Vide la corbeille. Recache les fichiers système afin de ne pas faire d'erreur à l'avenir en sélectionnant ne pas afficher les fichiers cachés ou les fichiers système.
 
8 Redémarre normalement et poste un nouveau rapport Hijackthis pour vérification
 
Fais les mises à jour via Windows Update
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Bon :
 
Eurobarre faut laisser.
Services.exe c'est un accès a distance ( ProRat ) pour lui fermer MSN quand elle me prend trop de BP ( sadique va ).
 
Je lui ai supprimé Rundll32.exe sans faire exprès ché plus ou lui retrouver.
 
Sinon les maj de Windows Update je les ai toutes faites sauf les SP.

Bonjour, concernant cette ligne
 
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
 
voir ici: http://startup.iamnotageek.com/srch-Fservice.exe.html
 
Pour la suppression de Rundll32.exe soit tu tentes une restauration système ou une  réparation sans perte de données:
 
Reeprendre le CD d'installation, et redémarrer en bootant sur le lecteur de CD. L'installation commence, après avoir validé la page d'accord de Microsoft en appuyant sur la touche F8 de ton clavier, tu vas te trouver sur la page de choix: "installer ou réparer", tu choisis "installer"  
C'est dans la page suivante qu'il va détecter que tu as déja un système et c'est là que tu choisis: "réparer".  
Ensuite tu suis la procedure normale.
Une fois la réparation effectuée, il faut remettre à jour ton système, c'est à dire tout les patchs non présents sur le CD d'installation.
 
Voir la procédure en image :
http://www.bellamyjc.org/fr/windows2000.html#repair
 
Poste un nouveau rapport Hijackthis
 
 

Bon fservice est un accès à Distance ( trojan si tu préfères ) pour que je lui ferme msn quand elle me bouffe la BP !

Bon c'est bon j'ai reinstallé, j'vais voir après !