Virus... trojan... Besoin d'aide

[retep]

Salut à tous !

Bon voilà depuis plusieurs jours, j'ai des tentatives d'action intrusion dans un autre processus et quelques fichiers ki se créer tout seul avec des trojans à l'interieur, genre : "supprimé : cheval de Troie Trojan-Proxy.Win32.Horst.pp Le fichier: C:\Program Files\eMule\setup_exe.vir".

Je precise que j'utilise la suite KIS (Kaspersky Internet Security) donc AV + firewall (je c il parait ke c pas le must en firewall)

J'ai proceder à une anayle avec Kaspersky et RIEN...
ensuite avec Bitdefender OnLine : plus rien (il avait trouvé des p'tits trucs pas bien grave lors du 1er scan)

ensuite avec Panda OnLine : plus rien (pareil des trucs lors du 1er mais plus rien)

Mais les tentatives d'action intrusion dans un autre processus ne disparaissent pas... et ça se lance desormais avec chaque application ke je lance, biensur KIS me bloque ça mais ça n'arrete plus...

J'ai aussi des tentavives d'attaques que m'avertie mon firwall : "30/11/2006 14:37:42 Intrusion.Win.MSSQL.worm.Helkern! Adresse IP de l'ordinateur à l'origine de l'attaque: 61.236.145.239. Protocole/service: UDP sur le port local 1434. Heure: 30/11/2006 14:37:42." presque toujours sur ce port 1434 !?!

bref gros besoin d'aide pour me debarassez de ça !!!

J'ai aussi proceder plusieurs à un nettoyage et a un correctif des erreur de la base de données avec Ccleaner, rien n'y fait !

J'ai bien evidemment scannez mon poste de travail avec AD-AWARE et SPYBOT = rien

J'ai egalement scannez avec A-SQUARED GUARD (anti malware) : plus rien.

Je sais plus trop quoi faire...

je vous envoie donc mon rapport avec HijackThis dans le message qui suit...

merci d'avance

[retep]

Logfile of HijackThis v1.99.1
Scan saved at 15:40:04, on 30/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Program Files\FileZilla Server\FileZilla Server.exe
C:\Program Files\Icecast2 Win32\icecastService.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\a-squared Anti-Malware\a2guard.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Orb Networks\Orb\bin\Orb.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Pit\Mes documents\Unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 211.76.97.230:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 205.238.40.51 www.winmx.com err.winmx.com
O1 - Hosts: 205.238.40.2 test3201.winmx.com test3205.winmx.com
O1 - Hosts: 209.67.209.50 test3202.winmx.com test3206.winmx.com
O1 - Hosts: 205.238.40.1 test3203.winmx.com test3207.winmx.com
O1 - Hosts: 82.43.224.20 test3204.winmx.com test3208.winmx.com
O1 - Hosts: 205.238.40.2 c3310.z1301.winmx.com c3310.z1302.winmx.com c3310.z1303.winmx.com c3310.z1304.winmx.com c3310.z1305.winmx.com c3310.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3313.z1301.winmx.com c3313.z1302.winmx.com c3313.z1303.winmx.com c3313.z1304.winmx.com c3313.z1305.winmx.com c3313.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3316.z1301.winmx.com c3316.z1302.winmx.com c3316.z1303.winmx.com c3316.z1304.winmx.com c3316.z1305.winmx.com c3316.z1306.winmx.com
O1 - Hosts: 209.67.209.50 c3311.z1301.winmx.com c3311.z1302.winmx.com c3311.z1303.winmx.com c3311.z1304.winmx.com c3311.z1305.winmx.com c3311.z1306.winmx.com
O1 - Hosts: 209.67.209.50 c3314.z1301.winmx.com c3314.z1302.winmx.com c3314.z1303.winmx.com c3314.z1304.winmx.com c3314.z1305.winmx.com c3314.z1306.winmx.com
O1 - Hosts: 209.67.209.50 c3317.z1301.winmx.com c3317.z1302.winmx.com c3317.z1303.winmx.com c3317.z1304.winmx.com c3317.z1305.winmx.com c3317.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3312.z1301.winmx.com c3312.z1302.winmx.com c3312.z1303.winmx.com c3312.z1304.winmx.com c3312.z1305.winmx.com c3312.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3315.z1301.winmx.com c3315.z1302.winmx.com c3315.z1303.winmx.com c3315.z1304.winmx.com c3315.z1305.winmx.com c3315.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3318.z1301.winmx.com c3318.z1302.winmx.com c3318.z1303.winmx.com c3318.z1304.winmx.com c3318.z1305.winmx.com c3318.z1306.winmx.com
O1 - Hosts: 82.43.224.20 c3319.z1301.winmx.com c3319.z1302.winmx.com c3319.z1303.winmx.com c3319.z1304.winmx.com c3319.z1305.winmx.com c3319.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3520.z1301.winmx.com c3520.z1302.winmx.com c3520.z1303.winmx.com c3520.z1304.winmx.com c3520.z1305.winmx.com c3520.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3523.z1301.winmx.com c3523.z1302.winmx.com c3523.z1303.winmx.com c3523.z1304.winmx.com c3523.z1305.winmx.com c3523.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3526.z1301.winmx.com c3526.z1302.winmx.com c3526.z1303.winmx.com c3526.z1304.winmx.com c3526.z1305.winmx.com c3526.z1306.winmx.com
O1 - Hosts: 209.67.209.50 c3521.z1301.winmx.com c3521.z1302.winmx.com c3521.z1303.winmx.com c3521.z1304.winmx.com c3521.z1305.winmx.com c3521.z1306.winmx.com
O1 - Hosts: 209.67.209.50 c3524.z1301.winmx.com c3524.z1302.winmx.com c3524.z1303.winmx.com c3524.z1304.winmx.com c3524.z1305.winmx.com c3524.z1306.winmx.com
O1 - Hosts: 209.67.209.50 c3527.z1301.winmx.com c3527.z1302.winmx.com c3527.z1303.winmx.com c3527.z1304.winmx.com c3527.z1305.winmx.com c3527.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3522.z1301.winmx.com c3522.z1302.winmx.com c3522.z1303.winmx.com c3522.z1304.winmx.com c3522.z1305.winmx.com c3522.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3525.z1301.winmx.com c3525.z1302.winmx.com c3525.z1303.winmx.com c3525.z1304.winmx.com c3525.z1305.winmx.com c3525.z1306.winmx.com
O1 - Hosts: 205.238.40.1 c3528.z1301.winmx.com c3528.z1302.winmx.com c3528.z1303.winmx.com c3528.z1304.winmx.com c3528.z1305.winmx.com c3528.z1306.winmx.com
O1 - Hosts: 82.43.224.20 c3529.z1301.winmx.com c3529.z1302.winmx.com c3529.z1303.winmx.com c3529.z1304.winmx.com c3529.z1305.winmx.com c3529.z1306.winmx.com
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [FileZilla Server Interface] "C:\Program Files\FileZilla Server\FileZilla Server Interface.exe"
O4 - HKLM\..\Run: [ppmate] C:\Program Files\PPMate\PPMate\ppmate.exe -autoplay
O4 - HKLM\..\Run: [a-squared] "C:\Program Files\a-squared Anti-Malware\a2guard.exe"
O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKCU\..\Run: [Orb] "C:\Program Files\Orb Networks\Orb\bin\OrbTray.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{050E4F23-7870-4D21-9165-F1D40B19A0D7}: NameServer = 84.103.237.145 86.64.145.145
O17 - HKLM\System\CS1\Services\Tcpip\..\{050E4F23-7870-4D21-9165-F1D40B19A0D7}: NameServer = 84.103.237.145 86.64.145.145
O17 - HKLM\System\CS2\Services\Tcpip\..\{050E4F23-7870-4D21-9165-F1D40B19A0D7}: NameServer = 84.103.237.141 86.64.145.141
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Program Files\FileZilla Server\FileZilla Server.exe
O23 - Service: Icecast Media Server (Icecast) - Unknown owner - C:\Program Files\Icecast2 Win32\icecastService.exe" "C:\Program Files\Icecast2 Win32 (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

[Lord]

Bonjour.

Vous êtes infecté par dessus les oreilles !

Pas étonnant du tout ! Si vous voulez de l'aide, commencez par vous débarrassez de tous vos logiciels P2P (pier to pier), eMule, Winmx, etc. et de tous les autres que je n'ai pas vus. Sinon, c'est peine perdue !

Et SVP, ne postez pas de log sans y être invité !

PS: Toutes les lignes O1 sont mauvaises.

[retep]

Bonjour.

Vous êtes infecté par dessus les oreilles !

Pas étonnant du tout ! Si vous voulez de l'aide, commencez par vous débarrassez de tous vos logiciels P2P (pier to pier), eMule, Winmx, etc. et de tous les autres que je n'ai pas vus. Sinon, c'est peine perdue !

Et SVP, ne postez pas de log sans y être invité !

PS: Toutes les lignes O1 sont mauvaises.

Bonjour et merci !

Bon je vais pouvoir désinstaller Emule, ça y a aucun pb, par contre winmx c autre chose, car en effet je ne l'ai pas utilisé depuis plusieurs mois et c'était simplement un executable dans un repertoire... je vais l'effacer mais je ne garantie pas que je puisse y arriver... Si vous avez une idée pour que je parvienne à le supprimer totalement, faites-moi signe...

Maintenant j'utilise des soft P2P pour recevoir queques chaine de tv, devrais-je à votre avis aussi les effacer ?!

Excusez-moi d'avoir poster le log, je savais pas qu'il fallait y etre inviter...

merci pour l'indication des lignes O1, je ne connais pas trop HijackThis...

Sinon que dois-je faire conquretement ?!

Edit : je viens de désinstaller un patch winmx qui était toujours installé sur mon pc et donc dans la liste "d'ajout et suppression des programmes". Et les lignes O1 ont apparrement disparues Dois-je envoyer mon log HijackThis maintenant ?!

[Lord]

Refaites un "scan" avec "HijackThis", à la fin cochez toutes les lignes O1, fermez toutes les fenêtres de internet explorer et cliquez sur le bouton "fix checked".

Après et seulement après avoir désinstallé tous vos logiciels P2P, via "Ajout/Suppression de programmes", repostez un autre log de "HijackThis". Nous l'analyserons alors en profondeur.

[retep]

Merci beaucoup l'ami ton aide m'est très précieuse...

Logfile of HijackThis v1.99.1
Scan saved at 21:46:57, on 30/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Program Files\FileZilla Server\FileZilla Server.exe
C:\Program Files\Icecast2 Win32\icecastService.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\a-squared Anti-Malware\a2guard.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Pit\Mes documents\Unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 211.76.97.230:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [FileZilla Server Interface] "C:\Program Files\FileZilla Server\FileZilla Server Interface.exe"
O4 - HKLM\..\Run: [ppmate] C:\Program Files\PPMate\PPMate\ppmate.exe -autoplay
O4 - HKLM\..\Run: [a-squared] "C:\Program Files\a-squared Anti-Malware\a2guard.exe"
O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{050E4F23-7870-4D21-9165-F1D40B19A0D7}: NameServer = 84.103.237.141 86.64.145.141
O17 - HKLM\System\CS1\Services\Tcpip\..\{050E4F23-7870-4D21-9165-F1D40B19A0D7}: NameServer = 84.103.237.141 86.64.145.141
O17 - HKLM\System\CS2\Services\Tcpip\..\{050E4F23-7870-4D21-9165-F1D40B19A0D7}: NameServer = 84.103.237.146 86.64.145.146
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Program Files\FileZilla Server\FileZilla Server.exe
O23 - Service: Icecast Media Server (Icecast) - Unknown owner - C:\Program Files\Icecast2 Win32\icecastService.exe" "C:\Program Files\Icecast2 Win32 (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe


Et au fait, est-ce normal si j'ai plusieurs processus "C:\WINDOWS\system32\svchost.exe" d'ouvert... ?!?

[Lord]

Oui, c'est normal.

Les lignes suivantes seront à supprimer:

• R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
• R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 211.76.97.230:80
• O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
• O4 - HKLM\..\Run: [ppmate] C:\Program Files\PPMate\PPMate\ppmate.exe -autoplay
• Les trois lignes O17
• O23 - Service: Icecast Media Server (Icecast) - Unknown owner - C:\Program Files\Icecast2 Win32\icecastService.exe" "C:\Program Files\Icecast2 Win32 (file missing)

Refaites un "scan" avec "HijackThis" et à la fin, cochez toutes ces lignes, fermez toutes les fenêtres internet explorer et cliquez sur le bouton "fixed checked".

[rikwar]

jai un petit conseille StarWindService.exe <<<(a supprimé)
Comment arrêter :Faire un " Terminer le processus " dans le gestionnaire de tâches du processus [StarWindService.exe].
Comment supprimer :Aller dans " Ajout/suppression de Programmes ", et désinstaller l'application " Alcohol 120% ".


si vous réinstallé Alcohol 120% ne pas coché a linstallation StarWindService sa donne rien et empeche pas Alcohol 120% de fonctionner

[Lt.SparKle]

La seul Vrai facon efficace de supprimé des virus et autre c'Est le mode sans échec de windows avec des bon logiciel ( Antivirus = ANTIVIR ( j'ai jamais vu virus y résisté ) KASPERSKY ( encore mieux que ANTIVIR) et comme antispyware j'aime bien Spyware Terminator. C'est un petit nouveau qui est totalement gratuit dont vous pouvez trouvé sur www.snapfiles.com ( vous avez seulement a faire une recherche de spyware terminator) Et voila le travail)

[rikwar]

ha bon celui la je le connaisait pas et il est tres bient coté et gratuis(lien du site infos du net) http://www.infos-du-net.com/telecharger ... -6797.html

merci pour l infos je vais le testé une semaine pour voir

[retep]

Tout d'abord je tiens à vous remercier à tous pour tous ces conseils qui parviennent à m'éclairer un peu

Je vais donc supprimer les lignes que tu m'a conseillé d'éffacer Lord !

Au fait j'ai beaucoup bloqué sur ces 3 lignes O17... c'est quoi ça ?!
au debut j'ai eu peur, après j'ai cru que c t l'URL de mon host chez Le Neuf, bref, je sais plus du tout...

Sinon je vais tué le processus de StarWindService pour proceder à la désinstallation de Alcohol 120% snifff je l'aimais bien ce p'titn soft, je lme réinstallerai donc en veillant à ne pas coché StarWindService, merci de ce conseil Rikwar !

C'est vrai que j'ai bcp entendu que le mode sans echec de windows était idéal pour se debarrasser de toutes ces salopperies... J'ai également entendu qu'il vallait mieux aussi désactiver l'option du service de restauration du syteme de windows... vous me le confirmez ?!
Donc où me procurer Antivir (je vais chercher juste après avoir fini ce post) ?! Sinon sur ma becane est installé KIS 6, j'ai donc l'antivirus de Kaspersky d'installé, mais c'est lui que je dois faire tourner en mode sans echec, ou c'est une version clean Lt. SparKle ?!
Sinon je ne connais pas encore Spyware Terminator, je vais essayer aussi ça

En tout cas merci beaucoup les gars !!!

[Lord]

Pour les lignes 017, elles appartiennent à:

role: LDCOM Legal Contact
address: neuf telecom
address: Immeuble Quai Ouest
address: 40-42 Quai du point du jour
address: 92659 Boulogne Billancourt
address: France

Si c'est votre fournisseur de services internet, ne les supprimer donc pas.
Selon votre adresse IP et les informations que j'avais, votre FSI était rev.gaoland.net, je n'ai donc pas fait l'association.

Oui, c'est une bonne idée que de désactiver temporairement la restauration du système.
Windows XP: Comment activer/désactiver la restauration du système

[Lt.SparKle]

1) Pour téléchargé antivir vous pouvez allé sur www.free-av.com ou bien appuyez sur ce lien : http://www.majorgeeks.com/downloadget.p ... 6deb50bbbd

2) Effectivement désactivé la restauration système aide beaucoup à la supression de virus

3) ATTENTION : NE PAS INSTALLER L'ANTIVIRUS QUI VIEN AVEC SPYWARE TERMINATOR. C'EST DE LA VRAI "DUMP"(pardonnez mon obsènité)

4) Bonne chance pour votre nettoyage antivirus. Vous pouvez aussi vous armer de Ccleaner qui aide beaucoup.

[retep]

bon me revoilà... je savais qu'il fallait etre armé de patience pour virer des salopperies, mais là je crois que rien n'y fait...

donc après avoir scanner avec ANTIVIR en mode sans echec celui-ci m'a trouvé 3 bestioles et me les a effacés mais bon je doutais un peu...

quand à Spyware Terminator, il me disait de le reinstaller car après avoir fait la màj il manquait ou bugger sur un de ses fichiers...

Sinon coté HijackThis j'ai beau avoir effacer cette entrée à chaque reboot elle réaparait toujours >>>

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 211.76.97.230:80


Sinon pour les lignes 017, je les avait effacées, mais elles sont réapparut elles-aussi Plus que 2 cette fois-ci >>>

O17 - HKLM\System\CCS\Services\Tcpip\..\{050E4F23-7870-4D21-9165-F1D40B19A0D7}: NameServer = 86.64.145.143 84.103.237.143
O17 - HKLM\System\CS1\Services\Tcpip\..\{050E4F23-7870-4D21-9165-F1D40B19A0D7}: NameServer = 86.64.145.143 84.103.237.143

à noté que les adresses ont changé...


Sinon j'utilise svt Ccleaner, mais ça aussi rien y fait... à noté que j'ai souven,t un cookies appellé "Xiti" si j'me souviens bien...

je sais vraiment plus quoi faire... j'vais me préparer mentalement à un formatage je crois...

ps : pour info Lord, tu trouves comment les coordonnées d'une adresse IP ?! (comme tu l'as fais pour me confirmer pour 9.tel)

[Lord]

En utilisant ce lien:

http://www.arin.net/index.shtml

Et ensuite celui-ci lorsque requis.

http://www.ripe.net/whois

Est-ce que vous accédez à internet via un serveur Proxy, c'est-à-dire avec la connexion mise à votre disposition par un tiers qui n'est pas le FSI?

Note: Avec toutes les cochonneries que vous aviez installées et celles qui vous restent encore. Oui, commencez à sauvegarder vos fichiers personnels et préparez-vous à formater.