salut!!!
ca va etre un petit peu long mais je me suis dit je donne le max de detaille possible au cas ou. merci de lire    
 
suite a une attaque fulgurante sur mon ordi de spy sheriff,brave sentry, et de plusieures autre spyware et trojan mon ordi est devenu un vrai zombie.
 
j'ai donc redemmarer mon ordi en mode sans echec et j'ai essayer d'enlever tout les virus possible avec Avira AntiVir et quelque anti-spyware. j'ai aussi effacer manuellement les dossier de spy sheriff et de brave sentry et supprimer aussi un truc du genre "ibm00007.exe" (je ne sais pas a quoi il sert j'espere que ce n'est pas important). puis j'ai redemaré l'ordi en mode normal, mais il y a avait toujours le message "Your computeur is infected....." toujours des fenetre dos qui signalée des erreurs, pire encore l'ordi a afiché un bel ecran bleu en ecrivant ceci :
 
un probleme a ete detecte et windows a ete arrete afin de prevenir tout dommage sur votre ordinateur.........................
 
information technique :
 
STOP: 0x0000008e (0xc0000005,0xff87c7e2,0xf51edca0,0x00000000)
 
je suis donc aller sur un autre ordinateur et chercher un peu et je suis tombé sur SmitfraudFix que j'ai telechargé et installé et la miracle l'ordi redemarre normalement windows me signal que l'ordi a recuperé d'une erreure serieuse ect... mais il marche normalement. apres un autre demmarage (3h apres qlque chose comme ca) pour bien netoyer l'ordi j'ai telechargé kaspersky en version d'essai, ok je double clic l'instalation commense puis paf le meme ecran bleu qu'avant. j'essaye d'installer kaspersky en mode sans echec => impossible (pas de msi), alors je reinstalle AntiVir je telecharge les mises a jours d'un autre ordi et je le copie sur mon portable. mais il ne trouve rien. quand je redemmare en mode normal il me signal "   rqopn.dll  " puis l'ordi affiche toujours cet ecran bleu   je haie le bleu          
                     
ben voila si vous vouler savoir quoique ce soit y a pas de prob.    
j'espere que quelq'un a la soluce.

Salut, tu as bien fait de supprimer le truc imb00007 c'est une sacré saletée !
 
Fais un scan avec Kaspersky en ligne et poste le

ok merci pour la reponse ca me ressure sur le ibm00007 je croyais que c'etait ca qui faisait planter l'ordinateur.
 
pour Kaspersky c'est impossible je ne peut demmarer mon pc qu'en mode sans echec. y a t'il une autre solution pour Kaspersky ?
 
vraiment je suis perdu. je sais plus quoi faire. je ne peux vraiment pas formater mon pc les données qui y sont, sont vraiment importante pour moi.
 
Helppppppppp meeeeeee

vous ne conaisseriez pas un bon anti virus que je pourrais installer et mettre a jour en mode sans echec?

Bien, fais le scan Kaspersky via le scanner en ligne : http://www.kaspersky.fr/
 
Bonne chance

mais je ne peux pas faire internet en mode sans echec ou bien j'ai loupé un episode?

Ne le fais pas en mode sans échecs

Alors je reexplique ma situation :
des que je demmare mon ordinateur, AntiVir me detecte un truc du genre rqopn.dll, puis un ecran bleu s'affiche et ecris :
 
un probleme a ete detecte et windows a ete arrete afin de prevenir tout dommage sur votre ordinateur.........................
 
information technique :
 
STOP: 0x0000008e (0xc0000005,0xff87c7e2,0xf51edca0,0x00000000)  
 
ca le fait a chaque demmarage et je n'ai pas le temps d'ouvrire quoi que soit
 
je ne peux demmarer qu'en mode sans echec

Aille, renomme voir ce rqopn.dll en rqopn.old

impossible de renommer, modifier ou supprimer "rqopn.dll"  
il me met : impossible de renommer rqopn : Cette ressource est utilisée par une autre personne ou un autre prgramme.
Fermer les programmes susceptible d'utiliser le fichier et essayer a nouveau.
 
pour information AntiVir me dit lorsque j'analyse "rqopn.dll" s'agit de ""trojan horse TR/Vundo.Gen"".
 

J'ai fait des recherche sur le net et j'ai resussi a enlever "Vundo.gen" (cf. rqopn.dll et 3 autre fichier) grace a VundoFix. Mais le probleme persiste encore, mais cette fois plus aucune piste. et je ne peux toujours pas demmarer en mode normal. il doit encore rester quelque virus mais comment les detecté y a plus de piste.
??????????????????

Salut, suis cette procédure : http://med365.co.nr/guides/vundo.html

non c bon j'ai telecharger vundoFix il a tout supprimer (apres 3 redemmarage) maintenant que je lance un scan avec vundoFix il ne detecte rien.
mais windows ne demmare toujours pas en mode normal.

j'ai fais un scan avec SmitFraudFix et il me detecte me detecte un rootKit, c mauvais ca, voila le rapport :  
SmitFraudFix v2.92
 
Rapport fait à 18:10:42,76, 17/09/2006
Executé à partir de C:\Documents and Settings\pain\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode sans echec
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\pain\Application Data
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\pain\Favoris
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files  
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{855875B5-93F3-429D-FF34-660B206D897C}"="Keyboard Driver"
 
[HKEY_CLASSES_ROOT\CLSID\{855875B5-93F3-429D-FF34-660B206D897C}\InProcServer32]
@="C:\WINDOWS\system32\7FBBDF.dll"
 
[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{855875B5-93F3-429D-FF34-660B206D897C}\InProcServer32]
@="C:\WINDOWS\system32\7FBBDF.dll"
 
 
 
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
 
 
»»»»»»»»»»»»»»»»»»»»»»»» pe386
 
pe386 détecté, utilisez un scanner de Rootkit
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Fin
 
je vais chercher un scaner de rootKit. si qq a un nom ou un lien je suis preneur.

bon j'ai telechargé GMER et j'ai supprimer le RootKit pe386.
voici un nouveau rapport de smitfraudfix :
 
SmitFraudFix v2.92
 
Rapport fait à 21:45:33,99, 17/09/2006
Executé à partir de C:\Documents and Settings\pain\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode sans echec
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\pain\Application Data
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\pain\Favoris
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{855875B5-93F3-429D-FF34-660B206D897C}"="Keyboard Driver"
 
[HKEY_CLASSES_ROOT\CLSID\{855875B5-93F3-429D-FF34-660B206D897C}\InProcServer32]
@="C:\WINDOWS\system32\7FBBDF.dll"
 
[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{855875B5-93F3-429D-FF34-660B206D897C}\InProcServer32]
@="C:\WINDOWS\system32\7FBBDF.dll"
 
 
 
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
 
 
»»»»»»»»»»»»»»»»»»»»»»»» pe386
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Fin
 
voila mais le probleme persiste toujours que dois-je faire maintenant ?

de l'aide?

Salut, relance smitfraudfix en appuyant sur 2 et reposte un log

bonne nouvelle je suis arriver a allumer l'ordinateur en mode normal et je ne suis pas pret de l'eteindre. y un truc "spizohst" et puis "cscirpt"  que darkSpy me signal

salut,
voici le scan de hijackthis
 
 
 
Logfile of HijackThis v1.99.1
Scan saved at 00:34:05, on 19/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Cpqdiag\Cpqdfwag.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Compaq\EAB\EabServr.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Huawei Technologies\Huawei SmartAX MT810\dslmon.exe
C:\WINDOWS\system32\wininet.exe
C:\Program Files\Xi\NetTransport 2\NetTransport.exe
C:\Documents and Settings\pain\Mes documents\scanner.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: C:\WINDOWS\system32\7FBBDF.dll - {855875B5-93F3-429D-FF34-660B206D897C} - C:\WINDOWS\system32\7FBBDF.dll (file missing)
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O2 - BHO: (no name) - {CFA238DA-2652-493F-942C-2606E1C5E7C5} - C:\WINDOWS\system32\rqopn.dll (file missing)
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\Compaq\EAB\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] c:\compaq\cpqsetup\cpqset.exe
O4 - HKLM\..\Run: [AVManager] "C:\Program Files\Wistron\AVManager\AVManager.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [win_drivr32] C:\WINDOWS\system32\spizohst.exe
O4 - HKLM\..\RunServices: [CPQDFWAG] C:\WINDOWS\Cpqdiag\CpqDfwAg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [win_drivr32] C:\WINDOWS\system32\spizohst.exe
O4 - HKCU\..\Run: [shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00007.exe"
O4 - HKCU\..\Run: [NoAdware4] "C:\Program Files\NoAdware4\NoAdware4.exe"
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} - http://mks.com.pl/skaner/SkanerOnline.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: wingzn32 - wingzn32.dll (file missing)
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll
O21 - SSODL: jfiJdriTujc - {0CA3C241-A609-68EB-00EF-DB524FE7E3F2} - C:\WINDOWS\system32\xw.dll (file missing)
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Compaq Remote Diagnostics Enabling Agent (CpqDfwWebAgent) - Compaq Computer Corporation - C:\WINDOWS\Cpqdiag\Cpqdfwag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - c:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
 
 
ok voila maintenant que j'ai acces au net demande moi ce que tu veux.

Fais les instructions la dedans : http://med365.co.nr/guides/l2m.html

Poste le rapport de L2M Destroyer

dsl pour le retrad  j'etait en exam
 
Je n'arrive pas a lancer L2M Destroyer???????????????????????????
 
sinon j'ai recament fait un scan avec Kaspersky voivi le rapport :  
 
Analyser le Poste de travail
----------------------------
Analysés : 290594
Infectés  : 1
Non traités  : 1
Lancement : 28/09/2006 01:57:05
Durée : 09:51:18
Fin : 28/09/2006 11:48:23
 
 
Infectés
--------
Etat Objet
---- -----
découvert : virus Virus.Boot.Anticmos Le secteur du disque: \Device\Harddisk0\DR0
 
 
Evènements
----------
Heure Nom Etat Cause
----- --- ---- -----
 
 
Statistiques
------------
Objet Analysés Objets dangereux Non traités  Supprimés Placés en quarantaine Archives Fichiers compactés Protégés par un mot de passe Corrompus
----- -------- ---------------- ------------ --------- --------------------- -------- ------------------ ---------------------------- ---------
Tous les objets 290594 1 1 0 0 8223 405 107 6
Mémoire système 1860 0 0 0 0 0 0 0 0
Objets de démarrage 1500 0 0 0 0 0 0 0 0
Dossier de sauvegarde du système 2 0 0 0 0 0 0 0 0
Bases de messagerie 2 0 0 0 0 1 0 0 0
Tous les disques durs 287230 1 1 0 0 8222 405 107 6
Tous les disques amovibles 0 0 0 0 0 0 0 0 0
 
 
Paramètres
----------
Paramètre Valeur
--------- ------
Niveau de protection Recommandé
Action Confirmer à la fin de l'analyse
Types de fichiers Analyser tous les fichiers
Analyse uniquement des nouveaux fichiers et des fichiers modifiés Non
Analyse des archives l'ensemble des
Analyse des objets OLE joints l'ensemble des
Ne pas analyser l'objet s'il fait plus de Non
Ne pas analyser si l'analyse dure plus de Non
Analyse des fichiers au format de messagerie Non
Analyse des archives protégées par un mot de passe Non
Activer la technologie iChecker Oui
Activer la technologie iSwift Oui
Afficher les objets dangereux découverts sur l'onglet "Infectés" Oui
 
 
Je n'arrive pas a supprimer ce virus, mais il n'a pas l'aire tres dangereux.
 
a+

OK, démarres avec le CD de windows, tapes "R" puis 1 pour choisir l'install de windows sur laquelle tu es actuellement avec ton PC.
 
Tapes ensuite :

fixboot

puis

fixmbr

 
Réponds oui à chaque fois.
Dépèche toi de faire la procédure contre look2me stp et refais ensuite un scan avec Kaspersky.
 
@+

Un grand merci a toi respet.
Me voila enfin debarassé de ce dernier virus.
 
Mais voila je n'arrive toujours pas a lancer look2me destroyer. Je m'explique, aprend avoir redemmarer en Mode sans echec, je lance L2M D, je coche " Run this program as a task" il m'affiche alors un premier message :  
"L2M D has detected that the Task Scheduler service is not running and will start it now", je clic OK, Puis un second message s'affiche :  
"L2M D will now close and will reopen in approximately 1 minute. When it L2M D restarts click the scan button to continue."
je clic encore OK. j'attend 10 bonne minute toujours rien!!!!!!!
 
Que faire, et qu'est ce que ce Look2Me?
 
Merci.

Bonjour à tous,
 
"Look2Me" est un spyware particulièrement coriace générant des fichiers DLL aux noms aléatoires (A-D-A-W-A-R-E) au niveau du Winlogon... Il crée toute une série de clefs CLSID dans le registre et est programmé pour se re-créer par tous les moyens connus au moment de sa création...
 
En outre, il affiche des fenêtres de pubs, ralentit la machine, permet le téléchargement d'autres spyware's (Vundo, WareOut, SurfSideKick, ...) et, naturellement, "espionne" ses victimes !
 
Inutile de préciser que la création d'un tel programme génère des revenus, énormément de revenus !!!
 
Bonne après-midi à tous,

OK, ca doit etre du au safe mode, tente en mode noirmal
 
merci pour les précisions CleanDows

Ok j'ai reussi a le lancé en mode normal mais il ne detecte rien.

OK, poste le log quand même stp
 
Bon télécharges SmitFraudFix : http://siri.urz.free.fr/ lance le, sélectionne 1 et poste le rapport.
 
@+

Je suis desolé pour le retard encore une fois, j'etais preoccupé par un probleme sur mon autre ordinateur que je n'ai d'ailleure pas pu encore resoudre.
 
alors voici le rapport de SmitFraudFix :
»»»»»»»»»»»»»»»»»»»»»»»» C:\
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\pain
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\pain\Application Data
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
 
 
»»»»»»»»»»»»»»»»»»»»»»»»  
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files  
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{855875B5-93F3-429D-FF34-660B206D897C}"="Keyboard Driver"
 
 
 
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\PROGRA~1\\KASPER~1\\KASPER~1.0\\adialhk.dll"
 
 
»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Fin
 
Puis le rapport de L2M D :
 
 
Look2Me-Destroyer V1.0.12
 
Scanning for infected files.....
Scan started at 01/10/2006 11:05:12
 
 
Attempting to delete infected files...
 
Making registry repairs.
 
 
Restoring Windows certificates.
 
Replaced hosts file with default windows hosts file
 
 
Restoring SeDebugPrivilege for Administrateurs - Succeeded
 
Voila merci a+. Mais franchement ne te prend pas la tete, le parfeu windows comment dire... je pourrais m'en passé .

Salut, reposte un log hijackthis, va aussi sur www.ewido.net et fais un scan en lignee, poste le rapport.

Salut,
Ok, je fairais ca dans la soirée pour l'instant je suis occupé avec sa si t'as le temps de jeter un petit coup d'oeil  

OK, j'y jette un oeil ,  

Bon ca y est, fais ceci (ca contient aussi des réponses à ce qui a été posté sur l'autre forum, préviens dvdlmbrt de ce que tu as fait lorsque tu lui répondras)

1/*Tu es infecté par Instant Acces, suis cette procédure jusqu'au bout : http://med365.co.nr/guides/ia.html

2/*La procédure pour Look2Me a été mise à jour, reprends en au point "Combofix" poste le rapport de combofix

3/*Ouvre la "misc tools section" d'hijackthis et cliques sur "delete an NT service" la entre "pe386" et faits OK, redémarres

4/*Vide la quarantaine de Norton et les fichiers de sauvegarde, tu peux le faire depuis l'interface de l'antivirus.

5/*Pour ton problème de "Windows security center" faits démarrer/éxécuter et tapes services.msc repère celui nommé "centre de sécurité" faits clique droit/propriétées et mets le démarrage sur "Automatique"

6/*Poste moi le rapport d'Ewido

A+

Bonjour docteur Med,
Bon je m'en mele un peu les peinceaux la alors recaputulons.
Sur l'ordi qui est le sujet de ce topic (le portable) :  
2/* J'ai poursuivi la procedure L2M D voici le rapport de combofix :
pain - 06-10-08  1:55:45,70    Service Pack 2
ComboFix 06.09.28 - Running from: "C:\Documents and Settings\pain\Bureau"
 
((((((((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
 
 
C:\Documents and Settings\All Users\Documents\Settings
C:\WINDOWS\system32\components
 
 
(((((((((((((((((((((((((((((((   Files Created from 2006-09-08 to 2006-10-08  ))))))))))))))))))))))))))))))))))
 
 
2006-10-01 12:09 121,856 --------- C:\WINDOWS\system32\xmllite.dll
2006-10-01 11:49 14,560,048 --a------ C:\IE7RC1-WindowsXP-x86-fra.exe
2006-09-30 12:11 40,960 --a------ C:\Look2Me-Destroyer.exe
2006-09-29 14:00 19,666,504 --a------ C:\QuickTimeInstaller.exe
2006-09-17 17:08 9,216 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2006-09-11 03:30 33,952 --a------ C:\WINDOWS\system32\drivers\oreans32.sys
2006-09-10 14:16 950,260 --a------ C:\firewall_setup.exe
2006-09-10 14:16 88,465 --a------ C:\KillProcess50fr.exe
2006-09-10 13:26 2,855,080 --a------ C:\aawsepersonal(2).exe
2006-09-10 13:26 11,746,992 --a------ C:\antivir_workstation_win7u_en_h.exe
2006-09-09 12:34 13,597,181 --a------ C:\codeblocks-1.0rc2_mingw.exe
 
 
((((((((((((((((((((((((((((((((((((((((((((((((   Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))))
 
 
2006-10-07 15:55 -------- d-------- C:\Program Files\Ashampoo
2006-10-04 15:17 -------- d-------- C:\Program Files\WinRAR
2006-10-01 12:16 -------- d-------- C:\Program Files\Internet Explorer
2006-09-30 21:23 -------- d-------- C:\Program Files\Audacity
2006-09-29 14:13 -------- d-------- C:\Program Files\QuickTime
2006-09-29 14:12 -------- d-------- C:\Program Files\Apple Software Update
2006-09-27 22:11 -------- d-------- C:\Documents and Settings\pain\Application Data\uTorrent
2006-09-20 21:04 -------- d-------- C:\Program Files\ewido anti-spyware 4.0
2006-09-20 02:54 -------- d-------- C:\Program Files\Fichiers communs\Microsoft Shared
2006-09-19 20:10 -------- d-------- C:\Program Files\Yahoo!
2006-09-19 20:10 -------- d-------- C:\Program Files\CCleaner
2006-09-19 04:24 -------- d-------- C:\Program Files\Kaspersky Lab
2006-09-19 01:37 -------- d-------- C:\Program Files\Mozilla Firefox
2006-09-19 00:00 -------- d-------- C:\Program Files\SkanerOnline
2006-09-17 20:28 -------- d-------- C:\Program Files\NoAdware4
2006-09-11 03:12 -------- d-------- C:\Documents and Settings\pain\Application Data\Lavasoft
2006-09-10 18:27 -------- d-------- C:\Program Files\Fichiers communs
2006-09-10 17:43 -------- d-------- C:\Documents and Settings\pain\Application Data\SoftPerfect Personal Firewall
2006-09-10 14:16 -------- d-------- C:\Program Files\Kill Process
2006-09-10 01:59 -------- d---s---- C:\Documents and Settings\pain\Application Data\Microsoft
2006-09-09 21:35 -------- d-------- C:\Program Files\Microsoft SQL Server
2006-09-09 21:30 -------- d-------- C:\Program Files\Microsoft.NET
2006-09-09 21:19 -------- d-------- C:\Program Files\Microsoft Visual Studio 8
2006-09-09 21:10 -------- d-------- C:\Program Files\Fichiers communs\Merge Modules
2006-09-09 21:07 -------- d-------- C:\Program Files\Microsoft Office
2006-09-09 20:37 -------- d-------- C:\Program Files\CodeBlocks
2006-08-28 10:23 5906432 --------- C:\WINDOWS\system32\ieframe.dll
2006-08-28 10:23 50688 --------- C:\WINDOWS\system32\msfeedsbs.dll
2006-08-28 10:23 457728 --------- C:\WINDOWS\system32\msfeeds.dll
2006-08-28 10:23 413696 --a------ C:\WINDOWS\system32\vbscript.dll
2006-08-28 10:23 225792 --a------ C:\WINDOWS\system32\webcheck.dll
2006-08-28 10:23 175616 --------- C:\WINDOWS\system32\ieui.dll
2006-08-28 10:23 152064 --a------ C:\WINDOWS\system32\msls31.dll
2006-08-28 10:09 78336 --a------ C:\WINDOWS\system32\ieencode.dll
2006-08-28 10:09 206336 --------- C:\WINDOWS\system32\WinFXDocObj.exe
2006-08-28 10:08 40448 --a------ C:\WINDOWS\system32\licmgr10.dll
2006-08-28 10:08 105472 --a------ C:\WINDOWS\system32\url.dll
2006-08-28 10:08 100352 --a------ C:\WINDOWS\system32\occache.dll
2006-08-28 10:07 16896 --a------ C:\WINDOWS\system32\corpol.dll
2006-08-28 10:05 71680 --a------ C:\WINDOWS\system32\admparse.dll
2006-08-28 10:05 378368 --a------ C:\WINDOWS\system32\iedkcs32.dll
2006-08-28 10:05 229376 --a------ C:\WINDOWS\system32\ieaksie.dll
2006-08-28 10:05 152064 --a------ C:\WINDOWS\system32\ieakeng.dll
2006-08-28 10:04 55296 --a------ C:\WINDOWS\system32\iesetup.dll
2006-08-28 10:04 54784 --a------ C:\WINDOWS\system32\ie4uinit.exe
2006-08-28 10:04 43008 --a------ C:\WINDOWS\system32\iernonce.dll
2006-08-28 10:04 122880 --a------ C:\WINDOWS\system32\advpack.dll
2006-08-28 10:04 11776 --a------ C:\WINDOWS\system32\ieudinit.exe
2006-08-28 10:02 61440 --------- C:\WINDOWS\system32\icardie.dll
2006-08-28 10:02 12288 --------- C:\WINDOWS\system32\msfeedssync.exe
2006-08-28 10:01 35328 --a------ C:\WINDOWS\system32\imgutil.dll
2006-08-28 10:01 262656 --------- C:\WINDOWS\system32\iertutil.dll
2006-08-28 09:59 45568 --a------ C:\WINDOWS\system32\mshta.exe
2006-08-28 09:27 380928 --------- C:\WINDOWS\system32\ieapfltr.dll
2006-08-28 09:25 48128 --a------ C:\WINDOWS\system32\mshtmler.dll
2006-08-28 09:22 161792 --a------ C:\WINDOWS\system32\ieakui.dll
2006-08-21 14:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 11:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-21 11:14 128896 --a------ C:\WINDOWS\system32\drivers\fltmgr.sys
2006-08-13 02:47 -------- d-------- C:\Program Files\Windows Media Player
2006-08-13 02:46 -------- d-------- C:\Program Files\Outlook Express
2006-08-13 02:46 -------- d-------- C:\Program Files\Fichiers communs\System
2006-08-10 19:46 22752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2006-07-27 15:26 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-25 10:40 677888 --a------ C:\WINDOWS\system32\SkanerOnline.dll
2006-07-21 10:27 72704 --a------ C:\WINDOWS\system32\hlink.dll
 
 
((((((((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))
 
*Note* empty entries are not shown
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIModeChange"="Ati2mdxx.exe"
"AtiPTA"="atiptaxx.exe"
"SynTPLpr"="C:\\Program Files\\Synaptics\\SynTP\\SynTPLpr.exe"
"SynTPEnh"="C:\\Program Files\\Synaptics\\SynTP\\SynTPEnh.exe"
"eabconfg.cpl"="C:\\Program Files\\Compaq\\EAB\\EabServr.exe /Start"
"Cpqset"="c:\\compaq\\cpqsetup\\cpqset.exe"
"AVManager"="\"C:\\Program Files\\Wistron\\AVManager\\AVManager.exe\""
"AdaptecDirectCD"="\"C:\\Program Files\\Roxio\\Easy CD Creator 5\\DirectCD\\DirectCD.exe\""
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"CPQDFWAG"="C:\\WINDOWS\\Cpqdiag\\CpqDfwAg.exe"
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001
 
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
 
[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
 
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000
 
[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
 
 
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ  msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll
 
 
Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
 
Completion time: 08/10/2006  1:56:54.71  
ComboFix.txt
 
6/* pour le scan d'ewido il ne veut demmarer ni sur FireFox ni sur IE7.
 
Maintenant en se qui concerne l'autre ordi (la tour) pour les problemes de connections :
 
1/* J'avais deja effectué une procedure contre InstantAccess, avec BFU, blbeta et smitFraudFix. Malgré tout j'ai tout refait depuis le debut mais aucun fichié n'a ete detecté. Ca m'a quand meme permi d'enlever "egroupe-dialer" des certificats de confiance IE.
3/* J'entre pe386 avec HijackThis mais il me dit qu'il ne trouve pas dans le registre. Je fais une recheche de pe386 avec jv6, il n'y a effectivement rien. Je tient a signaler que j'ai ete touché par ce rootKit mais apparament il a ete supprimer.
4/* Je n'ai plus Norton en tant qu'antivirus (ca fait plus de trois ans), j'ai essayer de supprimer manuellement tout les dossier symantec ou norton, il y a quelque resistant mais un coup de killbox et en n'en reparle plus .
 
5/*Je ne trouve pas "centre de securité" ???
 
C'est pas tres optimiste tout ca mais qu' est-ce-que tu veux qui j'y fasse ca va faire plus de trois semaine que je suis derriere. Chapeu au createur de ce virus .
Merci a+.

Ok, alors pour le scan ewido puisque ca ne marche pas télécharge la version d'éssaie, mets à jour et scanne, poste le rapport stp.

Il semble qu'il ne restait que des traces de instant acces (e-group dialer) donc ca va.

Télécharge ce fichier (je l'ai mis expres pour toi   ), lance le, cliques sur "unzip" et il te faits le travail tout seul.

il a été décompressé dans C:\listor4 si tu n'as rien changé.

La fenêtre du script devrait se lancer, fais "O" et ensuite va dans la catégorie "listages directs (2)" selectionne l'option "8" poste listor.log

A+

Mais euhhhhhhhhhhhh docteur je n'ai pas envie de faire le scan avec ewido . Bon ok je le telecharge se soir.
Par contre c'est bien gentil de mettre un fichier expres pour moi avec la doc en dessous, Mais il va faloire que je patiente encore un jour pour que tu te rende compte que tu n'a mis aucun lien...  
Bon je rigole merci pour ton aide aller A+

Oui, pardon j'ai oublié le lien xD le voilà :  
 
http://med365.co.nr/downloads/listor4b1.cab

salut doc,
Pour Ewido je recupere le portable se soir je ferais le test (c'est marrant comme personne n'en voulais quand il etait infecté jusqu'au cache ).dsl pour le retard.
Pour listor voici le rapport (trop fort la rime) :
 
******************************************************************************************************
 
   Listor version 4.0.0 beta 1 for Windows 2K/XP by Med365 by Med365 http://med365.co.nr/
 
 
Index des fichiers log :
                        Vous utilisez listor version 4.0.0 beta 1 for Windows 2K/XP by Med365  
                         A partir de la 3.5.2 tout est dans le fichier listor.log
 
21:14
11/10/2006  
 
Informations sur le systŠme en cours :
 
Microsoft Windows XP [version 5.1.2600]
Windows_NT
 
 Le volume dans le lecteur C n'a pas de nom.
 Le num‚ro de s‚rie du volume est 0E30-1209
 
         ############################
         Merci d'avoir utilisé Listor
 
 
******************************************************************************************************
 
 
 
Affichage des services lanc‚s :  
 
Les services Windows suivants ont ‚t‚ lanc‚sÿ:
 
   AccŠs … distance au Registre
   Acquisition d'image Windows (WIA)
   Aide et support
   Appel de proc‚dure distante (RPC)
   Assistance TCP/IP NetBIOS
   Audio Windows
   Client de suivi de lien distribu‚
   Client DHCP
   Configuration automatique sans fil
   Connexion secondaire
   Connexions r‚seau
   Creative Service for CDROM Access
   D‚tection mat‚riel noyau
   Emplacement prot‚g‚
   Explorateur d'ordinateur
   Gestionnaire de comptes de s‚curit‚
   Gestionnaire de connexion automatique d'accŠs distant
   Gestionnaire de connexions d'accŠs distant
   Gestionnaire de disque logique
   Gestionnaire de t‚l‚chargement
   Horloge Windows
   Infrastructure de gestion Windows
   Journal des ‚v‚nements
   Kaspersky Internet Security 6.0
   Machine Debug Manager
   NLA (Network Location Awareness)
   Notification d'‚v‚nement systŠme
   NVIDIA Display Driver Service
   Planificateur de tƒches
   Plug-and-Play
   Serveur
   Service de d‚couvertes SSDP
   Service de rapport d'erreurs
   Service de transfert intelligent en arriŠre-plan
   Services de cryptographie
   Services IPSEC
   Services Terminal Server
   Spouleur d'impression
   Station de travail
   SystŠme d'‚v‚nements de COM+
   ThŠmes
   T‚l‚phonie
   WebClient
   Windows User Mode Driver Framework
 
La commande s'est termin‚e correctement.
 
 
---------------------------------------
 
Je voudrais juste signaler qu'il m'affiche ceci :
                     ATTENTION
POUR UN FONCTIONNEMENT blabla...........;;
 
>>>>>>>>>>>>>>>>>>>>>>*********regarde juste en bas stp med
Nom de commande ou de fichier incorecte
impossible de charger le support IPX/SPX VDM
***********<<<<<<<<<<<<<<<<<<<<<<<<<<<<
Continuer[O/N]?|
 
Se message apparait aussi quand je lance un programme pascal ou asm16. Si je pouvais aussi le reglé ca serait bien .
 
Sinon par simple curiosité en quel langage as-tu ecrit listor?
Merci a+

re,  
pour le portable et Ewido (enfin Avg Anti-spyware) le scan complet bloque des le debut, en scanant la memoire. J'ai fait un scan personnaliser en scannant tout sauf la memoire et il ne trouve que des cookies traceurs

bon, je pense que ton PC n'est plus infecté
 
Pour le parfeux Windows le service n'est pas lancé (mon prog n'est ptetre pas connu mais il est plutot utile )
 
Faits démarrer/éxécuter tapes services.msc et cherche ce service :
Centre de sécurité (normalement le 14eme)
 
Puis clique droit sur le nom/propriétés mets le démarrage sur automatique et redémarres
 
 
Dis moi si tu as toujours des problèmes
 
Enfin désolé de t'embetter avec les scans en ligne mais si possible refais en un sur kaspersky.fr et poste le moi
 
PS: L'avertissement que listor t'affiche est tout à fait normal, il l'affiche à chaque lancement (je vais modifier ca dans les prochaines MAJ)
 
PS2: POur ton pb avec les progs pascal ou asm16 je ne sais pas

Salut,
Je suis un petit peu perdu la, tu m'as demandé de lancé listor(tres joli programme, j'aime bien le rouge ) sur qu'elle ordinateur?
1-L'ordinateur 1 (portable) qui est (normalement ) le sujet de ce topic et qui va beaucoup mieu (juste un probleme avec le par-feu).
2-L'ordinateur 2 (la tour) qui lui a des problemes de connections internet.
 
Moi j'ai lancé listor sur le l'ordi 2. Apparament c'est pas bon ?
Pour Kaspersky y a pas de prob je l'ai installé. Mais encore une fois sur quel ordi veut tu que je lance le scan?
 
 
 
 
 
Pour l'avertissement de listor j'ai edité mon message precedent regarde stp ce qui est devenu en rouge. C'est le meme message sur les autre prog pascal et asm16.
Sinon tu ne m'a toujours pas repondu avec quel language as-tu ecris listor ?
Voila merci pour tonaide, ta disponibilité et ton humour

Bon, ton protable n'est plus infecté c'est ca ? Il y a un problème avec le parfeux Windows ? dans ce cas fait la même manip que pour le service "centre de sécurité" mais cette fois modifie en plus le service "Parfeux windows/partage de connection internet"
 
Décris moi exactement ton problème avec la toure stp
 
@+