Bonjour à tous..
Et merci à  Acrobaze et à d'autres pour les conseils que j'ai pu trouver sur le site.
 
Trojan, elitebar, Belgium_nm.exe etc.. Hélas, je connais maintenant et mon ordi en est infecté.
J'ai essayé de trouver une solution  via les revendeurs. Personne n'a pu m'aider valablement.
Je me suis donc retourné vers le forum. Après avoir lu  Acrobaze j'ai chargé et exécuté HijackThis  
 
Le résultat est ci-après :
--------------------------------
 
Logfile of HijackThis v1.99.1
Scan saved at 17:48:44, on 7/05/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\userinit.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.be/0SENLBE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\nl-be\msnappau.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_07\bin\jusched.exe
O4 - HKLM\..\Run: [Microsoft Video Capture Control] windebug.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MCI driver32] driver32.exe
O4 - HKLM\..\Run: [checkrun] C:\winnt\system32\elitefpp32.exe
O4 - HKLM\..\Run: [lyninkn] C:\WINNT\lyninkn.exe
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Program Files\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Program Files\Softwin\BitDefender8\\bdswitch.exe
O4 - HKLM\..\RunServices: [Microsoft Video Capture Control] windebug.exe
O4 - HKLM\..\RunServices: [MCI driver32] driver32.exe
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [Microsoft Video Capture Control] windebug.exe
O4 - HKCU\..\Run: [MCI driver32] driver32.exe
O4 - Startup: Hardcopy.LNK = C:\Program Files\Hardcopy\hardcopy.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: MktBrowser - {17A27031-71FC-11d4-815C-005004D0F1FA} - C:\Program Files\MarketBrowser\lmt\MarketBrowser_Launch.xpy
O9 - Extra 'Tools' menuitem: MarketBrowser - {17A27031-71FC-11d4-815C-005004D0F1FA} - C:\Program Files\MarketBrowser\lmt\MarketBrowser_Launch.xpy
O15 - Trusted Zone: www.master69.biz
O15 - Trusted Zone: www.sfondissimi.net
O15 - Trusted Zone: www.yeak.net
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://fr.encyclopedia.yahoo.com/rsc/tdserver.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/ [...] e-c139.cab
O16 - DPF: {544EB377-350A-4295-9BEB-EAB8392E09C6} (MSN Money Charting) - http://fdl.msn.com/public/investor/v13/invinstl.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/5 [...] taller.exe
O16 - DPF: {EF0DBA6F-43CE-4B26-9808-2AB38FA0DB29} (MSN Money Ticker) - http://fdl.msn.com/public/investor/v13/ticker.cab
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: PPPoE Service (PPPoEService) - Unknown owner - C:\PROGRA~1\Alcatel\ENTERN~1\app\pppoeservice.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender8\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
--------------------------------------------------------------------------
 
A première vue ce sont les lignes 015 qui devraient causer problèmes. Est-ce exact ? Mais n'y en a-t-il pas d'autres à éliminer ?
 
Un grand merci à celui qui pourra m'aider.
 
 
J'aimerais aussi comprendre. Comment fonctionne HijackThis ? Est-ce un éditeur de texte qui va lire dans le bios ? ou dans un fichier .ini ou autoexec.bat ?
 
Amitiés
 
frdg

Salut,  
 
télécharge Spybot, mets le à jour et scanne ton ordinateur.
 
Télécharge SpywareBlaster, mets le à jour et charge toutes les protections disponibles.
 
Mets à jour ton antivirus et fais un scan complet de ton ordinateur.
 
Après ça, si toutefois ces lignes sont encore là, suis les étapes suivantes :
 
 
Ferme tous tes programmes en cours, navigateur inclus et lance un scan de HijackThis.
 
Tu supprimmes les entrées suivantes :
 
    O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41}
        O15 - Trusted Zone: www.master69.biz
        O15 - Trusted Zone: www.sfondissimi.net
        O15 - Trusted Zone: www.yeak.net
 
 
Lance CCleaner et nettoie.
 
Redémarre en mode normal et reposte un log.

Merci Darren. Sympa de m'aider.
Spybot, Adaware tout cela j'avais déjà fait. Ils nettoient en effet mais à chaque passage sur internet (ou à chaque lancement de internet explorer) les mouchards ou autres sont recréés automatiquement.
 
Il faudra donc supprimer les lignes. D’accord à 100% pour les 3 lignes 015.
J’hésite toutefois pour la ligne :  
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41}
 
Es-tu sûr ?
D’autre part, crois-tu que les lignes suivantes sont valables ? Elles me semblent suspectes ?
 
O4 - HKLM\..\Run: [MCI driver32] driver32.exe
O4 - HKLM\..\RunServices: [MCI driver32] driver32.exe
O4 - HKCU\..\Run: [MCI driver32] driver32.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
 
Driver32 ? Dilla ? qu’est-ce que c’est ?
 
Merci
 
frdg

Hello frdg
 
Ces lignes aussi m'ont interpellé mais dans le doute j'ai préféré m'abstenir, d'autant qu'à l'heure où j'ai posté je n'avais pas trop le temps de rechercher des infos à leur sujet.
 
Pour CD Dilla apparemment tu peux l'enlever mais ce n'est pas non plus un spyware violent :
 
http://www.privacyandspying.com/privacy-c_dilla.html
 
Il semblerait aussi que tu puisses supprimmer les suivantes :
 
O4 - HKLM\..\Run: [MCI driver32] driver32.exe
O4 - HKLM\..\RunServices: [MCI driver32] driver32.exe
O4 - HKCU\..\Run: [MCI driver32] driver32.exe  
 
Pense à installer Hijackthis dans un repertoire dédié (pas dans mes documents) pour faire un backup si nécessaire mais à priori pas besoin.
 
Une fois ces lignes cochées et corrigées, redémaare en mode sans échec et delete les fichiers suivants :
 
driver32.exe (en lançan une recherche incluant les fichiers cachés).
 
 
Si tu n'arrives pas à l'effacer, utilise Move on Boot. Clic droit sur le fichier et "delete on next boot".
 
Lance CCleaner et nettoie.

Hello Darren !
 
Merci encore de m'avoir aidé !
 
Super ! ce logiciel HijackThis.
Finalement j'ai supprimé les lignes 04 faisant allusion à Driver32.exe
Ce sont elles qui posaient problèmes car elles généraient automatiquement les lignes 015. Ces dernières (les lignes 015)disparaissaient à chaque lancement de Spybot searsh & destroy.
 
Il y a probablement d'autres lignes que je pourrais supprimer mais il faut être sûr !
Je me demande si les lignes ace windebug.exe qui reviennent plusieurs fois ne devraient pas également disparaître ? As tu une idée là dessus ?
 
Amicalement

Hello frdg
 
C'est tout naturel, au boulot je me farcis des tonnes de portables des commerciaux infestés jusqu'à la moelle alors HijackThis j'ai pris une certaine habitude
 
Pour les lignes Windebug, je n'ai pas trop le temps de chercher, j'ai regardé vite fait sur google, il semblerait que ce soit un processus système légitime, donc je ne pense pas qu'il faille y toucher. Néanmmoins tu peux faire le test de terminer le processus à la main et voir si ton système devient instable. Normalement les processus essentiels à l'O/S ne peuvent pas être fermés, meme avec CTRL ALT SUPPR.
 
Tu peux aussi virer les lignes avec HJT et utiliser la fonction de backup intégrée au programme.
 
Enfin, si tu veux te prévenir efficacement des spywares, je te conseille très chaudement Télécharger SpywareBlaster, je l'utilise depuis un bon moment, c'est une sorte de fonction de vaccination contre un grand nombre de malwares et je le trouve très effiace.
 
Tu le d/l, effectue une mise à jour, et tu l'oublies en le mettant à jour environ toutes les deux semaines (peu de MAJ à effectuer)
 
Tiens moi au courant si tu as d'autres soucis
 
@ plus!