Bonsoir à toutes et à tous !!
 
 J'ai un petit soucis au démarrage de mon ordinateur.Je vais m'expliquer :
 
Je possede 2 partitions, une principale sous XP Home SP2 et une petite sous XP Pro SP2 (que j'ai du créer pour mes besoins en dévellopement).
 
Mon probleme se situe sur la principale (XP Familial). Je n'ai jamais eu de gos soucis niveau virus et spywares mais debut janvier j'ai été infecté par Spy Sheriff et Spy Hounds (les fameuses saloperies qui vous foutent un beau SPYWARE INFECTION en fond d'ecran HTML). Apres scan approfondi (depuis session XP Pro) avec avast!, Spy Sweeper, AntiVir et AdAware, tout fut nettoyé avec succes. Je remet donc mon fond d'ecran original. Stupeur : mon affichage est altéré (image de fond pixelisée), mais seulement l'image de fond; pas les menu ni rien d'autre, et je n'ai plus acces au net, enfin msn fonctionne mais mes navigateurs me font une belle erreur 404 (par contre MSN et eMule fonctionne, j'ai bien ma connection activée). Je me dis un reboot et c'est OK, bin non... l'image est nette qq seconde et puis ça vire au fond gris qq instants et retour a l'image altérée; et au net indisponible. Puis une message box me disant que IBM00001.exe n'a pu démarrer.
 
Je retourne sous XP pro pour voir de quoi il s'agit, je nettoie tout comme il faut à coup de kill box et de supression des valeurs inutiles de la clé infectée (Shell)... mais au redémarrage, bien qu'il n'y est plus trace de cet IBM00001.exe; mon image de fond est tjrs pixelisée et mon acces au net manquant.
 
Je sors les grands moyens, un coup de Hijackthis et je supprime les qq lignes malsaines trouvées grace a l'analyseur en ligne.... je reboot,le probleme est toujours présent... donc résultat; Hijackthis ne trouve rien, ni les antivirus (a jour) essayés (avast!, AntiVir, AdAware, Secuser,SpySweeper). La restauration systeme est désactivée... je suis vraiment perdu !
 
Seule indication d'une infection "virale" : qq milisecondes un petite icône bizarre est affichée dans la zone de notifications (pres de l'horloge), une sorte d'enveloppe mail avec la figurine "utlisateur" microsoft, et en infobulle des valeurs qui changent a chaque fois que je passe la souris dessus (URL, pseudo bizarre). Mais elle apparait rarement et tres tres furtivement (elle reste moins d'une demi seconde).
 
Voilà mon dernier LOG Hijackthis; mais apparement il est sain d'apres l'analyseur en ligne :
 

 
Merci d'avance pour votre aide !! J'ai vraiment besoin d'utiliser cette session de facon fonctionelle.
 
...JFKEN...

Bonsoir,
 
Lance le bloc-notes et copie colle le texte suivant:
 
------------------------------
REGEDIT4
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304BB8C34}]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{2C1CD3D7-86AC-4068-93BC-A02304BB8C34}"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"DCOM Server"=-
----------------------------------
Enregistre le sur le bureau, Nom: fix.reg, Type: Tous les fichiers.
 
Double clique dessus et accepte de fusionner avec le registre.
 
Redémarre et poste un nouveau rapport HijackThis.
 

Oki !! Je teste de suite et poste le rapport.
 
Merci !

Bien, je reviens de ma session "déféctueuse" et fais ce que tu m'as dis,  l'opération a réeussi mais apres scan Hijackthis et retour sous xp pro pour analyser le log en ligne, rien de malveillant.
Le voici :
 

 
Je vois toujours pas ce que c'est... une idée ?
 
Merci en tous cas !

Bonjour,
 
Neutralisation de 3 clés liées à DCOM Server:
 

 
Bon surf    
 
 

Merci de ta réponse Stonangel ! Que dois-je faire avec ces trois clés ? Elle étaient présente dans le log avant que je fasse ta manip; et disparues apres effectivement.
 
Mais je n'ai toujours pas le net.... je dois les réinsérées ?? Faire un reboot en sans Echec avec prise en charge reseau ?
 
En tout cas un grand merci pour ton aide et ta rapidité !  

Bonsoir,
 
Télécharge et exécute Winsock XP Fix
 

Bonjour
 
J'ai exactement le même probleme que JFKen:
Historique identique, avec Spysheriff sensément nettoyé ainsi que d'autres  
-apparition de la petite icone bizarre en bas à droite lors de la reconnection internet
-PC extrèmement lent avec des pics d'utilisation processeur à100%.
-Plus d'accés internet maintenant car le PC freeze et j'ai le message "Autorité NT \System va arreter et relancer la machine".C'est apparement du à "services.exe".
Ca fait plusieurs jours que je suis dessus et je deviens fou  
Faut-il reformater et réinstaller?
Merci pour vos réponses si vous en avez.
 
Chris
 

Merci beaucoup Stonangel, ton petit 'réparateur' de parametres a fonctionner a merveilles !! Reste le probleme de l'affichage pixelisé... vais faire un  scan sur cette session avec Secuser et panda...  
 
Chris, je te conseil de faire un scan a l'aide d'Hijackthis.
 
Ici un tres bon tuto, tu verras, c'est plus simple qu'il n'y parait ! lit bien ce tuto et fais nous une copie de log.
 
Dis moi, est ce que ton fond d'écran est aussi altéré ? (comme si l'image originale est 2 fois plus petite et "zommée" ) Et cette icone ressemble t'elle aussi a une sorte d'envelloppe ? Chez moi elle a disparue; mais quand je l'avais elle était tres tres furtive !
 
Bon courage a toi !

http://forum.hardware.fr/hardwaref [...] m#t2304606
 
Voilà le lien (erreur de firefox lol, dsl du dbl post)

Bonjour
 
J'ai également utilisé Winsock ainsi que les 3 lignes de réparation, sans succés.
Dès que je rebranche le cable internet et que j'essaie une connection,j'ai le message avec Autorité NT et la relance.
A chaque redémarrage les paramètres de sécurité windows (antivirus firewall et mises à jours) se réinitialisent et j'ai donc les messages "votre ...n'est pas à jour etc etc".Qq chose ne vas pas avec le centre de sécurité j'ai l'impression.
Ad Aware 1.06 me trouve presque à chaque fois un prob avecune clè du genre:
Hkey...Software\microsoft\windows .nt\current version\winlogon"shell" (explorer.exe svcroot.exe).  
Autrement mon fond d'écran a totalement disparu
Heureusement que j'ai tjs mon vieil ordi,ce qui me permet d'enqueter sur le prob.
Voici mon log(heureusement que les clés usb éxistent....
 
Logfile of HijackThis v1.99.1
Scan saved at 09:21:56, on 26/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Documents and Settings\Le Boss\Bureau\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00021.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe
 
Voila si ça vous inspire
Merci en tous cas pour votre aide
Chris
 

O4 - HKCU\..\Run: [Shell] "C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00021.exe"  Mauvais !! Pouah !! Caca !! pas Glop !!
 
As tu les options grisées dans le parametrage de l'affichage ? En tout cas vire ce IBM00xxx.exe (xxx étant une valeur changeante).
 
Moi toujours l'altération de mon fond d'ecran (pas dramatique; mais bon....)
 

Merci pour la réponse JFKen
Je vais essayer, on verra bien.
J'ai posté un message sur mon souci avec l'icone bizarre en bas à droite.
Lis-le tu me diras si tu as eu aussi ces problèmes.
Je ne comprends pas ce que c'est que tous ces mails fantômes qui arrivent.
Je sèche complètement
A+
Chris

Que faut-il faire pour restaurer une ligne en 023 du log?J'ai fixé celle concernant  
Avast et le mail,mais je crois que c'était pas une bonne idée car du coup, le service reste en attente.  
Glups

Bonsoir
En fait j'ai réinstallé Avast,mais le problème persiste.
JFKen comment t-es tu débarrassé de l'icone (ou de sa cause) bleue -lettre que tu avais dans ta barre à droite?
Est ce lié à des cookies Data miner?
C'est vraiment une vérole ce truc.Mais je crois que pas mal de monde est touché par ce truc sans trop savoir isoler l'origine.
Si tu as des infos elles sont les bienvenues
 
Pour ton prob graphique, as tu essayé de réinstaller les pilotes de ta carte vidéo ?

Et bien j'ai nettoyé le registre a coup de HiJackThis.... mais pour mon probleme de fond d'ecran (car seul  le fond d'ecran est altéré, mes JPG ou autre sont nikel) ce n'est pas un pb de pilote (qui est a jour); car au démarrage il apparait correctement, seul apres qq secondes il devient gris pour se remettre en "PIXELISE".

Je pense que l'icone en bas est liée au mail scanner de Avast.
Mais pourquoi tout d'un coup je me mets à recevoir une inondation de mails-spam analysés par le mail scanner ?J'ai installé spywareblaster et je pensais que ça avait marché,mais non ça s'est remis à turbiner au niveau du modem,et l'avalanche de spams a recommencé.
Help  
Chris

ma foi.... ton firewall est activé ?

ou bien désactive le controle de spam depuis avast....

Salut
Tu fais ça comment pour désactiver le contrôle spam?
Le firewall est activé et j'ai également celui physique du Modem Netgear.
J'ai fait un scan en ligne avec Secuser qui m'a trouvé ces trucs éxotiques sensément non nettoyables par lui:
 *Troj Dloader.BJG
*Troj Anicmoo.Q
*Troj AFH.I
*Troj JA.F
 
J'ai fait des recherches la dessus,mais ça ne correspond pas à grand chose à part peut-être Dloader,mais je n'ai pas trouvé d'outil pour s'en débarasser.Sont-ils dangereux  

tu fais clik droit sur l'icone d'Avast; Gestion de la protection residente et là tu as tout les boucliers et rglages affichés !
 
Ps : peut etre il te faudra cliker sur "Plus de details" ou "Details>>>" (v4.6 pour ma part)

Ok je vais essyer ça.
Pour l'instant pas d'activé louche en entrée,mais bon j'ai l'impresion que ça se déclenche à une heure précise.Hier ça a démarré vers 17h45.
Je te tiens au courant en fin d'après midi.

salut
telecharge
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
tu le decompresse tu double clik dessus  sur smitfraudfix.cmd et tu choisi l option 1
cela vas generer un rapport donne nous le
*******
redemarre en sans echec
 
relance le et choisi cette fois l option 2 et repond oui a tous
redemarre et donne le nouveau rapport
*******
 
redemarre
et vérifie ceci:  
Démarrer > panneau de configuration > affichage  
clic sur l'onglet bureau  
clic sur personnalisation du bureau  
clic sur l'onglet Web  
supprime tout ce qui se trouve ici, sauf "Ma page d'acceuil" qui doit rester DECOCHE  
 
puis remet un fond d'écran

Salut
Mes spams sont revenus un peu plus tard que hier soir, mais c'est reparti de plus belle.Après une semaine de lutte acharnée je jette l'éponge et je reformate tout. C'est pitoyable mais je ne vois plus d'autres solutions .
A+
Chris

a tu fait se que je t est mis avant?

salut ,  
j'ai eu il y a quelques temps ce meme foutu spyware de sheriff ! je ne me suis pas posé de question , j ai supprimer ma session et j en ai recrée une nouvelle !
donc le fond d ecran a été épargné ainsi que ces fichus programmes!!
seul un probleme persiste !
quand je suis sur firefox , des fenetre s'ouvre a tout bout de champ avec des pubs ( ce sont tjrs le mm qui revienne)
 
j ai pourtant fait une analyse avast et une analyse microsoft anti spyware et j ai supprimer tout les spywares , mais rien n'y change ?
j ai aussi bloquer avec avast les urls des pubs , mais elles reviennent!
 
que faire ?
merci

Bonsoir,
 
Ouvre ton propre sujet et poste un log HijackThis.

Salut
Désolé balltrap, je ne l'ai pas indiqué ,mais j'avais déjà fait ta manip également.Mais bon voila je redémarre après formatage.(j'ai eu des soucis à récupérer ma connection internet).
Pour l'instant tout va bien,mais pour combien de temps? On finit par devenir parano à force.J'ai l'impression qu'on passe plus de temps à dépanner sa machine que à réellement l'exploiter    
A + et merci pour l'aide
Chris

Voilà a quoi ressemble cette famause icône (tout a gauche,pres du bouton de deploiement) dont je parle (oué, tjrs là, et hausse de l'UC relative) :
 

 
Et la fameuse infobulle à message changeant....  
 
Alors, virus ou indicateur d'Avast! ?? Chris, as tu la même ?
 
Qq'1 a une idée de l'origine de cette m***e ? Merci a vous !

Salut Jfken
 
Bingo!C'est bien cette salopperie que j'avais.Elle revenait aléatoirement et plutôt le soir.Tu l'as toujours ?
En même temps l'analyse mail du résident d'avast analysait des centaines et des centaines de mails entrants, de l'ordre de 1500 à l'heure !! Ce serait interressant si qqu'un connaissait ce truc là.
Tiens moi au courant
A+

Comment as tu fais pour la virer ???

Je n'y suis jamais parvenu après avoir tout essayé et j'ai du reformater.
J'espère quand même que qqu'un aura un jour une réponse à ce truc .
En tout cas si tu trouves, ça m'interesse ,au moins par curiosité.
Bon courage