voila j'ai un probleme je pense encore etre infecté par des trojan ou autre programme malfaisant et je ne sait plus quoi faire (je ne suis pas sur xp donc je peux pas revenir en arriere)et j'ai pas envi de formater non + sauf en toute ultime solution, j'ai norton antivirus, ad aware et spybots.
Spybots a chaque fois que je le met en marche il me trouve un truc différent quand je redemarre l'ordi;j'ai l'ordi qui est un peu ralenti et pour aranger le tout j'ai une barre qui s'installe des qu'il sent que je suis connecter a internet
et j'ai des popup alors que je ne me suis pas connecté manuellement en cliquant sur iexplore et aller sur une page web(d'un autre coté je suis toujours connecté a internet,freebox) voila quelques adresses de ces popup:
 
69.20.62.53/yyyy8.html
http://www.whenusearch.com/ws_clos [...] =nocontrol
http://ads1.revenue.net/l?O_R_NUM= [...] _ID=12323&
pour la barre voila toute les infos que j'ai pu avoir:
j'ai réussi a l'enlever temporairement en faisant controle alt supprime et en enlevant iexplore (il y en avait 2)
toujours sur la barre :
cliqué sur proprieté http://lop.com/passthrough/newpass.html
et sur ajouter a favori http--lop.com-passthrough-newpass.html
une barre quand je clique sur l'onglet afficher la source c'a me met c'a  
 
<html>
<head>
    <script language="javascript">
    function searchFor(searchstring) {
        if (searchstring != null) {
        window.open("../search/search.cgi?s=" + searchstring);
      }
    }
         
    function onformsubmit() {
        var searchbox = window.document.getElementById("searchbox" );
        searchFor(searchbox.value);
        searchbox.value = "";
        return false;
    }
           
      window.document.oncontextmenu =
        window.document.ondragstart =
        window.document.onselectstart =
        function () { return false; };
             
      onload = function() {
        var searchbox = window.document.getElementById("searchbox" );
         
          var onclickA = function () {
            var a = window.event.srcElement;
            while (a.tagName.toUpperCase() != "A" ) {
              a = a.parentElement;
              if (a == null) {
                return false;
              }
            }
            window.open(a.href);
            return false;
          };
 
          var elements;
          elements = window.document.getElementsByTagName("a" );
          for (var i = 0; i < elements.length; i++) {
            elements[i].style.cssText = "font-family: Tahoma, Arial, Helvetica, sans-serif; font-size: 11px; color: #ffffff; text-decoration: none; font-weight: bold";
            elements[i].onclick = onclickA;
          }
          elements = window.document.getElementsByTagName("input" );
          for (var i = 0; i < elements.length; i++) {
            elements[i].style.cssText = "font-family: Tahoma, Arial, Helvetica, sans-serif; font-size: 11px; color: #000000;";
          }
          elements = window.document.getElementsByTagName("select" );
          for (var i = 0; i < elements.length; i++) {
            elements[i].style.cssText = "font-family: Tahoma, Arial, Helvetica, sans-serif; font-size: 11px; color: #000000;";
            elements[i].onchange = onchangeSelect;
          }
           
          window.document.getElementById("closeButton" ).onclick = function () {
            window.close();
          };
           
          window.document.onclick = function () {
            if(!selectPopup){
             searchbox.focus();
            }
            else if(!selectPopup.isOpen){
             searchbox.focus();
            }
          };
           
          window.document.body.style.backgroundColor = "#bbbbbb";
 
          window.selectData = {
            dating: [
              { text: "dating", href: "dating" },
              { text: "singles", href: "singles" },
              { text: "movies", href: "movies" },
              { text: "matchmaking", href: "matchmaking" },
            ],
            travel: [
              { text: "travel", href: "travel" },
              { text: "hotels", href: "hotels" },
              { text: "airfare", href: "airfare" },
              { text: "vacations", href: "vacations" },
              { text: "cruises", href: "cruises" },
              { text: "car rentals", href: "car+rentals" },
            ],
            careers: [
              { text: "careers", href: "careers" },
              { text: "jobs", href: "jobs" },
              { text: "work at home", href: "work+at+home" },
              { text: "career plans", href: "career+planning" },
              { text: "employment", href: "employment" },
            ],
            credit: [
              { text: "loans", href: "loans" },
              { text: "credit cards", href: "credit+cards" },
              { text: "credit repair", href: "credit+repair" },
            ],
            computers: [
              { text: "computers", href: "computers" },
              { text: "software", href: "software" },
              { text: "printers", href: "printers" },
              { text: "webcams", href: "webcams" },
              { text: "hard drives", href: "hard+drives" },
              { text: "monitors", href: "monitors" },
              { text: "Epson", href: "epson" },
              { text: "Panasonic", href: "panasonic" },
              { text: "Sony", href: "sony" },
              { text: "Pioneer", href: "pioneer" },
              { text: "HP", href: "hewlett+packard" },
            ],
            insurance: [
              { text: "insurance", href: "insurance" },
              { text: "health", href: "health+insurance" },
              { text: "auto", href: "auto+insurance" },
              { text: "travel", href: "travel+insurance" },
              { text: "dental", href: "dental+insurance" },
              { text: "business", href: "business+insurance" },
            ]
          };
          var selectPopup = null;
           
          window.showSelect = function(selectData, openerElement) {
            selectPopup = window.createPopup();
            var html = "<div style='font: 11px Tahoma, Arial, Helvetica, sans-serif; border:1px solid black;'>";
            var OPTION_HEIGHT = 16;
            var selectHeight = 2;
            var selectWidth = 80;
            var currentOption = null;
            for (var i = 0; i < selectData.length; i++) {
              if (selectData[i] != null) {
                html += "<div style='padding:1px 1px;' id='option" + i + "' href='" + selectData[i].href + "'>" + selectData[i].text + "</div>";
                selectHeight += OPTION_HEIGHT;
              }
            }
            html += "</div>";
            selectPopup.document.body.innerHTML = html;
            selectPopup.show(absLeft(openerElement), screen.availHeight-61+absTop(openerElement)-selectHeight, selectWidth, selectHeight);
            selectPopup.document.body.setCapture();
            selectPopup.document.body.onmousemove = function () {
              var option = getHoveringOption();
              if ((option != null) && (option != currentOption)) {
                if (currentOption != null) {
                  currentOption.style.backgroundColor = "white";
                  currentOption.style.color = "black";
                }
                currentOption = option;
                currentOption.style.backgroundColor = "highlight";
                currentOption.style.color = "white";
              }
            };
            selectPopup.document.body.onclick = function () {
              var option = getHoveringOption();
              if (option != null) {
                searchFor(option.href);
                selectPopup.hide();
                selectPopup = null;
              }
            }
            function getHoveringOption() {
              return selectPopup.document.getElementById("option" + Math.floor((selectPopup.document.parentWindow.event.clientY - 1) / OPTION_HEIGHT));
            }
          };
          window.moveTo(0,screen.availHeight - 61);
      }
 
      function absLeft(element) {
        var result = 0;
        do {
          result += element.offsetLeft;
        } while ((element = element.offsetParent) != null)
        return result;
      }
      function absTop(element) {
        var result = 0;
        do {
          result += element.offsetTop;
        } while ((element = element.offsetParent) != null)
        return result;
      }
    </script>
</head>
<body leftmargin="0" topmargin="0">
<table width="100%" border="0" cellspacing="0" cellpadding="0" height="61">
<tr>  
<td width="99%" background="http://img.lop.com/images/toolbarnew/_bgb.gif" valign="bottom">  
 
<table width="100%" border="0" cellspacing="0" cellpadding="0" height="61">
 
<tr>  
 
<td rowspan="2" height="61" background="http://img.lop.com/images/toolbarnew/_bgb.gif" width="1%">
<table height="49" width="300" cellspacing="0" cellpadding="0" >
<tr>
<td height="24" width="128"><img src="http://img.lop.com/images/toolbarnew/_dots.gif" width="6" height="21" hspace="6" align="absmiddle"><a href="../search/search.cgi?s=make+money" hidefocus="hidefocus"><img src="http://img.lop.com/images/toolbarnew/_makemoney.gif" width="20" height="22" border="0" align="absmiddle">&nbsp;Make&nbsp;Money</a></td>
<td height="24" width="78"><a href="../search/search.cgi?s=music" hidefocus="hidefocus" target="_blank"><img src="http://img.lop.com/images/toolbarnew/_music.gif" width="20" height="22" border="0" align="absmiddle">&nbsp;Music</a></td>
<td height="24" width="94"><a href="../search/search.cgi?s=casino"  hidefocus="hidefocus" target="_blank"><img src="http://img.lop.com/images/toolbarnew/_casino.gif" width="20" height="22" border="0" align="absmiddle">&nbsp;Casino</a></td>
</tr>
<tr>
<td colspan="3" align="center" height="3"><img src="http://img.lop.com/images/toolbarnew/_br.gif" width="233" height="1"></td>
</tr>
<tr>
<td height="22" width="128"><img src="http://img.lop.com/images/toolbarnew/_dots.gif" width="6" height="21" hspace="6" align="absmiddle"><a href="../search/search.cgi?s=investing"  hidefocus="hidefocus" target="_blank"><img src="http://img.lop.com/images/toolbarnew/_investing.gif" width="20" height="22" border="0" align="absmiddle">&nbsp;Investing</a></td>
<td height="22" width="78"><a href="../search/search.cgi?s=travel"  hidefocus="hidefocus" target="_blank"><img src="http://img.lop.com/images/toolbarnew/_travel.gif" width="20" height="22" border="0" align="absmiddle">&nbsp;Travel</a></td>
<td height="22" width="94"><a href="../search/search.cgi?s=mortgage"  hidefocus="hidefocus" target="_blank"><img src="http://img.lop.com/images/toolbarnew/_mortgage.gif" width="20" height="22" border="0" align="absmiddle">&nbsp;Mortgage</a></td>
</tr>
</table>
</td>
 
<td rowspan="2" width="1%" height="61"><img src="http://img.lop.com/images/toolbarnew/_edge.gif" width="2" height="47"></td>
<td rowspan="2" width="1%" height="61">
<table width="290" height="50" cellspacing="0" cellpadding="0">
<tr>
<td rowspan="3" width="10"></td>
<td width="90" height="25" valign="bottom"><div style="background-image:url(http://img.lop.com/images/fakeselect.gif); font:  
11px Tahoma, Arial, Helvetica, sans-serif; width: 80px; height: 20px; padding: 3px 5px; cursor: default; "  
onclick="showSelect(selectData.dating, this);">Dating</div></td>
<td width="90" height="25" valign="bottom"><div style="background-image:url(http://img.lop.com/images/fakeselect.gif); font: 11px Tahoma, Arial, Helvetica, sans-serif; width: 80px; height: 20px; padding: 3px 5px; cursor: default; " onclick="showSelect(selectData.travel, this);">Travel</div></td>
<td width="100" height="25" valign="bottom"><div style="background-image:url(http://img.lop.com/images/fakeselect.gif); font: 11px Tahoma, Arial, Helvetica, sans-serif; width: 80px; height: 20px; padding: 3px 5px; cursor: default; " onclick="showSelect(selectData.careers, this);">Careers</div></td>
</tr>
<tr>
<td colspan="3" height="3"></td>
</tr>
<tr>
<td width="90" height="25"><div style="background-image:url(http://img.lop.com/images/fakeselect.gif); font: 11px Tahoma, Arial, Helvetica, sans-serif; width: 80px; height: 20px; padding: 3px 5px; cursor: default; " onclick="showSelect(selectData.credit, this);">Credit</div></td>
<td width="90" height="25"><div style="background-image:url(http://img.lop.com/images/fakeselect.gif); font: 11px Tahoma, Arial, Helvetica, sans-serif; width: 80px; height: 20px; padding: 3px 5px; cursor: default; " onclick="showSelect(selectData.computers, this);">Computers</div></td>
<td width="100" height="25"><div style="background-image:url(http://img.lop.com/images/fakeselect.gif); font: 11px Tahoma, Arial, Helvetica, sans-serif; width: 80px; height: 20px; padding: 3px 5px; cursor: default; " onclick="showSelect(selectData.insurance, this);">Insurance</div></td>
</tr>
</table>
</td>
<td width="95%" height="34" valign="bottom"><img src="http://img.lop.com/images/toolbarnew/_search.gif" vspace="5" width="61" height="17"></td>
</tr>
 
<tr>  
<form id="searchForm" onsubmit="return(onformsubmit());">
<td  width="95%"  height="27" nowrap="nowrap" valign="top">
    <input ID="searchbox" name="s" TYPE="text">
    <input type="image" border="0" id="searchButton" src="http://img.lop.com/images/toolbarnew/_go.gif" width="38" height="21" align="top" hspace="4">
</td></form>
</tr>
</table>
 
</td>
<td valign="top" background="http://img.lop.com/images/toolbarnew/_bgb.gif"><img style="cursor:hand;" src="http://img.lop.com/images/toolbarnew/_r1.gif" width="13" height="13" border="0" hspace="1" vspace="5" id="closeButton"></td>
</tr>
</table>
<script src="http://lop.com/ads/ads.js"></script>
 
</body>
</html>
 
p.s :je trouve plus rien dans ajout et supprimmer les programes  qui peut avoir un rapport avec c'a
voila je sais qu'il y a beaucoup a lire j'en suis désolé mais je me suis dit que + il y en a d'info mieux vous pourrez m'aider, en esperant vous lire  bientot merci

passe des anti virus en ligne, prend Kapersky, mieux foutu que Norton, passe Sybot la dernière version aves ses mises à jours (environ 15000 objets référencés). Passe Ad-aware toujours aprés avoir fait la mise à jour ! Configure correctement ton FW. Tu as des tas de topic las dessus ! J'allais oublié, vaccine ta machine, t'as une options sous sybot et ce n'est pas du superflu !
 
ps : le code, c'est bien, mais ca donne pas envie de le lire

je vais voir c'a , fw je comprend pas ?

FW = firewall !

ok merci

de rien

teste aussi CWShredder parfait pour pas mal de barres de de recherches indésirables

y a un truc que j'arrive pas a comprendre spybot et sybot c'est la meme chose non ?

oui

donc j'ai deja la derniere version de spybot

Avec ses mises à jours ? je parle de celle de mai 2004 !

je l'avais installé et puis j'ai regardé les update c'a m'a installé des log en francais ,maintenant  j'ai recliqué sur l'onglet maj y reste juste "english help for tea timer"

bon malgré les outils y a rien de mieux que d'effacer les fichiers/dossier ou ce trouve ces ù*$^^$  les logiciel tester mon bien aider a les retrouvé surtout le CWShredder mais ils doit me rester encore quelquechose je le sens comme fatiqué encore

Je suis également dans la galère avec ses histoires de trojans ... ça me commence à me gonfler sévère :
 
- Tout a commencé par un explorer.exe à 180 Mo, j'me dis "hummmmmmmmm y'a une couille dans le potage", donc scan en ligne via secuser.com, hop 9 trojans détectés ! Il les efface.
- Dans le doute j'installe un AV (vi, install toute neuve, j'avais pas encore installé, pas bien je sais ), AVAST.
- Premier scan, il détecte deux trojans : BiSPY et Trojan-Gen, mais il arrive pas à les virer ... super
- J'essaye SpyBot, Ad-aware, et trojan-remover, à part un Exploit, rien.
- J'ai fini par installer NAV2003 (seule version que j'avais sous la main), mis à jour ce matin même, mais au scan, rien de détecté (installer un AV sur un système déjà infecté, visiblement ça sert pas à grand chose, mais je m'en doutais)
- Ce soir je ferai une dernière tentative de scan en mode sans échec ...
 
A part un format, quelqu'un aurait-il d'autres idées ?
 
Merci d'avance.

Pour BiSPY
http://es.trendmicro-europe.com/co [...] YW_BISPY.A
 
 
 
Petit rappel: Ne pas oubliez, pour les possesseur d'XP de descativer la fonction de restauration du syteme avent de faire le scan anti virus, sinon, ca sert à rien.
 
De plus, un petit scan antivirus en mode sans echec peut parfois etre d'une grande efficacité.

 
Avec ceci, on devrait y voir clair :
 
----------------------------------------1
Antivirus en ligne :
 
http://www.ravantivirus.com/scan/
 
Cliquer sur : To continue without subscribing click here
 
Le laisser charger ses ActiveX ( Une dizaine de minutes). Lorsque "ready" est affiché dans "status"
cocher "Autoclean", puis cliquer "Scan my PC".
 
A la fin de l'analyse, copier/coller le rapport ici.
 
-------------------------------------------------2
 
Télécharger "HijackThis" sur:
 
http://www.spywareinfo.com/~merijn/downloads.html
ou
http://www.lurkhere.com/~nicefiles/index.html
 
-Le poser dans un dossier spécialement créé pour lui (par exemple:
C:\HijackThis ).
-Le lancer -> "Scan" -> "Save log"
-Récupérer ce log/texte avec le bloc notes.
-Le copier/coller ici, dans une réponse,sans rien faire d'autre.
 
 
Copie/colle ces 2 rapports et on saura à quoi s'en tenir.
 
 

 
 
voilà peut être pourquoi à chaque démarrage ça recommence !!
Venant de passer à XP il y a deux semaines, je ne le savais pas
 
 
Merci de l'info, je dormirai moins con ce soir (oui je sais, "il y a encore du chemin à faire, jeune padawan ..." )

 
Salut!
 
Non. Désactiver la restauration ne sert à rien.
 
Il faut faire une analyse en ligne par exemple comme celle que je t'ai proposée sur RAV.
 
Si un fichier de restauration est corrompu,il sera signalé dans le dossier _restore. Dans ce cas, il faudra désactiver la restau pour l'éliminer.
Mais si rien n'est signalé dans _restore, il est inutile de la désactiver. Tu ne fais que perdre des points de restau qui pourraient t'être utiles par ailleurs.

 
Ah ok, j'avais mal compris

Ca sert rien si le virus n'est pas dans un point de restauration.
 
Mais malheureusement, ils sont souvent dans les points de restauration.

 
Ce qu'il y a, c'est que des antivirus comme Norton, Housecall...etc..ne peuvent pas désinfecter la restauration car elle est protégée.
Et un utilisateur ne pourra pas non plus accéder à ces fichiers.
 
Donc ils recommandent de la désactiver avant le scan, ce qui est en quelque sorte une précaution. Mais parfaitement inutile si la restau n'est pas touchée.

 
Voilà. C'est bien pour ça qu'il faut attendre de voir si qq chose est signalé dans  
c:\system volume information\_restore
 
Perdre ses points de restau pour un scan, ce n'est pas justifié.
 

Bon, alors pour commencer, voici le log de HijackThis (opération réalisée par ma moitié à la maison, propriétaire du PC en question ) :

http://lop.com/help.html  

O2 - BHO: twaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll  
O2 - BHO: (no name) - {6FA44154-C016-03E5-8077-65550FAF2838} - C:\WINDOWS\System32\rmooq.dll  
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O4 - HKLM\..\Run: [glzwew] C:\WINDOWS\System32\mqnhei.exe  
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe  
 
Ferme tous les programmes, y compris internet explorer.
Lance HijackThis. Coche ces lignes et clique "Fix".
 
----------
Redémarre en mode sans échec (en tapotant F8 au démarrage).
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)
 
Et supprime:
C:\WINDOWS\System32\mqnhei.exe  
C:\WINDOWS\alchem.exe  
 
Vide la corbeille. Redémarre en mode normal.
Poste un nouvel HijackThis (n'utilise pas le code fix pour l'affichage, ça étire tout, stp).
   

 
Slt!
Où tu vois lop ?    
 
Lop se manifeste par des pages SeachWeb2 etc...

 
ici

 
Oki! J'ai cru que tu parlais à propos du pb de Notsukaw.

 
Alors, chose étonnante, il n'y avait pas de ALCHEM.EXE, mais un ALCHEM.INI, et aucune trace de mqnhei.exe non plus ...
 
Revoici un nouveau log :
========================
Logfile of HijackThis v1.98.0
 
Scan saved at 12:26:53, on 13/08/2004
 
Platform: Windows XP SP1 (WinNT 5.01.2600)
 
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
 
 
Running processes:
 
C:\WINDOWS\System32\smss.exe
 
C:\WINDOWS\system32\winlogon.exe
 
C:\WINDOWS\system32\services.exe
 
C:\WINDOWS\system32\lsass.exe
 
C:\WINDOWS\System32\Ati2evxx.exe
 
C:\WINDOWS\system32\svchost.exe
 
C:\WINDOWS\System32\svchost.exe
 
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
 
C:\WINDOWS\system32\spoolsv.exe
 
C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
 
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
 
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
 
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
 
C:\WINDOWS\system32\Ati2evxx.exe
 
C:\WINDOWS\Explorer.EXE
 
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
 
C:\Program Files\Winamp\winampa.exe
 
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
 
C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
 
C:\WINDOWS\System32\mqnhei.exe
 
C:\WINDOWS\System32\ctfmon.exe
 
C:\Program Files\Messenger\msmsgs.exe
 
C:\Downloads\HiJackThis_Last.exe
 
C:\WINDOWS\System32\wuauclt.exe
 
 
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.secuser.com/antivirus/index.htm
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
 
R3 - Default URLSearchHook is missing
 
O2 - BHO: twaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
 
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
 
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
 
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
 
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
 
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
 
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
 
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
 
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
 
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
 
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
 
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
 
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
 
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
 
O4 - HKLM\..\Run: [dmahsg] C:\WINDOWS\System32\mqnhei.exe
 
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
 
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
 
O4 - HKCU\..\Run: [Gaim] C:\Program Files\Gaim\gaim.exe
 
O4 - Startup: Amsn.lnk = C:\Program Files\Amsn\amsn.exe
 
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
 
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
 
O8 - Extra context menu item: Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
 
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
 
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
 
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
 
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
 
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
 
=========================================
 
 
Vous voyez donc que ça n'a rien changé, tout est toujours présent
Concernant ton autre solution, impossible de scanner un lecteur ou un dossier depuis ton lien,on me propose seulement de scanner un fichier (à uploader sur le site)  

Tu as du faire une erreur. Normal quand on n'est pas habitué.
 
1-Tu lances HijackThis
 
2-A gauche, ds les cases, tu coches ces lignes:
 
O2 - BHO: twaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll  
O2 - BHO: (no name) - {6FA44154-C016-03E5-8077-65550FAF2838} - C:\WINDOWS\System32\rmooq.dll  
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)  
O4 - HKLM\..\Run: [glzwew] C:\WINDOWS\System32\mqnhei.exe  
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe  
 
3-Quand tt est coché, tu cliques sur le bouton "Fix checked".
 
4-Tu redémarres en mode sans échec en t'assurant que tu as accès aux fichiers cachés (manip indiquée plus haut).
 
5-Là, tu supprimes ces 2 fichiers:
 
C:\WINDOWS\System32\mqnhei.exe  
C:\WINDOWS\alchem.exe  
 
si tu trouves un "alchem.ini" supprime-le aussi.

 
Non non, c'est bien ce que j'ai fait
Après avoir "Fixé" les lignes, j'ai même refait un scan Hijack pour vérifier, et les lignes n'apparaissaient plus.
 
Par contre après redémarrage, tout était revenu.
Néanmoins regardez la différence :
AVANT : O4 - HKLM\..\Run: [glzwew] C:\WINDOWS\System32\mqnhei.exe  
APRES : O4 - HKLM\..\Run: [dmahsg] C:\WINDOWS\System32\mqnhei.exe
 
Ca correspond à quoi ce qui apparaît entre les crochets ?
 
Sinon j'avais bien trouvé un ALCHEM.INI, que j'ai effectivement supprimé
 
EDIT: et le ALCHEM.EXE n'apparaît plus également

Ha bon. Et les Bho sont revenus tels quels!
 
Supprime leurs dll directement:
C:\WINDOWS\twaintec.dll  
C:\WINDOWS\System32\rmooq.dll
 
--------------
 
Pour le scan en ligne, il faut le faire avec IE en ayant le niveau de sécurité sur "Moyen" et dans "avancé" les paramètres par défaut.

Bon, après delete manuel de ces fichiers, et différents scans en ligne (secuser.com entre autre), plus rien n'est détecté !!
 
Je suis surpris que ça a été aussi simple ... j'arrive pas à y croire totalement lol
Je surveille toujours.
 
En tout cas merci à tous pour vos infos, en particulier à Acrobaze

Impec!    
 
Si tu veux finir le travail, tu relances HijackThis, et maintenant que les fichiers sont supprimés, tu dois avoir 2 lignes O2 se terminant par (no file). Coche-les et fixe-les. Ce sera comme si ça n'avait jms existé pour ton ordi.
 
A+!