Salut
 
Depuis quelques temps je me tape une saloperie de virus, spyware ou un truc dans le genre.
Ca me met un message debile au lieu de mon fond d'ecran normal.
Voila a quoi ca ressemble :

 
J'ai passé plusieurs antivirus, anti-adaware, spyware et cie mais rien n'a reussit a me le degager.
Je desespere, qq'un a t'il une idée ?
 
Mon log hijack au cas où...
 
Logfile of HijackThis v1.99.1
Scan saved at 22:41:14, on 03/03/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\System32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\WINDOWS\Mixer.exe
E:\WINDOWS\SOUNDMAN.EXE
E:\Program Files\D-Tools\daemon.exe
E:\Program Files\Microsoft AntiSpyware\gcasServ.exe
E:\Program Files\MSN Messenger\MsnMsgr.Exe
E:\Documents and Settings\Anne\Application Data\ahor.exe
E:\WINDOWS\System32\??oolsv.exe
E:\Program Files\VIA\RAID\raid_tool.exe
E:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
E:\Program Files\Avant Browser\avant.exe
E:\Documents and Settings\Anne\Bureau\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = D:\Divers\DEMARRAGE INTERNET 4.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = E:\WINDOWS\about.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = E:\WINDOWS\about.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *new-search.net*;*x-google.net*
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://E%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CNetscape_France.src" ); (E:\Documents and Settings\Anne\Application Data\Mozilla\Profiles\default\u5g1gchm.slt\prefs.js)
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - E:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] E:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [zzGBK] F:\Setup.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [loader32] E:\Documents and Settings\Anne\Application Data\SysDown\sys00520.exe
O4 - HKLM\..\Run: [process.exe] E:\WINDOWS\process.exe
O4 - HKLM\..\Run: [securer] E:\WINDOWS\System32\securer\syshost.exe
O4 - HKLM\..\Run: [6xz.exe] E:\documents and settings\anne\local settings\temp\6xz.exe
O4 - HKLM\..\Run: [Ixu1Ny7R.exe] E:\documents and settings\anne\local settings\temp\Ixu1Ny7R.exe
O4 - HKLM\..\Run: [gcasServ] "E:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MsnMsgr] "E:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSAgent] E:\WINDOWS\hhnt.exe
O4 - HKCU\..\Run: [cw5FRgcqT] ncxqtz32.exe
O4 - HKCU\..\Run: [Oosr] E:\Documents and Settings\Anne\Application Data\ahor.exe
O4 - HKCU\..\Run: [Ldbnql] E:\WINDOWS\System32\??oolsv.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = E:\Program Files\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: Bloquer ce serveur... - E:\Program Files\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Bloquer cette publicité... - E:\Program Files\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir tous les liens de la page... - E:\Program Files\Avant Browser\OpenAllLinks.htm
O8 - Extra context menu item: Rechercher sur le Web... - E:\Program Files\Avant Browser\Search.htm
O8 - Extra context menu item: Surligner - E:\Program Files\Avant Browser\Highlight.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'e:\program files\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll' missing
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted IP range: 67.19.178.84
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/ga [...] pote_x.cab
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/france_pa.exe
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/software [...] egular.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Environnement d'exécution Java 1.4.0_01) -  
O16 - DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} (Environnement d'exécution Java 1.4.0_01) -  
O17 - HKLM\System\CCS\Services\Tcpip\..\{E9FE68B4-3270-4007-B6E7-4F3F11F5D771}: NameServer = 209.47.15.118,64.157.143.38,192.168.0.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe
O23 - Service: kavsvc - Kaspersky Lab - E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
 
 
 
Merci d'avance pour votre aide.
 

oula en effet tu dois avoir un belle salopperie, c'est quoi ca deja
E:\WINDOWS\System32\??oolsv.exe

Merci de m'avoir repondu aussi vite.
Bon j'ai dégagé ??oolsv.exe mais le probleme est toujours là meme apres un reboot..
Je vois vraiment pas d'ou ca vient.
Je vais quand meme pas formaté pour ça....

Et le lien "Removal instructions", y marche pas?

non il donne rien

très bizarre tu as essayé spybot,ad-aware,ms antispyware, a squared, et autres et il est toujours là??

J'ai pas encore testé avec a², je vais essayer, merci du conseil.

slt,
passe ton log dans www.hijackthis.de, ca peut toujours servir.

Je l'ai eu la semaine dernière, et je l'ai viré çrâce à Microsoft antispyware. J'attendais rien d'un outil Microsoft, mais celui-ci a bien fait son boulot. Utilises le, tu seras débarassé. Moi aussi j'avais essayé tous les autres anti Spywares, sans aucun succès.

 
 
Si tu vois bien sa capture d'ecran,il est déjà installé... lol

Tu vas dans propriété de l'écran
 
Tu choisis l'onglet "desktop"
 
Tu cliques sur le bouton "customize desktop"
 
Tu choisis l'icone web et la tu décoches la page qui est mise
 
(en français évidemment si ton windows est en français)

Encore 2 choses:
 
- Le fichier E:\Documents and Settings\Anne\Application Data\ahor.exe me semble louche
 
- Et pour éviter ce fond d'écran, tu peux utiliser firefox et fini ce genre de problème

 
Ah oui exact. j'avais pas tout regardé, y'en a tellement. Bon n'empèche que pour moi cet outil a fonctionné.

 
Ca sert à rien. 5 ou 10 minutes plus tard ça revient ... J'avais tenté.

dans la case que tu as décoché, il n'est pas indiqué le répertoire ou se trouve le spyware ?

à moi aussi, regarde dans ce qui tourne (ctrl-alt-eff)
change ton fond d'écran sur "rien"
si ça revient c'est qu'il y a un autre parasite qui le change

salut, j'avais ce probleme et je l'ai regler a l'instant meme!
 
il s'agit d'un fichier qui est dans C:\WINDOWS\system32\spoolsrv32.exe   ce satané fichier je l'aurai bouffé!
 
 
donc voila la solution:
 
1)Telecharger CWSshredder,  Hijackthis et c'est suffisant, oui oui.
 
2)Ensuite lancer l'ordi en mode sans echec
 
3)lancer hijackthis:  dedans, supprimer toutes les ligne conportant ce fichier (spoolsrv32.exe) ainsi que (si vous les avait, car c'etait mon cas et je sais pas si ca a un rapport) les fichier se.dll   et  aussi un truc qui s'appele sp.  
 
 
4)Apres ouvrer shredder et fermer toutes les autres fenetres, meme explorer. Cliquer sur next puis apres le ptit scan, cliquer sur exit!
 
5) enfin aller voir dans les repertoire ou se trouver le fichier spoolsrv32.exe pour voir si il n'y est plus, sinon supprimer le. Et regarder si vous l'avez le fichier se.dll qui est dans C:\Document and settings\"votre nom"\local settings\Temp\se.dll
 
 
Voili voilou
Desoler si je ne suis pas precis, mais je n'est pas sauvegarder mon scan, je vous l'aurais montré.
 
Voila voilou, et dernier ptit truc: Allez dans C:\WINDOWS\web\Deskopt.htlm  et supprimer ce fichier qui est la fameuse page en fond d'ecran. (normalement elle doit plus  y etre avant de l'avoir supprimer)  Et enfin faite clique droit de la souris sur le burau  ensuite   >proprietes  puis dans l'onglet bureau allez dans personnalisation du bureau, puis dans l'onglet web verifier qu'il n'y est plus rien!
S'il y a ecrit  "Security" decocher le.
 
 
 
voila, j'espere vous avoir aider a detruire ce sataner truc. Bye
 

et va un coup dans ajouter suppression, tu devrait avoir un truc nommé "broswer helper" : supprime moi ca immefiatemment! lol

heu à ma connaissance microsoft antispyware le détecte et le vire ................

merci de vos reponses, je vais essayer vos solutions, je vous tiens au courant.

 
 
Ca marche pour l'instant.
Merci beaucoup c'etait tout con mais fallait y penser !
   

Attend!! c'est pas pour autant qu'il est parti! t'a juste desactiver mais le fichier qui a creer ca  est toujours la!
 
 
lit ce que j'ai ecrit, sauf le debut peut etre,  regarde dans ajouter suppression.