Bonjour à tous,
 
des connections se font automatiquement à partir d'internet exploreur. La fenêtre n'apparaît pas mais dans le task manager, internet explorer est bien en train de tourner... et j'ai bien peur que cela soit vers des numéros surtaxés...
 
AdAware ne me trouve rien ni Pest Patrol.
 
De plus et je pense que cela est lié, le player de windows se lance automatiquement à chaque démarrage de la bécane et demande un accès internet (que je peux bloquer celui-là avec Zone alarm).
 
Pourriez m'aider s'il vous plait ? Cela vous est-il déjà arrivé ... ?
 
Merci d'avance.

Passe un coup d'Hijack This, puis click sur save log et copie colle le résultat ici

Thanks :
 
Logfile of HijackThis v1.97.7
Scan saved at 20:14:55, on 27/07/2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
E:\Utile\Internet\PestPatrol\PPControl.exe
E:\Utile\Internet\PestPatrol\PPMemCheck.exe
E:\UTILE\INTERNET\PESTPA~1\CookiePatrol.exe
C:\WINDOWS\System32\CTHELPER.EXE
E:\Utile\Internet\ZoneAlarm\zlclient.exe
C:\windows\rundll32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Downloads\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.5/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.5/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.5/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.5/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.5/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.5/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.5/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://195.225.176.5/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://195.225.176.5/ie
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8118
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.5/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.5/
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.search-1.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.search-1.net/search.html
F0 - system.ini: Shell=Explorer.exe monitor.exe
F2 - REG:system.ini: Shell=Explorer.exe monitor.exe
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://www.google.fr" ); (C:\Documents and Settings\Le Nain des Bois\Application Data\Mozilla\Profiles\default\lt7jtn9g.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CNetscape_France.src" ); (C:\Documents and Settings\Le Nain des Bois\Application Data\Mozilla\Profiles\default\lt7jtn9g.slt\prefs.js)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Utile\Système\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - E:\UTILE\INTERNET\FLASHGET\jccatch.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\UTILE\INTERNET\FLASHGET\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PestPatrol Control Center] E:\Utile\Internet\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] E:\Utile\Internet\PestPatrol\PPMemCheck.exe  
O4 - HKLM\..\Run: [CookiePatrol] E:\Utile\Internet\PestPatrol\CookiePatrol.exe  
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] E:\Drivers\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [Zone Labs Client] "E:\Utile\Internet\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKCU\..\Run: [StartPage] C:\windows\rundll32.exe
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\System32\sti_ci.dll,WiaCreateWizardMenu
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\Office\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - E:\Utile\Internet\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - E:\Utile\Internet\FlashGet\jc_link.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Translate (HKLM)
O9 - Extra 'Tools' menuitem: LingoWare Translator... (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O13 - DefaultPrefix: http://195.225.176.5/pre.pl?
O13 - WWW Prefix: http://195.225.176.5/pre.pl?
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\nosuch.mht!http://hc.countere.com/masta.chm:on-line.exe
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://C:oo.mhtml!http://81.9.3.86//scripts//dw//chm.chm?id=dp:win.exe
O16 - DPF: {11010101-1001-1111-1000-115676576811} - ms-its:mhtml:file://c:\nosuch.mht!http://www.ustimerz.com/tm11111/var.chm:var.exe
O16 - DPF: {11010101-1001-1111-1000-115676576822} - ms-its:mhtml:file://c:\nosuch.mht!http://www.ustimerz.com/nm22222/par1.chm:par1.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.184.22/test.chm:Eve.exe
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://c:\foo.mht!http://66.98.208.89/x3x/sol3.chm:xxx.exe
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} - http://www.xxxtoolbar.com/ist/soft [...] egular.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} - https://www.gamespyid.com/alaunch.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {82202BE7-C56A-487E-9E55-D84BDC1A5776} - http://install.anark.com/client/ve [...] Client.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
O16 - DPF: {FEC3E5A3-50F7-4B0C-97D8-01CF69DFBFC7} - http://ccon.madonion.com/global/msc.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{04D52B82-75B3-4E33-B94A-E00AFE3211CC}: NameServer = 195.238.2.21 195.238.2.22
O17 - HKLM\System\CS1\Services\Tcpip\..\{04D52B82-75B3-4E33-B94A-E00AFE3211CC}: NameServer = 195.238.2.21 195.238.2.22

Lance regedit, va à la clé "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" et envoie la liste des programmes dont tu n'es pas sur (nb : blaster y écrivais une clé nommée windowsupdate => tous ceux dont tu n'es pas absolument certain !!)
 
Waiting for answer

Ouais enfin son log hijack this est curieux... ya pas mal de bordel quand même.
 
J'ai l'impression que ya des clés R1 et R0 suspectes, et aussi des 013 et 016.
Ca aussi c'est suspect ça ressemble pas au Windows Update : O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE  

je suis là j'étudie, d'accord avec ndi76 ça pue

je vais aller vérifier sur le tomic officiel

Key Name:          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Class Name:        <NO CLASS>
Last Write Time:   27/07/2004 - 18:30
Value 0
  Name:            NvCplDaemon
  Type:            REG_SZ
  Data:            RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
 
Value 1
  Name:            nwiz
  Type:            REG_SZ
  Data:            nwiz.exe /install
 
Value 2
  Name:            PestPatrol Control Center
  Type:            REG_SZ
  Data:            E:\Utile\Internet\PestPatrol\PPControl.exe
 
Value 3
  Name:            PPMemCheck
  Type:            REG_SZ
  Data:            E:\Utile\Internet\PestPatrol\PPMemCheck.exe  
 
Value 4
  Name:            CookiePatrol
  Type:            REG_SZ
  Data:            E:\Utile\Internet\PestPatrol\CookiePatrol.exe  
 
Value 5
  Name:            NvMediaCenter
  Type:            REG_SZ
  Data:            RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
 
Value 6
  Name:            WINDVDPatch
  Type:            REG_SZ
  Data:            CTHELPER.EXE
 
Value 7
  Name:            UpdReg
  Type:            REG_SZ
  Data:            C:\WINDOWS\UpdReg.EXE
 
Value 8
  Name:            Jet Detection
  Type:            REG_SZ
  Data:            E:\Drivers\Creative\SBLive\PROGRAM\ADGJDet.exe
 
Value 9
  Name:            Zone Labs Client
  Type:            REG_SZ
  Data:            "E:\Utile\Internet\ZoneAlarm\zlclient.exe"
 
Value 10
  Name:            QuickTime Task
  Type:            REG_SZ
  Data:            "C:\WINDOWS\System32\qttask.exe" -atboottime
 
 
Key Name:          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents
Class Name:        <NO CLASS>
Last Write Time:   29/05/2003 - 16:27
 
Key Name:          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL
Class Name:        <NO CLASS>
Last Write Time:   29/05/2003 - 16:27
Value 0
  Name:            Installed
  Type:            REG_SZ
  Data:            1
 
 
Key Name:          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI
Class Name:        <NO CLASS>
Last Write Time:   29/05/2003 - 16:27
Value 0
  Name:            Installed
  Type:            REG_SZ
  Data:            1
 
Value 1
  Name:            NoChange
  Type:            REG_SZ
  Data:            1
 
 
Key Name:          HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS
Class Name:        <NO CLASS>
Last Write Time:   29/05/2003 - 16:27
Value 0
  Name:            Installed
  Type:            REG_SZ
  Data:            1
 
 
Bon, je les ai tous mis.
 
Je pense qu'il y a du Zonealarm, du NVidia, du PestPatrol (3), un soundbalster (?) et le quicktime à la noix.
 
sic.

UpdReg.EXE = mise à jour creative labs => OK

ok pour creative  
Sinon ya pas tout dans le topic officiel mais je persiste sur les clès.
 
Il faudrait avoir d'autres avis ce serait mieux.

bon ndi76 à raison sur la clé 16 elle pue grave => vide ton répertoire "c:\recycler" genre console DOS => "cd c:\recycler" => "attrib -H *", puis "attrib -S *" et "attrib -R *", et enfin "del /S *"
Je continue à fouiller

le rundll32.exe dans le répertoire windows n'est pas normal car il doit être dans le sous répertoire system32 et on le retrouve dans la clés
 
O4 - HKCU\..\Run: [StartPage] C:\windows\rundll32.exe
 
par contre ça c'est bon, c'est pour ta webcam je pense
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\System32\sti_ci.dll,WiaCreateWizardMenu

J'ai pas de répertoire c:\recycler...
 
Edit : et j'ai pas de webcam...
 
ReEdit : ok recycleD !

lol c'est vraiment le foutoir ta machine  
 
EDIT : je pense que minipouss a raison sur le rundll32.exe

ah! là http://www.sysinfo.org/startuplist.php?filter=sti_ci ils ont l'air de dire que c'est installé avec une webcam  
 
mais dans la clé y a pas c:\windows\system 32 car c'est vrai que le rundll32 doit être dans le même répertoire que la dll normalement

suite : tu t'es probablement fais piraté ta machine : le préfixe "http://195.225.176.5/" correspond au domaine "netcathost.com" qui est ukrainien => à moins que tu sois russophone (c'est mon cas) je pense que ça pue !!!
 
Lance ton regedit, va à la clé HKCU\Software\Microsoft\Internet Explorer\Main et remplace toutes les occurences de "http://195.225.176.5/" et de "http://www.search-1.net/search.html" (site qui n'existe plus d'ailleurs) par ce que tu veux (http://www.google.com par ex)

C:\>cd recycled
 
C:\RECYCLED>attrib -h *
Not resetting system file - C:\RECYCLED\desktop.ini
 
C:\RECYCLED>attrib -s *
Not resetting hidden file - C:\RECYCLED\desktop.ini
 
C:\RECYCLED>attrib -r *
Not resetting hidden file - C:\RECYCLED\desktop.ini
 
C:\RECYCLED>del *.* /s
C:\RECYCLED\*.*, Are you sure (Y/N)? y
Deleted file - C:\RECYCLED\INFO2
Deleted file - C:\RECYCLED\Q330995.exe
Deleted file - C:\RECYCLED\1.exe
 
C:\RECYCLED>

 
Pardon, j'ai deux mains gauche qd je frappe vite

le rundll32 pue d'autant plus qu'il est lancé directement par IE comme si il était une page web : si il existe bien dans C:\windows supprime le (pas celui du System32 !!!!)

Bon j'ai viré tous les http://195.225.176.5/ dans la clef mais je n'ai pas trouvé de http://www.search-1.net/search.html à cet endroit.
 
Et:
 
C:\WINDOWS>del rundll32.exe
C:\WINDOWS\rundll32.exe
Access is denied.

verifie dans le gestionnaire des taches que le "Rundll32" n'est pas lancé. si c'est le cas, tu kill le process et tu réessaye de le supprimer

Ca y est, supprimé.... et des http://www.search-1.net/search.html j'en ai trouvé (et supprimé) ailleurs.
 
Merci les gars au fait...
 
Edit : tout ceci effectué, j'rebooterais bien un coup, non ?

de rien, on est là pour ça    

ça roule

no prob et un conseil utilise plutôt Mozilla Firefox que IE.
 
Oui reboot de préférence

oui, bonne idée le reboot. profite en pour vérifier que les saloperies ne sont pas revenues : peu probable, elles ont la tronche de cochonneries installées par une page web douteuses (Ah IE de cro$oft...)

Bon je reboot : si je ne reviens pas de suite vous dire un mot c'est que ma bécane est morte
 
A tout' j'espère.

d'accord avec ndi76 pour firefox (c'est ce que j'utilise)

Relut tout le monde.
 
Bon tout à l'air d'aller bien pour l'instant sauf ce p..... de windowsmediaplayer qui continue de se lancer au démarrage.
 
Merci bcp à tous, comptez sur moi pour revenir vous embêter si le problème persiste !
 
A+.
 
 
 
Edit : le nouveau.
 
Logfile of HijackThis v1.97.7
Scan saved at 21:14:28, on 27/07/2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
E:\Utile\Internet\PestPatrol\PPControl.exe
E:\Utile\Internet\PestPatrol\PPMemCheck.exe
E:\Utile\Internet\PestPatrol\CookiePatrol.exe
C:\WINDOWS\System32\CTHELPER.EXE
E:\Utile\Internet\ZoneAlarm\zlclient.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Downloads\HijackThis.exe
C:\WINDOWS\System32\taskmgr.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =  
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8118
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =  
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =  
F0 - system.ini: Shell=Explorer.exe monitor.exe
F2 - REG:system.ini: Shell=Explorer.exe monitor.exe
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://www.google.fr" ); (C:\Documents and Settings\Le Nain des Bois\Application Data\Mozilla\Profiles\default\lt7jtn9g.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CNetscape_France.src" ); (C:\Documents and Settings\Le Nain des Bois\Application Data\Mozilla\Profiles\default\lt7jtn9g.slt\prefs.js)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Utile\Système\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - E:\UTILE\INTERNET\FLASHGET\jccatch.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\UTILE\INTERNET\FLASHGET\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PestPatrol Control Center] E:\Utile\Internet\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] E:\Utile\Internet\PestPatrol\PPMemCheck.exe  
O4 - HKLM\..\Run: [CookiePatrol] E:\Utile\Internet\PestPatrol\CookiePatrol.exe  
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] E:\Drivers\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [Zone Labs Client] "E:\Utile\Internet\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKCU\..\Run: [StartPage] C:\windows\rundll32.exe
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\System32\sti_ci.dll,WiaCreateWizardMenu
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\Office\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - E:\Utile\Internet\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - E:\Utile\Internet\FlashGet\jc_link.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Translate (HKLM)
O9 - Extra 'Tools' menuitem: LingoWare Translator... (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O13 - DefaultPrefix:  
O13 - WWW Prefix:  
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\nosuch.mht!http://hc.countere.com/masta.chm:on-line.exe
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://C:oo.mhtml!http://81.9.3.86//scripts//dw//chm.chm?id=dp:win.exe
O16 - DPF: {11010101-1001-1111-1000-115676576811} - ms-its:mhtml:file://c:\nosuch.mht!http://www.ustimerz.com/tm11111/var.chm:var.exe
O16 - DPF: {11010101-1001-1111-1000-115676576822} - ms-its:mhtml:file://c:\nosuch.mht!http://www.ustimerz.com/nm22222/par1.chm:par1.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.184.22/test.chm:Eve.exe
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://c:\foo.mht!http://66.98.208.89/x3x/sol3.chm:xxx.exe
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} - http://www.xxxtoolbar.com/ist/soft [...] egular.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} - https://www.gamespyid.com/alaunch.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {82202BE7-C56A-487E-9E55-D84BDC1A5776} - http://install.anark.com/client/ve [...] Client.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
O16 - DPF: {FEC3E5A3-50F7-4B0C-97D8-01CF69DFBFC7} - http://ccon.madonion.com/global/msc.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{04D52B82-75B3-4E33-B94A-E00AFE3211CC}: NameServer = 195.238.2.21 195.238.2.22
O17 - HKLM\System\CS1\Services\Tcpip\..\{04D52B82-75B3-4E33-B94A-E00AFE3211CC}: NameServer = 195.238.2.21 195.238.2.22

tu as encore des merdes avec tes clés 016

Oups : tu utilises kel OS ?

Q330995.exe est un trojan

J'utilise XP Prof.
 
Pour les merdes des clefs 16, je suis tout ouïe...
 
Y'a toujours les 2 fichiers dans c:\recycled que j'avais pourtant virés tout à l'heure.

et le startpage est toujours là aussi
 
O4 - HKCU\..\Run: [StartPage] C:\windows\rundll32.exe
 
mais c'est juste la clé run pas le programme

bon, t'es sous XP => l'option de restauration est elle activée ? Si oui, tu la vire, les fichiers sont réinstaller à cause de ça
J'attends ta confirmation pour la suite

Non, l'option de restauration est désactivée.
Je lance un RegSeeker pour nettoyer la base...

cherche aussi les fichiers Q330995.exe et 1.exe dans tout ton poste de travail
PS : supprime la xxxtoolbar, ce genre de truc ne peut t'amener que des merdes

Le dernier après nettoyage :
 
Logfile of HijackThis v1.97.7
Scan saved at 21:45:34, on 27/07/2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
E:\Utile\Internet\PestPatrol\PPControl.exe
E:\Utile\Internet\PestPatrol\PPMemCheck.exe
E:\Utile\Internet\PestPatrol\CookiePatrol.exe
C:\WINDOWS\System32\CTHELPER.EXE
E:\Utile\Internet\ZoneAlarm\zlclient.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Downloads\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =  
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8118
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =  
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =  
F0 - system.ini: Shell=Explorer.exe monitor.exe
F2 - REG:system.ini: Shell=Explorer.exe monitor.exe
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://www.google.fr" ); (C:\Documents and Settings\Le Nain des Bois\Application Data\Mozilla\Profiles\default\lt7jtn9g.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CNetscape_France.src" ); (C:\Documents and Settings\Le Nain des Bois\Application Data\Mozilla\Profiles\default\lt7jtn9g.slt\prefs.js)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Utile\Système\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - E:\UTILE\INTERNET\FLASHGET\jccatch.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\UTILE\INTERNET\FLASHGET\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PestPatrol Control Center] E:\Utile\Internet\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] E:\Utile\Internet\PestPatrol\PPMemCheck.exe  
O4 - HKLM\..\Run: [CookiePatrol] E:\Utile\Internet\PestPatrol\CookiePatrol.exe  
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] E:\Drivers\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [Zone Labs Client] "E:\Utile\Internet\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\System32\sti_ci.dll,WiaCreateWizardMenu
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\Office\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - E:\Utile\Internet\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - E:\Utile\Internet\FlashGet\jc_link.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Translate (HKLM)
O9 - Extra 'Tools' menuitem: LingoWare Translator... (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O13 - DefaultPrefix:  
O13 - WWW Prefix:  
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\nosuch.mht!http://hc.countere.com/masta.chm:on-line.exe
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://C:oo.mhtml!http://81.9.3.86//scripts//dw//chm.chm?id=dp:win.exe
O16 - DPF: {11010101-1001-1111-1000-115676576811} - ms-its:mhtml:file://c:\nosuch.mht!http://www.ustimerz.com/tm11111/var.chm:var.exe
O16 - DPF: {11010101-1001-1111-1000-115676576822} - ms-its:mhtml:file://c:\nosuch.mht!http://www.ustimerz.com/nm22222/par1.chm:par1.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} -  
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.184.22/test.chm:Eve.exe
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://c:\foo.mht!http://66.98.208.89/x3x/sol3.chm:xxx.exe
O16 - DPF: {11311111-1111-1111-1111-111111111157} -  
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} - http://www.xxxtoolbar.com/ist/soft [...] egular.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} - https://www.gamespyid.com/alaunch.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {82202BE7-C56A-487E-9E55-D84BDC1A5776} - http://install.anark.com/client/ve [...] Client.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
O16 - DPF: {FEC3E5A3-50F7-4B0C-97D8-01CF69DFBFC7} - http://ccon.madonion.com/global/msc.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{04D52B82-75B3-4E33-B94A-E00AFE3211CC}: NameServer = 195.238.2.21 195.238.2.22
O17 - HKLM\System\CS1\Services\Tcpip\..\{04D52B82-75B3-4E33-B94A-E00AFE3211CC}: NameServer = 195.238.2.21 195.238.2.22
 
Je n'ai trouvé aucun Q330995.exe ou 1.exe
Pour la xxxtoolbar, je ne sais pas ce que c'est, je regarde...

allo ?

oui ?