Forum Clubic

Cherche qq'un très fort pour virer "à vie" SE.DLL et about:blank !

Je relance le défi car aucune solution n’a fonctionné malgré mon dernier forum sur le même sujet et la visite de sites en anglais : about:blank et se.dll reviennent régulièrement malgré : hijackthis, adaware, spybot, cwshredder, startdreck, norton AV, le tout en mode sans échec, en ayant supprimé les fichiers windows/temp, et même fait pandasoftware qui m’a tué des virus non détecté par norton AV.

J’ai trouvé des conseils (vains) sur cette page :

http://www.bleepingcomputer.com/forums/topict4222.html

et je viens de trouver ceci sur un autre site anglais mais que j’ai du mal à interpréter :

[i]I think I’ve found the solution to this nagging problem. This was after much study and realizing that this thing was embedding itself deeper than the registry… no Spy Checker, or Hijacker… can solve this, only brute force… similar to the brute way this thing inserted itself to begin with…

The “se.dll” problem is embbeded deeper in the startup of Windows. The culprit is a ‘window hook’ called “won.—” located in the Windows/ directory. Use Dr. Watson to verify this. This hook intercepts all window activity and periodically recreates the temp/se.dll pest that’s been bothering everone in the internet these days, if it is missing or has been deliberately corrupted, which in turn creates the random message generator located in the /system directory and loaded as a Browser Helper Object. This nasty hook also modifies the Registry with the home page and BHO overwrites.
Booting Windows to “Safe” mode does not work, because this ugly critter loads with the Basic load, before loading the registry.
To remove, you have to DOS boot (or create a “Startup Disk” from the “add/Remove Programs” utility). Re-Boot without starting windows, delete or rename “Windows/won.—”. Remove DOS boot diskette, Reboot to windows. You will receive a RunDLL error (saying it cannot find “won.—” on the first boot, but after it will go away after further reboots. Any further problems with SE.DLL should go away and your interaction with windows should be faster since your keystrokes are no longer intercepted by “won.—”. Hope that helps![/i]

Voilà… j’ai regardé : je n’ai pas de répertoire windows/won dans mon Explorateur, et je ne suis pas assez bon pour comprendre cette histoire de startup disk et de rebooter sans démarrer windows…

voici résultat de hijackthis et mon ordi semble propre, mais je sais que dans quelques surfs, se.dll reviendra…

Logfile of HijackThis v1.99.1
Scan saved at 00:17:44, on 14/03/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\WINWORD.EXE
C:\PROGRAM FILES\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://actualite.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.free.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://free.fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Popup Manager - {08E74C67-99A6-45C7-94DA-A397A8FD8082} - C:\PROGRAM FILES\POPUP MANAGER\POPUPMGR_1.0.2.1P.DLL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM…\Run: [NAV Agent] C:\PROGRA~1\NORTO~10\NAVAPW32.EXE
O4 - HKLM…\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM…\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM…\Run: [SystemTray] SysTray.Exe
O4 - HKLM…\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM…\Run: [Zone Labs Client] “C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe”
O4 - HKLM…\RunServices: [ScriptBlocking] “C:\Program Files\Fichiers communs\Symantec Shared\Script Blocking\SBServ.exe” -reg
O4 - HKLM…\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O15 - Trusted IP range: 206.161.125.149 (HKLM)

j’ai un doute sur C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE car quand se.dll revient, dans le gestionnaire de tache j’ai déja vu apparaitre plusieurs fois la ligne “Iexplore”, et aussi je n’arrive pas à virer O15 - Trusted IP range: 206.161.125.149 (HKLM), ce site n’apparait pas dans la liste des sites autorisés ou interdits (dans options internet/sécurité) et j’ignore ce que c’est.

Que dire de plus :

  • j’ai W98 sur lequel on ne peut pas désactiver la Restauration Système je crois (je ne sais pas trop ce que ca veut dire)
  • se.dll revient comme ça : l’ordi fonctionne normalement pendant 1 ou 2 jours, je surfe, tout va bien, puis soudain, quand je demande l’Explorateur, ça me sort une alerte de virus en disant que se.dll est infecté, je le mets alors en quarantaine via norton AV.

Merci à celui qui aura eu le courage de lire, de comprendre, et peut-être qui trouvera LA solution.

Essaye l’utilitaire StartupRun. Il t’affiche tout ce qui tourne au démarrage, et tu supprimes (disabled) tout ce que tu ne veux pas.

As-tu installé un log avant l’apparition de tes problèmes?
Moi j’avais la page about:blank aussi, et c’était msn+ qui me causait ce désagrément

bonjour, télécharger DllCompare http://downloads.subratam.org/DllCompare.exe , exécuter l’application,

ensuite sur l’interface changer le chemin par défaut(C:\WINDOWS\system32) en C:(ou bien la lettre du disque sur le quel le problème persiste), cocher “Include Subdirectories” et cliquer sur Run Locate.com …laisser faire le scan, quand il est fini cliquer sur Compare et laisser faire le scan et pour finir “Make a log of what was found”.

coller le resultat ici sur le forum :slight_smile:

essaye en installant l’antispyware de microsoft , vu qu’il y a un résident , tu verra certainement d’ou viens ton probleme

bonjour keeper, voici le résultat de Dllcompare

  • DLLCompare Log version(1.0.0.127)
    Files Found that Windows does not See or cannot Access
    *Not everything listed here means you are infected!

C:\PROGRA~1\ACCESS~1\mspcx32.dll Wed 5 May 1999 22:22:00 …H. 53 248 52,00 K


2 727 items found: 2 726 files (1 H/S), 1 directory.
Total of file sizes: 516 383 289 bytes 492,46 M

--------------------End log---------------------

ok,

refais la même manipulation avec dllcompare mais laisse par défaut …tu l’ouvre et tu l’exécute c’est tout.

stp refais aussi un .log complet de HijackThis
egalement télécharger ce petit script et l’exécuter http://www.silentrunners.org/ (clique download)

voilà montre nous les logs complets :wink:

Pour info hier soir mon pc marchait correct puis ce soir le se.dll est réapparu, bloqué par norton AV car contenant un virus. J’ai un message rundll32 (un truc comme ça) me disant “qu’il ne trouve pas se.dll”

spybot me trouve un “webdialer” dans le registre que j’ai tué

voici resultat Dllcompare en laissant par défaut (c:\windows\system) mais en incluant les “subdirectories”

  • DLLCompare Log version(1.0.0.127)
    Files Found that Windows does not See or cannot Access
    *Not everything listed here means you are infected!

O^E says: “There were no files found :)”


1 040 items found: 1 040 files, 0 directories.
Total of file sizes: 166 000 998 bytes 158,31 M

--------------------End log---------------------

voici résultat highjackthis

Logfile of HijackThis v1.99.1
Scan saved at 22:12:42, on 15/03/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAM FILES\OVERNET\OVERNET.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.free.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://free.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Popup Manager - {08E74C67-99A6-45C7-94DA-A397A8FD8082} - C:\PROGRAM FILES\POPUP MANAGER\POPUPMGR_1.0.2.1P.DLL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: (no name) - {32BD6887-76BD-11D8-B6EB-00078E68E7F1} - C:\WINDOWS\SYSTEM\DDNK.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM…\Run: [NAV Agent] C:\PROGRA~1\NORTO~10\NAVAPW32.EXE
O4 - HKLM…\Run: [Zone Labs Client] “C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe”
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O18 - Filter: text/html - {32BD6886-76BD-11D8-B6EB-0007E124426A} - C:\WINDOWS\SYSTEM\DDNK.DLL
O18 - Filter: text/plain - {32BD6886-76BD-11D8-B6EB-0007E124426A} - C:\WINDOWS\SYSTEM\DDNK.DLL

enfin pour Silentrunners je l’ai téléchargé mais je ne sais pas ce que c’est, norton AV me le bloque en tant que “malicious script detected”, j’ai demandé de l’éxécuter “allow the entire script once”, ça m’a créé ce fichier ci-dessous, et on me dit sur un autre message à l’écran que WMI n’est pas installé et qu’il ne peut pas “run” ce script, je ne sais pas quoi faire, désolé, mes connaissances sont limitées sur le sujet

“Silent Runners.vbs”, revision 32, http://www.silentrunners.org/
Operating System: Windows 98
Output limited to non-default values, except where indicated by “{++}”

This script requires WMI, which can be downloaded at: http://tinyurl.com/jbxe

arf oui c’est vrais tu est sous 98SE
re arf j’ai vu par après que tu avais norton :o ,
pas grave nous avons un log de Hijack qui parle de sois
suivre la suite mais ne pas redémarrer avant de finir :

*télécharger Killbox.exe http://www.downloads.subratam.org/KillBox.zip (dezipper)
*télécharger AboutBuster http://www.spychecker.com/program/aboutbuster.html (dezipper)
*fermer tout programme IE, OE MSN Messenger etc
*coupe la connexion al’internet aussi via ton modem

bon, tu exécute Killbox et tu coche “End Explore Shell While Killing File” et dans Tools exécute Delete Temp Files une fenêtre ms-dos va apparaître et aussi tôt disparaître.si tu ne vois plus ta barre de tâches c’est normal (tu clique sur Start Explorer Shell)
i profiter pour vérifier les hosts(Tools, Open Hosts) …une seule entrée doit être présente après l’exemple(127.0.0.1) soit des entrées ajoutées par Spybot, dans le cas contraire tu copie le contenu et coller ici sur le forum)[/i]

exécute AboutBuster et tu répond OK mais tu ne fais pas de update(tu n’a pas de connexion internet de toute façon) puis Start et tu lui répond encore OK puis laisse faire encore une fois OK pour la deuxième phase etc …deux fois de suite c’est bon(supprimer les entrées si trouvées)(copier le log)

exécute HijackThis et tu coche les lignes suivantes :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;
O2 - BHO: (no name) - {32BD6887-76BD-11D8-B6EB-00078E68E7F1} - C:\WINDOWS\SYSTEM\DDNK.DLL
O15 - Trusted IP range: 206.161.125.149 (HKLM) (je n’arrive pas les pinguer ni de tracert donc shoothem)
O18 - Filter: text/html - {32BD6886-76BD-11D8-B6EB-0007E124426A} - C:\WINDOWS\SYSTEM\DDNK.DLL
O18 - Filter: text/plain - {32BD6886-76BD-11D8-B6EB-0007E124426A} - C:\WINDOWS\SYSTEM\DDNK.DL

tu supprime …oui oui tu a bien vue que nous avons supprimer des entrées correctes de about:blank mais tous ca nous allons les rétablir avec Spybot donc pas de stress tu aura tjr une page de démarrage about:blank si tu le souhaite …espérant pas forcé.

redémarrer la machine et poster un .log de HijackThis + AboutBuster :d

:stuck_out_tongue:

Je ne sais pas si cette adresse a été donnée :
http://www.iamnotageek.com/a/se.dll.php

:stuck_out_tongue: nglechau malheuresement c’est encore une variante de cws donc des updates a l’infini …ils sont malins les russ :wink:

gros pbm j’ai du mal à relancer l’ordi qui bloque sur ecran windows, après 20 fois en mode sans echec j’ai enfin réussi à revenir, j’essaye tout ce qui est dit ci-dessus, si no news ce soir je retente demain, merci les gars, à suivre.

Keeper :stuck_out_tongue: j’espère qu’il n’y pas de clubiciens russes qui passent te lire :lol:

OK Jotave, à suivre…

me revoilà, je poste les Log dans 2mn puis vais me coucher, je reprendrai demain. Ma page de démarrage est devenue google.com je ne sais pas par quel hasard… bon, merci, ne vous couchez pas trop tard.

SELON CONSIGNES DE KEEPER : tu exécute Killbox et tu coche “End Explore Shell While Killing File” OK C’EST FAIT et dans Tools exécute Delete Temp Files OK une fenêtre ms-dos va apparaître et aussi tôt disparaître J’AI MIS OUI PUIS ENVOI ELLE S’EST EN EFFET FERMEE .si tu ne vois plus ta barre de tâches c’est normal (tu clique sur Start Explorer Shell) NON ELLE ETAIT VISIBLE
(*) profiter pour vérifier les hosts(Tools, Open Hosts) … ) EN DEMANDANT HOST FILES VOICI REPONSE : #6.250.171.167 xuto.search.msn.com .une seule entrée doit être présente après l’exemple(127.0.0.1) soit des entrées ajoutées par Spybot, dans le cas contraire tu copie le contenu et coller ici sur le forum JE NE COMPRENDS PAS CETTE PHRASE

exécute AboutBuster et tu répond OK mais tu ne fais pas de update(tu n’a pas de connexion internet de toute façon) puis Start et tu lui répond encore OK puis laisse faire encore une fois OK pour la deuxième phase etc …deux fois de suite c’est bon VOILA LE LOG CI-DESSOUS (supprimer les entrées si trouvées)(copier le log)

[i]Scanned at: 00:47:17 on: 16/03/04

– Scan 1 ---------------------------
About:Buster Version 4.0
Reference List : 19

ADS not scanned System(FAT)
Attempted Clean Of Temp folder.
Pages Reset… Done!

– Scan 2 ---------------------------
About:Buster Version 4.0
Reference List : 19

ADS not scanned System(FAT)
Attempted Clean Of Temp folder.
Pages Reset… Done![/i]

VOICI MAINTENANT LOG DE HIJACKTHIS APRES AVOIR VIRE LES LIGNES QUE TU M AS INDIQUEES – ATTENTION TU VAS VOIR QUE JE N ARRIVE PAS A VIRER LA LIGNE SUIVANTE (JAMAIS JE N AI REUSSI A LA VIRER DEPUIS LE DEBUT DE MES PROBLEMES) : " O15 - Trusted IP range: 206.161.125.149 (HKLM) (je n’arrive pas les pinguer ni de tracert donc shoothem) "

[i]Logfile of HijackThis v1.99.1
Scan saved at 00:54:00, on 16/03/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAM FILES\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\WINWORD.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAM FILES\ABOUTBUSTER\ABOUTBUSTER.EXE
C:\PROGRAM FILES\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://free.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Popup Manager - {08E74C67-99A6-45C7-94DA-A397A8FD8082} - C:\PROGRAM FILES\POPUP MANAGER\POPUPMGR_1.0.2.1P.DLL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM…\Run: [NAV Agent] C:\PROGRA~1\NORTO~10\NAVAPW32.EXE
O4 - HKLM…\Run: [Zone Labs Client] “C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe”
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O15 - Trusted IP range: 206.161.125.149 (HKLM)[/i]

VOILA JE VAIS REDEMARRER APRES AVOIR REBRANCHE MA FREEBOX ET J ESSAYE DE TE POSTER CE MESSAGE QUE JE VIENS D ECRIRE EN WORD. SI TU L AS BIEN C EST QUE J AI PU REDEMARRER

J ESPERE VOUS RELIRE DEMAIN… JE ME RACCROCHE A TOI KEEPER COMME A UNE BOUEE… ENCORE MERCI A TOUS LES 2 POUR LE TEMPS PASSE. JOTAVE60

Si vous parlez anglais, relisez le long texte anglais en tout début de ce forum. Je parle anglais mais ne comprends pas les manips, mais peut-être vous oui, et si ça peut être une piste ? tchao !

Oui, je comprends le paragraphe en anglais : en gros, ça dit que ce virus s’est inséré comme service de base de Windows donc il se lance même en mode sans échec. Impossible de le désactiver par msconfig.

Le se.dll est périodiquement créé par ce hook qui est physiquement dans un dossier won… dans C:\Windows --> as-tu affiché les dossiers/fichiers cachés/système ?

Pour le fichier hosts (il est sans extension), le fichier se trouve dans C:\Windows. Tu peux l’ouvrir avec le Bloc-note puis poster son contenu ici.

Sinon ton log HJT a l’air clean, à part POPUPMGR je suppose que c’est toi qui l’as installé.

nglechau : dans option des dossiers, j’ai demandé d’afficher les dossiers cachés. C’est ça que tu veux dire quand tu dis “as-tu affiché les dossiers/fichiers cachés/système ?”

pour le fichier host (je pense que tu parles de ceci trouvé par Killbox (?): #6.250.171.167 xuto.search.msn.com : je ne trouve pas dans c/windows qqchose qui ressemble à ca (j’ai regardé les fichiers començant par x comme xuto.search mais yapa)

pour POPUPMGR oui c’est moi qui l’ait installé.

Oui, c’est ce que je voulais dire.

Et malgré tout ça tu ne trouves pas de dossier won… ?

Le fichier s’appelle hosts sans extension.

Les lignes 6.250.171.167… se trouve dans le contenu de ce fichier.

Traduisez correctement.

Le texte dit : [quote=""]
créez une disquette de boot. Démarrez avec.
Ne pas charger Windows. Effacer “c:\Windows\won.—”.
Retirez la disquette. Rebootez.*
Lors de ce premier boot, vous allez recevoir un message d’erreur disant
que windows ne peut trouver won.— .
Ce message disparaitra après quelques reboot.
[/quote]

A essayer, à vérifier.