Sites Winfixer ou Amxtravel sous IE6

Salut,
J'ai un soucis depuis quelques jours en utilisant IE6 (pas avec AM Browser ou autre) : une fenêtre sous IE6 s'ouvre sur les sites Winfixer ou Amxtravel. J'ai dans un 1er temps supprimé les cookies. J'ai vu que je n'étais pas le seul à avoir ce pb, mais je n'arrive pas à trouver la solution malgré les lectures des différents posts.
J'ai une dll C:\WINDOWS\msagent\catdvd.dll qui me turlupine...
Est-ce que je peux coller le rapport HighJackThis SVP ?
Merci d'avance pour votre aide.
A+

Bonjour.

-Redémarre en mode sans échec (session administrateur si possible), (en tapotant F8 au démarrage). Si tu ne comprend pas, >>regarde ici<<.


-Supprimes manuellement les fichiers suivants: (en gras)

C:\WINDOWS\msagent\catdvd.dll <-fichier.

Vide ta corbeille.
--

Redémarre ton pc.
Colle ton rapport HJT.

La dll en question ne veut pas se laisser supprimer. En mode DOS, elle n'est pas présente, seulement sous l'Exporateur Windows.
Voici mon log :
Logfile of HijackThis v1.99.1
Scan saved at 09:51:03, on 21/07/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\Program Files\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\Spybot\SDHelper.dll
O2 - BHO: MSEvents Object - {7697DB96-5DA3-44F2-BC97-AD35E5F4CEDC} - C:\WINDOWS\msagent\catdvd.dll
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Babylon Translator] C:\Program Files\Babylon\Babylon.exe
O4 - Startup: Exodus.lnk = D:\Program Files\Exodus\Exodus.exe
O4 - Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_ce(...)
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - http://anti-virus1/officescan/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupIniCtrl Class) - http://anti-virus1/officescan/clientinstall/setupini.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - http://anti-virus1/officescan/clientinstall/setup.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {185204B6-2D45-11D6-BBBE-00A024E02106} (ApplicationManager Control) - file://D:\Mes documents\Divers\Acterna\InetPub\wwwroot\ApplicationManager.ocx
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - http://anti-virus1/officescan/clientinstall/RemoveCtrl.cab
O16 - DPF: {C79F0120-EF94-4FAC-8248-6F30B92E9524} (AdValiderInterface Class) - http://www.journal-officiel.gouv.fr/verifier/AdValiderWeb_DJO.cab
O16 - DPF: {D1DAAC1D-7108-490F-AC7C-B59FDA7AA96A} (ChooseAttachedFile Class) - http://www.bvrp.fr/Tools/ASP/FORMULAIRE_SUPPORT/FR_AB/Caf.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxxxx.xxxx.xx.xx
O17 - HKLM\Software\..\Telephony: DomainName = xxxxx.xxxx.xx.xx
O17 - HKLM\System\CCS\Services\Tcpip\..\{46D0E665-BC4D-48C1-BAB5-E1FDAA344080}: NameServer = xxx.xxx.xxx.x,xxx.xxx.xxx.xx
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxxxx.xxxx.xx.xx
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = xxxxx.xxxx.xx.xx
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = xxxxx.xxxx.xx.xx
O20 - Winlogon Notify: catdvd - C:\WINDOWS\msagent\catdvd.dll
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\OfficeScan NT\OfcPfwSvc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\OfficeScan NT\tmlisten.exe

Est-ce toi qui à remplacé les ip par des xxx ?

oui car les adresses IP et noms de domaine apparaissaient

C'est le nom de domaine de ton fai (éventuelement de ton boulot) laisse apparaitre les ip on ne peux rien en faire et certain parasite pirate le domaine.
Mais si tu es sur du domaine, pas besoin.

donc pas de solution à mes pb ?
je suis en effet sur un domaine dans mon entreprise
merci du temps passé
a+

Lance HijackThis -> Do a system scan only -> coche ces lignes :

O2 - BHO: MSEvents Object - {7697DB96-5DA3-44F2-BC97-AD35E5F4CEDC} - C:\WINDOWS\msagent\catdvd.dll
O20 - Winlogon Notify: catdvd - C:\WINDOWS\msagent\catdvd.dll

Clique sur Fix Checked.
----

-Télécharge : Pocket KillBox
-Décompresse-le (clic droit -> extraire tout)
-Ouvres killbox.exe.
-Sélectionne "Delete on reboot"
-Cliques sur l'icone en "dossier" pour ouvrir l'explorateur.
-Sélectionne : C:\WINDOWS\msagent\catdvd.dll
-Clique sur "delete file" (croix rouge et blanche).
-Laisse redémarrer.

ça n'a pas supprimé le fichier et j'ai du rebooter manuellement après killbox
est-ce que c'est bien cette dll qui pose pb ?

oui c'est cette dll

Redémarre en mode sans échec -> fix les deux lignes avec HJT, et refais la manip (killebox) via le mode sans échec.

elle est tjs là

-Télécharge copylock:
-Clique droit -> Extraire tout...

-Redémarre en mode sans échec (session administrateur si possible), (en tapotant F8 au démarrage). Si tu ne comprend pas, >>regarde ici<<.


Lance HijackThis -> Do a system scan only -> coche ces lignes :

O2 - BHO: MSEvents Object - {7697DB96-5DA3-44F2-BC97-AD35E5F4CEDC} - C:\WINDOWS\msagent\catdvd.dll
O20 - Winlogon Notify: catdvd - C:\WINDOWS\msagent\catdvd.dll

Clique sur Fix Checked.
----

-Ouvre copylock, cliques sur add -> files to delete.
-Par la fenêtre d'explorateur sélectionne C:\WINDOWS\msagent\catdvd.dll.
-Clique sur apply puis sur close.
-Redémarre ton pc.

sans effet...

J'ai lancé Kaspersky en ligne, et il a trouvé :
AdWare.Virtumonde.l
On a Trend au boulot, bof...

Démarrer -> exécuter -> tape regsvr32.exe -u C:\WINDOWS\msagent\catdvd.dll
Et recommence la manip.

Résolu ici :
http://forum.telecharger.01net.com/telecharger/securite_virus_et_assimiles/tr(...)