Bonjour. Connaissant moultes problèmes sur mon ordi : démarrrage lent, fénêtres intempestives qui s'ouvrent, internet qui m'affiche souvent "impossible..", j'ai fait une analyse avec norton et aussi en ligne, ai éliminé qq virus, ai fait spybot et adaware et un scan hijack.  
Seulement voilà, je ne sais pas trop quoi en faire. J'ai fait une évaluation en ligne mais j'ai lu que ce n'était pas forcément adéquat.  
Je demande donc de l'aide... SVP. D'ailleurs si vous pouviez aussi me dire comment "fixer" des lignes.. J'avoue, je ne suis pas une flèche en informatique...  
D'avance merci  
 
Logfile of HijackThis v1.98.2  
Scan saved at 1243, on 27/10/2004  
Platform: Windows XP SP1 (WinNT 5.01.2600)  
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)  
 
Running processes:  
C:\WINDOWS\System32\smss.exe  
C:\WINDOWS\system32\winlogon.exe  
C:\WINDOWS\system32\services.exe  
C:\WINDOWS\system32\lsass.exe  
C:\WINDOWS\System32\Ati2evxx.exe  
C:\WINDOWS\system32\svchost.exe  
C:\WINDOWS\System32\svchost.exe  
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe  
C:\WINDOWS\Explorer.EXE  
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe  
C:\WINDOWS\system32\spoolsv.exe  
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE  
C:\Program Files\Norton AntiVirus\navapsvc.exe  
C:\Program Files\Norton AntiVirus\SAVScan.exe  
C:\WINDOWS\System32\svchost.exe  
C:\WINDOWS\System32\sysrestore.exe  
C:\WINDOWS\System32\svcshost.exe  
C:\WINDOWS\System32\elite.exe  
C:\WINDOWS\SOUNDMAN.EXE  
C:\WINDOWS\AGRSMMSG.exe  
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe  
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe  
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe  
C:\Program Files\Aspire Arcade\PCMService.exe  
C:\Program Files\CRW\shwicon.exe  
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe  
C:\PROGRA~1\LAUNCH~1\CPLFL32.EXE  
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe  
C:\Program Files\Win Comm\WinComm.exe  
C:\Program Files\Win Comm\WinLock.exe  
C:\WINDOWS\System32\udpsys32.exe  
C:\Program Files\Messenger\msmsgs.exe  
C:\WINDOWS\System32\winlogs.exe  
C:\Program Files\OpenOffice.org1.1.2\program\soffice.exe  
C:\WINDOWS\System32\wuauclt.exe  
C:\WINDOWS\system32\cmd.exe  
C:\WINDOWS\System32\wdrk32.exe  
C:\WINDOWS\system32\cmd.exe  
C:\WINDOWS\system32\cmd.exe  
C:\WINDOWS\system32\ftp.exe  
C:\Documents and Settings\moi\Mes documents\hijackthis_198\HijackThis.exe  
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =  
http://www.free.fr/search/  
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =  
http://home.free.fr/  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =  
http://home.free.fr/  
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens  
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -  
C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll  
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program  
Files\Spybot - Search & Destroy\SDHelper.dll  
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -  
c:\program files\google\googletoolbar1.dll  
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program  
Files\Norton AntiVirus\NavShExt.dll  
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -  
C:\WINDOWS\System32\msdxm.ocx  
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -  
C:\Program Files\Norton AntiVirus\NavShExt.dll  
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program  
files\google\googletoolbar1.dll  
O4 - HKLM\..\Run: [LaunchApp] Alaunch  
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE  
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe  
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe  
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe  
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program  
Files\Java\j2re1.4.2_01\bin\jusched.exe  
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Aspire Arcade\PCMService.exe"  
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe  
O4 - HKLM\..\Run: [ShowIcon_Chander_CRW Series Driver v1.17r019] "C:\Program  
Files\CRW\shwicon.exe" -t"Chander\CRW Series Driver v1.17r019"  
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe  
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe  
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control  
Panel\atiptaxx.exe  
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLFL32.EXE  
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec  
Shared\ccApp.exe"  
O4 - HKLM\..\Run: [TiscaliParam] C:\Program Files\Tiscali\Dialer\bootparam.exe  
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe  
O4 - HKLM\..\Run: [OEM32 Tools] sres32.exe  
O4 - HKLM\..\Run: [Win Comm] C:\Program Files\Win Comm\WinComm.exe  
O4 - HKLM\..\Run: [MS SyS Restore] sysrestore.exe  
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec  
Shared\Security Center\UsrPrmpt.exe  
O4 - HKLM\..\Run: [Wlan Driver] serviced.exe  
O4 - HKLM\..\Run: [MsUpdater System] udpsys32.exe  
O4 - HKLM\..\Run: [Windows logging] winlogs.exe  
O4 - HKLM\..\Run: [Win32 USB2 Driver] elite.exe  
O4 - HKLM\..\Run: [Microsoft Windows Update] svcshost.exe  
O4 - HKLM\..\Run: [Win32 DRK Driver] wdrk32.exe  
O4 - HKLM\..\RunServices: [OEM32 Tools] sres32.exe  
O4 - HKLM\..\RunServices: [MS SyS Restore] sysrestore.exe  
O4 - HKLM\..\RunServices: [Wlan Driver] serviced.exe  
O4 - HKLM\..\RunServices: [MsUpdater System] udpsys32.exe  
O4 - HKLM\..\RunServices: [Windows logging] winlogs.exe  
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] elite.exe  
O4 - HKLM\..\RunServices: [Microsoft Windows Update] svcshost.exe  
O4 - HKLM\..\RunServices: [Win32 DRK Driver] wdrk32.exe  
O4 - HKLM\..\RunOnce: [MS SyS Restore] sysrestore.exe  
O4 - HKLM\..\RunOnce: [Microsoft Windows Update] svcshost.exe  
O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] elite.exe  
O4 - HKLM\..\RunOnce: [Win32 DRK Driver] wdrk32.exe  
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background  
O4 - HKCU\..\Run: [OEM32 Tools] sres32.exe  
O4 - HKCU\..\Run: [MS SyS Restore] sysrestore.exe  
O4 - HKCU\..\Run: [Windows logging] winlogs.exe  
O4 - HKCU\..\Run: [Microsoft Windows Update] svcshost.exe  
O4 - HKCU\..\Run: [Win32 USB2 Driver] elite.exe  
O4 - HKCU\..\RunServices: [MSNMGR] winapi32.exe  
O4 - HKCU\..\RunServices: [Remote Procedure Calls] mswinrpc.exe  
O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] elite.exe  
O4 - HKCU\..\RunOnce: [MS SyS Restore] sysrestore.exe  
O4 - HKCU\..\RunOnce: [Microsoft Windows Update] svcshost.exe  
O4 - Startup: OpenOffice.org 1.1.2.lnk = C:\Program  
Files\OpenOffice.org1.1.2\program\quickstart.exe  
O8 - Extra context menu item: &Google Search - res://C:\Program  
Files\Google\GoogleToolbar1.dll/cmsearch.html  
O8 - Extra context menu item: &Search -  
http://bar.mywebsearch.com/menusea [...] xmk142XXFR  
O8 - Extra context menu item: E&xporter vers Microsoft Excel -  
res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000  
O8 - Extra context menu item: Pages liées - res://C:\Program  
Files\Google\GoogleToolbar1.dll/cmbacklinks.html  
O8 - Extra context menu item: Pages similaires - res://C:\Program  
Files\Google\GoogleToolbar1.dll/cmsimilar.html  
O8 - Extra context menu item: Version de la page actuelle disponible dans le  
cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html  
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -  
C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL  
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/  
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -  
http://public.windupdates.com/get_ [...] 47cb1648aa  
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) -  
http://www.errorguard.com/installation/Install.cab  
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -  
http://v5.windowsupdate.microsoft. [...] 8693149843  
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -  
http://www.pandasoftware.com/activescan/as5/asinst.cab  
 

salut, moi je te conseillerai un formatage complet pour repartir a 0
puis installer un bon antivirus et un anti spyware, un pc ca entretien comme une voiture.
il se peut que si tu a ete infecter par plusieurs virus certain fichiers systemes ont ete modifier et le resteront.
bonne chance  

Non, ça, se sont des trojans. Pas de fichier système touché.
 
O4 - HKLM\..\Run: [OEM32 Tools] sres32.exe  
O4 - HKLM\..\Run: [Win Comm] C:\Program Files\Win Comm\WinComm.exe  
O4 - HKLM\..\Run: [MS SyS Restore] sysrestore.exe  
O4 - HKLM\..\Run: [Wlan Driver] serviced.exe  
O4 - HKLM\..\Run: [MsUpdater System] udpsys32.exe  
O4 - HKLM\..\Run: [Windows logging] winlogs.exe  
O4 - HKLM\..\Run: [Win32 USB2 Driver] elite.exe  
O4 - HKLM\..\Run: [Microsoft Windows Update] svcshost.exe  
O4 - HKLM\..\Run: [Win32 DRK Driver] wdrk32.exe  
O4 - HKLM\..\RunServices: [OEM32 Tools] sres32.exe  
O4 - HKLM\..\RunServices: [MS SyS Restore] sysrestore.exe  
O4 - HKLM\..\RunServices: [Wlan Driver] serviced.exe  
O4 - HKLM\..\RunServices: [MsUpdater System] udpsys32.exe  
O4 - HKLM\..\RunServices: [Windows logging] winlogs.exe  
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] elite.exe  
O4 - HKLM\..\RunServices: [Microsoft Windows Update] svcshost.exe  
O4 - HKLM\..\RunServices: [Win32 DRK Driver] wdrk32.exe  
O4 - HKLM\..\RunOnce: [MS SyS Restore] sysrestore.exe  
O4 - HKLM\..\RunOnce: [Microsoft Windows Update] svcshost.exe  
O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] elite.exe  
O4 - HKLM\..\RunOnce: [Win32 DRK Driver] wdrk32.exe  
O4 - HKCU\..\Run: [OEM32 Tools] sres32.exe  
O4 - HKCU\..\Run: [MS SyS Restore] sysrestore.exe  
O4 - HKCU\..\Run: [Windows logging] winlogs.exe  
O4 - HKCU\..\Run: [Microsoft Windows Update] svcshost.exe  
O4 - HKCU\..\Run: [Win32 USB2 Driver] elite.exe  
O4 - HKCU\..\RunServices: [MSNMGR] winapi32.exe  
O4 - HKCU\..\RunServices: [Remote Procedure Calls] mswinrpc.exe  
O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] elite.exe  
O4 - HKCU\..\RunOnce: [MS SyS Restore] sysrestore.exe  
O4 - HKCU\..\RunOnce: [Microsoft Windows Update] svcshost.exe  
 
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -  
http://public.windupdates.com/get_ [...] 21a306b9fd
 
Ferme tous les programmes, y compris internet explorer.
Lance HijackThis. Coche ces lignes et clique "Fix checked".
 
----------
Redémarre en mode sans échec (en tapotant F8 au démarrage).
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)
 
Et supprime:
 
C:\WINDOWS\System32\sysrestore.exe  
C:\WINDOWS\System32\svcshost.exe  
C:\WINDOWS\System32\elite.exe  
C:\Program Files\Win Comm\WinComm.exe  
C:\Program Files\Win Comm\WinLock.exe  
C:\WINDOWS\System32\udpsys32.exe  
C:\WINDOWS\System32\winlogs.exe  
C:\WINDOWS\System32\wdrk32.exe  
 
Ca, se sont ceux qui sont dans les "running processes". Donc, c'est sûr qu'ils sont là.
 
Vérifie la présence des autres fichiers *.exe des lignes que je t'ai indiquées (avec "rechercher" ). Si tu en trouves -> supprimer.
 
Vide la corbeille.
 
------------
 
Redémarre en mode normal. Poste un nouvel HijackThis.
 
Et fais très attention. Imprime cette liste.  
Il y a des noms qui se ressemblent:
svcshost.exe ->trojan à supprimer  svchost.exe -> fichier windows

Salut Acrobaze
J'ai fait tout comme tu m'as dit... Sauf que je n'ai pas supprimé udpsys32.exe et winlogs.exe, ils ne se trouvaient pas dans système 32 mais dans prefetch et portaient des numéros à la suite de leur nom. Je n'ai pas pris d'initiatives personnelles et ne les ai pas supprimé, j'ai eu tort ?
Tiens pendant que je t'écris Norton vient de supprimer des fichiers "download.trojan" dans C:\WINDOWS\system32\o,"w32.spybot.worm" dans C:\WINDOWS\system32\WinUSB2.exe c'est pas la première fois... Dois-je m'inquiéter ?
L'ordi démarre plus vite, il n'y a plus de fenêtres qui s'ouvrent n'importe comment mais tout ne fonctionne pas à merveille et notamment internet, encore souvent des "impossible d'afficher.."
Merci pour ton aide
Je mets le dernier rapport.
 
Logfile of HijackThis v1.98.2
Scan saved at 10:35:46, on 28/10/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\regexpress.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\Program Files\Aspire Arcade\PCMService.exe
C:\Program Files\CRW\shwicon.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\LAUNCH~1\CPLFL32.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
C:\WINDOWS\System32\csrss32.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\OpenOffice.org1.1.2\program\soffice.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\moi\Mes documents\hijackthis_198\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Aspire Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ShowIcon_Chander_CRW Series Driver v1.17r019] "C:\Program Files\CRW\shwicon.exe" -t"Chander\CRW Series Driver v1.17r019"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLFL32.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [TiscaliParam] C:\Program Files\Tiscali\Dialer\bootparam.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Microsoft CSRSS32 Protocol] csrss32.exe
O4 - HKLM\..\Run: [Windows Registry Express Loader] regexpress.exe
O4 - HKLM\..\Run: [Win Comm] C:\Program Files\Win Comm\WinComm.exe
O4 - HKLM\..\Run: [Win32 DRK Driver] wdrk32.exe
O4 - HKLM\..\RunServices: [Microsoft CSRSS32 Protocol] csrss32.exe
O4 - HKLM\..\RunServices: [Windows Registry Express Loader] regexpress.exe
O4 - HKLM\..\RunServices: [Win32 DRK Driver] wdrk32.exe
O4 - HKLM\..\RunOnce: [Windows Registry Express Loader] regexpress.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Win32 DRK Driver] wdrk32.exe
O4 - HKCU\..\Run: [Windows Registry Express Loader] regexpress.exe
O4 - HKCU\..\Run: [Microsoft CSRSS32 Protocol] csrss32.exe
O4 - HKCU\..\RunOnce: [Windows Registry Express Loader] regexpress.exe
O4 - Startup: OpenOffice.org 1.1.2.lnk = C:\Program Files\OpenOffice.org1.1.2\program\quickstart.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusea [...] xmk142XXFR
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 8693149843
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

Oui, en effet, il s'en est recréé!
 
As-tu un parefeu...et si oui, est-il bien configuré??? Parce que sinon, c'est infini comme pb.
 
Lignes à fixer:
 
O4 - HKLM\..\Run: [Microsoft CSRSS32 Protocol] csrss32.exe  
O4 - HKLM\..\Run: [Windows Registry Express Loader] regexpress.exe  
O4 - HKLM\..\Run: [Win Comm] C:\Program Files\Win Comm\WinComm.exe  
O4 - HKLM\..\Run: [Win32 DRK Driver] wdrk32.exe  
O4 - HKLM\..\RunServices: [Microsoft CSRSS32 Protocol] csrss32.exe  
O4 - HKLM\..\RunServices: [Windows Registry Express Loader] regexpress.exe  
O4 - HKLM\..\RunServices: [Win32 DRK Driver] wdrk32.exe  
O4 - HKLM\..\RunOnce: [Windows Registry Express Loader] regexpress.exe  
O4 - HKCU\..\Run: [Win32 DRK Driver] wdrk32.exe  
O4 - HKCU\..\Run: [Windows Registry Express Loader] regexpress.exe  
O4 - HKCU\..\Run: [Microsoft CSRSS32 Protocol] csrss32.exe  
O4 - HKCU\..\RunOnce: [Windows Registry Express Loader] regexpress.exe  
 
Et supprime les fichiers correspondants:
C:\WINDOWS\System32\regexpress.exe  
C:\WINDOWS\System32\csrss32.exe  
 
et les autres si présents: wdrk32.exe ...
 
nb: non, dans c:\windows\prefetch, c'est autre chose.
 
Donc : parefeu activé, sinon, c'est interminable.

ok. J'ai effectivement l'impression d'un truc interminable. Je crois que j'ai pas de pare-feu en fait. Je croyais qu'il y en avait un sur norton, mais finalement peut-être pas... Je vais voir ça et en télécharger un, si nécessaire. Tu aurais un tuyau, il paraît qu'il y a des pare-feux gratos bien ?
Bon, sinon, en desespoir de cause je m'étais dit qu'il faudrait peut-être que je réinstalle tout. Seulement voilà j'ai peur que des problèmes persistent ou que des nouveaux se créent... et puis je suis un peu une bille en informatique, t'auras peut-être remarqué... M'enfin, "tout les jours je apprends"
Merci

Vois si celui d'XP est activé ou non.
 
Sinon, tu as ZoneAlarm qui a fait ses preuves et très simple d'emploi:
http://www.zonelabs.com/store/cont [...] id=pdb_za1
 
 
 

Je me suis un peu baladée sur les forums et j'ai pas vu que du bon pour celui-là, ni sur celui de XP d'ailleurs, Kerio, outpost ou look'n stop semblaient plébicités... Vais voir.
De toute façon, pour l'instant mon ordi est fermé et je surfe sur un autre, il a trop de vers, ça me fout les vers...
Je me remettrais à faire tout le bazar scan virus, pare feu, patin coufin fixation de lignes.. et je me mettrais "au rapport"
Merci, bonne soirée

Je me suis un peu baladée sur les forums et j'ai pas vu que du bon pour celui-là, ni sur celui de XP d'ailleurs, Kerio, outpost ou look'n stop semblaient plébicités... Vais voir.
De toute façon, pour l'instant mon ordi est fermé et je surfe sur un autre, il a trop de vers, ça me fout les vers...
Je me remettrais à faire tout le bazar scan virus, pare feu, patin coufin fixation de lignes.. et je me mettrais "au rapport"
Merci, bonne soirée

Tu sais...ne te fie pas absolument à ce qui est dit sur les forums...eh oui.*
ZoneAlarm est un excellent produit connu mondialement.
 
*Par exemple, là, je viens de lire un post...il est dit qu'Ad-Aware et SpyBot ne valent rien....Tu as toujours des "connaisseurs" comme ça qui distillent leur ignorance dans tous ces forums.
 

Bon alors, les dernières nouvelles… D’abord ça va globalement beaucoup mieux, plus du tout de fenêtres intempestives, presque plus de « impossible…. ».  
Il reste quand même deux trois bricoles « chiantes » : certains logiciels ne s’ouvrent pas ; il apparaît une fenêtre (sous-système windows 16 bits) qui me dit C:\windows\system 32\autoexec .nt le fichier système ne convient pas à l’exécution des applications MS-DOS ou Microsoft windows
A part ça, j’ai mis zone alarme (de toute façon tu vas le voir sur le rapport, on peut rien te cacher…) C’est dingue le nombre de tentatives de connection qui ont été bloquées, plus de 600, c’est quoi mon ordi, un supermarché ?
D’ailleurs à ce propos i’ m’a demandé si spvs per.exe pouvait accéder à internet, moi pas bégueule je lui ai dit oui (mais bon, la prochaine fois je peux lui dire non, j’ai pas mis « toujours ») qu’en penses-tu ?
Je vois aussi dans ce rapport qu’il y a encore une ligne avec elite.exe alors que j’ai resupprimé ce fichier y’a pas ¼ d’heure !!
J’ai fixé les lignes que tu m’as mentionnées et supprimé les fichiers correspondant, j’ai regardé ceux d’avant et j’ai donc retrouvé elite.exe.  Un détail en pensant, il n’y a plus de dossier Win Comm dans programm files (aïe,aïe, aïe ?)
En faisant une recherche j’ai trouvé tous les fichiers que j’aurais dû supprimer dans syst 32 ou Win Comm dans \prefecth
Pour plus de détails, je te note leur intitulé complet : wdrk32.exe-15735978.pf   regexpress.exe-354B89FC.pf  svsthost.exe-15A92E90.pf   systrestore.exe-OFC69A1.pf   winlock.exe-17AB7C16.pf   wincomm.exe-1DD83236.pf  udpsys32.exe-1967DD37.pf  winlogs.exe-O85OO339.pf   csrss32.exe-04E8418.pf  
D’autre part dans \systeme 32 je n’ai pas de csrss 32.exe mais un csrss.exe, et puis j’ai un fichier texte winlogs.exe-up.text
Bon voilà, comme ça c’est précis.
J’ai fait une analyse avec norton, i’ m’a rien trouvé (il est gentil !)
J’ai fait une analyse en ligne avec ravantivirus qui m’a trouvé csrss32 infecté (je l’ai pas trouvé moi..) avec panda i’ m’a fait un bog j’ai pas pu et trent micro a trouvé un trojan_lowzones.J dans C:\\CC.exe non cleanable. C’est quoi ça CC.exe ?
Bon, je crois que j’ai fait le tour, un truc peut-être encore quand j’avais pas supprimé elite.exe et après avoir mis zonealarm il a voulu se connecter à internet, j’ai été ferme, j’ai dit niet, mais là il a rien demandé (je veux dire au nouveau démarrage)
 
Voilà le rapport et encore merci pour ta précieuse aide..
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\spvsper.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\Program Files\Aspire Arcade\PCMService.exe
C:\Program Files\CRW\shwicon.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\LAUNCH~1\CPLFL32.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\OpenOffice.org1.1.2\program\soffice.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\moi\Mes documents\hijackthis_198\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Aspire Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ShowIcon_Chander_CRW Series Driver v1.17r019] "C:\Program Files\CRW\shwicon.exe" -t"Chander\CRW Series Driver v1.17r019"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLFL32.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [TiscaliParam] C:\Program Files\Tiscali\Dialer\bootparam.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Win32 USB2 Driver] elite.exe
O4 - HKLM\..\Run: [Microsoft Windows Security] spvsper.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] elite.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Security] spvsper.exe
O4 - HKLM\..\RunOnce: [Microsoft Windows Security] spvsper.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Win32 USB2 Driver] elite.exe
O4 - HKCU\..\Run: [Microsoft Windows Security] spvsper.exe
O4 - HKCU\..\RunOnce: [Microsoft Windows Security] spvsper.exe
O4 - Startup: OpenOffice.org 1.1.2.lnk = C:\Program Files\OpenOffice.org1.1.2\program\quickstart.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusea [...] xmk142XXFR
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 8693149843
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
 

Ok.  
 
---------1
Pour autoexec.nt:
http://support.microsoft.com/defau [...] -us;324767
 
----------2
 
elite.exe n'est plus dans les "running processes". Il semble ne rester que spvsper.exe. Comme tu l'as fait déjà, ne l'autorise pas à sortir.
 
------
 
Control Alt Suppr
Termine le processus spvsper.exe
 
-------
 
Lance HijackThis, coche et fixe:
 
O4 - HKLM\..\Run: [Win32 USB2 Driver] elite.exe  
O4 - HKLM\..\Run: [Microsoft Windows Security] spvsper.exe  
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] elite.exe  
O4 - HKLM\..\RunServices: [Microsoft Windows Security] spvsper.exe  
O4 - HKLM\..\RunOnce: [Microsoft Windows Security] spvsper.exe  
O4 - HKCU\..\Run: [Win32 USB2 Driver] elite.exe  
O4 - HKCU\..\Run: [Microsoft Windows Security] spvsper.exe  
O4 - HKCU\..\RunOnce: [Microsoft Windows Security] spvsper.exe  
 
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusea [...] xmk142XXFR  (je l'avais oubliée, celle-là!)
 
--------
 
Puis en mode sans échec, supprime:
C:\WINDOWS\System32\spvsper.exe
 
vérifie quand mm la présence de:
C:\WINDOWS\System32\elite.exe   si présent...à supprimer.
 
Vide la corbeille.
 
Ps : ce n'est pas la peine de supprimer les fichiers *.pf...c'est autre chose (pour les défragmentations..etc..).
 
---------
 
Poste un nouveau log HijackThis.

Bon, je fais bref. J'ai quand même dû redémarrer 3 fois l'ordi (m'énerve...). Il était super lent au démarrage et internet ne voulait pas s'ouvrir.
Les questions ignorées dans le post précédent sont sans importance ? (C:\\CC.exe infecté, plus de dossier Win Comm dans programm files ?)
 
Bon, je mets le log.  Merci
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\Program Files\Aspire Arcade\PCMService.exe
C:\Program Files\CRW\shwicon.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\LAUNCH~1\CPLFL32.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\OpenOffice.org1.1.2\program\soffice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\moi\Mes documents\hijackthis_198\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Aspire Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ShowIcon_Chander_CRW Series Driver v1.17r019] "C:\Program Files\CRW\shwicon.exe" -t"Chander\CRW Series Driver v1.17r019"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLFL32.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [TiscaliParam] C:\Program Files\Tiscali\Dialer\bootparam.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: OpenOffice.org 1.1.2.lnk = C:\Program Files\OpenOffice.org1.1.2\program\quickstart.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 8693149843
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
 

Au fait, il n'y avait pas svsper.exe ni elite.exe dans système 32

Ha, j'ai loupé des questions..
 
-Csrss.exe : fichier Windows..ne pas toucher.
-Supprime le dossier Wincomm (s'il contient un wincomm.exe et un WinLock.exe ) et se présente ainsi:
C:\PROGRAM FILES\WIN COMM\
-csrss32...s'il a été trouvé par RAV, c'est qu'il est présent. Donc, cherche-le.
-Es-tu sûre d'avoir fait ceci:
 
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)
 
-CC.exe est un adware/hijacker..cherche-le et supprime-le.
 
----------------
 
Tel qu'il est là, le rapport HijackThis est clean!
Eh oui! Great news!
 
Surveille quand même l'activité de zonealarm. En double cliquant l'icone près de l'horloge. Onglets "Overview" et "Status" -> tu vois le nombre de tentatives d'intrusions évoluer.
 
Je pense que tu n'es pas loin d'avoir un ordi complètement clean.

Effectivement great news.
 
J'ai supprimé CC.exe  
 
Concernant RAV, voilà le résultat du scan
 
Scanning memory...
Scanning boot sectors...
Scanning files...
C:\WINDOWS\system32\csrss32.exe->(PEDiminisher) - Exploit:Win32/RpcDcom.gen! -> Infected
 
Scanned
============================
 Objects: 31617
 Directories: 2154
 Archives: 6665
 Size(Kb): -1241030
 Infected files: 1
 
Found
============================
 Viruses found: 1
 Suspicious files: 0
 Disinfected files: 0
 Mail files: 114
 
Je n'ai pas trouvé csrss32 en mode sans échec, j'avais coché et décoché ce qu'il fallait. Je suis allée voir en mode normal, il y a 2 csrrs32.exe dans syst32 l'un est récent (27 oct) et apparaît "grisé", enfin un peu transparent. Je n'ai rien fait.
 
J'ai fait une évaluation du dernier log htj sur un site (je sais ça faut ce que ça vaut)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.free.fr/search/  
a été qualifié de "méchant", ceci dit toutes les lignes où apparaît home free.fr sont considérées comme inconnues, éventuellement méchantes...
 
Dans la série des trucs bizarres :
-Lorsque je suis sur ce site, je n'ai pas de lien profil en haut qui apparaît et pas de case réponse rapide qui apparaît en bas, même si je me suis identifiée
-Lorsque j'ouvre zone alarm à partir de l'icône en bas à droite je n'ai que deux choix dans la fenêtre qui apparaît : fermer ou réduire sur la barre des tâches au milieu, pas de 3ème qui me permettrait de le remettre à droite en bas.
-iexplore erreur, ce programme doit fermer quand je tente de faire un scan en ligne avec panda
 
 
Concernant l'état dans zone alarm plus de 15OO intrusions dont une 60ne de niveau élevé, c'est normal docteur ?
 
Bon, je crois que j'ai fait le tour.. Dois-je supprimer le plus récent csrss32.exe en mode normal ?
Merci

De toutes façons, il faut se débarrasser de ce C:\WINDOWS\system32\csrss32.exe.
 
Tu peux essayer ceci:
 
Télécharge "PocketKillBox" sur :  
http://download.broadbandmedic.com/  
 
Pose-le sur ton bureau. Lance-le.  
Dans "Paste full path of file.." ->copie/colle: C:\WINDOWS\system32\csrss32.exe
 
Tu peux le faire avec cette fenêtre ouverte, ce sera plus pratique pour le copier/coller.
 
Clique "Delete File". (La croix blanche)
 
Supprime le dossier: c:\!Submit (c'est son dossier backup, en cas de doute ou d'erreur).
 
----------------
 
-Pour ce site, je ne peux pas te répondre, je ne sais pas.
 
-Pour ZoneAlarm: quand tu l'as ouvert, pour le remettre près de l'horloge : clique "fermer" : la croix.
 
-Pour Panda, je ne sais pas, c'est curieux. Mais si RAV fonctionne, c'est bien. Il détecte plus de malwares. Simplement, il faut aller ensuite les supprimer, alors que Panda sait supprimer pas mal de choses.
Ils ont un mode d'action différent : RAV reste à l'état de fichier *.cab dans  
c:\windows\doownloaded program files
Alors que Panda pose ses fichiers dans  
c:\windows\system32\activescan
 
-Oui, les tentatives d'intrusion, c'est normal.
Laisse ta protection en niveau "élevé".
 

Bon alors finalement, je me suis dit pourquoi faire compliqué quand on peut faire simple ?
 
En mode normal j'ai mis un des deux csrss32.exe (le plus récent) à la corbeille et je l'ai vidée.
 
En mode sans echec, j'avais viré CC.exe
 
Ensuite je me suis occupé de autoexe.nt, j'avais lu quelque part qu'il fallait le copier depuis repair vers système32, je l'avais déjà fait mais ça n'avait pas eu d'effet, il y était déjà. Là j'avais vu qu'il n'y était plus, je l'y ai mis et les logiciels ont fonctionné.
 
Mais bon, juste après Norton a supprimé deux fichiers infectés, dans system32\g.pif par download Trojan  et dans system32\svphost.exe par backdoor Trojan
Je me suis dit "damned, les trojans sont encore parmi nous !"
J'ai lancé une analyse avec Norton qui m'a supprimé deux fichiers T2[2]exe et Uninst.exe menace: DownloadeurCDT
 
Ensuite j'ai analysé en ligne avec securiser et RAV : pas de fichiers infectés (toujours pas moyen avec panda, tu vas me dire, je fais une fixation mais c'est lui qui m'avait permis d'ouvrir Norton et hijack avant d'envoyer mon 1er rapport)  
Analyse avc Norton RAS
 
Donc puis-je me permettre d'oser espérer que tout va bien ????  
 
 

Bonsoir,
 
Après l'invasion du début, on peut espérer que ce sont les derniers soubresauts...
 
Supprime tout de même csrss32.exe (l'autre). En sans échec ou avec PocketKillBox. Les derniers fichiers trouvés par Norton ne viennent pas de nulle part.
 
Tu t'y es bien pris pour autoexec.nt. Impec!
 
Surveille bien ton pc ces qq jours qui viennent (Norton...tentatives de sorties avec ZoneAlarm..).
 
Bon w-end.
 
 
 
 

Bon, les dernières nouvelles..
 
J'ai téléchargé PoccketKillBox et voulu delete crsss32.exe que j'avais pas trouvé en mode sans échec, mais il ne l'a pas trouvé. Je suis allée voir, je l'ai pas trouvé non plus.
C'est quoi ce truc farceur (furtif) ? Il y était hier..
 
Si je le retrouve, je le delete avec killbox. Par contre je choisis quoi system process (dans killbox) ?
Et pour C:\!Submit j'ai pas compris c'est avec killbox que je le supprime ?
 
Sinon analyses antvirus RAS
 
Du coup je suis devenue une vraie flippée de la sécurité. J'ai sp1 et me tâte à télécharger sp2. Je viens de me coltiner des pages et des pages sur le sujet et notamment celles de microsoft qui disent que certains programmes fonctionnement mal avec sp2 et notamment zonealarm.
Je sais que tu as ce parefeu, as-tu sp2 ? As-tu des pb ?
Ouais, je sais, j'ai plein de questions, mais l'une amène l'autre...
 
Dernière question : reçois-tu mes messages privés ? Je t'en ai envoyé un hier et comme mon fonctionnement sur ce site me paraît un peu étrange...
 
Re-merci pour tout...
 

Bonjour,
 
-Pour PocketKillBox, non, tu suis le petit plan que j'avais écrit. Tu ne touches pas à "System process".
Le dossier c:\!Submit, c'est le dossier où il gare les fichiers sensés être supprimés. On n'est jms trop prudent! Donc en cas d'erreur, on peut récupérer le fichier.
 
-Pour le Sp2, je l'ai téléchargé et installé il y a un moment. Je n'ai aucun problème. Au contraire, je trouve que les applis se lancent plus vite.
Il n'y a incompatibilité avec ZA que si tu laisses activé le parefeu de Sp2. Je l'ai désactivé et le "Centre de sécurité" me signale que ZA est actif, donc pas de pb.
 
-Tu as tout à fait raison de te poser des questions...Et n'hésite pas à les poser ici.
 
-Oui, j'ai reçu le mp. Excuse-moi, pas répondu car je bossais ici:
XXXXX
 
-Tiens-moi au courant. Bonne journée.

Salut,
 
Pour l'heure l'ordi fonctionne correctement, pourvu que ça dure....
 
J'ai eu du bol, je suis tombée sur le "St Bernard international" de l'analyse des logs hijack et de la maintenance.
C'est génial !
 
Merci encore pour tout.
 
De toute façon, si j'ai un souci, je n'hésiterai pas à te solliciter.
 
Donc, à bientôt peut-être, mais, en même tems j'espère que non (!?!)

U're welcome, San13!

j'ai un souci une fenetre me demande de charger un antivirus error guard
piège?
par ailleurs impossible de lancer mon norton security
j'ai déjçà tout nettoyé 2 fois y compris la base de registre et tout reibstallé, rien a faire
help!

bonjour, je vois que certains ont les mêmes pbs que moi , pourraisje lancer une question ? au démarrage du pc l'écran de connexion à distance est lancé au moment ou l'icône de kerio arrive en bas à droite , ( si je désactive kerio ds msconfig démarrage l'écran n'apparait pas mais lorsque je lance kerio après pour me protéger si je vais sur le net j'ai un message d'erreur lié à explorer qd j'ouvre qquechose et je dois faire reset pour relancer le pc )
j'ai essayé hijackthis il y aurait peut-etre un petit pb sur les lignes 14 start et search page url où il n'y a pas d'adresse spécifiée ; bref si qqu'un chope mon message je serais intéressé par un coup de main , merci d'avance . pc sous win 98Se avast antivirus kerio4.1.2 navigateur mozilla .