Salut à tous !!
J'ai une chtite question :
Personne n'a eu de demélés avec un virus nommé :
TROJAN.WIN32.SMALL.AW
J'arrive pas à m'en défaire, ca devient relou....
j'ai nettoyé la bdr (run) le demarrage etc...
A chaque fois il revient à la charge ds un fichier nommé win***32.exe (les 3 lettres *** changent à chaque fois qu'il revient à la charge) situé ds windows/system32
 
 
Je trouve pas d'infos sur le net. J'utilise kaspersky, qui me le detecte nickel. Mais je ne trouve pas le fichier qui en serait la source.
Voilà. Merci pour votre aide

Utilise PestPatrol :
 
http://www.pestpatrol.com/pestinfo [...] _small.asp

Sinon, tente de l'enlever manuellement :
 
Manual Removal: Follow these steps to remove TrojanDropper.Win32.Small from your machine. Begin by backing up your registry and your system, and/or setting a Restore Point, to prevent trouble if you make a mistake.  
 Stop Running Processes:
 
Kill these running processes with Task Manager:
 
-1171305105.exe
1432421382.exe
1532711300.exe
-1740858686.exe
-25024445.exe
2d40573919e617d512ce7b338dc0321f.exe
3xecuti0n.jpg.exe
bestia.exe
calsdr.exe
janie_bathrxs-034a.mpeg.exe
notepad.exe
paltalk32.exe
profilepath+\applic~1\wa_inst.exe
profilepath+\local settings\temp\tvm_b6.exe
profilepath+\progra~1\wa_inst.exe
programfilesdir+\antico~1\film.exe
programfilesdir+\antico~1\waybait.exe
programfilesdir+\browsechicregs\mix.exe
programfilesdir+\log2do~1\audio dumb.exe
programfilesdir+\log2do~1\binsect.exe
programfilesdir+\log2do~1\bits.exe
programfilesdir+\onesoa~1\play.exe
programfilesdir+\system\misc\90ae34.exe
programfilesdir+\windows media player\70odhr0b.exe
prorat1.6(special-edition)11.exe
pw-stealer.exe
startupfolder+\loader.exe
systemroot+\system\winupd.exe
systemroot+\system32\wintime.exe
systemroot+\temp\third.exe
trojandropper.win32.small.aa.exe
trojandropper.win32.small.ab.exe
trojandropper.win32.small.am.exe
trojandropper.win32.small.ao.exe
trojandropper.win32.small.av.exe
trojandropper.win32.small.aw.exe
trojandropper.win32.small.bc.exe
trojandropper.win32.small.be.exe
trojandropper.win32.small.bn.exe
trojandropper.win32.small.c.exe
trojandropper.win32.small.ca.exe
trojandropper.win32.small.cj.exe
trojandropper.win32.small.ck.exe
trojandropper.win32.small.cn.exe
trojandropper.win32.small.dw.exe
trojandropper.win32.small.dw[2].exe
trojandropper.win32.small.ee.exe
trojandropper.win32.small.ee[2].exe
trojandropper.win32.small.ee[3].exe
trojandropper.win32.small.en.exe
trojandropper.win32.small.ep.exe
trojandropper.win32.small.ey.exe
trojandropper.win32.small.fn.exe
trojandropper.win32.small.ge.exe
trojandropper.win32.small.gj.exe
trojandropper.win32.small.gt.exe
trojandropper.win32.small.gx.exe
trojandropper.win32.small.hb.exe
trojandropper.win32.small.k.exe
trojandropper.win32.small.m.exe
trojandropper.win32.small.s.exe
winlogin.exe
winlogin_unpacked.exe
 
 Remove AutoRun Reference:
 
Go To the key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run.
If you find the value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\wintime, delete it and reboot the machine immediately.
If you find the value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\winupd, delete it and reboot the machine immediately.
 
 
 
 
 Unregister DLLs:
 
Unregister these DLLs with Regsvr32, then reboot:
 
profilepath+\progra~1\yshthfblztr.dll
programfilesdir+\fivefind\antedefault.dll
trojandropper.win32.small.gv.dll
 
 Clean Registry:
 
Remove these registry items (if present) with RegEdit:
 
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\wintime
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\winupd
 
 Remove Files:
 
Remove these files (if present) with Windows Explorer:
 
!!readme!!.txt
-1143419153.ex_
-1171305105.exe
1432421382. zip.com
1432421382.exe
1532711300.exe
-1554357638.scr.com
-1740858686.exe
-2004897888.zl9.com
-25024445.exe
2d40573919e617d512ce7b338dc0321f.exe
3xecuti0n.jpg.exe
aide_mvm.txt
arabic.ini
bestia.exe
boot07.bot
calsdr.exe
english.ini
french.ini
german.ini
help_mvm.txt
janie_bathrxs-034a.mpeg.exe
jazz.htm
languages.ini
malay.ini
nederlands.ini
notepad.exe
paintshop pro 7.rar
paltalk32.exe
params[1].htm
partition magic 6.rar
please_read_before_using_prorat v1.4.txt
portugues(brasil).ini
profilepath+\applic~1\wa_inst.exe
profilepath+\local settings\temp\tvm_b6.exe
profilepath+\progra~1\thsfrlydcrst.lib
profilepath+\progra~1\wa_inst.exe
profilepath+\progra~1\yshthfblztr.dll
programfilesdir+\antico~1\film.exe
programfilesdir+\antico~1\waybait.exe
programfilesdir+\browsechicregs\mix.exe
programfilesdir+\fivefind\antedefault.dll
programfilesdir+\log2do~1\audio dumb.exe
programfilesdir+\log2do~1\binsect.exe
programfilesdir+\log2do~1\bits.exe
programfilesdir+\onesoa~1\play.exe
programfilesdir+\system\misc\90ae34.exe
programfilesdir+\windows media player\70odhr0b.exe
prorat1.6(special-edition)11.exe
pw-stealer.exe
startupfolder+\loader.exe
systemroot+\system\winupd.exe
systemroot+\system32\wintime.exe
systemroot+\temp\third.exe
thumbs.db
trilian-v0.6351-e.rar
trojandropper.win32.small.aa.exe
trojandropper.win32.small.ab.exe
trojandropper.win32.small.am.exe
trojandropper.win32.small.ao.exe
trojandropper.win32.small.av.exe
trojandropper.win32.small.aw.exe
trojandropper.win32.small.bc.exe
trojandropper.win32.small.be.exe
trojandropper.win32.small.bn.exe
trojandropper.win32.small.c.exe
trojandropper.win32.small.ca.exe
trojandropper.win32.small.cj.exe
trojandropper.win32.small.ck.exe
trojandropper.win32.small.cn.exe
trojandropper.win32.small.dw.exe
trojandropper.win32.small.dw[2].exe
trojandropper.win32.small.ee.exe
trojandropper.win32.small.ee[2].exe
trojandropper.win32.small.ee[3].exe
trojandropper.win32.small.en.exe
trojandropper.win32.small.ep.exe
trojandropper.win32.small.ey.exe
trojandropper.win32.small.fn.exe
trojandropper.win32.small.ge.exe
trojandropper.win32.small.gj.exe
trojandropper.win32.small.gt.exe
trojandropper.win32.small.gv.dll
trojandropper.win32.small.gx.exe
trojandropper.win32.small.hb.exe
trojandropper.win32.small.k.exe
trojandropper.win32.small.m.exe
trojandropper.win32.small.s.exe
turkish.ini
winlogin.exe
winlogin_unpacked.exe
 
 Remove Directories:
 
Remove these directories (if present) with Windows Explorer:
 
programfilesdir+\system\misc  

Merci bcp 007seb.
Je regarde ca de suite (j'espere que j'aurai pas à faire la version manuelle qui m'a l'air un poil compliquée )
Je reviens donner le resultat..
Merci

Bon bin j'en suis tjs au meme point.
Et la plupart des fichiers present dans le log que tu m'a passé ne sont pas sur mon ordi.
Voilà pour info le log de hijackthis :
 
Logfile of HijackThis v1.98.2
Scan saved at 12:12:31, on 20/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DeltTray.exe
F:\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
F:\Audio\Winamp\winampa.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
F:\HSeries\iHPDetect.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\msdview32.exe
F:\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
F:\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - f:\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SearchAddon - {799A370D-5993-4887-9DF7-0A4756A77D00} - C:\WINDOWS\System32\search.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [EM_EXEC] F:\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [WinampAgent] F:\Audio\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [iHP-100] F:\HSeries\iHPDetect.exe
O4 - HKLM\..\Run: [KAVPersonal50] F:\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [SysA] c:\windows\system32\winzkn32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SoundView] C:\WINDOWS\System32\msdview32.exe
O4 - Global Startup: Acrobat Assistant.lnk = F:\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = ?
O4 - Global Startup: NkvMon.exe.lnk = F:\NkView6\NkvMon.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: ppctlcab - http://69.44.122.156/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://69.44.122.156/scanner/axscanner.cab
O16 - DPF: {380C4261-4FC3-40D0-ADF8-0240A5857CE6} (Aurigma Image Uploader 2.5) - http://www.photoweb.fr/order/telec [...] otoweb.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 5672133718
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://labo.bellapix.com/XUpload.ocx
 
Si qqun à + d'infos.
Merci
PS: Message de mon AV : cwindows/system32/winzkn32.exe infected by TROJAN.WIN32.SMALL.AW
Mais le fichier win***32.exe change à chaque fois.
Et la source je ne la trouve pas.
 
Et est-ce qu'au moins apres formatage et reinstal du systeme je serai tranquille ?

bonjour
 
j'ai aussi un virus sur mon PC et jarrive pas à le virer, j'ai formaté mais il est toujours la. quand je regarde dans le gestionnaire de taches, je vois un processus vpc32.exe qui me semble etre un trojan!
voici mon log avec hijackthis,quelqu'un peut m'aider plz?
 
 
Logfile of HijackThis v1.98.2
Scan saved at 13:31:42, on 20/09/2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\vpc32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Goomiah\Bureau\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-908\dslmon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

Hello,
 
Ferme ton Internet Explorer et coche ça dans Hijack :  
 

 
Supprime le fichier : winzkn32.exe
 
Reboot et rescann

RHU :
 
Ferme le processus : C:\WINDOWS\System32\vpc32.exe
Supprime le fichier C:\WINDOWS\System32\vpc32.exe
 
Supprime
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe  
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe  
 
INSTALL UN FIREWALL AVANT DE TE CONNECTER SUR LE NET !
 
Voilà

ok merci!

Darxmurf : Merci mais ca ne change rien.
Là je n'arrive meme pas à supprimer le win***32.exe.
Meme en cochant tt ce que tu me dis avec hijackthis.
 
Et lorsque j'y arrive en safe mode, il reapparait sous un nouveau win***.exe où les lettres *** ont changées.
 
Je me dis donc que la source doit etre ailleurs...Mais où put1. Je deviens dingue là
une autre idea ?
Merci en tous cas

Service Windows...
 
démarrer executer services.msc, regarde si t'as pas un truc appelé "network security system" ou regarde les services qui n'ont pas de descriptions si y a pas du louche

regarde la liste des sevices qui tournent avec ce petit prog et colle le résu ici http://d21c.com/Tom41/get_active_services_179_161.zip
 
edit :   Darxmurf tu fais chier mais le petit prog est plus pratique je trouve pour voir les services

copaing bon ok le pitit prog est mieu là ! +1 bizoux

merci.
Le seul truc ss description et dont je ne vois pas ce que c'est est :
Detection materiel noyau (propietes me donne ce cette localisation :C:\WINDOWS\System32\svchost.exe -k netsvcs) )
Ca te dit qqchose?

ok minipouss je vois ca de suite.
En tous cas merci les gars pour votre temps  

celui que tu donnes est normal oui

euhhhh
Qd je lance le script, il me donne cette erreur :

impossible de trouver le moteur de script "VBScript" pour le script "get_active_services_179_161\get active services.vbs"
 
je suis desole...

zarbi ça, chez moi il se lance bien. faut juste attendre qu'il écrive le fichier résultat active.txt
 
pourtant j'ai rien fait de spécial sur mon pc et je ne lance jamais de script.

bin non plus...
Sinon ds la bdr dans : moiHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run  
 
j'ai un      nwiz   REG_SZ     nwiz.exe/install
C'est normal.
C'est aussi là que se trouve mon win***32.exe  

le nwiz c'est encore du driver nvidia carte graphique.

et le win**** c'est virus caca
T'as passé un coup de AdAware à jour ? version SE ? passe le en mode sans echec...

ouais je vais tout repasser en mode safe encore une fois et puis sinon.....Format C...
Parceque là je deviens dingue...

quand tu ferme le processus, y a il se réouvre dans les 10 secondes ? t'as bien regardé les services ? y a pas un truc louche qui traine ? quand tu nettoye la machine, tu ferme bien internet explorer ? t'as un firewall activé quelquepart ?

bin y a surement un truc louche qui traine qqpart ouais...
Je ferme explorer et l'explorateur avant les demarches que tu m'avais indiqué.
seulement win***32.exe ne peut pas se virer (surement processus mais n'apparait pas ds le gestionnaire de processus de windows)
Idem avec hijackthis_198, il me lemontre bien comme vous avez pu voir plus haut, mais ne le supprime pas non plus.
Je ne peux le supprimer que en safemode, mais au redemmarrage normal, un nouveau win***32.exe apparait et est detecté par mon AV (Kaspersky 5)
Et sinon oui j'ai un firewall kaspersky anti-hacker 1.5....
voili voilà...

Regarde bien dans tes services voir ce qu'il y a
 
regarde aussi dans la base de registre là : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon il y a une clé "Shell" elle doit contenir UNIQUEMENT Explorer.exe c'est le cas ?

Oui Darxmurf, c'est bien le cas  
C'est vraiment fou cette histoire.
Le pire c'es que je ne trouve quasi pas d'infos sur ce trojan.win32.small.aw, la plupart du temps c'est autre chose que aw à la fin....
Là ca s'est un peu calmé. Il me detecte tjs le virus/trojan ds les 5 mins qui suivent le demarrage, et me signale un fichier win***32.exe qu'il ne peut supprimer (utilisé par le systeme).  
Puis ds la foulée ds un fichier .dat (genre ex_2[1].dat)situé ds un temp internet files de windows.
De temps en temps il me le detecte ds upd.exe ??
Voilà le mystère continue...

haaaaaaaaaaaaaaaaa putain j'ai pas pensé, t'as désactivé la restauration de Windows ?
sinon il revient...

et oui elle est desactivée depuis longtemps la petite...
Je commence à croire que c'est sans espoirs...

Personne n'a trouvé bizarre ce fichier:
C:\WINDOWS\System32\msdview32.exe  
 
http://home.cyberdefender.com/risk [...] e.log.html
           
 
Par l'explorateur windows, va à ce fichier
-clic droit
-propriétés
-Vois "version"->"entreprise".
 
Quels sont les renseignements donnés?

Acrobaze---->
Je n'ai pas d'onglet VERSION dans proprietes.
Seulement   "general"    "compatibilité"   "resumé"
Donc ??

c'est un des champs dans le résumé

Il est quasiment certain que c'est un malware.
 
Je te recommanderais de:
 
- Control At Suppr
terminer les processus : msdview32.exe et win***32.exe (??)
 
-Redémarrer en mode sans échec et supprimer ces fichiers.
 
-------------------
 
Par curiosité, pour tenter de trouver une explication (mais sans garantie), je te propose de télécharger About:Buster sur:
http://www.zerosrealm.com/index.php?page=dllfix
 
de le lancer, et s'il trouve quelque chose de copier/coller son rapport ici.

minipouss --->
Je n'ai pas ce champ dans resume, mais uniquement :'titre' 'objet' 'categorie' 'Motclé' commentaire....Puis 'source' 'auteur' 'numero de revision'
 
De toute facon aucun de ces champs n'ont de valeur.
 
Acrobaze ---> Ok j'essaye ca et je te poste le rapport.
 
Sinon je suis en contact aussi avec le support de Kaspersky
 

Bon alors Acrobaze...Serais-tu mon sauveur !!??
Je n'ai pas eu de message de mon antivirus au demarrage apres avoir supprimé les 2 files...
J'attends qqs jours pour voir ce qu'il en est.
En tous cas MERCI A TOI !!!

huhu pas vu

Ce serait bien si tu postais un rapport HijackThis actuel.

Ok je te fais ca.
Sinon allumage du pc il y a 10mns, et aucun message d'alerte  
MERCI ENCORE !!

Le voici :
 
Logfile of HijackThis v1.98.2
Scan saved at 18:11:01, on 22/09/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
F:\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
F:\Audio\Winamp\winampa.exe
F:\HSeries\iHPDetect.exe
C:\WINDOWS\System32\ctfmon.exe
F:\NkView6\NkvMon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
F:\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\Program Files\Internet Explorer\iexplore.exe
F:\hijackthis_198\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.searchmiracle.com/main/sp.php
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://www.searchmiracle.com/main/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchmiracle.com/main/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchmiracle.com/main/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchmiracle.com/main/sp.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchmiracle.com/main/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchmiracle.com/main/sp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchmiracle.com/main/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - f:\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\SPYBOT~1\SDHelper.dll
O2 - BHO: SearchAddon - {799A370D-5993-4887-9DF7-0A4756A77D00} - C:\WINDOWS\System32\search.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EM_EXEC] F:\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [WinampAgent] F:\Audio\Winamp\winampa.exe
O4 - HKLM\..\Run: [iHP-100] F:\HSeries\iHPDetect.exe
O4 - HKLM\..\Run: [KAVPersonal50] F:\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SoundView] C:\WINDOWS\System32\msdview32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: NkvMon.exe.lnk = F:\NkView6\NkvMon.exe
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O16 - DPF: ppctlcab - http://69.44.122.156/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://69.44.122.156/scanner/axscanner.cab
O16 - DPF: {380C4261-4FC3-40D0-ADF8-0240A5857CE6} (Aurigma Image Uploader 2.5) - http://www.photoweb.fr/order/telec [...] otoweb.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 5672133718
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://labo.bellapix.com/XUpload.ocx
 
Ce qui est bizarre c'est que j'ai encore un msdview.exe dans le log.
Mais pourtant tout semble calme et normal..Comme avant.

searchmiracle.com c'est normal?
 
O2 - BHO: SearchAddon - {799A370D-5993-4887-9DF7-0A4756A77D00} - C:\WINDOWS\System32\search.dll  
 
O4 - HKCU\..\Run: [SoundView] C:\WINDOWS\System32\msdview32.exe

bin non je ne crois pas....mais je l'avais supprimé et c'est revenu. En fait ca m'ouvre une fenetre ie qd je lance une recherche google par exemple. Chiant je vais la revirer.
Et msdview32 je sais pas pourquoi il est revenu, je croyais avoir fais les bonnes manips.
Je m'y perds, c'est la premiere fois que je fouille vraiment ds ma bdr et e ne voudrais pas faire de conneries.
En tous cas meme avec son retour, pas de news du virus depuis hier soir....