Forums Zebulon.fr: Processus suspects: ssms, service, lssas, csrs - Forums Zebulon.fr

J'ai besoin d'un coup de main pour me débarasser d'un ou plusieurs vers qui ont apparemmetn infecté mon PC (malgré Norton Anti Virus, Norton Firewall et Adwatch).

Il ya 2 jours, j'ai remarqué que des processus suspects tournaient dans mon Gestionnaire de tâches. Par 'suspects', je veux dire qu'ils avaient des noms qui ressemblaient étrangement à ceux d'autres processus connus. J'ai fait une recherche Google et ils étaient effectivement mentionnés sur plusieurs sites comme des symptomes de 4 vers différents... Et juste comme je finissais un scan avec Norton!

Les processus en question étaient :

ssms.exe
service.exe
lssas.exe
csrs.exe

J'ai terminé the processus et essayé de chercher de plus amples informations et de faire un scan online avec Panda mais mon Internet Explorer a commencé à déconner (en ajoutant un espace devant toutes les urls que je tapais) et les processus de Norton ont tous été terminé.

Depuis, j'ai essayé plusieurs trucs mais je ne suis pas sûr de ce que je dois faire

Jusqu'ici, voilà ce que j'ai fait...

1- J'ai désactivé la restauration du système et redémarré en mode sans echec

2- J'ai installé Kaspersky et fait un full scan. Il a trouvé plusieurs vers dans des installeurs et des archives qui étaient sur mon PC depuis des mois (et avaient été scannés par Norton au moins 30 fois!) mais aucun dans le dossier Windows/System32, ce qui est plutôt inquiétant vu que
a) les fichiers infectés étaient encore bien là (mais désactivés dans le gestionnaire de tâches)
b) quand j'avais scanné les fichiers en question sur Kaspersky.com, il les signalait infectés!

3- Puisqu'aucun Anti virus n'avait l'air de vouloir le faire, j'ai supprimé manuellement les processus mentionnés du dossier System32 (sauf lssas.exe que je ne retouve pas depuis que j'ai rebooté en mode sans échec)

4- J'ai lancé le Fix pour Gaobot de Symantec (qui est censé réparer les variantes de ce vers lié à csrs.exe) mais il n'a rien trouvé.

5- J'ai lancé le dernier Trend Micro Sysclean mais il n'a rien trouvé non plus et il a loggé un nombre alarmant d'erreurs de scan pour plusieurs dossiers dans Windows (y compris \Prefetch ; System32\config and \$NtUninstallKB837001$)

6- J'ai cherché les valeurs ssms.exe; service.exe; lssas.exe and csrs.exe dans le Registre avec Regedit and j'aen ai trouvé plusieurs mais je ne suis pas sûr de ce qu'il faut faire et je ne voudrais pas fiche en l'air mon Registre. Voilà les clés que j'ai trouvées

ssms.exe (Nom ImagePath; Données "C:\WINDOWS\system32\SSMS.EXE")
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\COM+ System Service
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\COM+ System Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\COM+ System Service

service.exe (Nom ImagePath; Données "C:\WINDOWS\system32\service.exe")
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NETDDEC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NETDDEC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NETDDEC

lssas.exe (Nom Application; Données LSSAS.EXE)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\COM+ System Service\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\COM+ System Service\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\COM+ System Service\Parameters

csrs.exe (Nom Runfile; Données "C:\WINDOWS\system32\csrs.exe")
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Uninstall\mIRC (Nom UninstallString; Données "C:\WINDOWS\system32\csrs.exe" -uninstall)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NETDDEC\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NETDDEC\Parameters
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NETDDEC\Parameters

Okay... donc ils on l'air bien liés, même si c'est du chinois pour moi, on voit bien qu'il y a 2 trucs séparés...

7- Enfin, j'ai lancé HijackThis et obtenu ce log

Logfile of HijackThis v1.99.1
Scan saved at 16:49:53, on 11/03/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\HJT\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr9.hpwis.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr9.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpdtlk02.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: SearchNugget Toolbar - {4E7BD74F-2B8D-469E-C0FF-FD7FF4D5FA7D} - C:\WINDOWS\DOWNLO~1\sbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "c:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LogonUIBootRandomizer] "C:\Program Files\LogonUIBootRandomizer\RandomScreens.exe" /RandomizeLogon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [kdx] C:\WINDOWS\kdx\KHost.exe
O4 - HKLM\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"
O4 - HKLM\..\Run: [Ad-Aware] "C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Aware.exe" +c
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [BackupNotify] c:\Program Files\Hewlett-Packard\Digital Imaging\bin\backupnotify.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - Startup: mod_sm.lnk = C:\hp\bin\cloaker.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft OfficeXP\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall-bet...all/xscan60.cab
O16 - DPF: {2042B57E-6336-459E-B7CE-2A0F6C9E6AF8} (IEPlayInterface Class) - http://www.lotrdvd.com/dvdkey/extended_dvd...ds/iaieplay.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1094220671625
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefend...bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoft.../as5/asinst.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.c...ers/play365.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/...443/mcfscan.cab
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot....ownload/kdx.cab
O16 - DPF: {FA3662C3-B8E8-11D6-A667-0010B556D978} (IWinAmpActiveX Class) - http://cdn.digitalci...illama/ampx.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D20EF50-B4E6-4DA3-9648-DB1954A89439}: NameServer = 130.244.127.161,130.244.127.169
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - c:\Program Files\Norton Personal Firewall\ccPxySvc.exe
O23 - Service: COM+ System Service - Unknown owner - C:\WINDOWS\system32\SSMS.EXE (file missing)
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - c:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Network DDE Connections (NETDDEC) - Unknown owner - C:\WINDOWS\System32\service.exe (file missing)
O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - c:\Program Files\Norton Personal Firewall\NISUM.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Bon, je suis novice en ce qui concerne HiJackThis mais ces trucs me semblent bizarres

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr9.hpwis.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr9.hpwis.com/
O3 - Toolbar: SearchNugget Toolbar - {4E7BD74F-2B8D-469E-C0FF-FD7FF4D5FA7D} - C:\WINDOWS\DOWNLO~1\sbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D20EF50-B4E6-4DA3-9648-DB1954A89439}: NameServer = 130.244.127.161,130.244.127.169
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: COM+ System Service - Unknown owner - C:\WINDOWS\system32\SSMS.EXE (file missing)
O23 - Service: Network DDE Connections (NETDDEC) - Unknown owner - C:\WINDOWS\System32\service.exe (file missing)

Qu'est-ce que vous en pensez? Pas de lssas.exe ou csrs.exe... mais ils avaient l'air de fonctionner avec ssms et service, vues les entrées du Registre

Ce que j'aimerais comprendre, c'est pourquoi il a fallu que je les repère de visu alors que Norton tournait et pourquoi aucun AntiVirus ne les repère! J'ai plus confiance dans Norton mais Kaspersky est censé être très bon et son propre online scan les voyait infectés!

Comment je me débarasse du fichier qui m'a infecté au début si aucune application ne me dit lequel c'est?!
J'ai effacé plusieurs installeurs d'utilitaires téléchargés sur softpedia.com la semaine dernière... Si l'un d'entre eux était infecté, et Norton ne me l'a pas signalé, je l'ai dejà viré mais comment être sûr que le système est clean maintenant?!
En plus, il faut que je me débarasse des entrées du Registre... est-ce que quelqu'un peut m'aider pour ça?

3 jours que je perds avec ce truc! J'en peux plus!

Merci d'avance!

Salut,

csrs.exe (Nom Runfile; Données "C:\WINDOWS\system32\csrs.exe")

hum, c'est csrss.exe le vrai nom (sous-systeme Win32)

pour le reste , tu démarres en mode sans echec , tu peux fixer ces lgnes :

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: SearchNugget Toolbar - {4E7BD74F-2B8D-469E-C0FF-FD7FF4D5FA7D} - C:\WINDOWS\DOWNLO~1\sbar.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "c:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LogonUIBootRandomizer] "C:\Program Files\LogonUIBootRandomizer\RandomScreens.exe" /RandomizeLogon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [kdx] C:\WINDOWS\kdx\KHost.exe
O4 - HKLM\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"
O4 - HKLM\..\Run: [Ad-Aware] "C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Aware.exe" +c
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [BackupNotify] c:\Program Files\Hewlett-Packard\Digital Imaging\bin\backupnotify.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - Startup: mod_sm.lnk = C:\hp\bin\cloaker.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft OfficeXP\Office10\OSA.EXE

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O16 - DPF: {2042B57E-6336-459E-B7CE-2A0F6C9E6AF8} (IEPlayInterface Class) - http://www.lotrdvd.c...ds/iaieplay.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.syma...bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.syma...n/bin/cabsa.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefend...bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoft.../as5/asinst.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.syma...n/bin/cabsa.cab
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.c...ers/play365.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcaf...443/mcfscan.cab
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot....ownload/kdx.cab
O16 - DPF: {FA3662C3-B8E8-11D6-A667-0010B556D978} (IWinAmpActiveX Class) - http://cdn.digitalci...illama/ampx.cab

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - c:\Program Files\Norton Personal Firewall\ccPxySvc.exe

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - c:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - c:\Program Files\Norton Personal Firewall\NISUM.EXE

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe



R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr9.hpwis.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr9.hpwis.com/
ce sont les url de HP



ensuite, tu supprimes ces fichiers :
C:\WINDOWS\kdx\KHost.exe
C:\Program Files\LiveUpdate\LiveUpdate.exe


pour le reste, si tu veux connaitre les bon processus, c'est par la :
http://speedweb1.fre...p?page=service3

Merci du coup de main

Citation

non, csrss.exe, c'est bon... mais j'ai aussi csrs.exe et là d'après Symantec, c'est un problème... mais HJT ne le mentionne pas.

Je m'occupe de SearchNugget Toolbar et des ActiveX mais pourquoi dois-je fixer toutes les entrées Norton? J'en ai besoin tant que je n'ai pas viré NAV, non?

Merci bien en tout cas, je m'occupe tout de suite des fix!

okay... c'est fait. Je ne peux pas poster le nouveau log de HJT parce qu'il faut que je redémarre et je suis entrain de faire un scan Kaspersky sur mon PC mais tout est parti SAUF service.exe

Par contre, j'ai vérifié les entrées que j'avais trouvées dans le registre et elles sont toujours toutes là... C'est normal?

Merci en tout cas!

Tout est ok... merci beaucoup du coup de main!

Maintenant, il ne me reste qu'à effacer les clés du registre NETDDEC et COM+ System Service qui sont des dummies de vrais services. J'ai essayé RegCleaner et RegScrubber mais sans résultat... Est-ce que quelqu'un peut me dire si c'est pas trop risqué de faire ça dans Regedit?

J'ai fouiné un peu partout et les deux services sont bidons (sans parler du fait que ce sont les seuls services en Anglais dans mon panneau Services et san description bien etendu...

Je les ai désactivé de toute façon mais je serais plu rassuré si le registre est clean!

Merci beaucoup en tout cas

Salut, déjà avant de toucher au registre ,tu devrais faire une sauvegarde de ton registre en entier (fichier-exporter...)

SSMS.EXE : est un processus d'SQL SERVER, je crois même qu'il s'agit d'SQL SERVER MANAGMENT STUDIO

Bonsoir InternetDev,

À quoi bon réveiller un sujet qui date de 6 ans ½ ? Crois-tu réellement que son auteur soit encore en attente de ta réponse ? D'autant plus qu'elle est à côté de la plaque !

Car il s'agit de smss.exe (Session Management Subsystem), processus générique de Windows NT/2000/XP servant à créer, gérer et supprimer les sessions utilisateurs. Il s'agit du premier processus exécuté au démarrage en mode utilisateur. C'est un processus système critique ne pouvant pas être arrêté par le gestionnaire des tâches.