cinnamoons

Tout est ok... merci beaucoup du coup de main! Maintenant, il ne me reste qu'à effacer les clés du registre NETDDEC et COM+ System Service qui sont des dummies de vrais services. J'ai essayé RegCleaner et RegScrubber mais sans résultat... Est-ce que quelqu'un peut me dire si c'est pas trop risqué de faire ça dans Regedit? J'ai fouiné un peu partout et les deux services sont bidons (sans parler du fait que ce sont les seuls services en Anglais dans mon panneau Services et san description bien etendu... Je les ai désactivé de toute façon mais je serais plu rassuré si le registre est clean! Merci beaucoup en tout cas

okay... c'est fait. Je ne peux pas poster le nouveau log de HJT parce qu'il faut que je redémarre et je suis entrain de faire un scan Kaspersky sur mon PC mais tout est parti SAUF service.exe Par contre, j'ai vérifié les entrées que j'avais trouvées dans le registre et elles sont toujours toutes là... C'est normal? Merci en tout cas!

Merci du coup de main non, csrss.exe, c'est bon... mais j'ai aussi csrs.exe et là d'après Symantec, c'est un problème... mais HJT ne le mentionne pas. Je m'occupe de SearchNugget Toolbar et des ActiveX mais pourquoi dois-je fixer toutes les entrées Norton? J'en ai besoin tant que je n'ai pas viré NAV, non? Merci bien en tout cas, je m'occupe tout de suite des fix!

J'ai besoin d'un coup de main pour me débarasser d'un ou plusieurs vers qui ont apparemmetn infecté mon PC (malgré Norton Anti Virus, Norton Firewall et Adwatch). Il ya 2 jours, j'ai remarqué que des processus suspects tournaient dans mon Gestionnaire de tâches. Par 'suspects', je veux dire qu'ils avaient des noms qui ressemblaient étrangement à ceux d'autres processus connus. J'ai fait une recherche Google et ils étaient effectivement mentionnés sur plusieurs sites comme des symptomes de 4 vers différents... Et juste comme je finissais un scan avec Norton! Les processus en question étaient : ssms.exe service.exe lssas.exe csrs.exe J'ai terminé the processus et essayé de chercher de plus amples informations et de faire un scan online avec Panda mais mon Internet Explorer a commencé à déconner (en ajoutant un espace devant toutes les urls que je tapais) et les processus de Norton ont tous été terminé. Depuis, j'ai essayé plusieurs trucs mais je ne suis pas sûr de ce que je dois faire Jusqu'ici, voilà ce que j'ai fait... 1- J'ai désactivé la restauration du système et redémarré en mode sans echec 2- J'ai installé Kaspersky et fait un full scan. Il a trouvé plusieurs vers dans des installeurs et des archives qui étaient sur mon PC depuis des mois (et avaient été scannés par Norton au moins 30 fois!) mais aucun dans le dossier Windows/System32, ce qui est plutôt inquiétant vu que a) les fichiers infectés étaient encore bien là (mais désactivés dans le gestionnaire de tâches) b) quand j'avais scanné les fichiers en question sur Kaspersky.com, il les signalait infectés! 3- Puisqu'aucun Anti virus n'avait l'air de vouloir le faire, j'ai supprimé manuellement les processus mentionnés du dossier System32 (sauf lssas.exe que je ne retouve pas depuis que j'ai rebooté en mode sans échec) 4- J'ai lancé le Fix pour Gaobot de Symantec (qui est censé réparer les variantes de ce vers lié à csrs.exe) mais il n'a rien trouvé. 5- J'ai lancé le dernier Trend Micro Sysclean mais il n'a rien trouvé non plus et il a loggé un nombre alarmant d'erreurs de scan pour plusieurs dossiers dans Windows (y compris \Prefetch ; System32\config and \$NtUninstallKB837001$) 6- J'ai cherché les valeurs ssms.exe; service.exe; lssas.exe and csrs.exe dans le Registre avec Regedit and j'aen ai trouvé plusieurs mais je ne suis pas sûr de ce qu'il faut faire et je ne voudrais pas fiche en l'air mon Registre. Voilà les clés que j'ai trouvées ssms.exe (Nom ImagePath; Données "C:\WINDOWS\system32\SSMS.EXE") HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\COM+ System Service HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\COM+ System Service HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\COM+ System Service service.exe (Nom ImagePath; Données "C:\WINDOWS\system32\service.exe") HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NETDDEC HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NETDDEC HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NETDDEC lssas.exe (Nom Application; Données LSSAS.EXE) HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\COM+ System Service\Parameters HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\COM+ System Service\Parameters HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\COM+ System Service\Parameters csrs.exe (Nom Runfile; Données "C:\WINDOWS\system32\csrs.exe") HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Uninstall\mIRC (Nom UninstallString; Données "C:\WINDOWS\system32\csrs.exe" -uninstall) HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NETDDEC\Parameters HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NETDDEC\Parameters HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NETDDEC\Parameters Okay... donc ils on l'air bien liés, même si c'est du chinois pour moi, on voit bien qu'il y a 2 trucs séparés... 7- Enfin, j'ai lancé HijackThis et obtenu ce log Logfile of HijackThis v1.99.1 Scan saved at 16:49:53, on 11/03/2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\HJT\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr9.hpwis.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr9.hpwis.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Program Files\Norton AntiVirus\NavShExt.dll O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpdtlk02.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O3 - Toolbar: SearchNugget Toolbar - {4E7BD74F-2B8D-469E-C0FF-FD7FF4D5FA7D} - C:\WINDOWS\DOWNLO~1\sbar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "c:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [LogonUIBootRandomizer] "C:\Program Files\LogonUIBootRandomizer\RandomScreens.exe" /RandomizeLogon O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe O4 - HKLM\..\Run: [kdx] C:\WINDOWS\kdx\KHost.exe O4 - HKLM\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe" O4 - HKLM\..\Run: [Ad-Aware] "C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Aware.exe" +c O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [backupNotify] c:\Program Files\Hewlett-Packard\Digital Imaging\bin\backupnotify.exe O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook O4 - Startup: mod_sm.lnk = C:\hp\bin\cloaker.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft OfficeXP\Office10\OSA.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing) O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing) O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall-beta.trendmicro.com/housecall/xscan60.cab O16 - DPF: {2042B57E-6336-459E-B7CE-2A0F6C9E6AF8} (IEPlayInterface Class) - http://www.lotrdvd.com/dvdkey/extended_dvd...ds/iaieplay.dll O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1094220671625 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/...443/mcfscan.cab O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX22/download/kdx.cab O16 - DPF: {FA3662C3-B8E8-11D6-A667-0010B556D978} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/_media/dalaillama/ampx.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3D20EF50-B4E6-4DA3-9648-DB1954A89439}: NameServer = 130.244.127.161,130.244.127.169 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - c:\Program Files\Norton Personal Firewall\ccPxySvc.exe O23 - Service: COM+ System Service - Unknown owner - C:\WINDOWS\system32\SSMS.EXE (file missing) O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - c:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: Network DDE Connections (NETDDEC) - Unknown owner - C:\WINDOWS\System32\service.exe (file missing) O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - c:\Program Files\Norton Personal Firewall\NISUM.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe Bon, je suis novice en ce qui concerne HiJackThis mais ces trucs me semblent bizarres R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-fr9.hpwis.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr9.hpwis.com/ O3 - Toolbar: SearchNugget Toolbar - {4E7BD74F-2B8D-469E-C0FF-FD7FF4D5FA7D} - C:\WINDOWS\DOWNLO~1\sbar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing) O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing) O17 - HKLM\System\CCS\Services\Tcpip\..\{3D20EF50-B4E6-4DA3-9648-DB1954A89439}: NameServer = 130.244.127.161,130.244.127.169 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: COM+ System Service - Unknown owner - C:\WINDOWS\system32\SSMS.EXE (file missing) O23 - Service: Network DDE Connections (NETDDEC) - Unknown owner - C:\WINDOWS\System32\service.exe (file missing) Qu'est-ce que vous en pensez? Pas de lssas.exe ou csrs.exe... mais ils avaient l'air de fonctionner avec ssms et service, vues les entrées du Registre Ce que j'aimerais comprendre, c'est pourquoi il a fallu que je les repère de visu alors que Norton tournait et pourquoi aucun AntiVirus ne les repère! J'ai plus confiance dans Norton mais Kaspersky est censé être très bon et son propre online scan les voyait infectés! Comment je me débarasse du fichier qui m'a infecté au début si aucune application ne me dit lequel c'est?! J'ai effacé plusieurs installeurs d'utilitaires téléchargés sur softpedia.com la semaine dernière... Si l'un d'entre eux était infecté, et Norton ne me l'a pas signalé, je l'ai dejà viré mais comment être sûr que le système est clean maintenant?! En plus, il faut que je me débarasse des entrées du Registre... est-ce que quelqu'un peut m'aider pour ça? 3 jours que je perds avec ce truc! J'en peux plus! Merci d'avance!