Froyd

un dans system32 et l'autre dans windows\system32\dllcache Ce truant essaie de se connecter a Ca Hurricane Electric HURRICANE-2 (NET-64-71-128-0-1) 64.71.128.0 - 64.71.191.255 McColo Corporation HURRICANE-CE1548-0923 (NET-64-71-167-0-1) 64.71.167.0 - 64.71.167.127 # ARIN WHOIS database, last updated 2006-01-31 19:10 # Enter ? for additional hints on searching ARIN's WHOIS database. File Version : 5.1.2600.2180 File Description : Applications Services et Contrôleur (services.exe) File Path : C:\windows\system32\services.exe Process ID : 0x334 (Heximal) 820 (Decimal) Connection origin : local initiated Protocol : TCP Local Address : 192.168.1.112 Local Port : 1244 Remote Name : www.google.com Remote Address : 64.233.161.104 Remote Port : 80 (HTTP - World Wide Web)

J'ai encore le probleme de services.exe qui plante au démmarage voici les logs : Incident Statut Analyse Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\rngrompn.default\cookies.txt[] Spyware:Cookie/WebtrendsLive No Désinfecté C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\rngrompn.default\cookies.txt[dcszp7e1v10000omp5r9bmtnv_1o4g] Spyware:Cookie/24/7 Realmedia No Désinfecté C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\rngrompn.default\cookies.txt[] Spyware:Cookie/Atlas DMT No Désinfecté C:\Documents and Settings\Administrateur\Cookies\administrateur@atdmt[1].txt Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Danielle\Application Data\Mozilla\Firefox\Profiles\yc14i9di.default\cookies.txt[] Outil indésirable:Application/Processor No Désinfecté C:\Documents and Settings\Danielle\Bureau\SmitfraudFix\Process.exe Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Jimmy\Application Data\Mozilla\Firefox\Profiles\l1g9wb9h.default\cookies.txt[] Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Jimmy\Cookies\jimmy@xiti[1].txt Outil indésirable:Application/Processor No Désinfecté C:\WINDOWS\system32\Process.exe SmitFraudFix v2.16 Rapport fait à 15:07:25,17 le 2006-02-01 Executé à partir de C:\Documents and Settings\Danielle\Bureau\SmitfraudFix OS: Microsoft Windows XP [version 5.1.2600] »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage Fichiers Temporaires »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre Nettoyage terminé. »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

services.exe tente d'accéder au reseau vers une addresse externe sur une machine distante 64.71.XX.XX Je bloque cette connexion car je crois que cest ce qui cause le crash

De l'aide serait appréciée!| Je recois toujours l'erreur 1073741819 dans services.exe au démmarage ce qui redémmare mon pc stupidement

En Scan Activé! deja 3 virus et 4 spywares (meme si je doute que cest un peu pour vendre leur produit) Je donne la confirmation aussitot terminée! Incident Statut Analyse Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\rngrompn.default\cookies.txt[] Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Danielle\Application Data\Mozilla\Firefox\Profiles\yc14i9di.default\cookies.txt[] Virus:Trj/Agent.BER Désinfecté C:\Documents and Settings\Danielle\Local Settings\Temporary Internet Files\Content.IE5\8F6TWJGN\kl[1].txt Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Jimmy\Application Data\Mozilla\Firefox\Profiles\l1g9wb9h.default\cookies.txt[] Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\Jimmy\Cookies\jimmy@xiti[1].txt Virus:Trj/Harnig.BU Désinfecté C:\Program Files\Alcohol Soft\Alcohol 120\run.exe Virus:Trj/Banker.BYJ Désinfecté C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.dll Virus:Trj/Banker.BYJ Désinfecté C:\RECYCLER\S-1-5-21-478126491-2187510198-3030622175-500\Dc1.exe Virus:Trj/Agent.BER Désinfecté C:\WINDOWS\kl1.exe Adware:adware/secure32 No Désinfecté C:\WINDOWS\secure32.html Adware:adware/cws.searchmeup No Désinfecté C:\WINDOWS\uniq Voila, c'est posté!

Merci. donc jai fait les étapes et redémmaré en mode normal. Cette fois-ci je n'ai pas d'erreur fatale avec Services.exe mais j'ai toujours le probleme de lenteur des processus voici mes logs mis a jour Logfile of HijackThis v1.99.1 Scan saved at 12:43:06, on 2006-02-01 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\windows\System32\smss.exe C:\windows\system32\winlogon.exe C:\windows\system32\services.exe C:\windows\system32\lsass.exe C:\windows\system32\Ati2evxx.exe C:\windows\system32\svchost.exe C:\windows\System32\svchost.exe C:\windows\system32\spoolsv.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Program Files\ewido anti-malware\ewidoctrl.exe C:\Program Files\ewido anti-malware\ewidoguard.exe C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\windows\system32\Ati2evxx.exe C:\windows\Explorer.EXE C:\WINDOWS\system32\dllhost.exe C:\Program Files\Acer\eRecovery\Monitor.exe C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\windows\AGRSMMSG.exe C:\Program Files\MessengerPlus! 3\MsgPlus.exe C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\windows\system32\ctfmon.exe C:\Program Files\ATI Multimedia\main\ATIDtct.EXE C:\Program Files\Wireless 802.11g USB Adapter\ZDWlan.exe C:\windows\system32\wuauclt.exe C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [eRecoveryService] C:\Program Files\Acer\eRecovery\Monitor.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [AVAUTODELETE] "C:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition classic\UPGRADE\upgrade.exe" /restart O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe O4 - HKCU\..\Run: [ATI DeviceDetect] C:\Program Files\ATI Multimedia\main\ATIDtct.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Wireless 802.11g USB Adapter.lnk = C:\Program Files\Wireless 802.11g USB Adapter\ZDWlan.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Program Files\ATI Multimedia\dtv\EXPLBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Windows Logon Process Service (MSWinLogonProcService) - Unknown owner - C:\WINDOWS\winlogon.exe" -service (file missing) O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

bonjour! Je sais que jai été infecté par plusieurs virus par inadvertance. (Crackz.ws :S) AntiVir était installé et a empêché 64 virus de se propager. Mais je sais qu'il y avait un processus (run.exe) qui scannait le disque dur entier pour infecter tout ce qui est infectable sur son passage. smss.exe est apparu dans msconfig startup (ce que jai désactivé) Pendant la propagation des virus, AntiVir m'a demandé de se mettre a jour, ce que jai fait mais a plenté pendant l'installation avec install shield. Jai du reboot manuellement la machine. En revennant antivir était completement dé-installé. jai ré-installé. Mais pendant l'installation, il y avait des lockups des processus a tous les 3 secondes pendant 5-6 secondes. Aucun processus ne prennait de CPU ou de Mémoire. smss.exe ne prend que 96ko de memoire. Apres un 2eme reboot, la machine refusait de faire de connexion internet quelquonque. Je tente de faire un ipconfig, rien. connexions résaux? aucune. les services sont tout buggé. Je reboot en mode sans échec et je lave le disque avec Antivir a nouveau, Ewido et spybots. PS : J'ajoute aussi qu'en redémmarage en mode normal je recois un message administratif disant que services.exe a fait une erreur et doit redémmarer l'ordinateur. Apres le 1 minute aloué, rien ne se passe car j'ai désactivé le redémmarage automatique. Mais je n'ai pas access au panneau de configurations en mode normal, juste en mode sans echec. EDIT : en tappant services.msc dans executer je recois ce message apres 2 minutes d'inertie : Impossible d,ouvrir la base de donné du gestionnaire de controle de services sur. Erreur 1460, cette opération devra etre fermé suite a un delais d'expiration d'attente Et je vous envoies mes logs de hijackthis : Logfile of HijackThis v1.99.1 Scan saved at 12:10:46, on 2006-02-01 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\windows\System32\smss.exe C:\windows\system32\winlogon.exe C:\windows\system32\lsass.exe C:\windows\system32\Ati2evxx.exe C:\windows\system32\svchost.exe C:\windows\System32\svchost.exe C:\windows\system32\spoolsv.exe C:\windows\system32\Ati2evxx.exe C:\windows\explorer.exe C:\Program Files\Acer\eRecovery\Monitor.exe C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\windows\AGRSMMSG.exe C:\Program Files\MessengerPlus! 3\MsgPlus.exe C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\windows\system32\ctfmon.exe C:\Program Files\ATI Multimedia\main\ATIDtct.EXE C:\Program Files\Wireless 802.11g USB Adapter\ZDWlan.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Program Files\ewido anti-malware\ewidoctrl.exe C:\Program Files\ewido anti-malware\ewidoguard.exe C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\msiexec.exe C:\WINDOWS\system32\imapi.exe C:\windows\system32\wuauclt.exe C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens F2 - REG:system.ini: Shell=explorer.exe " C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\ibm00001.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: - {1E6CE4CD-161B-4847-B8BF-E2EF72299D69} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [eRecoveryService] C:\Program Files\Acer\eRecovery\Monitor.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVAUTODELETE] "C:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition classic\UPGRADE\upgrade.exe" /restart O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe O4 - HKCU\..\Run: [ATI DeviceDetect] C:\Program Files\ATI Multimedia\main\ATIDtct.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Wireless 802.11g USB Adapter.lnk = C:\Program Files\Wireless 802.11g USB Adapter\ZDWlan.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Program Files\ATI Multimedia\dtv\EXPLBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Windows Logon Process Service (MSWinLogonProcService) - Unknown owner - C:\WINDOWS\winlogon.exe" -service (file missing) O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe