[virus + Firewall et Antivirus désactivé!!!]

jalal -  
 jalal -
bonjour tout le monde
il y a 3 semaines, j'ai eu une attaque de deux cheval de troie qui sont :Exploit-MhtRedir.gen et JV/Shinwow, via Mozilla FireFox, et j'ai tout essayé pour les supprimez (antivirus macaffe VirusScan Entreprise 8, des anti spywares (ADS Spyremover, NoAdaware, SpyWareBlaster, et j'en passe) sans avoir de résultats. mon antivirus arrive à détecter les fichiers, mais ne peut pas les supprimez et donc il les place en quarantaine. Jusqu'à la il n'y a pas de problème. le souci est qu'à chaque démarrage de mon ordi, j'ai l'antivirus et le firewall (McAfee Desctop Firewall) qui sont désactivé pendant au moins 3 à 5 minutes (donc je suis obligé de coupé la connexion Internet à chaque fois). Hier, j'ai eu une nouvelle attaque d'un Exploite-ByteVerify en surfant tranquillement sur un site de jeux en ligne, et idem, VirusScan l'a mit en quarantaine sans le supprimez. j'ai du réinstaller l'antivirus et le firewalle 2 ou 3 fois, mais j'ai toujours le même problème. quelqu'un pourrait m'aider SVP.
merci beaucoup d'avance et à bientôt
Configuration: Windows XP2 Pro

5 réponses

  1. darkcrystal33 Messages postés 3815 Statut Contributeur 193
     
    télécharge sysclean ici (nettoyeur):
    http://fr.trendmicro-europe.com/file_downloads/common/tsc/sysclean.com

    puis télécharge lpt647.zip ici (fichier de définitions de virus/pattern file):
    http://fr.trendmicro-europe.com/global/file_downloads/common/pattern/opr/lpt647.zip

    dézippe ensuite lpt647.zip et tu obtiendras le fichier lpt$vpn.647

    une fois obtenu le fichier lpt$vpn.647 (qui doit être placé au même endroit que sysclean.com) tu lance sysclean.com

    et tu clique sur le bouton scan.

    a executer en mode sans échec et restauration système désactivée afin de pouvoir effectuer un nettoyage complet.

    si le numéro de numéro de pattern (lpt***.zip) a changé,
    le fichier de définition de virus ne sera plus téléchargeable directement en utilisant les liens donnés ci-dessus.
    ==>dans ce cas voir le lien ci-dessous pour télécharger lpt***.zip
    http://fr.trendmicro-europe.com/enterprise/support/pattern.php

    pour mettre a jour le scanner antivirus il suffit d'effacer la vieille version et de télécharger la derniére version des fichiers.
    *
    si ton accés internet ne fonctionne plus, procéde comme suit:
    télécharge sysclean a partir d'un pc sain de préférence:
    (copain/ami/voisin/parents/boulot/cyber café etc...)
    puis grave le sur un cd, cd/rw,ou copie le sur une clé usb, ou sur un disque dur amovible et scanne ton pc avec.
    0
    1. jalal
       
      Bonjour tout le monde et bonjour darkcrystal33
      j'ai essayé ta proposition en mode sans échec et hop j'ai pu supprimez tous les virus qui sont sur ma machines (3). donc tout s'est bien passé. le problème maintenant est que quand je suis passé en mode normal, j'ai toujours la désactivation de mon Firewall et mon Antivirus pendant 2 ou 3 minutes (c'est moins qu'avant). donc est-ce que quelqu'un a une idée de ce que je dois faire ou est-ce que je dois poster mon message dans un autre forum.


      merci beaucoup de l'aide et à très bientôt

      jalal
      0
    2. AVALON
       
      salut

      j' ai eu le meme probleme j' ai desinstaler mon anti virus et reinstaler de nouveaux cela a regler mon probleme
      0
  2. AVALON
     
    desole je n 'avais pas vu que tu l' avais deja fait

    edit ta liste de processus et de service et met les sur le forum
    je regarderais s' il y a un progamme (mechant) qui se lance au demarage de ton Pc
    0
    1. jalal
       
      salut
      j'ai déjà posté ce message ce matin mais je le reposte car j'ai pas encore eu de réponse. merci beaucoup.
      j'ai pu désinstaller les virus de mon ordi, mais j'ai l'antivirus et le firewall toujours désactivés au démarage de windows (pendant 3 à 5 minutes, ça varie tout le temps). donc voici un log :
      Logfile of HijackThis v1.99.1
      Scan saved at 13:08:39, on 01/06/2005
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\ctfmon.exe
      C:\WINDOWS\system32\hkcmd.exe
      C:\WINDOWS\AGRSMMSG.exe
      C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
      C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
      C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
      C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
      C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
      C:\Program Files\ATnotes\ATnotes.exe
      C:\Program Files\CursorXP\CursorXP.exe
      C:\Program Files\Le Robert\Le Petit Robert\prhyper.exe
      C:\PROGRA~1\NETWOR~1\MCAFEE~1\FireTray.exe
      C:\Program Files\Logitech\MouseWare\system\em_exec.exe
      C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
      C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
      C:\Program Files\Yahoo!\Messenger\ypager.exe
      C:\Program Files\MSN Messenger\msnmsgr.exe
      C:\Program Files\Canon\DIAS\CnxDIAS.exe
      C:\PROGRA~1\NETWOR~1\MCAFEE~1\FireSvc.exe
      C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
      C:\Program Files\Network Associates\VirusScan\Mcshield.exe
      C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
      C:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\Documents and Settings\Jalal\Mes documents\hijackthis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ddl.ish-lyon.cnrs.fr/index.asp?Action=Edit&Langue=F
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: ECarteBleueBrowserHelper Class - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
      O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
      O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
      O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
      O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
      O4 - HKLM\..\Run: [XoftSpy] C:\Program Files\XoftSpy\XoftSpy.exe -s
      O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
      O4 - HKLM\..\Run: [Sin Espias] C:\Program Files\SinEspias\No-Spy.exe /autorun
      O4 - HKLM\..\Run: [Sans Espions] "C:\Program Files\SinEspias\No-Spy.exe" /autorun
      O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
      O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
      O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [ATnotes.exe] C:\Program Files\ATnotes\ATnotes.exe
      O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
      O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe
      O4 - HKCU\..\Run: [Le Petit Robert Hyperappel] C:\Program Files\Le Robert\Le Petit Robert\prhyper.exe
      O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O4 - Global Startup: McAfee Desktop Firewall Tray.lnk = ?
      O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
      O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
      O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {5F0C30E4-1E72-4DCC-85E5-57810F1CA97B} (McUpdatePortalFactory Class) - http://www.amiuptodate.com/vsc/bin/1,0,0,8/McUpdatePortal.cab
      O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{FAC1719D-39CB-4532-8772-F6438184C39B}: NameServer = 193.48.145.1,193.48.145.246
      O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
      O23 - Service: Canon Driver Information Assist Service - CANON INC. - C:\Program Files\Canon\DIAS\CnxDIAS.exe
      O23 - Service: McAfee Desktop Firewall Service (FireSvc) - Networks Associates Technology, Inc. - C:\PROGRA~1\NETWOR~1\MCAFEE~1\FireSvc.exe
      O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
      O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
      O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
      O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

      et les startup :

      StartupList report, 01/06/2005, 13:08:57
      StartupList version: 1.52.2
      Started from : C:\Documents and Settings\Jalal\Mes documents\hijackthis\HijackThis.EXE
      Detected: Windows XP SP2 (WinNT 5.01.2600)
      Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
      * Using default options
      ==================================================

      Running processes:

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\ctfmon.exe
      C:\WINDOWS\system32\hkcmd.exe
      C:\WINDOWS\AGRSMMSG.exe
      C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
      C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
      C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
      C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
      C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
      C:\Program Files\ATnotes\ATnotes.exe
      C:\Program Files\CursorXP\CursorXP.exe
      C:\Program Files\Le Robert\Le Petit Robert\prhyper.exe
      C:\PROGRA~1\NETWOR~1\MCAFEE~1\FireTray.exe
      C:\Program Files\Logitech\MouseWare\system\em_exec.exe
      C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
      C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
      C:\Program Files\Yahoo!\Messenger\ypager.exe
      C:\Program Files\MSN Messenger\msnmsgr.exe
      C:\Program Files\Canon\DIAS\CnxDIAS.exe
      C:\PROGRA~1\NETWOR~1\MCAFEE~1\FireSvc.exe
      C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
      C:\Program Files\Network Associates\VirusScan\Mcshield.exe
      C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
      C:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\Documents and Settings\Jalal\Mes documents\hijackthis\HijackThis.exe
      C:\Program Files\UltraEdit\uedit32.exe

      --------------------------------------------------

      Listing of startup folders:

      Shell folders Common Startup:
      [C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage]
      Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      McAfee Desktop Firewall Tray.lnk = ?

      --------------------------------------------------

      Checking Windows NT UserInit:

      [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
      UserInit = C:\WINDOWS\system32\Userinit.exe

      --------------------------------------------------

      Autorun entries from Registry:
      HKLM\Software\Microsoft\Windows\CurrentVersion\Run

      HotKeysCmds = C:\WINDOWS\system32\hkcmd.exe
      AGRSMMSG = AGRSMMSG.exe
      SunJavaUpdateSched = C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
      Logitech Utility = Logi_MwX.Exe
      XoftSpy = C:\Program Files\XoftSpy\XoftSpy.exe -s
      Network Associates Error Reporting Service = "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
      Sin Espias = C:\Program Files\SinEspias\No-Spy.exe /autorun
      Sans Espions = "C:\Program Files\SinEspias\No-Spy.exe" /autorun
      gcasServ = "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
      TkBellExe = "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
      ShStatEXE = "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
      McAfeeUpdaterUI = "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

      --------------------------------------------------

      Autorun entries from Registry:
      HKCU\Software\Microsoft\Windows\CurrentVersion\Run

      CTFMON.EXE = C:\WINDOWS\system32\ctfmon.exe
      ATnotes.exe = C:\Program Files\ATnotes\ATnotes.exe
      Yahoo! Pager = C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
      CursorXP = C:\Program Files\CursorXP\CursorXP.exe

      --------------------------------------------------

      File association entry for .TXT:
      HKEY_CLASSES_ROOT\UltraEdit.txt\shell\open\command

      (Default) = "C:\Program Files\UltraEdit\uedit32.exe" "%1"

      --------------------------------------------------

      Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

      Shell=*INI section not found*
      SCRNSAVE.EXE=*INI section not found*
      drivers=*INI section not found*

      Shell & screensaver key from Registry:

      Shell=Explorer.exe
      SCRNSAVE.EXE=C:\WINDOWS\system32\ssbezier.scr
      drivers=*Registry value not found*

      Policies Shell key:

      HKCU\..\Policies: Shell=*Registry key not found*
      HKLM\..\Policies: Shell=*Registry value not found*

      --------------------------------------------------


      Enumerating Browser Helper Objects:

      (no name) - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
      (no name) - C:\WINDOWS\system32\BhoECart.dll - {2E03C0FD-4C48-43A7-9A54-00240C70FF16}
      (no name) - c:\program files\google\googletoolbar1.dll - {AA58ED58-01DD-4d91-8333-CF10577473F7}

      --------------------------------------------------

      Enumerating Task Scheduler jobs:

      XoftSpy.job

      --------------------------------------------------

      Enumerating Download Program Files:

      [Office Update Installation Engine]
      InProcServer32 = C:\WINDOWS\opuc.dll
      CODEBASE = http://office.microsoft.com/officeupdate/content/opuc2.cab

      [McUpdatePortalFactory Class]
      InProcServer32 = C:\WINDOWS\Downloaded Program Files\McUpdatePortal.dll
      CODEBASE = http://www.amiuptodate.com/vsc/bin/1,0,0,8/McUpdatePortal.cab

      [MsnMessengerSetupDownloadControl Class]
      InProcServer32 = C:\WINDOWS\Downloaded Program Files\MsnMessengerSetupDownloader.ocx
      CODEBASE = http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

      [Shockwave Flash Object]
      InProcServer32 = C:\WINDOWS\system32\macromed\flash\Flash.ocx
      CODEBASE = http://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab

      --------------------------------------------------

      Enumerating ShellServiceObjectDelayLoad items:

      PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
      CDBurn: C:\WINDOWS\system32\SHELL32.dll
      WebCheck: C:\WINDOWS\system32\webcheck.dll
      SysTray: C:\WINDOWS\system32\stobject.dll

      --------------------------------------------------
      End of report, 6 858 bytes
      Report generated in 0,090 seconds

      Command line options:
      /verbose - to add additional info on each section
      /complete - to include empty sections and unsuspicious data
      /full - to include several rarely-important sections
      /force9x - to include Win9x-only startups even if running on WinNT
      /forcent - to include WinNT-only startups even if running on Win9x
      /forceall - to include all Win9x and WinNT startups, regardless of platform
      /history - to list version history only


      merci beaucoup

      ciao
      jal
      0
  3. sebsauvage Messages postés 33284 Date d'inscription   Statut Modérateur Dernière intervention   15 684
     
    Pense à faire un WindowsUpdate !

    Sinon ça va revenir sans cesse.
    0
  4. jalal
     
    salut
    j'ai réinstallé et toujours le même problème. WindowsUpdate est fait automatiquement ainsi que la mise à jour de Firewall et de l'antivirus.

    par contre, tu me dit d'éditer mes processus et les services, comment faire???

    merci beaucoup

    jal
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jalal
     
    Bonjour tout le monde
    voici une liste de mes processuss et autre fait avec hijackthis (j'espère que c'est ça que tu me demande):
    Logfile of HijackThis v1.99.1
    Scan saved at 10:22:17, on 01/06/2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\WINDOWS\AGRSMMSG.exe
    C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
    C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
    C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
    C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
    C:\Program Files\ATnotes\ATnotes.exe
    C:\Program Files\CursorXP\CursorXP.exe
    C:\Program Files\Le Robert\Le Petit Robert\prhyper.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\PROGRA~1\NETWOR~1\MCAFEE~1\FireTray.exe
    C:\Program Files\Logitech\MouseWare\system\em_exec.exe
    C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
    C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
    C:\Documents and Settings\Jalal\Mes documents\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ddl.ish-lyon.cnrs.fr/index.asp?Action=Edit&Langue=F
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: ECarteBleueBrowserHelper Class - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
    O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
    O4 - HKLM\..\Run: [XoftSpy] C:\Program Files\XoftSpy\XoftSpy.exe -s
    O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
    O4 - HKLM\..\Run: [Sin Espias] C:\Program Files\SinEspias\No-Spy.exe /autorun
    O4 - HKLM\..\Run: [Sans Espions] "C:\Program Files\SinEspias\No-Spy.exe" /autorun
    O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
    O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [ATnotes.exe] C:\Program Files\ATnotes\ATnotes.exe
    O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
    O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe
    O4 - HKCU\..\Run: [Le Petit Robert Hyperappel] C:\Program Files\Le Robert\Le Petit Robert\prhyper.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: McAfee Desktop Firewall Tray.lnk = ?
    O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {5F0C30E4-1E72-4DCC-85E5-57810F1CA97B} (McUpdatePortalFactory Class) - http://www.amiuptodate.com/vsc/bin/1,0,0,8/McUpdatePortal.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{FAC1719D-39CB-4532-8772-F6438184C39B}: NameServer = 193.48.145.1,193.48.145.246
    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
    O23 - Service: Canon Driver Information Assist Service - CANON INC. - C:\Program Files\Canon\DIAS\CnxDIAS.exe
    O23 - Service: McAfee Desktop Firewall Service (FireSvc) - Networks Associates Technology, Inc. - C:\PROGRA~1\NETWOR~1\MCAFEE~1\FireSvc.exe
    O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
    O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
    O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

    et la liste de startup :
    StartupList report, 01/06/2005, 10:22:33
    StartupList version: 1.52.2
    Started from : C:\Documents and Settings\Jalal\Mes documents\hijackthis\HijackThis.EXE
    Detected: Windows XP SP2 (WinNT 5.01.2600)
    Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    * Using default options
    ==================================================

    Running processes:

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\WINDOWS\AGRSMMSG.exe
    C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
    C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
    C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
    C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
    C:\Program Files\ATnotes\ATnotes.exe
    C:\Program Files\CursorXP\CursorXP.exe
    C:\Program Files\Le Robert\Le Petit Robert\prhyper.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\PROGRA~1\NETWOR~1\MCAFEE~1\FireTray.exe
    C:\Program Files\Logitech\MouseWare\system\em_exec.exe
    C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
    C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
    C:\Documents and Settings\Jalal\Mes documents\hijackthis\HijackThis.exe

    --------------------------------------------------

    Listing of startup folders:

    Shell folders Common Startup:
    [C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage]
    Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    McAfee Desktop Firewall Tray.lnk = ?

    --------------------------------------------------

    Checking Windows NT UserInit:

    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    UserInit = C:\WINDOWS\system32\Userinit.exe

    --------------------------------------------------

    Autorun entries from Registry:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run

    HotKeysCmds = C:\WINDOWS\system32\hkcmd.exe
    AGRSMMSG = AGRSMMSG.exe
    SunJavaUpdateSched = C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
    Logitech Utility = Logi_MwX.Exe
    XoftSpy = C:\Program Files\XoftSpy\XoftSpy.exe -s
    Network Associates Error Reporting Service = "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
    Sin Espias = C:\Program Files\SinEspias\No-Spy.exe /autorun
    Sans Espions = "C:\Program Files\SinEspias\No-Spy.exe" /autorun
    gcasServ = "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
    TkBellExe = "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    ShStatEXE = "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
    McAfeeUpdaterUI = "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

    --------------------------------------------------

    Autorun entries from Registry:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run

    CTFMON.EXE = C:\WINDOWS\system32\ctfmon.exe
    ATnotes.exe = C:\Program Files\ATnotes\ATnotes.exe
    Yahoo! Pager = C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
    CursorXP = C:\Program Files\CursorXP\CursorXP.exe

    --------------------------------------------------

    File association entry for .TXT:
    HKEY_CLASSES_ROOT\UltraEdit.txt\shell\open\command

    (Default) = "C:\Program Files\UltraEdit\uedit32.exe" "%1"

    --------------------------------------------------

    Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

    Shell=*INI section not found*
    SCRNSAVE.EXE=*INI section not found*
    drivers=*INI section not found*

    Shell & screensaver key from Registry:

    Shell=Explorer.exe
    SCRNSAVE.EXE=C:\WINDOWS\system32\ssbezier.scr
    drivers=*Registry value not found*

    Policies Shell key:

    HKCU\..\Policies: Shell=*Registry key not found*
    HKLM\..\Policies: Shell=*Registry value not found*

    --------------------------------------------------

    Enumerating Browser Helper Objects:

    (no name) - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
    (no name) - C:\WINDOWS\system32\BhoECart.dll - {2E03C0FD-4C48-43A7-9A54-00240C70FF16}
    (no name) - c:\program files\google\googletoolbar1.dll - {AA58ED58-01DD-4d91-8333-CF10577473F7}

    --------------------------------------------------

    Enumerating Task Scheduler jobs:

    XoftSpy.job

    --------------------------------------------------

    Enumerating Download Program Files:

    [Office Update Installation Engine]
    InProcServer32 = C:\WINDOWS\opuc.dll
    CODEBASE = http://office.microsoft.com/officeupdate/content/opuc2.cab

    [McUpdatePortalFactory Class]
    InProcServer32 = C:\WINDOWS\Downloaded Program Files\McUpdatePortal.dll
    CODEBASE = http://www.amiuptodate.com/vsc/bin/1,0,0,8/McUpdatePortal.cab

    [MsnMessengerSetupDownloadControl Class]
    InProcServer32 = C:\WINDOWS\Downloaded Program Files\MsnMessengerSetupDownloader.ocx
    CODEBASE = http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

    [Shockwave Flash Object]
    InProcServer32 = C:\WINDOWS\system32\macromed\flash\Flash.ocx
    CODEBASE = http://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab

    --------------------------------------------------

    Enumerating ShellServiceObjectDelayLoad items:

    PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
    CDBurn: C:\WINDOWS\system32\SHELL32.dll
    WebCheck: C:\WINDOWS\system32\webcheck.dll
    SysTray: C:\WINDOWS\system32\stobject.dll

    --------------------------------------------------
    End of report, 6 397 bytes
    Report generated in 0,080 seconds

    Command line options:
    /verbose - to add additional info on each section
    /complete - to include empty sections and unsuspicious data
    /full - to include several rarely-important sections
    /force9x - to include Win9x-only startups even if running on WinNT
    /forcent - to include WinNT-only startups even if running on Win9x
    /forceall - to include all Win9x and WinNT startups, regardless of platform
    /history - to list version history only

    voilà

    merci de ton aide

    Ciao
    0