Salut à tous,
 
je viens juste de formater mon disque et d'installer xp. A peine connecté à internet, les ennuis ont commencé. Rien de bien grave pour l'instant, juste des programmes qui se connectent tout seuls à internet. Je m'en suis rendu compte en regardant le niveau du trafic internet. Avec mon firewall g détecté ces programmes suspects et je les ai virés à la fois de windows/system32/ et de la base de registres. Il y avait explorerx.exe, hwclock.exe, compq32.exe, trkwksvc.exe, gamemanager.exe et msmsn32.exe. Le souci c que certains programmes se régénèrent, notamment msmsn32.exe.  
 
Je précise que g updaté windows, mis à jour norton, et exécuté hijackthis
 
Quelqu'un a-t-il une solution pour supprimer définitivement ces fichiers ?
 
 
 
Copie de mon log hijackthis :
 
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Greg\Bureau\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.cegetel.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [Microsoft Messenger XP] MSMSN32.exe
O4 - HKLM\..\RunServices: [Microsoft Messenger XP] MSMSN32.exe
O4 - HKCU\..\Run: [Microsoft Messenger XP] MSMSN32.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6 [...] vSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 2542433125
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/SymAData.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Distributed Link Tracking Service (TrkWksvc) - Unknown owner - C:\WINDOWS\System32\TrkWksvc.exe (file missing)
 

salut
salut
imprime ceci pour ne rien oublier et tous faire
tous faire dans l ordre imperativement
-------------------------
tous da bord telecharge ces programmes si tu ne les a pas et met les a jour mais ne les utilise pas encore
adaware (1)
spyboot (2)
    (ici)               http://pageperso.aol.fr/balltrap34/page%20virus.htm
et aussi ceci
http://pageperso.aol.fr/Balltrap34/CleanUp312.exe
----------------
 
 
demarre en mode sans echec
mode sans echec pour cela tu tapote la touche f8  
des le debut de l allumage du pc sans t arreter  
une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec  
une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal.si f8 ne marche pas utilise la touche f5
-------------------------  
desactive ta restauration systeme  
pour ça tu fais clic droit sur poste de travail  
propriété tu clique sur onglet restauration système  
tu coche la case désactiver la restauration et applique  
------------  
 
assure toi de ceci  
Affiche tous les fichiers et dossiers :  
cliquer sur démarrer/panneau de configuration/option des dossiers/affichage  
Cocher afficher les dossiers cacher  
 
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"  
 
Décocher masquer les extensions dont le type est connu  
Puis fais «Ok» pour valider les changements.  
 
Et appliquer  
----------------------
vide tes fichiers temps et tempory internet file sur tous les utilisateur  
utilise ceci pour le faire  
http://pageperso.aol.fr/Balltrap34/CleanUp312.exe
 
   
--------------------
relance hijack coche ces lignes et  ensuite clik sur fix
O4 - HKLM\..\Run: [Microsoft Messenger XP] MSMSN32.exe  
O4 - HKLM\..\RunServices: [Microsoft Messenger XP] MSMSN32.exe  
O4 - HKCU\..\Run: [Microsoft Messenger XP] MSMSN32.exe  
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)  
O23 - Service: Distributed Link Tracking Service (TrkWksvc) - Unknown owner - C:\WINDOWS\System32\TrkWksvc.exe (file missing)  
 
 
 
----------------------
recherche et suppr ceci
attention seulement les fichiers  
MSMSN32.exe  
 
---------------
passe  adaware et vire tous se qu il trouve    
----------  
passe spy boot et vire tous se qu il trouvent
-------------
tu vide ta poubelle et tu redemarre en mode normal et refait un hijack  
 
--  

Ok Merci !
 
J'ai suivi tes indications et y'a toujours des résidus dans mon log.  
Autre souci : quand je suis en mode sans échec et que j'exécute hijachthis je n'ai plus la ligne suivante :
 
O4 - HKCU\..\Run: [Microsoft Messenger XP] MSMSN32.exe  
 
Alors qu'elle est là quand j'exécute XP en mode normal.
 
Copy de mon nouveau log :
 
Logfile of HijackThis v1.99.1
Scan saved at 19:33:39, on 04/04/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
C:\Documents and Settings\Greg\Bureau\HijackThis.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.cegetel.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKCU\..\Run: [Microsoft Messenger XP] MSMSN32.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6 [...] vSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 2542433125
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6 [...] /cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O16 - DPF: {C79F0120-EF94-4FAC-8248-6F30B92E9524} (AdValiderInterface Class) - http://www.journal-officiel.gouv.f [...] eb_DJO.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/SymAData.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Distributed Link Tracking Service (TrkWksvc) - Unknown owner - C:\WINDOWS\System32\TrkWksvc.exe (file missing)

Ouf ! apparemment c'est bon. Après maintes tentatives de suppression j'ai finalement réussi à éliminer ces programmes. Pourtant je suis pas tranquille passque si j'ai le malheur d'enlever mon firewall et que je me connecte à internet, mon UC fonctionne direct à 100%. Donc je crois que la prochaine étape ce sera le reformatage...
 
 
 

il ne faut pas te connecter sans pare feu
t est un peu suicidaire non

Un grand merci à balltrap34 pour son aide. J'y ai mis le temps mais j'ai finalement réussi à me débarrasser de ce sale ver. Merci aussi à subtray d'avoir soulever le problème.
 
Je rajouterais peut-être juste une chose pour les newbies comme moi, si vous n'arrivez pas à démarrer en mode sans échec avec la touche F8 (ce qui était mon cas et qui m'a bien énervé pendant un moment, suivez les instructions ici : http://service1.symantec.com/SUPPO [...] 5143456924
 
Salutations !
 
Chris #19

Bravo à toi...
Une question, tu utilises quel firewall??
Car moi aussi j'ai ces programmes et j'ai mon uc tout le temps à 100%. Je pense que c'est un virus.
 
J'utilise le firewall de xp. Je sais qu'il est pas super...
Et aussi comment faire pour paramétrer le firewall avec emule? comment voir si le firewall fait bien son boulot??
 
Merci de tous ces éclairages.

J'utilise Outpost. J'ai eu pendant longtemps ZoneAlarm mais j'ai voulu installer la nouvelle version la semaine passée et ça a pas vraiment marché (d'ailleurs je crois que c'est à ce moment là que j'ai chopé ce ver).  
 
Je peux pas t'aider pour emule avec un firewall car je n'utilise pas de programmes P2P.  
 
En ce qui concerne la fiabilité du firewall il y a plusieurs sites qui offrent des tests en ligne. Celui de pcflank est pas mal : http://www.pcflank.com/scanner1.htm
 
Chris #19