Salut à tous
 
Je galère.
 
Hier matin, j'allume mon pc comme d'hab bref je part bosser...
Je rentre et sur mon pc zone alarm m'indique que winap64.exe voudrais se acceder à internet, je reponds non puis un autre me demande si winapi peut être serveur je reponds non.
De plus une fenêtre invite de commande (dos) était ouverte avec dedans c:winapi64.exe dès que je ferme la fenetre decompression de winap32.exe et winapi64.exe dans c
Alors la? super  
De plus error rundll (mais pas de nom de fichiers 4 carrés à la place)
Je scanne mon pc avec avast (ne trouve rien) puis adaware et il trouve 2 win32.trojandownloader.conhook + des cookies .adaware les supprime après un reboot.
a2free me vire des petites merdes aussi.
 
J'essaye de virer le processus  
Mais à chaque demarrage ça recommence  
 
Je me suis egalement servi de HijackThis et ai viré ce qui avait rapport avec winapi mais sans résultat de plus sur le net je ne trouve rien sur winapi 32 ou 64.exe  
Qu'est ce que c'est?
pouvez vous me filer un coup de patte?
je vous en serai reconnaisant !!
merci
Brice :-(

Voila  
 
 
 
Logfile of HijackThis v1.99.1
Scan saved at 19:04:59, on 07/12/2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\dlhost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\program files\valve\steam\steam.exe
c:\winapi64.exe
C:\Program Files\Avant Browser\avant.exe
C:\WINNT\Temp\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.voila.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =  
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINNT\System32\awtsp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A05D5D45-236C-4CE7-98F3-7AFB88A5327A} - (no file)
O2 - BHO: Name - {A80BC8CB-5E3E-44CD-84C4-48DEF09880B1} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Services] c:\winapi64.exe
O4 - HKCU\..\Run: [Steam] "c:\program files\valve\steam\steam.exe" -silent
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Bloquer ce serveur... - C:\Program Files\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Bloquer cette publicité... - C:\Program Files\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans une nouvelle fenêtre d'Avant Browser - C:\Program Files\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Ouvrir tous les liens de la page... - C:\Program Files\Avant Browser\OpenAllLinks.htm
O8 - Extra context menu item: Rechercher avec Google... - C:\Program Files\Avant Browser\Search.htm
O8 - Extra context menu item: Rechercher sur le Web... - C:\Program Files\Avant Browser\Search.htm
O8 - Extra context menu item: Surligner - C:\Program Files\Avant Browser\Highlight.htm
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O16 - DPF: {01347765-1965-426B-91A4-AA6BB342B9A3} (InstallerObj Class) - http://www.1-click.com/common/file [...] n-test.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/19b0cf [...] xIE601.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/window [...] 2401488406
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/18 [...] ge-c18.cab
O16 - DPF: {BEF9DA9B-002E-4901-AEFD-53043E9F3976} (Djingle InstallAx Control) - http://www.sexyvip.fr/djingle/inst [...] tallax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{67CB8A65-3579-43F0-8D15-817625E5A086}: NameServer = 69.50.184.84,195.225.176.37
O20 - Winlogon Notify: awtsp - C:\WINNT\SYSTEM32\awtsp.dll
O20 - Winlogon Notify: mljjh - mljjh.dll (file missing)
O20 - Winlogon Notify: pmkhe - pmkhe.dll (file missing)
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)
O21 - SSODL: systemp - {F23730FB-FA62-417B-9D54-BE664C446C5F} - (no file)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: DynamicHost (DLHOST) - Unknown owner - C:\WINNT\dlhost.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZONELABS\vsmon.exe
 

et un message viens de s'afficher (somes files could not be created. please close all applications, reboot windows and restart this installation)
 
mais je ne fais rien ????

Salut brice08 Bonjour à tous, et merci d'avoir pris l'initiative de vouloir nous lire .
J'ai le même problème que toi brice08 ; un trojan ... Ad-Aware le supprime (d'après lui), et le trojan est tjrs la a chaque redemarrage ...
Je l'ai désactivé dans Demarrer>executer>Msconfig ... mais rien n'y fait sur Win XP ^^ J'ai aussi "supprimé" manuellement les 1-4 fichiers qui s'incrustent dans le C: , api36.exe (avec une icone a lag self extract de winrar) sysconfig.bat, et winapi64.exe. Si je les supprime rien ne se passe, a la limite j'ai un message d'erreur "Winapi doit etre arrêté..."    
J'ai Avast il est a jour... Et lui il pense que tout marche correctement
Voici un screenshot de ce que j'ai au démarrage ... (je poste un lien car l'image est assez grande)
 
Apres avoir fait klk recherches (qui ml'ont mené sur ce forum ) j'ai installé Spyware Doctor (=hjitrojan je crois ) et voici le "log" ... (faut payer si on veux ne plus etre infecté xD
 

 
Que faire ... J'ai un pc tout neuf je me demande comment j'ai pu récupérer ça ...
Je vous remercie encore de votre aide.
Tous mes programess ont a jour ^^ ; j'utilise :
Win XP
Mozilla
Avast AV
Sygate FW
AdAware

brice08 essaye d'installer le pack1 pour winxp ici :
http://www.microsoft.com/windowsxp [...] twork.mspx
Et reviens ici dire si tu as toujours ce pb ...
En tout cas moi ca semble l'avoir résolu ... J'ai ptetre encore le trojan mais ca ne se dézippe plus dans C: ... Et apparement mon Windows Update marche pas ^^

Un api39.exe est apparu dans C: ... Vraiment étrange ... Personne n'aurait d'idée sur la question ?

j'ai exactement le même problème que vous sur un PC que j'ai monté il y a 3 jours
 
il me crée un fichier rar et décompresse 3 fichiers : winapi32.exe, winapi64.exe et un fichier .bat (ai plus le nom en tête mais c'est lui qui lance les 2 exe) et ca donne la même erreur que AskGodRage
 
j'ai aussi eu le message dont brice08 parlais mais moin souvent
 
j'ai trouvé pas mal de liens sur le net qui parlent de winapi32.exe mais pas vraiment trouvé de solution
 

j'ai le meme probleme que vous avec en plus un fichier drsmartload mais meme quand je suis les intructions donner par google (mode sans echec, hijackthis ,...) les fichiers reapparaissent au demarrage et ca rame
et puis plus j attends plus il cree de nouveau fichier sur le C: type tf5.exe qui se lance au demarrage

salut a vous! J'ai eu le meme type de problème que voue et je suis tombé sur ce site, mais personne ne semblait pouvoir nous aider . J'ai donc trouvé un autre site sur lequel on a pu me conseiller  : http://www.commentcamarche.net/forum. Voici ce qu'on m'a dit:
Il faut scanner votre ordi avec Hijackthis.  
Aller sur la ligne:O4 - HKLM\..\Run: [Services] c:\winapi64.exe
la fixer et supprimer en gras.
A partir de la vous pouvez effacer l'application winapi64 qui ne veut pas etre supprimée en temps ordinaire dans votre disque c:
Voila c'est tout ce que je peux faire pour vous. Si ça ne marche pas aller "ccm"  
En ce qui concerne les autres fichiers tel que ce qui arrive à parisjohn, je ne sais pas si c'est wanapi64 qui les génère ou qui facilité leur venu ou si c'est un manque de protection  de l'ordi.
a+

salut a vous! J'ai eu le meme type de problème que voue et je suis tombé sur ce site, mais personne ne semblait pouvoir nous aider . J'ai donc trouvé un autre site sur lequel on a pu me conseiller  : http://www.commentcamarche.net/forum. Voici ce qu'on m'a dit:
Il faut scanner votre ordi avec Hijackthis.  
Aller sur la ligne:  O4 - HKLM\..\Run: [Services] c:\winapi64.exe
la fixer et supprimer en gras.
A partir de la vous pouvez effacer l'application winapi64 qui ne veut pas etre supprimée en temps ordinaire dans votre disque c:
Voila c'est tout ce que je peux faire pour vous. Si ça ne marche pas aller "ccm"  
En ce qui concerne les autres fichiers tel que ce qui arrive à parisjohn, je ne sais pas si c'est wanapi64 qui les génère ou qui facilité leur venu ou si c'est un manque de protection  de l'ordi.
a+

J'ai meme pas cette clé dans hijackthis c'est ca le pire et dans regedit je trouve rien non plus. Hier j ai tout redemarrer en mode sans echec passer ad-aware, spybot, hijackthis tout retirer du disque les fichiers masi rien a faire
please help  
Merci

bon j'ai plus le probleme mais je sais pas trop ce qui à fonctionné
 
en fait j'ai juste décoché winapi64 dans msconfig et j'ai passé 2 antivirus (antivir guard) qui m'a trouvé 2 worms et il les a virés ...
 (mais sais plus le nom et j'avais déja scanné sans rien trouvé 2 jours plus tôt)  
 
depuis j'ai plus de problemes mais j'ose pas trop m'avancer   , y'a surement encore des traces mais je n'ai pas été jouer dans la base de registre, je fais tout le temps des conneries là dedans  

avant tout je suis tout, sauf un spécialiste de virus trojan et autres bestioles, tout ce que je sais c'est que sur la bécane de ma belle mère (riez pas elle est trés sympa) elle a chopé conhook qui c'est mis dans une dll ou a crée une dll (je sais pas trop)
j'ai cherché partout sur internet et trouvé les mêmes soluces que vous de 3 pages pour ingenieur en informatique et j'ai laissé tombé
je me suis rappellé une vieille lecture et j'ai désactivé la restauration automatique, lancé add aware qui la m'a enlevé (la dll incriminée) ce qu'il refusait de faire avant ainsi que antivir.
tout les 2 voyait le fichier infecté mais refusait de me l'enlever
 la machine a redemarrée et tout allais bien aprés...
 
je dis pas que ca marchera chez vous, mais moi j'ai fait comme ca
 
(PS:la restauration désactivée annule toute les resto existante)
gcdv

Salut, merci de vos réponses, on se sent moins seul ^^
Bon, alors apres 5 jours calmes, voici un peu le meme probleme, mais avec un fichié nommé sk17934.exe ... un rar 32so.exe, un conf.bat et ts5.exe ... Mon firewall (Sygate) a detecté une tentative ... Tout ceci en image.
 
Le prog "hijackthis" ne supprime les choses que si l'on paye non ?

moi j ai exactement la meme chose que toi g essayé tous les ad aware spbot en mode sans echec mais rien n y fait dans hijack this ya aucune clé correspondant je vais essayé de passer un antivirus genre housecall mais g deja office scan je sais pas comment le virer ce virus

Bon, dans tous les cas :
1) un prog pour virer les trojan et autres bestioles
2) msconfig pour virer le truc au demarrage
3) réutilisation du prog anti-trojan&cie
Et on est tranquile pour klk temps

Il m'est réarivé la meme chose
mais les fichiers se nomment tr.exe ...

ouai g la meme chose tr.exe et w3.exe c la merde encore c bien relou