Bonjour,
le portable de ma soeur a été recemment infecté par différents virus et trojans, j'ai fais un bon ménage avec reinstallation de windows.
A peine reconnecté à internet, celui ci a de nouveaux été infecté, après une analyse avec avg, j'ai du redemarrer pour supprimer un fichier et depuis, explorer.exe ne se lance plus, j'ai seulement le fond d'écran et rien d'autres (pas d'icone, de barre des taches ou autre). A l'aide de ctrl+alt+suppr, je peux executer des taches mais explorer.exe ne veut pas se lancer, une boite de dialogue disant que windows ne trouve pas explorer.exe. (Le fichier explorer.exe se trouve pourtant dans c:\windows mais il ne veut pas se lancer. J'ai réinstallé windows mais celà n'a rien changé (en effet je veux éviter à tout prix le formatage!!). De plus au démarrage j'ai une fenetre Internet explorer qui se lance avec une url contenant une adresse ip et l'invite de commande ms-dos se lance. En clair le portable est infecté et je souhaiterai régler ca.. J'ai déjà utilisé, spybot, ad-aware, anti-trojan et Avg!! J'ai effectué un scan sur panda et il me toruve des fichiers infectés qu'avg ne trouvait pas mais je ne peux pas les supprimer. Je suis en train de faire un scan par Secuser.
Voici mon log Hijackthis
 
Logfile of HijackThis v1.99.0
Scan saved at 13:13:11, on 19/07/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\System32\taskmgr.exe
D:\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [Anti-Trojan] C:\Program Files\Anti-Trojan-55\Anti-Trojan.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Externtelecom - Unknown - C:\WINDOWS\extel.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
 
Merci d'avance

A mon avis, la machine a repris une belle claque. Malheureusement, il vaut peut-être encore mieux reformater, et réinstallé un Windows XP SP2 avant toute reconnexion à Internet.

mmm La machine est un portable Duron 850 Mhz avec 256 de ram, elle peut supporter le sp2 ?) Je ne souhaite vraiment pas formater, installer l'sp2 pour profiter du firewall et de quelques sécurités de Ie ( je sais faut prendre Firefox mais le portable est à ma soeur et elle ne veut pas changer, j'y peux rien elle est têtue). Mais ce que je veux dire c'est y'a vraiment pas un autre moyen que de formater ?

Que tu aies Firefox, Internet Explorer ou n'importe quoi d'autre, si tu ne fais pas les mises à jour de sécurité de Windows, elle vas se faire bombarder dès qu'elle va se connecter à Internet.
Je te dis pas forcément d'activer le firewall de Windows XP, mais le SP2 contient le minimum de mises à jour nécessaires pour que le PC survive sans se faire attaquer. Après, il faudra bien entendu faire les mises à jour de sécurité qui suivent.

Ca va te paraître bizarre, mais fais ceci, c'est uniquement pour vérifier:
Assure-toi que tu as accès aux fichiers cachés.
(explorateur windows->outils->options des dossiers->affichage
""Afficher les fichiers cachés"->coché
"Masquer les extensions.."->décoché)
 
et vois si tu as ce fichier :
 
c:\windows\system32\rdriv.sys  

lol,
je rigole parce que je viens de terminer un scan avec secuser et il a pu del 15 fichiers infectés mais il en restait 1 qu'il ne pouvait pas toucher car il était en cours d'utilisation. C'est rdriv.sys.
Mais en redemarrant ( avant de voir ton message) j'ai ouvert windows en mode sans echec invite de commande et ce fichier était introuvable.
Et là tu me demandes de regarder et oui il y est. ( assez étrange entre l'invite de commande sans echec et maintenant en mode normal) je le trouve.
rdriv.sys se trouve bien dans c:\windows\system32

Ok. Je pense que c'est un rootkit en relation avec ce service:
 
O23 - Service: Externtelecom - Unknown - C:\WINDOWS\extel.exe  
 
Démarrer->exécuter->tape:   services.msc
Stoppe et désactve ce service.
 
Télécharge "PocketKillBox" sur :  
http://www.downloads.subratam.org/KillBox.zip
 
Lance "PocketKillBox"
-Coche "Delete on reboot"
-Dans "Paste full path of file..", copie/colle l'un après l'autre les fichiers suivants.
-A chaque fichier, clique "Delete file" (la croix blanche)
-Tu auras ce premier message : "File will be deleted on next reboot", réponds "Yes", puis un second :"Process and Reboot now?". Réponds "NON"  
sauf pour le dernier.
 
c:\windows\system32\rdriv.sys  
C:\WINDOWS\extel.exe  
 
Laisse l'ordi redémarrer et teste-le.

C'est fait, alors pour le problème de explorer.exe, rien à changer, il ne se lance toujours pas et j'ai toujours le fond d'écran seul, par contre la fenetre IE qui se lancait au démarrage pour lancer une invite de commande ça, ça a disparu.
Nouveau log:
 
Logfile of HijackThis v1.99.0
Scan saved at 14:42:35, on 19/07/2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [Anti-Trojan] C:\Program Files\Anti-Trojan-55\Anti-Trojan.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537 [...] scan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
 

Je viens de trouver qqch de suspect, dans system32 y'a un fichier bizzare: y.bat (très suspect..) Autre chose, à la racine du c: se trouve un fichier: 5864gw9k.exe (l'ie cecone est celle d'un fichier qui sert à l'extraction dans winrar) je l'analyse par avg et je vois qu'il analyse plusieurs fichiers qui sont contenus dans l'archive de 5864gw9k.exe. et j'ai vu y.bat
Mais avg dit que ce n'est pas infecté.. je suis pas très sur. Mais la liste des fichiers contenus dans cette archive defile trop vite quand avg l'analyse je voudrais bien savoir quels sont ces fichiers mais je ne veux pas executer cette archive parce qui'elle me parait bizzare..enfin je suis persuadé que c'est un virus ou trojan...
Bon avec winrar, je peux voir ces fichiers et je suis persuadé que ceux ci se trouvent déjà dispachés sur mon Dur . Mais je ne sais pas forcément où une rechercher manuel s'impose mais y'a environ 25 fichiers..

Bon a priori avec les scans effectués, les fichiers ne sont plus sur mon dd, cependant, je peux voir que dans cette archive, il y 2 ou 3 .bat un .reg, en clair il y'a surement eu modification de la base de registre et je voudrais pouvoir remettre la base de registre à l'initial, donc savoir ce qu'a modifier ce fichier .reg mais sans l'ouvrir bien évidemment.. Comment puis-je faire ? merci d'avance

Je n'ai pas trop d'idées pour résoudre le tout.
 
- Lorsque tu fais:
Démarrer->exécuter->tape:  explorer
Que se passe-t-il?
 
- Pour le fichier reg: isole-le fais un clic droit et choisis "Modifier". Il va ête édité. Si tu veux, tu peux le copier/coller ici.

Je viens d'utiliser Easycleaner, il m'a supprimé 64 clé de registres qu'il trouvait incorrect, et j'ai fais un peu le ménage et surprise, j'ai récupéré ma barre des taches etc..
Bref problème, règlé  
Merci beaucoup pour ton aide Acrobaze ainsi que Wolfman.
Maintenant faut que je m'assure que Internet explorer est assez à jour pour ne pas être trop exposé.
De plus ma soeur voudrait qu'on lui block ses pop-up je lui ai dis prend firefox mais non ele veut garder IE, alors j'hésite à lui mettre le sp2, sachant qu'elle à un Duron 850 et 256 de ram..et c'est un portable.. Et j'avoue en avoir un peu marre de bidouiller son pc là.. Parce que j'ai déjà eu quelques embetements avecl'installation du sp2 sur mon ordialors pas le courage de tenter avec le sien.
Devrais-je prendre un logiciel exprès anti pop-up pour IE ?

Ha! Super!
 
Ben au moins le Sp1 et les mises à jour de sécurité qui s'y sont ajoutées.
pour les popups : la barre Google, par exemple. En plus, c'est pratique pour les recherches.
 
-----------
 
Ce qu'il y a eu était vraiment une "vacherie". Je te recommanderais un scan ici :
http://www.kaspersky.com/beta?product=161744315
Il ne nettoiera pas, mais il risque de trouver des chosesc ignorées par les autres. (donc, sauvegarder son rapport!)

Merci beaucoup pour ta contribution, elle avait sp1 avant que je reinstalle windows, j'ai fais les principales mise à jour par windows update, j'attends la fin du scan de kaspersky et après je vois, Merci encore.

Bon bah j'ai les mêmes symptômes...
Je n'ai que le fond d'écran qui se charge.
J'ai essayé EasyCleaner sans succès...
 
En Mode Normal, Explorer ou Winamp n'apparaissent qu'une ou deux secondes et disparaissent aussitôt!
En Mode Sans Echec, l'explorer fonctionne très bien...mais Winamp disparaît!
Que faire?

Personne?