Bonjour à tous,

je fais ce post au sujet d'une bécane qui n est pas la mienne et qui porte les marques d'infections multiples...
je n ose pas trop toucher sans bien savoir, c est pourquoi je m en remet à vous...
j ai reussi a eradiquer une partie du probleme avec ad-aware SE, spybot, regseeker, car je n ai plus le fond d ecran du trojan (smitfraud.c),en revenche,
les services de connexion de marche toujours pas..., en plus la becane en question est a 10 km de chez moi, et les softs que j ai passé dessu n etaient pas a jours...(forcement pas de connex...et oui je sais, ils ont pas du servir a grand chose...)
donc est t il possible dans un premier temps de remettre la connex. que je puisse etre un peu plus efficace directement de la bas?
de plus,j ai egalement pu eradiquer coolwebsearch, et d autres, mais une fenetre me dit a chaque fois
que j essaie de me connecter ou que je lance une applique un peu "serieuse", que fltmgr.dll n est pas
une image windows valide...ou un truc comme ca...(le nom de la dll par contre, j en suis sur)
alors, dans l attente de vos réponses au combien éclairantes, merci.


voici le log de la machine:
===========================
Logfile of HijackThis v1.99.1
Scan saved at 20:20:36, on 22/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\combo.exe
C:\WINDOWS\seeve.exe
C:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
C:\Documents and Settings\Briçou\Application Data\SysDown\sys02268.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\KYSVCXD.EXE
C:\WINDOWS\System32\netddeclnt.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Documents and Settings\Briçou\Bureau\secu\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O1 - Hosts: 65.75.166.170 ibank.barclays.co.uk
O1 - Hosts: 65.75.166.170 online-business.lloydstsb.co.uk
O1 - Hosts: 65.75.166.170 online.lloydstsb.co.uk
O1 - Hosts: 65.75.166.170 www.halifax-online.co.uk
O1 - Hosts: 65.75.166.170 www.ukpersonal.hsbc.co.uk
O1 - Hosts: 65.75.166.170 www.nwolb.com
O1 - Hosts: 65.75.166.170 banesnet.banesto.es
O1 - Hosts: 65.75.166.170 extranet.banesto.es
O2 - BHO: CDownCom Class - {031B6D43-CBC4-46A5-8E46-CF8B407C1A33} - C:\WINDOWS\DOWNLO~1\ipreg32.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [combo.exe] combo.exe
O4 - HKLM\..\Run: [seeve] C:\WINDOWS\seeve.exe
O4 - HKLM\..\Run: [PSGuard] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMixerTray] C:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe
O4 - HKLM\..\Run: [loader32] C:\Documents and Settings\Briçou\Application Data\SysDown\sys02268.exe
O4 - HKLM\..\Run: [KYK Control Settings] KYSVCXD.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [combop.exe] combop.exe
O4 - HKLM\..\RunServices: [KYK Control Settings] KYSVCXD.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [KYK Control Settings] KYSVCXD.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.popuppers.com
O16 - DPF: Interface Chat Wanadoo - http://chat7.x-echo.com/version6/Applet/wchatsign.cab
O23 - Service: Network DDE Client (NetDDEclnt) - Unknown owner - C:\WINDOWS\System32\netddeclnt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
===================================================

C:\WINDOWS\System32\combo.exe
C:\WINDOWS\seeve.exe
O1 - Hosts: 65.75.166.170 ibank.barclays.co.uk
O1 - Hosts: 65.75.166.170 online-business.lloydstsb.co.uk
O1 - Hosts: 65.75.166.170 online.lloydstsb.co.uk
O1 - Hosts: 65.75.166.170 www.halifax-online.co.uk
O1 - Hosts: 65.75.166.170 www.ukpersonal.hsbc.co.uk
O1 - Hosts: 65.75.166.170 www.nwolb.com
O1 - Hosts: 65.75.166.170 banesnet.banesto.es
O1 - Hosts: 65.75.166.170 extranet.banesto.es
O4 - HKLM\..\Run: [combop.exe] combop.exe
O4 - HKLM\..\Run: [combo.exe] combo.exe
O4 - HKLM\..\Run: [seeve] C:\WINDOWS\seeve.exe
ceux la tu peux les virer direct
edit :
C:\WINDOWS\System32\netddeclnt.exe
et j'ai vu qq part un syshost dans un 04 à virer aussi.

merci bien bridget-jones,

la machine dont ce log est issu est loin de chez moi, je n'y retournerai donc que dimanche ou lundi...je copie/colle donc vos reponse que j utiliserais sur place avant de pouvoir reposter des logs plus propre... :-?

effectivement ya un syshost.exe:
O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe

tu pense qu'il a un rapport avec ca:
O4 - HKLM\..\Run: [loader32] C:\Documents and Settings\Briçou\Application Data\SysDown\sys02268.exe
?
autre chose:
O4 - HKLM\..\Run: [KYK Control Settings] KYSVCXD.EXE
O4 - HKLM\..\RunServices: [KYK Control Settings] KYSVCXD.EXE
O4 - HKCU\..\Run: [KYK Control Settings] KYSVCXD.EXE
c 'est du virus ca non?


et ca:
O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll
je crois avoir lu qu'on peu le fixer avec LSPFix

en faite, j ai deja un peu cherché, mais la machine n'etant pas a moi, et tournant sous XP que je ne connait pas trop...j'ose pas trop toucher... :-?
donc si vous pouvez m aider à faire en sorte que je me pointe la bas avec une bonne technique (je note dans un fichier txt) bah ce serai vraiment cool!
encore merci bridget_jones

Bonjour,

As tu la possibilité de télécharger sur l'ordinateur où tu es actuellement, et de graver sur CD ou clé USB afin de l'apporter à l'ordinateur malade ?

oui...pour ca pas de probleme, sur clé USB...

ca me semble bizarre en effet, comme c'est dans le dossier application data, tu peux le supprimer sans trop de risque (vide pas la corbeille, on sait jms)

oui je l'avais raté celui là ! à supprimer aussi !

Re,

Tu vas enregistrer tout ces programmes sur ta clé USB. Imprime cette page pour suivre les indications.

1 Télécharge les outils suivants:

DelDomain.inf
http://www.mvps.org/winhelp2002/restricted.htm
clic droit / Enregistrer la cible sous... Mettre sur le bureau.

CCleaner
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.

Hoster
http://www.funkytoad.com/download/hoster.zip
Ensuite, tu le dézippes sur ton bureau.

LSPfix
http://www.cexx.org/lspfix.htm


2 Tu clique sur Démarrer puis Exécuter, tu tapes services.msc et tu cliques sur OK.
Dans la liste des services, cherche et sélectionne
"Network DDE Client" / double clique sur la ligne
/ vérifie dans Chemin d'accès des fichiers exécutables qu'il
s'agit bien de "C:\WINDOWS\System32\netddeclnt.exe" / dans Type de démarrage,
sélectionne Désactiver / valide la modification.

Clique sur Démarrer, Exécuter, puis tapes cmd et OK.
Copie/Colle la ligne suivante dans la fenêtre.
sc delete NetDDEclnt
Et appuie sur Entrée.
Ferme la fenêtre.


3 Désinstalle via Ajout/suppression des programmes du panneau de configuration, les programmes suivants (si tu les trouves):

PSGuard

4 Redémarre en mode sans echec Rémarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 ou F5 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne le mode sans échec approprié et appuye sur Entrée.

4 Relance un scan HijackThis et coche les lignes ci-dessous :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
O1 - Hosts: 65.75.166.170 ibank.barclays.co.uk
O1 - Hosts: 65.75.166.170 online-business.lloydstsb.co.uk
O1 - Hosts: 65.75.166.170 online.lloydstsb.co.uk
O1 - Hosts: 65.75.166.170 www.halifax-online.co.uk
O1 - Hosts: 65.75.166.170 www.ukpersonal.hsbc.co.uk
O1 - Hosts: 65.75.166.170 www.nwolb.com
O1 - Hosts: 65.75.166.170 banesnet.banesto.es
O1 - Hosts: 65.75.166.170 extranet.banesto.es
O2 - BHO: CDownCom Class - {031B6D43-CBC4-46A5-8E46-CF8B407C1A33} - C:\WINDOWS\DOWNLO~1\ipreg32.dll
O4 - HKLM\..\Run: [combo.exe] combo.exe
O4 - HKLM\..\Run: [seeve] C:\WINDOWS\seeve.exe
O4 - HKLM\..\Run: [PSGuard] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe
O4 - HKLM\..\Run: [loader32] C:\Documents and Settings\Briçou\Application Data\SysDown\sys02268.exe
O4 - HKLM\..\Run: [KYK Control Settings] KYSVCXD.EXE
O4 - HKLM\..\Run: [combop.exe] combop.exe
O4 - HKLM\..\RunServices: [KYK Control Settings] KYSVCXD.EXE
O4 - HKCU\..\Run: [KYK Control Settings] KYSVCXD.EXE
O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll Ne pas toucher à ces lignes
O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll Ne pas toucher à ces lignes
O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll Ne pas toucher à ces lignes
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.popuppers.com
O23 - Service: Network DDE Client (NetDDEclnt) - Unknown owner - C:\WINDOWS\System32\netddeclnt.exe

Ferme toutes les fenêtres Internet Explorer, Outlook Express sauf Hijackthis,puis clique sur Fix checked

5 Lances LSPfix et agrandis la fenêtre qui, par défaut, est trop petite et fait apparaître les ascenseurs horizontaux et verticaux, masquant un bouton.
Déconnecte toi d'Internet et ferme toutes les instances (fenêtres) Internet Explorer.
Coche la case "I know what I'm doing" ("Je sais ce que je fais" ).

Sélectionne toutes les instances des dll suivantes

fltmgr.dll

et fais les glisser du panneau de gauche, appelé "keep" au panneau de droite, appelé "Remove".
Clique sur le bouton "Finish".

6 Assure toi d'avoir accés à tous les fichiers.
Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
Activer la case : Afficher les fichiers et dossiers cachés
Désactiver la case : Masquer les extensions des fichiers dont le type est connu
Désactiver la case : Masquer les fichiers protégés du système d'exploitation
Puis Appliquer

7 Supprime les dossiers suivants (si tu les trouves):

C:\Program Files\PSGuard
C:\Documents and Settings\Briçou\Application Data\SysDown\sys02268.exe
C:\WINDOWS\DOWNLO~1\ipreg32.dll
C:\WINDOWS\seeve.exe
C:\WINDOWS\system32\syshost.exe
C:\WINDOWS\System32\netddeclnt.exe
C:\WINDOWS\System32\combo.exe
C:\WINDOWS\System32\KYSVCXD.EXE
combop.exe --> Fais une recherche sur l'ordinateur.

8 Redémarre normalement

9 Lance Hoster - Toadbee et clique sur " Restore original Hosts "

10 Fais un clic droit le fichier Del_Domains.inf -->Installer

11 Lance et exécute CCleaner

12 Redémarre et poste un nouveau rapport hijackthis.

wow...merci chercheurPCA...ca c'est du tuto

je note tout ca, fait les downloads necessaires (je les ai presque tous), et je pense allez sur la becane dimanche soir...donc je poste un nouveau log vers 21/22h00... (qui j'espere sentira bon le propre!)
encore merci!

:-D

salut chercheurPCA,
alors tout d abord, sache que je n ai pas encore été tester ta soluce, j'y vais ce soir, donc je poste un log "propre" dans la nuit...
en revenche, (j avais posté le meme message sur le forum d hardware fr, et stonangel, que tu connais je crois, avais commencé a m aider)...je lui est donc montré la soluce que tu mas donné...
et d autre personne on réagis au fait que cette demarche ne leur semblait pas suffisante pour eradiquer smitfraud.c...et qu'il fallait utiliser le fichier smitfraud.reg (que j ai deja comme mentionné dans mon premier post) sous peine de devoir nettoyer la base a la main...(et apparement c'a a pas l air facile...)
que penses tu de tout ca?
si effectivement je dois fusionner le smitfraud reg a ma base, a quelle dois-je le faire...
encore merci...

(de toute facon, je vais d abord suivre ta demarche dans un premier temps, si je n ai pas de nouvelles directives de ta part avant ce soir...)
a+
;-)

bonsoir chercheurPCA, bonsoir tout le monde...

bon, je reviens donc de mon expedition nettoyage...et tout a rouler au poil... en revenche, impossible de remettre la connexion internet.
dans le gestionnaire de perif, j ai controler ethernet et controleur RAID avec le point d exclamation jaune, et impossible de reinstaller le controler ethernet (l autre j ai meme pas essayé, je voulais surtout la connex pour mettre les softs de secu a jours...)
le probleme, c est que la CM est une asus A7N8X-E nforce2 ultra400, sans le CD d origine! (tssss...) et pas moyen de trouver les drive de dual LAN gigabit...
(oups je crois que je suis hors topic...) ;-)

enfin, comme convenu le log "propre" (enfin, il m a l air...):
========================
Logfile of HijackThis v1.99.1
Scan saved at 00:19:11, on 28/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exe
C:\Documents and Settings\Briçou\Bureau\secu\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.neuf.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMixerTray] C:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: Interface Chat Wanadoo - http://chat7.x-echo.com/version6/Applet/wchatsign.cab
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
========================
;-)
encore mille mercis chercheurPCA...
(et puis si tu as une idée pour les controler ethernet...hesite pas, je suis un peu aguéri en drivers, mais pas du tout en controler...je c meme pas la difference...et puis ce serai cool que j arrive a remettre la connexion)

salut a tous
j'ai egalement un probleme au niveau d'explorer.exe, mais chez moi, c'est dans louverture de la marjorité de mes dossiers videos que ça merde
la barre des taches disparait puis reapparait après que l'ecran microsoft 'probleme explorer.exe:envoyez le rapport/ne pas envoyer"se soit affiché
ainsi tous les fichiers situés dans ces dossiers sont inutilisables
j'ai effectué un scan hijackthis d'après les conseils que j'ai lu, pour d'autres dans presque le meme cas que moi
pourriez vous eventuellement m'aider a dechiffrer le log, ce serait vmt cool de votre part, car je suis dans la grosse merde, mon pc est quasi inutilisable...
le log en question:
Logfile of HijackThis v1.99.1
Scan saved at 09:32:36, on 28/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\BEO\Mes documents\Setups\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ [...] loader.cab
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

voila, un grand merci d'avance a ceux qui pourront m'aider
@+++