Helpassistant qui apparaît et pc qui se bloque sans raison

Ce sujet a été déplacé de la catégorie Matériel vers la catégorie Le monde de Windows par Thor37230

Salut,

OS = xp ?
Il y a fort à parier que ton PC est vérolé...

Enfin Helpassistant est un compte microsoft d'aide à distance, qui est créé mais désactivé normalement...

Sinon essaye de le supprimer, si c'est ça qui cause les soucis de ton PC :

Clic droit sur poste de travail, gérer, utilisateurs et groupes locaux, utilisateurs : clic droit sur le compte Helpassistant, supprimer.

Essaye déjà ça  

Désolé, je ne savais pas vraiment où placer le sujet. J'espère obtenir de l'aide ici. Je suis allé sur trois autres forums et personne n'est venu consulter le topic

Avez-vous une idée sur la cause du problème ?

PS: Tout a commencé lundi après que le pc ait redémarré sans raison

Merci Auross !

Malheureusement, c'est quelquechose que j'ai essayé de faire mais il n' y a pas le "utilisateurs et groupes locaux". Normalement, je le supprime en faisant "poste de travail, propriétés, avancé, utilisateurs"

A chaque démarrage il revient (il est arrivé hier et à 2 reprises qu'il ne revienne pas pendant environ une heure



Je suis sous XP SP3

Est-ce que tu as déjà utilisé des fonctions d'aide à distance (avec logiciel par exemple) ?

Le compte Helpassistant n'est apparu que depuis Lundi ?


EDIT : Et qu'est-ce que tu as dans "gérer" exactement ?

C'est la première fois qu'il apparait. Je n'ai jmais fait appel à l'aide à distance.

Il est apparu après (ou juste avant je ne peux pas te dire) que le pc ait redémarré sans raison et depuis ça freeze à n'importe quel moment

PS: je me suis rendu-compte de sa présence que le lendemain matin mais en faisant propriétés,j'ai vu qu'il était là depuis ce moment-là

Dans gérer, j'ai:

outils système

stockage

services et applications


Je crois que la console n'est pas installée. C'est peut-être pour ça que je n'ai pas accès aux utilisateurs

C'est peut-être moi qui ai sauté une étape... Dans outils système tu n'as pas utilisateurs et groupes locaux ?

Si tu l'as finalement, ne supprime pas le compte, clic droit dessus, propriétés, et coche la case "le compte est désactivé" !

dans outils système j'ai:

observateurs d'évènements

fichiers partagés

journaux et alertes de performances

gestionnaire de périphérique



est-ce parce que la console de récupération n'est pas installée que j'y ai pas accès ?

Si tu as XP Home, oui c'est possible, mais je pense qu'on peut essayer d'ajouter ce composant...

EDIT : en tapant "control userpasswords2" dans exécuter, dans l'onglet options avancées, "gestion avancée des utilisateurs", en cliquant sur le bouton "avancé" ?

(si tu as tout ça bien sûr)

EDIT² : Je reviens vers 14h  

La haine !

Il me dit que je ne peux pas utiliser ce composant car j'utilise XP familial et qu'il faut donc passer par le panneau de configuration (ce que je fait pour le supprimer mais il revient)

Y a t'il un autre moyen de le désactiver ?

je suis en train d'utiliser spyware terminator et il a détecté deux problèmes pour le moment

je sais pas si c'est lié mais j'espère qu'il va fiir avant que ça plante. Il a planté 2 fois alors qu'il analysait. C'est vraiment lourd



PS: j'attends ton retour. J'espère que tu pourras m'aider jusqu'à résolution du problème, peu importe le temps qu'il faudra (si on le résout)


Edit: J'ai l'impression que le freeze se fait de plus en plus tôt (entre 1 et 10 minutes) maintenant. Si on ne trouve pas la solution rapidement y aura plus rien à faire. Du coup les spywares n'ont pas le temps de faire leur travail.


Edit 2 : Comment lance t'on le mode sans échec ? Je sais qu'il faut appuyer sur F8 mais quand je le fait j'ai un écran bleu avec 4 choix ( le premier c'est "1st floppy drive") et je ne sais pas quoi choisir


Edit 3 : l'analyse a pu finir et les éléments infectés supprimés. J'ai refait le scan et rien. Je suis en train de faire des scans avec d'autres logiciles pour voir si des malwares n'auraient pas été oubliés ailleurs.


Faudra sûrement que je redémarre pour voir si helpassistant revient (à moins que ça ne plante avant, ce qui voudrait dire que le problème est toujours là. Si c'est le cas, je referai l'analyse. Si les éléments supprimés sont revenus alors le problème pourrait se situer à ce niveau)


Je te tiens au courant

Ah...

Bah je vais tout faire pour t'aider, dans la mesure de mes capacités, mais si on doit tourner vers les rapports anti-malwares etc, c'est pas ma tasse de thé, enfin bon on verra si on doit en arriver là. (Ici de toute façon tu n'arrives pas au bout des analyses donc bon  )

Pour le mode sans échec tout dépend de ton PC, c'est quoi le modèle ?

En général c'est F8, mais je ne suis pas sûr que ça soit exhaustif... Enfin il n'y a rien qui ressemble à "Safe Mode" ?

j'ai édité mon précédent message. Y a rien qui ressemble à safe mode. Mon frère saura mais je ne le vois que demain et vu qu'il a cours, il sera pas dispo avant un petit moment.

Pour le moment je fais mes analyses et on avisera après selon les résultats.

Peux-tu me rappeler ce qu'est le modèle ?

Je peux te dire que c'est un core 2 duo CPU E8400 3ghz 2go ram

C'est ça ?

J'aurais surtout voulu savoir si c'était un Asus, un Dell...

Depuis que les éléments infectés ont été supprimés il y a eu des problèmes ?

Y a marqué Asus sur le graveur. je ne sais pas où regarder pour être sûr.


Il vient de planter. Helpassistant n'est pas encore apparu mais ça ne saurait tarder (toutefois il est arrivé qu'il ne se mette pas pendant environ une heure.

Il a réussi a pas planter pendant près de deux heures et demi comme mercredi après-midi. Je ne sais pas comment j'ai fait pour qu'il tienne tout ce temps

Je suis en trai de refaire spyware terminator mais pour le moment, il ne détecte rien.

A chaque fois mes espoirs sont déçus. Je sens qu'on va pas y arriver sauf en réinstallant tout (si ça continue pas malgré ça)

Quand tu as fait F8, sélectionne ce qui te semble être ton disque dur, puis tu pourras choisir Safe mode  

je vais essayer mais comment puis-je être sûr qu'il s'agit de mon disque dur ?

1st floppy drive c'est le lecteur de disquette

Au pire montre moi tes choix et je te le dirai  

J'ai trouvé pour le mode sans échec (c'était floppy drive. On n'a pas de lecteur de disquette) Mais il ne peut pas lancer internet car des fichiers ont été modifiés ou supprimés donc je suis revenu en mode normal.

Qu'est-ce-que je dois faire en mode sans échec pour détecter le problème ?


Qu'est-ce-que je peux faire ?

Il faudrait faire des analyses avec des logiciels anti malwares, enfin si j'étais dans ton cas, ne voulant pas me prendre la tête avec ça, je mettrais mes données au chaud, et formaterais mon DD...

Si tu tiens à faire ces rapports de logiciels, attends qu'un gars plus compétent que moi dans ce domaine passe ici.  

Je t'aurais bien conseillé CCleaner mais tu l'as déjà essayé apparemment.

j'ai ccleaner que j'ai déjà utilisé mais le problème persiste

Sans vouloir t'offenser, pourrais-tu dans ce cas demander à quelqu'un d'autre de venir voir ?

Oui, donc tu n'as pas envie de formater ton PC pour le moment ?

ça remettrait les choses à neuf, et surtout tu perdrais moins de temps...

Le problème est que mon grand frère qui s'y connait est en vacances jusqu'à ce week-end et comme le pc est à moi et à mon petit frère, je veux leurs avis avant. d'autant plus qu'on n'a pas assez de place pour conserver tout ce qu'on. (on a trois disques durs)

Tu as 3 partitions ? (ou carrément 3 disques durs physiques?)

Une avec ton Os, et 2 avec tes données ?

Si c'est ça c'est parfait, tu peux formater juste le C: (à condition que le problème vient du C:, ce qu'on pourrait penser) !

Enfin prends ton temps, si tu préfères attendre ton frère  

Je pense que c'est 3 partitions vu que le lecteur c fait 24 Go, le f fait 74 et le g 441

mais dis-moi, en formatant, vu que je perds tout et que c'est là que les fichiers du pc se trouve, va falloir réinstaller, non ?

Oui si tu vois 3 disques de toute façon c'est ça.

Donc tu sais maintenant que tu peux formater le disque C:, pour réinstaller Windows, sans que les 2 autres partitions soient modifiées, pas besoin de support externe  

Bon, ben je vais m'incruster alors...  

Installe et met à jour Spybot et AdAware. Puis lance-les en mode sans échec.

Une fois que cela sera fait, redémarre et regarde si ça va mieux.

Si ce n'est pas le cas, et bien lance HiJack This! et poste le log obtenu.

Au fait: tes pilotes sont bien à jour? Lorsque tu vas dans le gestionnaire de périphériques (clique droit sur le poste de travail puis "gérer"), est-ce que tous les pilotes ont bien Ok ou est-ce que tu vois des points d'exclamation à côté de certains d'entre eux?).

Ah enfin du renfort ! (et quel renfort !  )

Dis Storos tu m'expliqueras comment analyser ces fameux logs, quand j'aurai fait mon compte rendu sur la Bretagne ?  

Ton incruste est la bienvenue Storos.

Spybot je l'ai donc je vais refaire une analyse mais les dernières que j'ai faites n'ont rien vu.

Quant à ad-aware, on l'a enlevé le weed-end dernier car il n'arrivait plus à faire d'analyses. Il disait toujours que le serveur était occupé. Dois-je vraiment le remettre ?

Il n'y a aucun point d'exclamation !

Pour Hijackthis, puis-je faire le rapport de suite ?

j'ai également rsit si ça t'intéresse




Edit: Que penses-tu de a-squared free ? Le problème est que l'analyse est longue (sauf si je fais analyse rapide ou intelligente) et ça plante n'importe quand donc y a le risque qu'il n'aille pas au bout (c'est valable pour spybot et antimalwarebytes et spyware terminator)








Voici le rapport Hijackthis




Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 16:53:59, on 05/03/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
G:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
G:\Program Files\Steam\Project Origin\Steam.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
G:\Program Files\Spyware Terminator\SpywareTerminatorUpdate.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
G:\Program Files\a-squared Free\a2service.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PSIService.exe
G:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\PROGRA~1\Wanadoo\Watch.exe
G:\Program Files\a-squared Free\a2free.exe
F:\Utilitaires\Anti-malware\Highjackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct...
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct...
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - G:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - G:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - G:\real player\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: (no name) - {E9E4A040-D457-4D47-AB41-EC2816AE742C}AB41-EC2816AE742C} - (no file)
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - G:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - (no file)
O3 - Toolbar: Barre d'outils &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - G:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [KAVPersonal50] G:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SpywareTerminator] "G:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [Steam] "G:\Program Files\Steam\Project Origin\Steam.exe" -silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpywareTerminatorUpdate] "G:\Program Files\Spyware Terminator\SpywareTerminatorUpdate.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: desktop(2).ini
O4 - Startup: desktop(3).ini
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://G:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Afficher ou masquer l'HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - G:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/F...
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab_srl.cab
O16 - DPF: {40F576AD-8680-4F9E-9490-99D069CD665F} (System Requirements Lab Class) - http://srtest-cdn.systemrequirementslab.com.s3.amazonaw...
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sourc...
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab2.cab
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - G:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - G:\Program Files\a-squared Free\a2service.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: kavsvc - Kaspersky Lab - G:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - G:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: wampapache - Apache Software Foundation - G:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - G:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe

--
End of file - 11266 bytes

Bon, et bien tu vas commencer par éliminer tout de suite les lignes suivantes avec Hijack This:



Pour les deux lignes suivantes (des ActiveX), tu peux les garder si tu connais les sites, sinon, tu élimines:




Après ce premier nettoyage, tu relance,et tu me dis ce qu'il en est...


Note pour Auross: Si tu écris un bel article illustré sur Concarneau, je te transmettrai mon savoir sur HiJack This!... Le savoir doit se mériter petit padawan...

J'ai fait ce que tu m'as dit.

Concernant "04- startup.....desktop (3).ini", il était plus là.

Je te remets le log.

Pour le moment, je peux pas te dire si ça va mieux mais je te tiens au courant.

Cette nuit, je vais lancer toutes les analyses possibles. Je doute que ça aide mais ça vaut le coup d'essayer.

Je verrais demain si ça va mieux.






Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 21:18:31, on 05/03/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
G:\Program Files\a-squared Free\a2service.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PSIService.exe
G:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
G:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINDOWS\system32\ctfmon.exe
G:\Program Files\Spyware Terminator\SpywareTerminatorUpdate.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\PROGRA~1\Wanadoo\Watch.exe
G:\Program Files\Mozilla Firefox\firefox.exe
G:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_clipbook.exe
G:\PROGRA~1\Crawler\Toolbar\CToolbar.exe
F:\Utilitaires\Anti-malware\Highjackthis.exe
G:\Program Files\Microsoft Office\Office10\WINWORD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.live.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=13165&gct...
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Program Files\AskSearch\bin\DefaultSearch.dll
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - G:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - G:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - G:\real player\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - G:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: Barre d'outils &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - G:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [KAVPersonal50] G:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SpywareTerminator] "G:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [SpywareTerminatorUpdate] "G:\Program Files\Spyware Terminator\SpywareTerminatorUpdate.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://G:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Afficher ou masquer l'HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - G:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {40F576AD-8680-4F9E-9490-99D069CD665F} - http://srtest-cdn.systemrequirementslab.com.s3.amazonaw...
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sourc...
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab2.cab
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - G:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - G:\Program Files\a-squared Free\a2service.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: kavsvc - Kaspersky Lab - G:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - G:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: wampapache - Apache Software Foundation - G:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - G:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe

--
End of file - 10500 bytes

Supprime encore ces 2 lignes:

G:\PROGRA~1\Crawler\Toolbar\CToolbar.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/as [...] &gc=1&q=%s

Et ensuite on verra...  

J'ai dû arrêter les analyses car c'était trop long.

Bon j'ai enlevé tout ce que tu m'as dit. Quand je suis revenu en mode normal, Helpassistant est revenu. Je l'ai supprimé mais il reviendra. La question est de savoir s'il est lié au plantage.


J'ai refait hijackthis et les fichiers "04" étaient revenus. Je les ai enlevés. Voilà le nouveau rapport


Maintenant, faut attendre et voir si le plantage recommence


Rapport:


Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 09:35:36, on 06/03/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
G:\Program Files\Steam\Project Origin\Steam.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\PROGRA~1\Wanadoo\Watch.exe
G:\Program Files\Mozilla Firefox\firefox.exe
G:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_clipbook.exe
F:\Utilitaires\Anti-malware\Highjackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.aspx?tp=aus&qk...
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60341
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=6...
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60341
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=6...
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - G:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - G:\real player\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - G:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O4 - HKLM\..\Run: [KAVPersonal50] G:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [Steam] "G:\Program Files\Steam\Project Origin\Steam.exe" -silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://G:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Afficher ou masquer l'HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - G:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {40F576AD-8680-4F9E-9490-99D069CD665F} (System Requirements Lab Class) - http://srtest-cdn.systemrequirementslab.com.s3.amazonaw...
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sourc...
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab2.cab
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: kavsvc - Kaspersky Lab - G:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: wampapache - Apache Software Foundation - G:\wamp\bin\apache\apache2.2.8\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - G:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe

--
End of file - 9933 bytes


Edit: "Crawler\Toolbar\CToolbar.exe" avait été installé avec spyware terminator et grâce à lui, internet explorer fonctionnait de nouveau comme avant. En revanche à chaque fois qu'un truc lui parait suspect, spyware met un message. C'est étrange parce que tout lui parait suspect mais comme je m'y connait pas il a peut-être raison. Par exemple, il a touvé suspect que kaspersky veuille entrer dans desktop.ini


Edit: Il vient de replanter. Que dois-je faire ? J'espère qu'on finira par en venir à bout

Je pense qu'helpassistant doit effectivement être lié au plantage.

Supprimer le répertoire est inutile: tant que le compte existe, le répertoire sera recréé à chaque démarrage.

Il faut d'abord désactiver le compte en question.

Va dans le panneau de configuration, va dans Comptes utilisateurs, clique sur le compte en question est ouvre ses propriétés. Tu devrais y trouver une option pour le désactiver. Coche cette option. Clique sur OK jusqu'à ce que tu sortes des fenêtres.

Tu redémarres le PC et tu retournes dans les comptes utilisateurs pour vérifier que le compte en question est toujours désactivé et si c'est le cas, tu pourras supprimer le répertoire correspondant.

Le problème est qu'il n'apparait jamais dans le panneau de configuration. Pour l'avoir il faut passer par les propriétés du poste de travail.

J'ai essayé avec auross la méthode consistant à aller dans "gérer" mais il n'y a pas de dossier "utilisateurs et groupes".

Auross m'a donné un "code" pour activer la console de configuration. Là j'y ai accès mais je ne peux rien faire car j'utilise XP familial


Est-dû à un virus ou pas ?


Que faire pour parvenir à désactiver Helpasssitant ? Y a t'il un autre moyen ?

Essaie de désactiver l'aide à distance:

Va dans le Panneau de Configuration, clique sur "Performances et maintenance" puis sur l’icône "Système" , puis sélectionne l’onglet "Utilisation à Distance".

Clique sur "Options avancées" , et désactive l'option de contrôle à distance.

C'est fait. J'ai également installé zébulon. Apparamment y a une option dessus pour désactiver le compte mais à chaque fois que je redémarre et que internet se lance, la case se décoche.

Je teste pour voir ce qu'il en est.





Edit: j'ai également décoché l'autorisation d'invitation à distance mais il revient quand même.


Edit 2 : J'utilise rootrepeal. Il a détecté "mbr rootkit" dans les 3 lecteurs. Sais-tu ce que c'est et comment s'en débarrasser ?


Voilà le rapport de rootrepeal:


ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2010/03/06 14:43
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP3
==================================================

Hidden/Locked Files
-------------------
Path: Volume C:\
Status: MBR Rootkit Detected!

Path: C:\Documents and Settings\Aymeric\Local Settings\Temporary Internet Files\Content.IE5\4PMBSH2N\Thumbs.db:KAVICHS
Status: Visible to the Windows API, but not on disk.

Path: C:\Documents and Settings\Aymeric\Local Settings\Temporary Internet Files\Content.IE5\4QEUXX6F\Thumbs.db:KAVICHS
Status: Visible to the Windows API, but not on disk.

Path: c:\documents and settings\willem\application data\mozilla\firefox\profiles\2o1n2czv.default\sessionstore.js
Status: Size mismatch (API: 19879, Raw: 19100)

Path: C:\Documents and Settings\Gérard\Local Settings\Apps\2.0\146J3DQQ.23P\6ZHWYT4M.Z1G\manifests\clickonce_bootstrap.exe.cdf-ms
Status: Locked to the Windows API!

Path: C:\Documents and Settings\Gérard\Local Settings\Apps\2.0\146J3DQQ.23P\6ZHWYT4M.Z1G\manifests\clickonce_bootstrap.exe.manifest
Status: Locked to the Windows API!

Path: C:\Documents and Settings\Gérard\Local Settings\Apps\2.0\146J3DQQ.23P\6ZHWYT4M.Z1G\manifests\prog...app_9a8dfcd080ccb114_0001.0002_none_45dfe4c96bf2b2c4.cdf-ms:KAVICHS
Status: Invisible to the Windows API!

Path: C:\Documents and Settings\Gérard\Local Settings\Apps\2.0\146J3DQQ.23P\6ZHWYT4M.Z1G\manifests\prog...app_9a8dfcd080ccb114_0001.0002_none_45dfe4c96bf2b2c4.cdf-ms:KAVICHS
Status: Invisible to the Windows API!

Path: Volume F:\
Status: MBR Rootkit Detected!

Path: Volume G:\
Status: MBR Rootkit Detected!

Path: G:\Téléchargement à partir de Firefox\AVIRA_~1.EXE:Zone.Identifier
Status: Visible to the Windows API, but not on disk.

Path: G:\Jeux\NFS - Undercover\NFSUPA~1.RAR:Zone.Identifier
Status: Visible to the Windows API, but not on disk.




Edit3: Je n'ai pas le cd de windows (c'est mon frère qui l'a) donc j'utilise mbr.exe -f

ça a marché mais en réanalysant avec rootrepeal, ils étaient encore là. Je test en mode sans échec.

Edit 4: Ca a marché mais en revenant en mode normal, le rootkit et helpassistant sont revenu. C'est sur les lecteur c et g qu'il veut pas partir.

le rapport me met ça à chaque fois

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x89609210
\Driver\atapi -> 0x8a0aa968
NDIS: Marvell Yukon 88E8056 PCI-E Gigabit Ethernet Controller -> SendCompleteHandler -> 0x899c0330
Warning: possible MBR rootkit infection !
user & kernel MBR OK
copy of MBR has been found in sector 0x0950E4C1
malicious code @ sector 0x0950E4C4 !
PE file found in sector at 0x0950E4DA !
Use "Recovery Console" command "fixmbr" to clear infection !

Je pense qu'il faut que mon frère me passe le cd de windows pour régler le problème (en espérant que ça le règle et de façon permanente

J'allais justement te le dire, tes symptômes sont ceux d'un rootkit...  

Je vais t'envoyer un spécialiste...

Merci !
Mon frère pense ne pas avoir mon cd. En revanche il a le sien mais il ne sait pas où il l'a mis. Comment puis-je faire sans le cd ? Je sais que combofix permet d'installer la console et j'ai envie de le faire.


Edit: Je le fais et je verrai bien. J'en peu plus d'attendre


Edit 2: Ca à l'air d'avoir marché. Les rootkits ont tous disparu. Mais faudra quand même attendre pour être sûr car le plantage et le dossier peuvent toujours revenir même si les rootkits ne sont plus là. Pour lem oment, je fais une analyse antivirus. Je te tiens au courant mais fais quand même revenir le spécialiste, on ne sait jamais.



Edit 3 : L'antivirus a détecté des choses mais rein à voir avec le problème. RAS pour le moment

Tant mieux si ton problème est résolu, mais méfie-toi: c'est résistant ces petites bêtes-là...  

Je pense que ça devrait aller. Maintenant je sais comment faire pour m'en débarrasser.

Merci de ton aide !(et celle d'Auross)