salut!  
j'ai un problème qui ressemble à celui de 4SpiK (cf un trojan rémanent): un cheval de troie signalé par avast quand j'ouvre des pages web, des favoris qui s'incrustent, une barre de tâche explorer imposée mais avast ne trouvent rien quand je scane. j'ai fait ce qui a été conseillé à 4SpiK et voici le rapport de hijackthis pour celui qui aurait la gentillesse de donner un coup de main à une petite tomate un peu nulos en info:  
Logfile of HijackThis v1.99.1  
Scan saved at 12:31:51, on 05/05/2005  
Platform: Windows XP SP2 (WinNT 5.01.2600)  
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)  
 
Running processes:  
C:\WINDOWS\System32\smss.exe  
C:\WINDOWS\system32\winlogon.exe  
C:\WINDOWS\system32\services.exe  
C:\WINDOWS\system32\lsass.exe  
C:\WINDOWS\system32\svchost.exe  
C:\WINDOWS\System32\svchost.exe  
C:\WINDOWS\system32\spoolsv.exe  
C:\WINDOWS\Explorer.EXE  
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe  
C:\Program Files\Alwil Software\Avast4\ashServ.exe  
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE  
C:\Program Files\Norton Utilities\NPROTECT.EXE  
C:\Program Files\Speed Disk\nopdb.exe  
C:\WINDOWS\SOUNDMAN.EXE  
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe  
C:\Program Files\Winamp\winampa.exe  
C:\Program Files\Fichiers communs\ACD Systems\EN\DevDetect.exe  
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe  
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe  
C:\Program Files\Internet Explorer\IEXPLORE.EXE  
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe  
C:\WINDOWS\system32\svchost.exe  
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe  
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe  
C:\Program Files\Internet Explorer\IEXPLORE.EXE  
C:\Program Files\Internet Explorer\IEXPLORE.EXE  
C:\hijackthis\HijackThis.exe  
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jdvqg.dll/sp.html#37049  
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jdvqg.dll/sp.html#37049  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jdvqg.dll/sp.html#37049  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jdvqg.dll/sp.html#37049  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jdvqg.dll/sp.html#37049  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jdvqg.dll/sp.html#37049  
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens  
R3 - Default URLSearchHook is missing  
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll  
O2 - BHO: (no name) - {7CFF81A7-7FD3-D61B-619B-401F536792AF} - C:\WINDOWS\system32\winif32.dll  
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE  
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe  
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe  
O4 - HKLM\..\Run: [Device Detector] "C:\Program Files\Fichiers communs\ACD Systems\EN\DevDetect.exe" -autorun  
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe  
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe  
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe  
O4 - HKLM\..\Run: [IEXPLORE.EXE] C:\Program Files\Internet Explorer\IEXPLORE.EXE  
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe  
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE  
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe  
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000  
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll  
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll  
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe  
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe  
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php  
O17 - HKLM\System\CCS\Services\Tcpip\..\{D894A65F-B0D4-4D59-B754-6DE215946685}: NameServer = 80.10.246.130 80.10.246.3  
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe  
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe  
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)  
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)  
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE  
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton Utilities\NPROTECT.EXE  
O23 - Service: Speed Disk service - Symantec Corporation - C:\Program Files\Speed Disk\nopdb.exe  
 
 
 
pow-wow, je suis désolé mais j'ai pas trouvé comment effacer mon message précédent (mais où est le crayon?)

 
 
Télécharge About:Buster
-Lance-le et mets-le à jour et laisse le en attente (ne clique pas "Start" mais "Check for updates" )
 
Ferme tous les programmes, y compris internet explorer.
Lance HijackThis "Do a system scan only". Coche ces lignes et clique "Fix checked".  
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jdvqg.dll/sp.html#37049  
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jdvqg.dll/sp.html#37049  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jdvqg.dll/sp.html#37049  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jdvqg.dll/sp.html#37049  
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jdvqg.dll/sp.html#37049  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jdvqg.dll/sp.html#37049  
R3 - Default URLSearchHook is missing  
O2 - BHO: (no name) - {7CFF81A7-7FD3-D61B-619B-401F536792AF} - C:\WINDOWS\system32\winif32.dll  
 
 
****************************************
 
Redémarre en mode sans échec (en tapotant F8 au démarrage).  
Donne-toi accès aux fichiers cachés.  
(explorateur windows->outils->options des dossiers->affichage  
"Afficher les fichiers cachés"->coché  
"Masquer les extensions.."->décoché)  
 
Supprime les dossiers/fichiers en gras si présents
 
Toujours en mode sans echec:
 
C\temp\ <-- supprimer tout le contenu du dossier
C:\windows\temp\ <-- supprimer tout le contenu du dossier
C:\Documents and Settings\Tous les identifiants\Local Settings\Temp\<-- supprimer tout le contenu du dossier
 
(Ne supprime pas les dossiers eux-mêmes, mais tous les fichiers contenus.)
 
IE > Outils > Options internet  
Dans le champ "Fichiers Internet Temporaires", tu cliques sur le bouton du mileu "Supprimer les fichiers".  
Tu coches la petite case "Supprimer tout le contenu hors connexion" et tu valides par Ok.  
 
Vide la corbeille
 
Lance DEUX fois de suite About:Buster ("Start" )
 
Dans l'Explorateur Windows recache les fichiers système afin de ne pas faire d'erreur à l'avenir:
Retourne à la fenêtre <Paramètres de dossier> et sélectionne <Ne pas afficher les fichiers cachés ou les fichiers système>.
 
Reboot en mode normal et poste un nouveau log.  
 
Le crayon, c'est la deuxième icone dans l'entête du message

tout à l'air OK. Je suis impressionné - pas par tes compétences (chacun son truc)- mais par ta gentillesse.
Merci

 
   
 
Poste quand même un nouveau log HJT pour voir

Logfile of HijackThis v1.99.1
Scan saved at 18:41:30, on 05/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Program Files\Norton Utilities\NPROTECT.EXE
C:\Program Files\Speed Disk\nopdb.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Fichiers communs\ACD Systems\EN\DevDetect.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\hijackthis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Device Detector] "C:\Program Files\Fichiers communs\ACD Systems\EN\DevDetect.exe" -autorun
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [IEXPLORE.EXE] C:\Program Files\Internet Explorer\IEXPLORE.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O17 - HKLM\System\CCS\Services\Tcpip\..\{D894A65F-B0D4-4D59-B754-6DE215946685}: NameServer = 80.10.246.130 80.10.246.3
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton Utilities\NPROTECT.EXE
O23 - Service: Speed Disk service - Symantec Corporation - C:\Program Files\Speed Disk\nopdb.exe

 
 
J'ai un doute sur cette ligne:
 
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php  
 
Lance HJT et fixe la.
Si cela pose un pb, dis le moi et l'on reviendra en arrière
 
 

tout est OK a part que quand j'allume mon ordi, y'a une fenetre explorer qui s'ouvre mais c'est pas génant.
 
Logfile of HijackThis v1.99.1
Scan saved at 17:04:29, on 07/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Program Files\Norton Utilities\NPROTECT.EXE
C:\Program Files\Speed Disk\nopdb.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Fichiers communs\ACD Systems\EN\DevDetect.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\hijackthis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Device Detector] "C:\Program Files\Fichiers communs\ACD Systems\EN\DevDetect.exe" -autorun
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [IEXPLORE.EXE] C:\Program Files\Internet Explorer\IEXPLORE.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D894A65F-B0D4-4D59-B754-6DE215946685}: NameServer = 80.10.246.130 80.10.246.3
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton Utilities\NPROTECT.EXE
O23 - Service: Speed Disk service - Symantec Corporation - C:\Program Files\Speed Disk\nopdb.exe

Tu peux virer ces deux là :
 
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service
 
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashwebsv.exe" /service
 
Elles sont inutilisées.

 
     
 
Avast est lancé dans les running processes
 
Les file missing des lignes 023 sont des bugs de HJT

Au temps pour moi Pow Wow

Pas de pb
 
 

excusez moi mais j'ai suivi votre probleme et j'ai coché les ligne  23 de avast ce qui fait que ashmail + ashwebsv ne fonctionne plus  (désolé je suis allez un peu vite mais comment faire quand on a supprimer le backup de hijackthis ainsi que la restauration systeme donc plus de quoi revenir en arriere... .bien sur j'ai essayé de reinstaller avast met ashwebsv (le service ne ve plus demmarrer ) et impossible de lui dire d'aller le chercher dans c\programmes files  \avast 4

Ouah !
 
Un Topic de Trojan sans Stonangel ??????

Oui, j'ai calé sur Avast...  

Ah, bah enfin !

stonangel dis moi aussi si tu pense que avast ne fonctionne plus comme ca

Tu as normalement 6 services en exécution sur 7 avec Avast. Si dans msconfig ou Hijackthis (lignes 023) il en manque, c'est qu'il y a un problème quelque part. Avast ne s'est pas installé correctement ou cela vient de la correction puis de la suppression des backups.
Clic droit sur l'icône a dans la barre des tâches> Protection résidente> Vérifie l'activité de chaque module