Reprise du message précédent :
oui c'est pas net ce process
 
mais en cherchant sur le web je le trouve dans des log de HijackThis mais personne ne le remarque, bizarre
 
edit : ah si là http://www.experts-exchange.com/Se [...] 51067.html (vers la fin un gars dit de fixer le ligne sous Hijack)

Il est présent sur ton PC ?

non du tout

Tu as win XP pro + sp1 ?
 
J'hésite à le supprimer de regedit, j'ai peur d'avoir des problèmes par la suite.

non j'ai win2k.
 
regarde dans system32 le fichier host32.exe avec un clic-droit pour les propriétés ça te donnera une idée

Les propriètés du fichier ne dises rien d'interessant :  
http://membres.lycos.fr/shookak/host32.JPG

il ne donne pas le propriétaire produit?

host32.exe est bel et bien un trojan. Je sais pas vraiment si il est corrélé à ton prob car il n'est pas "nocif" en soi, il rend juste ton ordi vulnérable en créant des failles.  
 
Il te faut cependant l'enlever :
ctrl+alt+sup et tu kills le processus host32.exe
tu recherches ensuite host32.exe sur ton disque, et tu supprimes.
Ensuite, regedit, puis KEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ; la tu vires host32.exe
Il est possible que tu aies la clé suivante, alors dans HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>RunServices, et/ou dans  HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run
ben tu vires la clé : Windows Update = "host32.exe"
 
Il se peut que le trojan aie modifié ton registre, voila ce que tu peux faire si effectivement c'est le cas : toujours dans le registre, aller à HKEY_LOCAL_MACHINE>Software>Microsoft>Ole et à l'entrée EnableDCOM = "N" tu changes EnableDCOM = "Y"  
Puis dans HKEY_LOCAL_MACHINE>System>CurrentControlSet>Control>Lsa,  
restrictanonymous = "dword:00000001" doit devenir restrictanonymous = "dword:00000000"
 
 

Merci j'ai retiré host32.exe de KEY_LOCAL_MACHINE>...>Run, le reste de ta description n'était pas modifié. Merci.
 
Dans KEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run j'ai un sous dossier bizar : http://membres.lycos.fr/shookak/regedit.JPG
 
C'est normal ce sous-dossier ? (je sais je suis chiant )

Normal ? Moi je trouve pas çà normal du tout, par contre, à savoir si c'est nocif, je pense pas du tout    
 
Moi jte propose de virer  

Voilà c'est viré
 
Bon je viens de finir les upgrade de Norton, je vais faire un ptit scan !

Il doit encore y avoir une petite clé malveillante qui traine car la page de démarrage de IE se remet toujours sur IEsp.mht et donc me met un message d'erreur comme quoi le site n'existe pas.
 
Mais là je suis dégouté car Norton m'a trouvé un virus qu'il ne peut bien évidemment pas supprimer... Il s'appel "mscqp32.dll" et Norton me dit que c'est le virus A.exe
 
Pour l'instant je ne vois pas ce qu'il fait à mon PC donc c'est pas très gênant.

sanpell salut a toi
 
Dans le premier post on peut rajouter lui http://www.webroot.com/wb/products [...] /index.php c'est notre ami
 
et pour les logos il faudrait les mettre sur mon serveur comme ça on aura pas d'image pourrie

Hello Darxmurf !
 
Spysweeper est un shareware ? Si oui suis pas fan ... mais il a l'air super recommandé , on peut le rajouter.
 
Et pour les images on pourrait les mettre sur ImageShack mais j'ai un peu la flemme, là ...

Shooker, recherche sur ton disque le fichier "mscqp32.dll" et supprime le manuellement ; si il te dit qu'il est impossible de le virer, alors fais un ctrl+alt+sup et kill le process.
 
Une fois que c'est fait, va dans registre puis  
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main  
et la tu changes la start parge
 
Passe un coup de cwschredder à jour au cas ou
 
Je pense que la page ne changera plus, fais nous signe si c'est pas le cas

passe en mode sans echec pour le nettoyage

Le problème c'est que je ne trouve rien sur le DD ni dans le registre sur "mscqp32.dll" et "A.exe" !
 
Il n'y a aucun processus bizar, enfin tout à l'air de bien marcher, sauf le démarrage de IE qui n'est pas trop embêtant.
 
Merci.

 
Euh moi je l'ai aussi et c'est normal je pense...
 
Sinon colle nous un log de hijackThis pour voir

Logfile of HijackThis v1.97.7
Scan saved at 17:55:52, on 30/08/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Bluetooth Software\BTTray.exe
C:\PROGRA~1\BLUETO~1\BTSTAC~1.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SpeedFan\speedfan.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\eMule\emule.exe
C:\a2personalsetup.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\is-LPK9E.tmp\is-JHFJL.tmp
C:\Program Files\a2\a2upd.exe
C:\Program Files\EA GAMES\NFS Underground\Speed.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\msnappau.exe
C:\Program Files\HijackThis\HijackThis.exe
 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\System32\IEsp.mht
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {A3DFDA85-1D92-4E28-8C0C-522574ACDC8A} - C:\WINDOWS\System32\msacrohlp.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1601.0\fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [SkwatAutoconnect] C:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [a²] "C:\Program Files\a2\a2guard.exe"
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) - http://www.windowsecurity.com/trojanscan/TDECntrl.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 3825863312
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor [...] ebscan.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8481FC55-FA0F-41F4-9178-15F26D6E5221}: NameServer = 80.10.246.1 80.10.246.132

d'après ce lien http://www.bluestack.org/Iesp.Mht/edit
 
la ligne 02 - BHO: (no name) - {A3DFDA85-1D92-4E28-8C0C-522574ACDC8A} - C:\WINDOWS\System32\msacrohlp.dll est liée à ton problème iesp.mht
 
donc je dirai ferme IE, lance HijackThis et coche les deux lignes concernées puis fixe les ensuite cherche les fichiers donnés dans le lien et supprime les

Voilà c'est fait mais en fait je viens de me rendre compte que c'est le dossier "search assistant" dans regedit qui remet à chaque fois mon problème. J'ai trouvé un topic dessus mais helas il est en anglais et je n'arrive pas à tout saisir, pourriez-vous m'aider à comprendre la procédure pour éradiquer ce virus svp :  
 
http://computercops.biz/postp256847.html

tu as fait tout ce qu'il y a dans ce lien ? http://www.bluestack.org/Iesp.Mht/edit
 
je regarde l'autre

Oui j'ai fait tout ce qui est marqué à part que je n'ai aucune des clé indiquées à l'étape n°4. La suite n'ai pas utile pour moi car je n'ai pas les autres fichiers.
 
Merci.

et tu as toujours cette saleté? si oui regarde le fichier dont ils parlent dans le lien que tu viens de donner "c:\windows\inf\srchasst.inf " si tu l'as édite le pour voir si tu as la même chose qu'eux dedans.
 
dis moi si c'est ok? après je te traduit ce qu'il faut faire si tu veux, en espérant que ça marchera

voilà ce qu'il y a dedans (j'ai mis des "[...]" car il y a beaucoup d'espace vide entre les clés :
 
[version]
signature="$Windows NT$"
ClassGUID={00000000-0000-0000-0000-000000000000}
LayoutFile=layout.inf
 
[DefaultInstall]
CopyFiles=SearchAssistantClient,SearchAssistantChars,SearchAssistantCacheFiles
 
[DestinationDirs]
SearchAssistantClient=25,%SRCHASST_DIR_LFN%
SearchAssistantChars=25,%SRCHASST_DIR_LFN%\chars
SearchAssistantCacheFiles=25,%SRCHASST_DIR_LFN%\%SRCHASST_CACHE_DIR_LFN%\%LCID%
 
;Files to be copied to the users machine
[SearchAssistantClient]
msgr3en.dll,,,32
nls302en.lex,,,32
srchctls.dll,,,32
srchui.dll,,,32
 
[SearchAssistantClient.Security]
"D:P(A;;GRGX;;;BU)(A;;GA;;;BA)(A;;GA;;;SY)"
 
;Character Files to be copied to the users machine
[SearchAssistantChars]
courtney.acs,,,32
earl.acs,,,32
rover.acs,,,32
 
;Cache Files to be copied to the users machine
[SearchAssistantCacheFiles]
balloon.xsl,,,32
bar.xsl,,,32
charchsr.xml,,,32
charctxt.xml,,,32
error.xml,,,32
finish.xml,,,32
indxsvc.xml,,,32
inetfind.xml,,,32
inetopts.xml,,,32
inetpref.xml,,,32
inetsrch.xml,,,32
intents.xml,,,32
intro.xml,,,32
lcladv.xml,,,32
lcladvd.xml,,,32
lcladvdf.xml,,,32
lcladvmm.xml,,,32
lclcomp.xml,,,32
lcldate.xml,,,32
lcldocs.xml,,,32
lclkwrds.xml,,,32
lcllook.xml,,,32
lclmm.xml,,,32
lclmode.xml,,,32
lclother.xml,,,32
lclprog.xml,,,32
lclrfine.xml,,,32
lclsize.xml,,,32
lclsrch.xml,,,32
lcltechy.xml,,,32
[...]
[Strings]
SRCHASST_DIR_LFN = "srchasst"
SRCHASST_CACHE_DIR_LFN = "mui"
[...]
LCID="040C"

Dans regedit j'ai toujours ce dossier qui revient :
 

Je pense qu'il faut que tu cherches les fichiers sur ton disque :
 
msgr3en.dll, nls302en.lex, srchctls.dll,  et srchui.dll
et  
courtney.acs, earl.acs, rover.acs
 
puis que tu les supprimes
 
Enfin, j'espère que ca suffira.
 

ne pas oublier le répertoire c:\windows\srchasst aussi

ptet mui aussi ?
 
Pis après fais une recherche dans ton registre des noms précédents, et tu vires aussi.
Ce qui comprends ton dossier qui revient à chaque fois

en gros faut que je supprime le dossier "srchasst" car tous les fichiers au dessus sont dedans.

Voilà j'ai fais un grand vide ! j'ai supprimé tous ces fichiers mais j'arrive pas à virer le dossier. 2min après, les fichiers que j'avais supprimés sont réapparus
 
J'ai aussi supprimé toutes les clés qui étaient en rapport avec search assistant (j'ai laissé uniquement les clés "search assistant OC" ).

La vache mon pov vieux t'es vraiment bien infecté toi    
 
tiens essaie ceci
 
http://www3.enigmasoftwaregroup.co [...] unterS.exe

ouaip il a l'air coriace celui-là.
 
pour le dossier, c'est qu'il y a qque chose qui tourne à mon avis
edit : sur computercops (ton lien) le gars dit ça

donc c'est comme toi en ce moment puis un peu plus tard il dit

là il a réussi.
 
en plus c'est un français alors envoie lui un mail (son adresse est sur le lien que tu as donné)

t'as regardé dans les services windows si y a pas une cochonnerie ?

Non il n'y a rien de bizar. Je vais essayer de contacter le gars pour qu'il essaye de m'aider. Merci

Pour l'instant je n'ai eu aucune réponse de sa part

pas cool, il a bien été aidé et content de réussir à se débarasser de ça

http://www3.enigmasoftwaregroup.co [...] unterS.exe,  
çà marche pas ?

J'ai même plus le sur mon propre topic ...
 
Je pense que je vais faire une MAJ du 1ier post, en en plus en donnant les liens pour l'outil proposé par Acrobaze (Get_active_services.exe), bien utile , plus quelques conseils sur la manière de poster si les soluces proposées sur le topic ne fonctionnent pas.

quel soft est le mieux ? yen a tellement en premiere page !

Ils sont complémentaires, l'idéal est de les utiliser tous (suffit de lire le topic ). Mais les plus répandus sont Adaware SE et Spybot 1.3.