Bonsoir,

Il ya quelques jours j'avais un message d'erreur qui survenait lors du démarrage du pc ( 3 ou 4 fois par jour ).

Voici le message d'erreur :

Arret du systeme. Veuillez enregistrer tous les travaux en cours et quitter votre session. Toutes les modifications non enregistrées seront perdues. Cet arret a ete initie par AUTORITE NT\SYSTEM

Temps restant avant l'arret du systeme : 00:00:59

Le processus systeme
'C:\WINDOWS\system32\lsass.exe' s'est termine de manière inattendue avec le code d'etat 128. Le systeme va maintenant s'eteindre et redemarrer.

J'ai fais un scan du dossier "Windows" et j'ai trouver 2 Trojan.

C:\WINDOWS\system32\mszsrn32.dll
[DETECTION] Is the Trojan horse TR/Agent.23040.8
[warning] An error has occurred and the file was not deleted. ErrorID: 16003
[warning] The file could not be deleted!

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\83PII062\10.1.4[1]
[DETECTION] Is the Trojan horse TR/Agent.23040.8
[INFO] The file was moved to '47f0fa15.qua'!

Depuis que j'ai supprimer le fichier "mszsrn32.dll" je n'ai plus de message d'erreur mais j'ai peur qu'un jour ce fichier manquant me posera problème donc j'aurais aimer trouver une solution pour réparer cela.

J'ai telechargé HijackThis et voici le rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:02:46, on 18/03/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
C:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Logitech\SetPoint II\SetpointII.exe
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
C:\Program Files\Schmads Inc\G15_TeamSpeak\G15_TeamSpeak.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\PnkBstrA.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\mIRC\mirc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Mak\Bureau\Nouveau dossier\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: SetPointII.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O20 - Winlogon Notify: mszsrn32 - C:\WINDOWS\system32\mszsrn32.dll (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\System32\PnkBstrA.exe
O23 - Service: Loki Drivers Auto Removal (pr2agqwb) (pr2agqwb) - Cyanide - C:\WINDOWS\system32\pr2agqwb.exe

--
End of file - 5694 bytes

Pour le reste je ne sais pas quoi faire donc une aide serait la bienvenue.

Merci d'avance.

Configuration: Windows XP pro sp1
Firefox 2.0.0.12

cela ressemble a sasser que j'ai eu il y a quelques annees sur xp... et vu que tu es encore en sp1, il me semble qu'il s'attaque que au sp1
essayes ce pach sasser des fois que ... (
aussi si jamais en dessous tu as le lien pour blaster)

Je ne comprend pas trop bien ce que tu veux que je face...

Pourrait tu m'expliqué plus en détails ?

Merci d'avance.

moi je trouve ça très clair ( pour une fois ? )
tu cliques sur son lien (la petite planète bleue au cas ou t'aurais pas vu)
apres tu télécharges, tu lances le bazar, et voila !

oui billy merci
mais en fait j'ai relu et j'ai zappé qu'il avait supprimé des trucs
donc mon lien ne sert a rien...

*peut être en fesant une restauration système, pour faire réapparaitre les fichiers supprimé Ensuite tu passes le patch cela peut éventuellement faire quelque chose,
mais si ça se trouve, depuis le temps, c' est un virus similaire et donc le pach ne changera rien...

*l'idéal aussi serait de passer en sp2 pour être a jour sur les failles de sécurité, le matériel etc (sachant que le sp3 est pour bientôt)
et si je ne me trompe pas, en installant le sp2, windows réinstalles toute la base du système et donc les fichiers que tu as supprimé par la même occasion ;)

perso dans mon dossier system32 je n'ai pas ce fichier "mszsrn32.dll", ni nul part ailleurs dans mon pc

donc je pense que ce n'est pas un fichier system de windows,
et que c'est une dll créée par le trojan, non pas une déjà présente qu'il aurait modifié.

donc si tu l'as vraiment supprimé je pense que tu ne court plus vraiment de risque

mais de toute façon comme le dit zouly, ce serait quand même mieux de passer au SP2

Merci pour vos réponses.

Enfaite, je me suis renseigner à propos de ce fichier "mszsrn32.dll" et plusieurs personnes me disent que ce n'est pas un fichier de windows donc j'en déduis que c'est tout simplement un fichier qui a était crée par le Trojan ou sinon l'on ma dit aussi que ce fichier était reconnu comme un virus donc j'ai bien fait de le supprimer.

En tout cas je suis passer en "sp2" car quand j'ai installé windows il y a 1 an je n'ai fait aucune mise à jour après l'installation pendant 1 an et j'avais complètement zappé de faire ces mise à jour ( 63 mise à jour avant de passer en sp1 ) et de passer en "sp2" ( 52 mises à jour en sp2 ) donc merci à toi Zouly pour ton conseil

tu peux virer ça :

Inscription superflue (car sans effet) qui peut donc être effacée
nscription superflue (et dangereuse) qui peut donc être effacée.

Pense aussi à mettre à jour ton Internet explorer.