Processus en double ou virus

Résolu
fruti -  
 gen-hackman -
Bonjour,
j'ai crss.exe et rundll32.exe en double et en tripple pour dllhost.exe dans le gestionnaire des tâches c'est normal
Configuration: Windows Vista
Opera 9.64

10 réponses

  1. gen-hackman
     
    salut :

    Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

    - Vas dans "Démarrer" puis Panneau de configuration.
    - Double Clique sur l'icône Comptes d'utilisateurs et sur Activer ou désactiver le contrôle des comptes d'utilisateurs.
    - Clique sur Continuer.
    - Décoche la case Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur.
    - Valide par OK et redémarre.

    Tuto

    ensuite :


    ####### | Install & recherche | #########

    Telecharge et install UsbFix de C_XX & Chiquitine29

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir

    # Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisi éxécuter en tant qu'administrateur .

    # Choisi l option 1 ( Recherche )

    # Laisse travailler l outil.

    # Ensuite post le rapport UsbFix.txt qui apparaitra.

    # Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    # Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
    0
  2. fruti
     
    ############################## | UsbFix V3.034 |

    # User : Vista () # PC-DE-VISTA
    # Update on 29/06/09 by Chiquitine29 & C_XX
    # Start at: 15:25:48 | 29/06/2009
    # Website : http://pagesperso-orange.fr/NosTools/usbfix.html

    # Intel(R) Core(TM)2 Duo CPU T7300 @ 2.00GHz
    # Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6000 32-bit) #
    # Internet Explorer 7.0.6000.16386
    # Windows Firewall Status : Enabled
    # AV : AntiVir Desktop 9.0.1.26 [ (!) Disabled | (!) Outdated ]

    # C:\ # Disque fixe local # 24,41 Go (8,58 Go free) # NTFS
    # D:\ # Disque CD-ROM
    # E:\ # Disque amovible # 973,7 Mo (664,17 Mo free) [KINGSTON] # FAT

    ############################## | Processus actifs |

    C:\Windows\System32\smss.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\wininit.exe
    C:\Windows\system32\winlogon.exe
    C:\Windows\system32\services.exe
    C:\Windows\system32\lsass.exe
    C:\Windows\system32\lsm.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\SLsvc.exe
    C:\Windows\system32\svchost.exe
    C:\Program Files\Avira\AntiVir Desktop\sched.exe
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    C:\Windows\System32\msdtc.exe
    C:\Windows\system32\dllhost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Windows\RtHDVCpl.exe
    C:\Windows\System32\rundll32.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Windows\System32\rundll32.exe
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    C:\Windows\system32\wbem\wmiprvse.exe
    C:\Windows\system32\conime.exe
    C:\Windows\system32\wbem\wmiprvse.exe

    ################## | Registre Startup |

    HKCU_Main: "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
    HKCU_Main: "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
    HKLM_logon: "Userinit"="C:\\Windows\\system32\\userinit.exe,"
    HKLM_logon: "LegalNoticeCaption"=""
    HKLM_logon: "LegalNoticeText"=""
    HKLM_Run: RtHDVCpl=RtHDVCpl.exe
    HKLM_Run: NvSvc=RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
    HKLM_Run: NvCplDaemon=RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
    HKLM_Run: NvMediaCenter=RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
    HKLM_Run: SynTPEnh=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    HKLM_Run: avgnt="C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
    HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=

    ################## | Fichiers # Dossiers infectieux |

    ################## | Registre # Clés Run infectieuses |

    ################## | Registre # Mountpoints2 |

    ################## | Etat / Services / Informations |

    # Affichage des fichiers cachés : OK

    # Mode sans echec : OK

    # (!) Uac = 0x0

    # Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
    # EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
    # Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
    # (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )
    # (!) windefend -> Start = 4 ( Good = 2 | Bad = 4 )
    # (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )
    # (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )

    ################## | Cracks / Keygens / Serials |

    ################## | ! Fin du rapport # UsbFix V3.034 ! |
    0
  3. gen-hackman
     
    ##### | Suppression | ######

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir

    # Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisi éxécuter en tant qu'administrateur .

    # choisi l option 2 ( Suppression )

    # Ton bureau disparaitra et le pc redémarrera .

    # Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

    # Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

    # Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    ######### | Désinstallation | #########

    # Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisi éxécuter en tant qu'administrateur .

    # Choisi l option Désinstaller ....
    0
  4. fruti
     
    ############################## | UsbFix V3.034 |

    # User : Vista () # PC-DE-VISTA
    # Update on 29/06/09 by Chiquitine29 & C_XX
    # Start at: 15:47:21 | 29/06/2009
    # Website : http://pagesperso-orange.fr/NosTools/usbfix.html

    # Intel(R) Core(TM)2 Duo CPU T7300 @ 2.00GHz
    # Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6000 32-bit) #
    # Internet Explorer 7.0.6000.16386
    # Windows Firewall Status : Enabled
    # AV : AntiVir Desktop 9.0.1.26 [ (!) Disabled | (!) Outdated ]

    # C:\ # Disque fixe local # 24,41 Go (8,59 Go free) # NTFS
    # D:\ # Disque CD-ROM

    ############################## | Processus actifs |

    C:\Windows\System32\smss.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\wininit.exe
    C:\Windows\system32\winlogon.exe
    C:\Windows\system32\services.exe
    C:\Windows\system32\lsass.exe
    C:\Windows\system32\lsm.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\LogonUI.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\SLsvc.exe
    C:\Windows\system32\svchost.exe
    C:\Program Files\Avira\AntiVir Desktop\sched.exe
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    C:\Windows\System32\msdtc.exe
    C:\Windows\system32\dllhost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\userinit.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Windows\system32\runonce.exe
    C:\Windows\system32\conime.exe
    C:\Windows\system32\wbem\wmiprvse.exe

    ################## | Fichiers # Dossiers infectieux |

    ################## | Autres ... |

    ################## | Registre # Clés Run infectieuses |

    ################## | Registre # Mountpoints2 |

    ################## | Listing des fichiers présent |

    [18/09/2006 23:43|--a------|24] - C:\autoexec.bat
    [02/11/2006 11:53|-rahs----|438840] - C:\bootmgr
    [22/05/2009 01:14|-ra-s----|8192] - C:\BOOTSECT.BAK
    [18/09/2006 23:43|--a------|10] - C:\config.sys
    [16/06/2009 22:46|-rahs----|0] - C:\IO.SYS
    [22/05/2009 12:44|--a------|177] - C:\ITB.log
    [16/06/2009 22:46|-rahs----|0] - C:\MSDOS.SYS
    [22/05/2009 01:26|--a------|477] - C:\RHDSetup.log
    [22/05/2009 01:26|--a------|206] - C:\setup.log
    [29/06/2009 15:52|--a------|2354] - C:\UsbFix.txt
    [05/05/1999 22:22|-r-hs----|222390] - E:\IO.SYS
    [05/05/1999 22:22|-r-hs----|0] - E:\MSDOS.SYS
    [05/05/1999 22:22|-r-hs----|95874] - E:\COMMAND.COM
    [29/06/2009 15:46|--ah-----|0] - E:\BOOTLOG.TXT
    [27/06/2009 17:04|--ah-----|0] - E:\BOOTLOG.PRV

    ################## | Vaccination |

    # C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
    # E:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

    ################## | Etat / Services / Informations |

    # Mode sans echec : OK

    # Affichage des fichiers cachés : OK

    # Uac : OK

    # Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
    # EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
    # Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
    # SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
    # windefend -> Start = 2 ( Good = 2 | Bad = 4 )
    # wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
    # wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

    ################## | PEH ... |

    ################## | Cracks / Keygens / Serials |

    ################## | ! Fin du rapport # UsbFix V3.034 ! |
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. gen-hackman
     
    Télécharge OTL de OLDTimer

    et enregistre le sur ton Bureau.

    Double clic sur OTL.exe pour le lancer.

    Coche les 2 cases Lop et Purity

    Coche la case devant scan all users

    Clic sur Run Scan.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    NE LE POSTE PAS SUR LE FORUM

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    Clique sur Parcourir et cherche le fichier ci-dessus.

    Clique sur Ouvrir.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.

    Tu feras la meme chose avec le "Extra.txt" s'il t'est demandé
    0
  7. fruti
     
    http://www.cijoint.fr/cjlink.php?file=cj200906/cij21u02P3.txt
    0
  8. fruti
     
    Le extra http://www.cijoint.fr/cjlink.php?file=cj200906/cijoMlzqtq.txt
    0
  9. gen-hackman
     
    Double clic sur OTL.exe pour le lancer.

    Copie la liste qui se trouve en gras ci-dessous,

    et colle-la dans la zone sous Customs Scans/Fixes

    :processes
    explorer.exe
    iexplore.exe
    firefox.exe
    msnmsgr.exe
    TeaTimer.exe

    :files
    C:\Users\Vista\AppData\Local\wj32
    C:\Users\Vista\AppData\Roaming\GetValue.vbs
    C:\Users\Vista\AppData\Roaming\SetValue.bat
    C:\Windows\System32\tmp.reg

    :commands
    [emptytemp]
    [start explorer]
    [reboot]


    Clique sur RunFix pour lancer la suppression.

    Poste le rapport.

    ==========
    0
  10. fruti
     
    All processes killed
    ========== PROCESSES ==========
    No active process named explorer.exe was found!
    No active process named iexplore.exe was found!
    No active process named firefox.exe was found!
    No active process named msnmsgr.exe was found!
    No active process named TeaTimer.exe was found!
    ========== FILES ==========
    C:\Users\Vista\AppData\Local\wj32\ProcessHacker.exe_Url_sv3z3wi0zl5fpm0naycm0vbl0oosceri\1.3.8.0 moved successfully.
    C:\Users\Vista\AppData\Local\wj32\ProcessHacker.exe_Url_sv3z3wi0zl5fpm0naycm0vbl0oosceri moved successfully.
    C:\Users\Vista\AppData\Local\wj32 moved successfully.
    C:\Users\Vista\AppData\Roaming\GetValue.vbs moved successfully.
    C:\Users\Vista\AppData\Roaming\SetValue.bat moved successfully.
    C:\Windows\System32\tmp.reg moved successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: Administrateur
    ->Temporary Internet Files folder emptied: 38449 bytes

    User: All Users

    User: Default
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Default User
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Public

    User: Vista
    ->Temporary Internet Files folder emptied: 37789 bytes
    ->Java cache emptied: 0 bytes
    ->Opera cache emptied: 2423144 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    Windows Temp folder emptied: 2174 bytes

    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 2,39 mb

    Error: Unable to interpret <[start explorer] > in the current context!

    OTL by OldTimer - Version 3.0.5.3 log created on 06292009_172459

    Files\Folders moved on Reboot...

    Registry entries deleted on Reboot...
    0
  11. gen-hackman
     
    Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    Télécharges :

    Malwarebytes

    ou :

    Malwarebytes

    * Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    (NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

    * Potasses le Tuto pour te familiariser avec le prg :

    ( cela dit, il est très simple d'utilisation ).

    relance malwarebytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    * Lance Malwarebyte's .

    Fais un examen dit "Complet" .

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

    0