Virus probablement !

[Résolu/Fermé]
Signaler
Messages postés
32
Date d'inscription
lundi 14 février 2005
Statut
Membre
Dernière intervention
19 février 2011
-
Messages postés
32
Date d'inscription
lundi 14 février 2005
Statut
Membre
Dernière intervention
19 février 2011
-
Bonsoir, merci encore pour ce site plein d’instructions, et sur lequel j’ai pu compter en cas de problèmes difficiles à résoudre !

Voici mon problème :
Celui – ci concerne le pc portable de mon père :
A chaque fois que je redémarre l’ordinateur, j’ai le message suivant qui apparait :

Svchost.exe a rencontré un problème et doit fermer

La signature de l’erreur me précise :

Signature de l’erreur :

AppName : svchost.exe App Ver : 5.1.2600.2180

ModName : unknown Mod Ver : 0.0.0.0
Offset : 00406472

Les fichiers suivants seront inclus dans ce rapport d’erreur :

C:\DOCUME~1\GILBERT~1\Locals~1\Temp\2fce_appcompat.txt


J’ai recherché sur votre forum, et n’ai pas trouvé de solutions :

 J’ai déjà restaurer xp, mais sans succès : il y a tjs l’apparition de la fenêtre de ce svchost.exe

 De plus, j’ai vérifier dans msconfig, si un programme pouvait se mettre enroute en rapport avec svchost : maisrien trouvé, même en désactivant tous les programmes au démarrage !

 Je vais effectuer un antivirus complet car je pense qu’il s’agit plutôt d’un virus …..

Je vous joins le log de hijackthis, cidessous, en espérant que vous pourrez m’apporter l’aide souhaitée !

Merci à vous, voici le rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:56:59, on 16/08/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Toshiba\Windows Utilities\Hotkey.exe
C:\Program Files\Synaptics\SynTP\Toshiba.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_clipbook.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\pchealth\helpctr\binaries\HelpCtr.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpHost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Documents and Settings\gilbert guilbaud\Mes documents\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Toshiba Hotkey Utility] "C:\Program Files\Toshiba\Windows Utilities\Hotkey.exe" /lang FR
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpqSRMon] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ikowin32.exe
O4 - Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Sélection intelligente HP - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O23 - Service: Kaspersky Anti-Virus (avp) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

40 réponses

Messages postés
32
Date d'inscription
lundi 14 février 2005
Statut
Membre
Dernière intervention
19 février 2011
1
Bonjour,

merci pour tous ces conseils, très instructifs.
Mon pc fonctione correctement maintenant !

Je prends note de tout ce que tu m'as décrit afin de le protéger au maximum !


Bonne continuation !
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 42674 internautes nous ont dit merci ce mois-ci

Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
Salut,


infecté ! ... stop tout scan en cours ....


/!\ N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
Si tu as un quelconque prb n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ) .
Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .



fais ceci pour avoir un diagnostique plus complet :


Télécharge ZHPDiag de Nicolas Coolman sur ton bureau :

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


!! déconnecte toi et ferme toutes tes applications en cours !!

> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir un raccourci ) .

> Lance ZHPDiag depuis le raccouci du bureau .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite ( celui avec la clé et le tournevis ) .

Une liste apparait dans l'encadré principal > clique en bas sur le bouton " Tous " et décoche la ligne 061 ( important ! ) .

> Puis clique sur le bouton de "la loupe" pour lancer le scan .


Laisses travailler l'outil ...


> Une fois terminé , le rapport s'affiche : clique sur bouton "appareil photo" pour sauvegarder le rapport obtenu ...

Enregistres bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

( Sinon rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )

Puis ferme le programme ...


> rends toi ensuite sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....



Messages postés
32
Date d'inscription
lundi 14 février 2005
Statut
Membre
Dernière intervention
19 février 2011
1
Rebonsoir, merci pour cette rapidité de réponse !

J'ai tout fait comme tu me l'as dit :

Voici le lien du rapport de ZHPDIAG :

http://www.cijoint.fr/cjlink.php?file=cj200908/cijpVH9zZc.txt

Je ne comprends pas, car mis à part cette fenètre qui s'ouvre au démarrage de mon ordinateur, je ne constate pas de problemes particuliers avec l'ordi ...
Je rajoute, qu'avant de recevoir ta réponse, j'ai installé le service pack 3 de xp que j'avais refusé d'installer auparavant, et je me suis dit que peut être c'était à l'origine d'un virus installé sur l'ordi ! Même si ce dernier n'a évidémment pas résolu le problème.

En espérant que vous trouviez une solution !

Merci encore
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
re,


bisard ... l'infection n'apparait pas sur le rapport de ZHPDiag ....



fais ceci dans l'ordre :


1- Avoir accès aux fichiers cachés :

Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )



2- Rends toi sur ce site :

https://www.virustotal.com/gui/

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
C:\WINDOWS\system32\drivers\nb4int15.sys

Clique sur Send File ( = " Envoyer le fichier " ).

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses


===============================

3- Télécharge MalwareByte's :
ici https://www.commentcamarche.net/download/telecharger-34055379-malwarebytes-anti-malware
ou ici : http://www.malwarebytes.org/mbam.php

* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )

* Potasse le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebyte's .

Fais un examen dit "Rapide" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date) pour analyse ...

====================


4- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...



Messages postés
32
Date d'inscription
lundi 14 février 2005
Statut
Membre
Dernière intervention
19 février 2011
1
j'en suis toujours à analyser le fichier avec virustotal
il m'a effectivement indiqué qu'il était déjà analysé, et j'ai donc réanalysé le fichier, mais le scan du fichier n'en finit plus : déjà une demi heure !
Est ce normal ?

merci
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
tout dépends la taille ...


mais recommence .... et si il te marque qu'il a déjà été anlyser , clique sur "afficher le rapport" ....


copie/colle ce dernier dans ta prochaine réponse et fais le reste ...


Messages postés
32
Date d'inscription
lundi 14 février 2005
Statut
Membre
Dernière intervention
19 février 2011
1
J'ai fait comme tu m'as dit,

il m'a demandé de réanalyser, et j'ai fait directement le rapport que je colle ici :

Fichier nb4int15.sys reçu le 2009.08.16 19:05:54 (UTC)
Situation actuelle: terminé

Résultat: 0/41 (0.00%)
Formaté Impression des résultats Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.16 -
AhnLab-V3 5.0.0.2 2009.08.15 -
AntiVir 7.9.1.1 2009.08.14 -
Antiy-AVL 2.0.3.7 2009.08.14 -
Authentium 5.1.2.4 2009.08.15 -
Avast 4.8.1335.0 2009.08.15 -
AVG 8.5.0.406 2009.08.16 -
BitDefender 7.2 2009.08.16 -
CAT-QuickHeal 10.00 2009.08.16 -
ClamAV 0.94.1 2009.08.16 -
Comodo 1992 2009.08.16 -
DrWeb 5.0.0.12182 2009.08.16 -
eSafe 7.0.17.0 2009.08.16 -
eTrust-Vet 31.6.6678 2009.08.14 -
F-Prot 4.4.4.56 2009.08.15 -
F-Secure 8.0.14470.0 2009.08.16 -
Fortinet 3.120.0.0 2009.08.16 -
GData 19 2009.08.16 -
Ikarus T3.1.1.64.0 2009.08.16 -
Jiangmin 11.0.800 2009.08.16 -
K7AntiVirus 7.10.819 2009.08.14 -
Kaspersky 7.0.0.125 2009.08.16 -
McAfee 5710 2009.08.15 -
McAfee+Artemis 5710 2009.08.15 -
McAfee-GW-Edition 6.8.5 2009.08.16 -
Microsoft 1.4903 2009.08.16 -
NOD32 4339 2009.08.16 -
Norman 6.01.09 2009.08.14 -
nProtect 2009.1.8.0 2009.08.16 -
Panda 10.0.0.14 2009.08.16 -
PCTools 4.4.2.0 2009.08.16 -
Prevx 3.0 2009.08.16 -
Rising 21.42.62.00 2009.08.16 -
Sophos 4.44.0 2009.08.16 -
Sunbelt 3.2.1858.2 2009.08.16 -
Symantec 1.4.4.12 2009.08.16 -
TheHacker 6.3.4.3.383 2009.08.13 -
TrendMicro 8.950.0.1094 2009.08.14 -
VBA32 3.12.10.9 2009.08.16 -
ViRobot 2009.8.14.1885 2009.08.14 -
VirusBuster 4.6.5.0 2009.08.16 -
Information additionnelle
File size: 3200 bytes
MD5 : 0af9291a1b2e909b1405f6803cbc1d0f
SHA1 : c19c26c2a5af206b22497df197d58394b5c033b4
SHA256: 03b0a671b6962bcc252a9bc04d31d9a0394cb02365574678764727c46da6706d
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x6CE
timedatestamp.....: 0x416CF825 (Wed Oct 13 11:40:53 2004)
machinetype.......: 0x14C (Intel I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.rdata 0x300 0x9D 0x100 3.22 f0d5f04d264eaac8220caf24bb4951d4
.data 0x400 0x2E 0x80 1.33 82f6f40bdbb8137439e7215e51f8bee6
PAGE 0x480 0x1C6 0x200 5.34 21677885252c5dc5049b86cf6ff44a35
INIT 0x680 0x1C2 0x200 4.68 311d486e2cd9a7d8ba12d5b792a02805
.rsrc 0x880 0x370 0x380 3.22 7bfb26895f7798bce1f27d42a1ef2449
.reloc 0xC00 0x4E 0x80 2.13 246e9e4bcaa307680a465361698edb42

( 1 imports )

> ntoskrnl.exe: IofCompleteRequest, IoDeleteDevice, IoDeleteSymbolicLink, RtlInitUnicodeString, MmUnmapIoSpace, MmMapIoSpace, IoCreateSymbolicLink, IoCreateDevice

( 0 exports )

TrID : File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
ssdeep: 48:i/pxZOn5XPPREkdlI3WBg4HbW0PPRrIEqCKkJcjrD1J9Tja:qyp3eUlAWh6K1AHM
PEiD : -
RDS : NSRL Reference Data Set
-

maintenant je fais le reste que tu m'as demandé

Tjs merci, et désolé pour le dérangement !
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
vu ... c'est clean de ce côté ...


fais la suite donc .... ^^


Messages postés
32
Date d'inscription
lundi 14 février 2005
Statut
Membre
Dernière intervention
19 février 2011
1
Voici la suite :

le log de malwarebytes:

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2636
Windows 5.1.2600 Service Pack 3

16/08/2009 22:17:38
mbam-log-2009-08-16 (22-17-38).txt

Type de recherche: Examen rapide
Eléments examinés: 109740
Temps écoulé: 7 minute(s), 49 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\gilbert guilbaud\Application Data\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\wpv041250315064.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\gilbert guilbaud\Menu Démarrer\Programmes\Démarrage\ikowin32.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

j'ai bien supprimé les fichiers par l'intermediaire du logiciel!

Au redemarrage du logiciel, la fenetre svchost avait disparue ! (peut être enfin la fin des soucis) puisqu il y avait effectivement 3 virus de detectés dont un en rapport avec le demarrage !!!
le log de

ET VOICI LE FICHIER DE ZHPDIAG :

http://www.cijoint.fr/cjlink.php?file=cj200908/cijfJSil9F.txt

SUPER, reste t il encore quelque chose à faire ?

Tenez moi au courant !
merci
Messages postés
32
Date d'inscription
lundi 14 février 2005
Statut
Membre
Dernière intervention
19 février 2011
1
Voici la suite :

le log de malwarebytes:

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2636
Windows 5.1.2600 Service Pack 3

16/08/2009 22:17:38
mbam-log-2009-08-16 (22-17-38).txt

Type de recherche: Examen rapide
Eléments examinés: 109740
Temps écoulé: 7 minute(s), 49 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\gilbert guilbaud\Application Data\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\wpv041250315064.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\gilbert guilbaud\Menu Démarrer\Programmes\Démarrage\ikowin32.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

j'ai bien supprimé les fichiers par l'intermediaire du logiciel!

Au redemarrage du logiciel, la fenetre svchost avait disparue ! (peut être enfin la fin des soucis) puisqu il y avait effectivement 3 virus de detectés dont un en rapport avec le demarrage !!!
le log de

ET VOICI LE FICHIER DE ZHPDIAG :

http://www.cijoint.fr/cjlink.php?file=cj200908/cijfJSil9F.txt

SUPER, reste t il encore quelque chose à faire ?

Tenez moi au courant !
merci
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
impec ...


reste encore quelques contrôles, puis finaliser ( nettoyage des outil , mise à jours , ect ... ).



dans l'ordre :


1- Supprime tout ce qui se trouve dans la quarantaine de Malwarebytes ...


=====================

2- Télécharge CCleaner :
https://www.commentcamarche.net/download/telecharger-168-ccleaner
ou https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "français" en langue .
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm


---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )


============================

3- Télécharge GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
http://www.genproc.com/GenProc.exe

!! ferme tes applications en cours !!


* double-clique sur GenProc.exe pour lancer le scan et laisse faire ...

* A la question "faites vous aidez sur un forum..." > clique sur " oui " .

-> poste le contenu du rapport qui s'ouvre ...


Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .


Messages postés
32
Date d'inscription
lundi 14 février 2005
Statut
Membre
Dernière intervention
19 février 2011
1
Voici le rapport genproc après avoir tout nettoyé avec ccleaner :

Rapport GenProc 2.615 [1] - 17/08/2009 à 0:55:40
@ Windows XP Service Pack 3 - Mode normal
@ Internet Explorer (8.0.6001.18702) [Navigateur par défaut]

~~ ECHEC DU TELECHARGEMENT DE CM ~~
~~ ECHEC DU TELECHARGEMENT DE MBR.EXE ~~

Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures" ; par la suite, laisse-le avec ses réglages par défaut. C'est tout.

# Etape 1/ Télécharge :

- USBFix http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe (Chiquitine29) sur le Bureau, et procède simplement à son installation.


Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ ; Choisis ta session courante *** gilbert guilbaud *** (pour retrouver le rapport, clique sur le raccourci "Rapport GenProc[1]" sur ton bureau).


# Etape 2/

Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir, puis double-clique sur le raccourci USBFix présent sur ton Bureau : choisis l' option 2 (Suppression), ton bureau disparaitra et le pc redémarrera. Au redémarrage, USBFix scannera ton pc, laisse travailler l'outil.

# Etape 3/

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 4/

Redémarre normalement et poste, dans la même réponse :

- Le contenu du rapport UsbFix.txt situé dans C:\ ;
- Un nouveau rapport HijackThis http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ;
- Un nouveau rapport GenProc ;

Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

~~ Arguments de la procédure ~~


# Détections [1] GenProc 2.615 17/08/2009 à 0:56:33
USBFix:le 17/08/2009 à 0:56:44 "C:\WINDOWS\System32\autorun.inf"

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

~~ Fin à 0:57:08 ~~

COMME TU ME L'AS DEMANDE JE N AI RIEN FAIT, JE T' AI POSTE SEULEMENT LE 1ER RAPPORT GENPROC !
DOIS JE FAIRE TOUT CE QU IL ME DEMANDE MAINTENANT ?

MERCI DE TA PATIENCE !

A +
Messages postés
32
Date d'inscription
lundi 14 février 2005
Statut
Membre
Dernière intervention
19 février 2011
1
Voici le rapport genproc après avoir tout nettoyé avec ccleaner :

Rapport GenProc 2.615 [1] - 17/08/2009 à 0:55:40
@ Windows XP Service Pack 3 - Mode normal
@ Internet Explorer (8.0.6001.18702) [Navigateur par défaut]

~~ ECHEC DU TELECHARGEMENT DE CM ~~
~~ ECHEC DU TELECHARGEMENT DE MBR.EXE ~~

Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures" ; par la suite, laisse-le avec ses réglages par défaut. C'est tout.

# Etape 1/ Télécharge :

- USBFix http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe (Chiquitine29) sur le Bureau, et procède simplement à son installation.


Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ ; Choisis ta session courante *** gilbert guilbaud *** (pour retrouver le rapport, clique sur le raccourci "Rapport GenProc[1]" sur ton bureau).


# Etape 2/

Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir, puis double-clique sur le raccourci USBFix présent sur ton Bureau : choisis l' option 2 (Suppression), ton bureau disparaitra et le pc redémarrera. Au redémarrage, USBFix scannera ton pc, laisse travailler l'outil.

# Etape 3/

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 4/

Redémarre normalement et poste, dans la même réponse :

- Le contenu du rapport UsbFix.txt situé dans C:\ ;
- Un nouveau rapport HijackThis http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ;
- Un nouveau rapport GenProc ;

Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

~~ Arguments de la procédure ~~


# Détections [1] GenProc 2.615 17/08/2009 à 0:56:33
USBFix:le 17/08/2009 à 0:56:44 "C:\WINDOWS\System32\autorun.inf"

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

~~ Fin à 0:57:08 ~~

COMME TU ME L'AS DEMANDE JE N AI RIEN FAIT, JE T' AI POSTE SEULEMENT LE 1ER RAPPORT GENPROC !
DOIS JE FAIRE TOUT CE QU IL ME DEMANDE MAINTENANT ?

MERCI DE TA PATIENCE !

A +
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
re,


fais ceci dans un premier temps :



Télécharge UsbFix ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :

> http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe

! Déconnecte toi d'internet et ferme toutes applications en cours !

--> Double-clique sur l' .exe pour lancer l'installation de l'outil ( ne touche pas aux paramètres d'installe ) .


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


# Double clique sur le raccourci UsbFix présent sur ton bureau pour lancer l'outil.

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html




A demain pour la suite ... ;)




Messages postés
32
Date d'inscription
lundi 14 février 2005
Statut
Membre
Dernière intervention
19 février 2011
1
Bonjour,

j'ai fait comme indiqué, mais ca a été très rapide et il m a dit que le nom d'un raccourci ou d'un document était trop long !

je poste le log :


############################## | UsbFix V6.018 |

User : gilbert guilbaud (Administrateurs) # YOUR-939BDAEA55
Update on 16/08/09 by Chiquitine29 & C_XX
Start at: 02:18:00 | 17/08/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Intel(R) Core(TM)2 CPU T5500 @ 1.66GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : Kaspersky Anti-Virus 8.0.0.506 [ (!) Disabled | Updated ]

C:\ -> Disque fixe local # 148,8 Go (20,76 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque fixe local # 298,02 Go (92,23 Go free) [My Passport] # FAT32
F:\ -> Disque CD-ROM # 6,67 Mo (0 Mo free) [U3 System] # CDFS
G:\ -> Disque amovible # 3,74 Go (2,6 Go free) # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Toshiba\Windows Utilities\Hotkey.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\Synaptics\SynTP\Toshiba.exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Documents and Settings\gilbert guilbaud\Application Data\U3\3514210F3C81184A\LaunchPad.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

Présent ! C:\WINDOWS\system32\autorun.inf
Présent ! E:\autorun.inf
Présent ! F:\autorun.inf

################## | Suspect ! ... | https://www.virustotal.com/gui/ |

C:\Genproc\GenProc.exe

################## | Registre # Clés Run infectieuses |

Présent ! HKLM\software\microsoft\security center "AntiVirusOverride" ( 0x1 )

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{1b2065b8-8aaa-11de-a3d3-0018de7d449b}
Shell\AutoRun\command =F:\LaunchU3.exe -a

HKCU\..\..\Explorer\MountPoints2\{86d8a260-d41c-11dd-a314-0018de7d449b}
Shell\AutoRun\command =WD_Windows_Tools\Setup.exe

################## | Cracks / Keygens / Serials |

MERCI POUR TOUT ET A DEMAIN !
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
re,


la suite :


! Déconnecte toi d'internet et ferme toutes applications en cours !

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

# Double clique sur le raccourci UsbFix présent sur ton bureau pour lancer l'outil .

# Cette fois ci , tu choisis l' option 2 ( Suppression ) .

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

# Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .


( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

Messages postés
32
Date d'inscription
lundi 14 février 2005
Statut
Membre
Dernière intervention
19 février 2011
1
Bonjour,

désolé, j'ai mis du temps
mais un probleme est survenu à la fin du scan
Après le nettoyage du disque (il etait à 90 pour cents), l'ordi a fait après avoir redémarré, une analyse pour vérifier l'intégrité du disque dur, et après ça le bureau ne laissait apparaitre que l'image mais aucune icône, ni de menu démarrer

J'ai donc éteint manuellement l'ordi. Puis l'ai refait démarrer !

et j'ai récuppéré le Log de usbfix.txt dans le disque C

LE VOICI :


############################## | UsbFix V6.018 |

User : gilbert guilbaud (Administrateurs) # YOUR-939BDAEA55
Update on 16/08/09 by Chiquitine29 & C_XX
Start at: 13:04:12 | 17/08/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Intel(R) Core(TM)2 CPU T5500 @ 1.66GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : Kaspersky Anti-Virus 8.0.0.506 [ Enabled | Updated ]

C:\ -> Disque fixe local # 148,8 Go (20,6 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque fixe local # 298,02 Go (92,23 Go free) [My Passport] # FAT32
F:\ -> Disque CD-ROM # 6,67 Mo (0 Mo free) [U3 System] # CDFS
G:\ -> Disque amovible # 3,74 Go (2,6 Go free) # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

Supprimé ! C:\WINDOWS\system32\autorun.inf
Supprimé ! E:\autorun.inf
Non supprimé ! F:\autorun.inf

################## | Autres |


################## | Suspect ! ... | https://www.virustotal.com/gui/ |

C:\Genproc\GenProc.exe

################## | Registre # Clés Run infectieuses |

# HKLM\software\microsoft\security center "AntiVirusOverride" # -> Reset sucessfully !

################## | Registre # Mountpoints2 |


################## | Listing des fichiers présent |

[21/03/2006 10:11|--a------|0] -> C:\AUTOEXEC.BAT
[28/07/2008 18:59|-rahs----|209] -> C:\boot.ini
[10/08/2004 15:00|-rahs----|4952] -> C:\Bootfont.bin
[21/03/2006 10:11|--a------|0] -> C:\CONFIG.SYS
[?|?|?] -> C:\hiberfil.sys
[21/03/2006 10:11|-rahs----|0] -> C:\IO.SYS
[21/03/2006 10:11|-rahs----|0] -> C:\MSDOS.SYS
[10/08/2004 15:00|-rahs----|47564] -> C:\NTDETECT.COM
[16/08/2009 19:41|-rahs----|252240] -> C:\ntldr
[?|?|?] -> C:\pagefile.sys
[18/06/2009 23:14|--a------|159] -> C:\Setup.log
[04/04/2006 20:43|--ah-----|282] -> C:\SWSTAMP.TXT
[09/12/2008 18:41|--a------|620] -> C:\updatedatfix.log
[17/08/2009 13:10|--a------|3063] -> C:\UsbFix.txt
[28/08/2008 10:52|--a------|14016174] -> C:\xscan.txt
[28/12/2008 14:48|--ah-----|162] -> E:\~$stoire de la repr‚sentation du.doc
[28/12/2008 14:54|---h-----|47616] -> E:\~WRL0076.tmp
[28/12/2008 15:10|---h-----|49152] -> E:\~WRL0630.tmp
[30/07/2009 18:07|--a------|45056] -> E:\Voyage … travers le jazz.doc
[06/05/2008 14:27|-r-------|303] -> F:\autorun.inf
[23/10/2007 09:45|-r-------|1336632] -> F:\LaunchU3.exe
[06/05/2008 14:12|-r-------|5598287] -> F:\LaunchPad.zip
[23/10/2007 10:45|-ra------|1336632] -> G:\LaunchU3.exe
[28/02/2009 18:20|--a------|51200] -> G:\Lully inventeur de l'op‚ra fran‡ais.doc
[11/02/2009 20:29|--a------|25600] -> G:\CHANT LIBERTA.doc
[02/05/2009 17:44|--a------|296] -> G:\WMPInfo.xml
[11/08/2009 02:31|--a------|212545] -> G:\DSCF0027.JPG
[15/08/2009 02:50|--a------|2549808] -> G:\DSC01312.JPG
[15/08/2009 02:50|--a------|351319] -> G:\DSC01310.jpg
[15/08/2009 02:50|--a------|2427464] -> G:\DSC01311.JPG
[17/08/2009 13:03|--a------|4084] -> G:\BOOTEX.LOG

################## | Cracks / Keygens / Serials |

Merci, en tous cas au redémarrage du pc, il n'y a plus la fameuse fenêtre svchost !

A+
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
Salut,


fais ce qui suit dans l'ordre ( si le dernier rapport est clean , on pourra finaliser ) :



( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )


1-Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://pc-system.fr/

Déconnecte toi et ferme bien toutes tes applications en cours .

Lances le .
*Clique sur Recherche et laisse le scan se terminer (cela peut être long).
*Clique sur Suppression pour finaliser.
*Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
--> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt .

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé .

( garde CCleaner et Malwarebytes : très utiles ! )

======================================

2- Refais un coup de CCleaner ( registre compris ) .

======================================

3- Retélécharge et réinstalle hijackthis ( car supprimé par Toolscleaner2 ) ,

Télécharge et installe le logiciel HijackThis :

ici https://www.commentcamarche.net/download/telecharger-159-hijackthis
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment )

======================================

4- Important :
Purge de la restauration système
*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
---> Redémarre ton PC ...

*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
--->Redémarre ton PC ...

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).


======================================

5- Fais ce scan en ligne pour vérifier :

( ne rien faire d'autre avec le PC durant le scan ! )

Fais un scan en ligne avec " Panda " :

https://www.pandasecurity.com/?ref=www.pandasoftware.com/products/activescan

tuto :
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId237368


poste moi le rapport obtenu pour analyse ...


Messages postés
32
Date d'inscription
lundi 14 février 2005
Statut
Membre
Dernière intervention
19 février 2011
1
Rebonjour,

je suis désolé mais je t envois un message malgré la progression de l'antivirus panda :

C'est très très long : il fonctionne depuis déjà 3 heures et n'en est qu'à 12 pour cents !

il a déjà trouvé 15 fichiers infectés

Ca me parait un peu la catastrophe

J'avais l'habitude d'utiliser cet antivirus ou secuser sur le net, en désactivant la restauration système, et en effectuant le scan avec affichage de tous les dossiers cachés en mode sans échec !

Après cela je supprimais tous les fichiers trouvés par la base de registre !

Dois je procéder de la même façon, après le scan qui n'en finit plus ....

Je sais que panda avait souvent l'habotude de me trouver des fichiers infectés qui ne l'étaient pas toujours !

Qu'en penses - tu ?

Merci de ta réponse

A bientôt !
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
re,

tu ne fais aucune suppression ! ... tu me postes le rapport une fois terminé ! ...


la plus par des fichiers trouvés seront des "cookies tracer" ( donc rien de grave ) ... parcontre il se peut qu'il y est autre chose ...


donc je répète , tu ne fais aucune suppression et tu me postes le rapport obtenu ...

( ne fait rien d'autre pendant le scan , cela accélèrera le processus )


Messages postés
32
Date d'inscription
lundi 14 février 2005
Statut
Membre
Dernière intervention
19 février 2011
1
VOICI LE COMPTE RENDU DU SCAN

DOIS JE LES ERADIQUER UN PAR UN DANS LA BASE DE REGISTRE ?

RAPPORT :

;***********************************************************************************************************************************************************************************
ANALYSIS: 2009-08-17 21:03:44
PROTECTIONS: 1
MALWARE: 13
SUSPECTS: 8
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
Kaspersky Anti-Virus 8.0.0.506 Yes Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Documents and Settings\gilbert guilbaud\Cookies\gilbert_guilbaud@doubleclick[1].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Documents and Settings\gilbert guilbaud\Cookies\gilbert_guilbaud@atdmt[3].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Documents and Settings\gilbert guilbaud\Cookies\gilbert_guilbaud@atdmt[2].txt
00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No C:\Documents and Settings\gilbert guilbaud\Cookies\gilbert_guilbaud@mediaplex[1].txt
00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Documents and Settings\gilbert guilbaud\Cookies\gilbert_guilbaud@xiti[1].txt
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\gilbert guilbaud\Cookies\gilbert_guilbaud@weborama[1].txt
00170304 Cookie/WebtrendsLive TrackingCookie No 0 Yes No C:\Documents and Settings\gilbert guilbaud\Cookies\gilbert_guilbaud@statse.webtrendslive[2].txt
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Documents and Settings\gilbert guilbaud\Cookies\gilbert_guilbaud@smartadserver[2].txt
00472802 Adware/Beginto Adware No 0 No No C:\Documents and Settings\gilbert guilbaud\Mes documents\Logiciels installés sur toshiba\Logiciels pour TOSHIBA\logiciels\Fichiers nécessaires portable xp pro\codecs à installer pc portable\DivXInstaller.exe[²ÜÇ\GoogleToolbarFirefox.msi][unk_0020][xpi][components/googletoolbar.dll]
01692556 Application/ScanSpyware HackTools No 0 Yes No C:\Program Files\ScanSpyware v3.8.0.4\baBackupRestore.dll
01692557 Application/ScanSpyware HackTools No 0 Yes No C:\Program Files\ScanSpyware v3.8.0.4\Scanner.exe
03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\Documents and Settings\gilbert guilbaud\Mes documents\Logiciels installés sur toshiba\Logiciels pour TOSHIBA\logiciels\Antivirus\F-Secure.Internet.Security.2006.Incl.Patch.And.Keymaker-AGAiN[www.yahaa.org]\Patch.EXE
03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\Documents and Settings\gilbert guilbaud\Mes documents\Logiciels installés sur toshiba\logiciels 2\Antivirus\F-Secure.Internet.Security.2006.Incl.Patch.And.Keymaker-AGAiN[www.yahaa.org]\Patch.EXE
03811588 Trj/Downloader.MDW Virus/Trojan No 1 Yes No C:\Documents and Settings\gilbert guilbaud\Mes documents\Logiciels installés sur toshiba\logiciels 2\Antivirus\F-Secure.Internet.Security.2006.Incl.Patch.And.Keymaker-AGAiN[www.yahaa.org]\Keygen.EXE
03811588 Trj/Downloader.MDW Virus/Trojan No 1 Yes No C:\Documents and Settings\gilbert guilbaud\Mes documents\Logiciels installés sur toshiba\Logiciels pour TOSHIBA\logiciels\Antivirus\F-Secure.Internet.Security.2006.Incl.Patch.And.Keymaker-AGAiN[www.yahaa.org]\Keygen.EXE
03899059 Generic Trojan Virus/Trojan No 0 Yes No C:\Documents and Settings\gilbert guilbaud\Mes documents\Logiciels installés sur toshiba\logiciels 2\Divers lecteurs media players\BS.Player.Pro.v2.0.Multilingual.Incl.Keymake\keygen.exe
03899059 Generic Trojan Virus/Trojan No 0 Yes No C:\Documents and Settings\gilbert guilbaud\Mes documents\Logiciels installés sur toshiba\Logiciels pour TOSHIBA\logiciels\Divers lecteurs media players\BS.Player.Pro.v2.0.Multilingual.Incl.Keymake\keygen.exe
;===================================================================================================================================================================================
SUSPECTS
Sent Location <\
;===================================================================================================================================================================================
No C:\Documents and Settings\gilbert guilbaud\Mes documents\Logiciels installés sur toshiba\dBpower AMP Music Converter Version 11 + All Plugins (+ Crack).rar\dBpower AMP Music Converter Version 11 + All Plugins (+ Crack).rar[dMC 11.exe]
No C:\Documents and Settings\gilbert guilbaud\Mes documents\Logiciels installés sur toshiba\dBpower AMP Music Converter Version 11 + All Plugins (+ Crack).rar\dMC 11.exe
No C:\Documents and Settings\gilbert guilbaud\Mes documents\Logiciels installés sur toshiba\logiciels 2\dBpower AMP Music Converter Version 11 + All Plugins (+ Crack).rar\dBpower AMP Music Converter Version 11 + All Plugins (+ Crack).rar[dMC 11.exe]
No C:\Documents and Settings\gilbert guilbaud\Mes documents\Logiciels installés sur toshiba\logiciels 2\dBpower AMP Music Converter Version 11 + All Plugins (+ Crack).rar\dMC 11.exe
No C:\Documents and Settings\gilbert guilbaud\Mes documents\Logiciels installés sur toshiba\logiciels 2\Divers lecteurs media players\tcmp4.exe
No C:\Documents and Settings\gilbert guilbaud\Mes documents\Logiciels installés sur toshiba\Logiciels pour TOSHIBA\logiciels\dBpower AMP Music Converter Version 11 + All Plugins (+ Crack).rar\dBpower AMP Music Converter Version 11 + All Plugins (+ Crack).rar[dMC 11.exe]
No C:\Documents and Settings\gilbert guilbaud\Mes documents\Logiciels installés sur toshiba\Logiciels pour TOSHIBA\logiciels\dBpower AMP Music Converter Version 11 + All Plugins (+ Crack).rar\dMC 11.exe
No C:\Documents and Settings\gilbert guilbaud\Mes documents\Logiciels installés sur toshiba\Logiciels pour TOSHIBA\logiciels\Divers lecteurs media players\tcmp4.exe
;===================================================================================================================================================================================
VULNERABILITIES
Id Severity Description <\
;===================================================================================================================================================================================
;===================================================================================================================================================================================

Je rajoute les fichiers considérés comme suspicieux :

Suspicious files (8)
C:\Documents and Settings\gilbert guilbaud\Me...rs lecteurs media players\tcmp4.exe
C:\Documents and Settings\gilbert guilbaud\Me...ll Plugins (+ Crack).rar\dMC 11.exe
C:\Documents and Settings\gilbert guilbaud\Me...rs lecteurs media players\tcmp4.exe
C:\Documents and Settings\gilbert guilbaud\Me...rs lecteurs media players\tcmp4.exe
C:\Documents and Settings\gilbert guilbaud\Me...ll Plugins (+ Crack).rar\dMC 11.exe
C:\Documents and Settings\gilbert guilbaud\Me...l Plugins (+ Crack).rar[dMC 11.exe]
C:\Documents and Settings\gilbert guilbaud\Me...ll Plugins (+ Crack).rar\dMC 11.exe
C:\Documents and Settings\gilbert guilbaud\Me...l Plugins (+ Crack).rar[dMC 11.exe]

VOILA, j'espère que tu pourras m'aider à me débarasser de tout ce mic mac

A très bientôt

Merci