Analyse hijackthis pour nettoyage svchost

Question

Bonjour,

J'ai des virus dans mon PC, chaque fois que j'utilise la clé usb d'un collègue, dès qu'il la branche sur son PC, celui-ci s'affolle lol
Je vois que j'ai pas mal de process svchost, j'ai l'impression que c'est pas net ce truc...

Qqn peut m'aider?
Merci d'avance ;)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:23:27, on 04/11/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32
gvpnmgr.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Program Files\Citrix\Client ICA\ssonsvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AhnRpta.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\AccelerometerSt.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack	bmon.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\McAfee\Common Framework\udaterui.exe
C:\Program Files\Fichiers communs\Nokia\MPlatform\NokiaMServer.exe
C:\Program Files\Nokia\Nokia Music\NokiaMusic.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\ROMServ.exe
C:\PROGRA~1\FICHIE~1\MICROS~1\DW\DW20.EXE
C:\Program Files\Network Associates\McAfee Desktop Firewall for Windows XP\FireSvc.exe
C:\Program Files\Citrix\Client ICA\pnagent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\IPSec Client\LucentIKESvc.exe
C:\Program Files\Network Associates\McAfee Desktop Firewall for Windows XP\FireTray.exe
C:\Program Files\McAfee\VirusScan Enterprise\EngineServer.exe
C:\Program Files\IPSec Client\LucentIKE.exe
C:\Program Files\McAfee\Common Framework\FrameworkService.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\McAfee\VirusScan Enterprise\vstskmgr.exe
C:\WINDOWS\system32\mfevtps.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\IPSec Client	rayicon.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files	eraterm	tpmenu.exe
C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
C:\Program Files\VMware\VMware Server\vmware-authd.exe
C:\Program Files\Fichiers communs\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\CCM\CcmExec.exe
C:\Program Files\Hewlett-Packard\Shared\hpqWmiEx.exe
C:\Program Files\McAfee\VirusScan Enterprise\mcshield.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Program Files\McAfee\VirusScan Enterprise\mfeann.exe
C:\Program Files\McAfee\Common Framework\McTray.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\VMware\VMware Server\vmserverdWin32.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Nokia\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Nokia\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\Nokia\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Program Files\Nokia\PC Connectivity Solution\Transports\NclBCBTSrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [AccelerometerSysTrayApplet] C:\WINDOWS\system32\AccelerometerSt.exe
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack	bmon.exe"
O4 - HKLM\..\Run: [McAfeeFireTray] C:\Program Files\Network Associates\McAfee Desktop Firewall for Windows XP\Firetray.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\udaterui.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [NokiaMServer] C:\Program Files\Fichiers communs\Nokia\MPlatform\NokiaMServer /watchfiles
O4 - HKLM\..\Run: [Nokia FastStart] "C:\Program Files\Nokia\Nokia Music\NokiaMusic.exe" /command:faststart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\TEMP\herss.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [Communicator] "C:\Program Files\Microsoft Office Communicator\Communicator.exe" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Collector.lnk = C:\Program Files	eraterm\Collector\Collector.exe
O4 - Startup: TeraTerm Menu.lnk = C:\Program Files	eraterm	tpmenu.exe
O4 - Global Startup: Agent Program Neighborhood.lnk = C:\Program Files\Citrix\Client ICA\pnagent.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: IPSecClient Icon.lnk = C:\Program Files\IPSec Client	rayicon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Livre de reliures HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Sélection intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: iLO 2 Remote Console Applet - https://172.17.128.226/dvc.cab
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O16 - DPF: {CBCF8AB4-8A12-4A8A-A22D-36480B41DC78} (eDataInstall ActiveX control, Version 4.0) - http://coopnet.multimedia-conference.orange-business.com/...
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = 
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = 
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: lfmsdy.dll c:\windows\system32otawapo.dll c:\windows\system32\fogiguzu.dll c:\windows\system32\fesorega.dll c:\windows\system32\zodetego.dll c:\windows\system32\wahayaga.dll c:\windows\system32
utowuko.dll c:\windows\system32\vetajume.dll c:\windows\system32\gofizesa.dll c:\windows\system32\buyetuza.dll c:\windows\system32\hadezabi.dll c:\windows\system32\yozezuna.dll c:\windows\system32avebavi.dll c:\windows\system32\mohafilu.dll c:\windows\system32\lehuguwe.dll c:\windows\system32uyutave.dll c:\windows\system32\vuwupajo.dll c:\windows\system32\sujegaru.dll c:\windows\system32\fuweyofa.dll c:\windows\system32\dimisawo.dll c:\windows\system32\dafanole.dll c:\windows\system32\janifedu.dll c:\windows\system32\pisefire.dll c:\windows\system32\yutobayu.dll c:\windows\system32\gehufidu.dll c:\windows\system32\dutudari.dll c:\windows\system32\goralaro.dll c:\windows\system32\yesileya.dll c:\windows\system32\lebenesa.dll c:\windows\system32\movoyari.dll c:\windows\system32\hilemebu.dll c:\
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\yejedotu.dll (file missing)
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\yejedotu.dll (file missing)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: EEPROM Service Module (EEPROMService) - Unknown owner - C:\WINDOWS\system32\ROMServ.exe
O23 - Service: McAfee Desktop Firewall Service (FireSvc) - Networks Associates Technology, Inc. - C:\Program Files\Network Associates\McAfee Desktop Firewall for Windows XP\FireSvc.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqWmiEx.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LucentIKE - Unknown owner - C:\Program Files\IPSec Client\LucentIKESvc.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: McAfee Engine Service (McAfeeEngineService) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\EngineServer.exe
O23 - Service: Service McAfee Framework (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\vstskmgr.exe
O23 - Service: McAfee Validation Trust Protection Service (mfevtp) - McAfee, Inc. - C:\WINDOWS\system32\mfevtps.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Aventail VPN Client (NgVpnMgr) - Aventail Corporation - C:\WINDOWS\system32
gvpnmgr.exe
O23 - Service: OracleOraHome81ClientCache - Unknown owner - C:\ORACLE\ora81\BIN\ONRSD.EXE
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcappcapd.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Nokia\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: TwonkyMedia - PacketVideo - C:\Program Files\Nokia\Nokia Home Media Server\Media Server\TwonkyMedia.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Server\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Program Files\Fichiers communs\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware Registration Service (vmserverdWin32) - VMware, Inc. - C:\Program Files\VMware\VMware Server\vmserverdWin32.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

crapoulou · Accepted Answer

Vide la quarantaine de MBAM.
Supprime ce dossier :
C:\quarantine

*****

Comme quoi, des mises à jour ... ça peut servir !

Poste un nouveau rapport RSIT stp.

BeFaX · Answer

Ce qui n'est pas normal, c'est ceci :
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\TEMP\herss.exe 

Télécharge, installe et met à jour Malwarebyte's Antimalware, et fais un examen rapide tout d'abord.

crapoulou · Answer

Salut,
La multiplicité de svchost n'est pas infectieux.
En revanche ton système est très infecté : infections Vundo et USB.

As-tu toutes les clés USB branchées sur ce PC à disposition (surtout celle de ton copain) ?

Jean Ba · Answer

Relance :)))

Merci d'avance !!
@+++
JB

crapoulou · Answer

Salut, Je n'étais pas dispo aujourd'hui (dans la journée). ****** Vu que JB attend, je vais lui donner une procédure mais si tu veux prendre la suite, je n'oublie pas que t'es le permier. ******* Tu es infecté par un ver qui se propage dans ton ordinateur par support amovibles (clé USB, disquettes, appareils photos numériques, disques durs externes, …) Télécharge et installe UsbFix de C_XX & Chiquitine29 : = = = = >>> En cliquant ici <<< = = = = Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d’avoir été infectés sans les ouvrir ! * Double clique sur le raccourci UsbFix présent sur ton bureau. * Choisis l’option 1 (Recherche) * Laisse travailler l’outil. * Ensuite poste l’intégralité du rapport UsbFix.txt qui apparaîtra. Notes : - Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt) (CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller sur le forum). - "Process.exe", une composante de l’outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s’agit pas d’un virus, mais d’un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d’où l’alerte émise par ces antivirus.

crapoulou · Answer

Ouou !
Je vois rarement un aussi "beau rapport" !
Tout ce qui est dans ceci est infectieux :
################## | Fichiers # Dossiers infectieux | 
ça fait une belle liste (rien que pour une infection USB !)

*********

Nettoyage avec UsbFix :

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d’avoir été infectés sans les ouvrir !

*Double clique sur le raccourci UsbFix présent sur ton bureau.
* Choisis l’option 2 (Suppression)
* Ton bureau disparaîtra et le PC redémarrera.
* Au redémarrage, UsbFix scannera ton PC. Laisse travailler l’outil.
* Ensuite poste l’intégralité du rapport UsbFix.txt qui apparaitra avec le bureau.

Note :
Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt)

crapoulou · Answer

USBFix a fait la vaccination des disques C, D, G et W. La vaccination crée des dossiers appelés autorun.inf pour éviter une réinfection. Ils sont insupprimables en passant pas Clic droit > supprimer ou autres méthodes. Je te conseille de les garder. Si tu veux les supprimer dans quelques temps, soit tu formates ta clé si elle est vide, soit tu reviens me voir ;-). ********* Analyse ces fichiers : C:\srgo.exe C:\xbvv0.exe Sur le site de virustotal : https://www.virustotal.com/gui/ Parcourir > Sélectionne ton fichier > Analyser, patiente que l’analyse soit terminée. Poste bien les rapports en m’indiquant à chaque rapport envoyé le nom du fichier concerné ! (Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant). *********** Télécharge Malwarebytes’ Anti-Malware = = = = >>> En cliquant ici <<< = = = = - Enregistre le sur le bureau - Double clique sur le fichier téléchargé pour lancer le processus d’installation - Lorsqu’il te le sera demandé, mets à jour Malwarebytes anti malware - Si le pare-feu demande l’autorisation de se connecter pour malwarebytes, acceptes - Une fois la mise à jour terminée, ferme Malwarebytes - Double-clique sur l’icône de malwarebytes pour le relancer - Dans l’onglet, Recherche, probablement ouvert par défaut, - Sélectionne Exécuter un examen complet - Clique sur Rechercher - Le scan démarre - A la fin de l’analyse, un message s’affiche : L’examen s’est terminé normalement. Cliquez sur ‘Afficher les résultats’ pour afficher tous les objets trouvés. - Clique sur Ok pour poursuivre. - Si des malwares ont été détectés, cliques sur Afficher les résultats - Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. - Malwarebytes va ouvrir le bloc-notes et y copier le rapport d’analyse. - Rends toi dans l’onglet rapport/log - Tu clique dessus pour l’afficher. - Une fois affiché, cliques sur édition en haut du bloc notes, et puis sur sélectionner tout - Tu recliques sur édition et puis sur copier et tu reviens sur le forum et dans ta réponse - Tu clique droit dans le cadre de la réponse et coller Si tu as besoin d’aide regarde ce tutorial ICI

BeFaX · Answer

Je comprends pas, comment vous faites pour avoir autant de fichier infectés sans vous en rendre compte lol.

gen-hackman · Answer

salut :

ommission ?

C:\srgo.exe 
C:\xbvv0.exe

gen-hackman · Answer

désolé pas vu...;)

crapoulou · Answer

J'ai pas tout compris à ce que vous avez dit lol Ne t'en fais pas ;-). ****** Pour aider les développeurs d'outils contre les infections, il serait bien que tu fasses ceci stp : Vas sur cette adresse : http://uploads.malwarebytes.org/ Et envoie ces deux fichiers afin qu'ils mettent à jour leur outil : C:\srgo.exe C:\xbvv0.exe (File 1 => Parcourir => Sélectionne le fichier). (File 2 => Parcourir => Sélectionne le fichier). ("Upload"). Fais de même sur ce lien : https://www.avira.com/ (Fais le bien pour les deux fichiers). Merci pour ta collaboration. Une fois que c'est fait, confirme le moi et... : ********* Pour une analyse plus en profondeur de ton PC : Télécharge Random’s System Information Tool (RSIT) de random/random et enregistre l’exécutable sur le Bureau. = = = = >>> En cliquant ici <<< = = = = * Double clique sur RSIT.exe pour le lancer. * Une première fenêtre s’ouvre, clique alors sur Continue (Disclaimer). * Si la dernière version de HijackThis n’est pas détectée sur ton PC, RSIT le téléchargera et te demandera d’accepter la licence. * Lorsque l’analyse sera terminée, deux fichiers texte s’ouvriront (probablement avec le bloc-notes). * Poste le contenu de log.txt.

crapoulou · Answer

Parfait.
On va vérifier si MBAM les supprime...

********

Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1134 

MBAM n'était pas du tout à jour !

Fais la mise à jour (tu dois au moins avoir ceci dans l'onglet mises à jour :
Version de la base de données: 3123)

Refais un scan complet du PC.

gen-hackman · Answer

salut

c'est clair ^^

crapoulou · Answer

Je vais te demander quelques trucs pour ne pas te supprimer des fichiers persos.

Connais-tu ces fichiers ?

C:\WINDOWS	asks\cucokafe.job
C:\WINDOWS	asks\eyoxfmhv.job
C:\WINDOWS	askskmmwpyb.job

*******

Que contiennent ces fichiers ?
C:\WINDOWS\system32
hm_server_trace.txt
C:\MyVat.txt
C:\ptdebug.txt       
C:\FRRENN0X00671-secu.txt
C:\JBSEQ.TXT
C:\appliid.txt

*******

Tu as des machines virutelles ?! Pourquoi faire ?

crapoulou · Answer

Ok.

Dis moi le contenu des fichiers textes stp.
Si tu veux, héberge les ici et donne moi l'URL pour que je les consulte :
http://cijoint.fr/

******

Rends-toi ici :
C:\WINDOWS\Tasks
Clic droit sur chaque fichier suivant > Propriétés :

C:\WINDOWS	asks\cucokafe.job
C:\WINDOWS	asks\eyoxfmhv.job
C:\WINDOWS	askskmmwpyb.job

Et donne moi ce qu'il y a écrit dans la catégorie "Démarrer dans" dans chaque propriétés de fichier stp.

crapoulou · Answer

Vire les txt vides.

***

Pour les .job, qu'y a-t-il dans Exécuter alors (propriétés aussi).

Analyse ce fihcier :
C:\WINDOWS\TEMP\wmirom.exe

ici :
https://www.virustotal.com/gui/

Poste moi le rapport (si le fichier a déjà été analysé, refais le analyser stp).

****Si tu ne l'as pas trouvé essaye ceci :*******

Affiche les fichiers et dossiers cachés ainsi que les fichiers du système :
- Mes documents
- Outils
- Options des dossiers
- Onglet « Affichage »
- Coche Afficher les fichiers et dossiers cachés
- Décoche « Masquer les fichiers protégés du système d’exploitation (recommandé) »

Regarde maintenant si tu le trouves...

crapoulou · Answer

Ok.
Supprime les 3 fichiers .job et C:\MyVat.txt

Avant de poursuivre, fais moi l'état des lieux du PC : des problèmes rencontrés, des améliorations, des changements ?

*****

Poste un nouveau rapport RSIT stp.

crapoulou · Answer

Supprime ces fichiers manuellement et supprime les de la corbeille :

C:\WINDOWS\DUMP5999.tmp 
C:\WINDOWS\DUMP5d52.tmp
C:\WINDOWS\DUMP69c6.tmp
C:\WINDOWS\DUMPc265.tmp
C:\WINDOWS\system32\pibujudo.dll

********

Relance Hijackthis.
Il se trouve ici :
C:\Program Files\Trend Micro\HijackThis\abouchou.exe

Clique sur "Do a system scan only".
Coche ces lignes :
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [SoundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O20 - AppInit_DLLs: lfmsdy.dll c:\windows\system32otawapo.dll c:\windows\system32\fogiguzu.dll c:\windows\system32\fesorega.dll c:\windows\system32\zodetego.dll c:\windows\system32\wahayaga.dll c:\windows\system32
utowuko.dll c:\windows\system32\vetaju
Clique ensuite sur fix checked.
Ferme Hijackthis.

******

Poste un nouveau rapport RSIT.

Pour ne pas encombrer le topic, héberge le sur ci-joint stp :
http://cijoint.fr/
Envoie l'URL ensuite.

crapoulou · Answer

Vérif :

Pour supprimer le service sous XP :
Clique sur Démarrer puis Exécuter
Tape ceci dans la petite fenêtre qui s’est ouverte :
cmd
Dans la fenêtre noire qui s’affiche, tape ceci :
sc stop mchInjDrv
Puis tape sur Entrée.
sc delete mchInjDrv
Puis tape sur Entrée à nouveau.
Dis moi ce qui s'est affiché dans la console stp.
Ferme ensuite la fenêtre noire.

crapoulou · Answer

Ok. Je me doutais c'était une "vérif" ********* /!\ Procédure réservée à Jean Ba. Ne tentez pas de la reproduire si vous avez un problème similaire sous peine de planter votre machine /!\ Télécharge OTM (de Old_Timer) sur ton Bureau. = = = = >>> En cliquant ici <<< = = = = Une fois installé sur le bureau, double-clique sur OTMoveIt.exe pour le lancer. Assure toi que la case Unregister Dll’s and Ocx’s soit bien cochée Copie la liste qui se trouve en gras ci-dessous, et colle-la dans le cadre de gauche de OTMoveIt : Paste Instructions for Items to be moved. :Procédure: :reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "notification packages"=hex(7):73,00,63,00,65,00,63,00,6c,00,69,00,00,00,00,00 :Services mchInjDrv :Commands [purity] [emptytemp] Clique sur MoveIt! pour lancer la suppression. Après avoir fait Moveit!, une fenêtre s’affiche : "The system requires a reboot to finish removing files. Do you want to reboot now ?" Réponds Yes. Le résultat apparaîtra dans le cadre "Results". Clique sur Exit pour fermer. Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

crapoulou · Answer

Très bien.
Poste un nouveau rapport RSIT ici stp :
http://cijoint.fr/

crapoulou · Answer

Je pars en WE alors je te donne une grosse procédure pour t'occuper jusqu'à dimanche soir !

******

Refais l'option 1 de USBFix et poste le rapport.

******

Ta version de Java n'est pas à jour.
C'est une faille de sécurité de ne pas tenir cette application à jour car les navigateurs Internet étant de plus en plus sécurisés, les virus passent de plus en plus par des autres logiciels (Adobe Acrobat Reader, Java, ...)
Pour faire cette mise à jour, télécharge la dernière version actuelle = = = = =>>> En cliquant ici <<<= = = = =
Le téléchargement et l'installation de cette application engendreront la suppression de la ou des anciennes versions Java dont tu disposais.
N’installe pas Yahoo Toolbar quand elle te sera proposée !

******

Mets à jour Adobe Acrobat Reader en téléchargeant la version 9.1.3 = = = =>>> En cliquant ici <<<= = = = Il faut le faire car c’est une faille de sécurité de ne pas le tenir à jour.

*******

Fais une analyse complète de ton système avec McAfee mis à jour et poste le rapport.

*******

Relance Hijackthis.
Il se situe ici :
C:\Program Files\Trend Micro\HijackThis\abouchou.exe

Clique sur "Do a system scan only".
Coche ces lignes :

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU'

Clique ensuite sur fix checked.
Ferme Hijackthis.

crapoulou · Answer

Nettoyage avec UsbFix :

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d’avoir été infectés sans les ouvrir !

*Double clique sur le raccourci UsbFix présent sur ton bureau.
* Choisis l’option 2 (Suppression)
* Ton bureau disparaîtra et le PC redémarrera.
* Au redémarrage, UsbFix scannera ton PC. Laisse travailler l’outil.
* Ensuite poste l’intégralité du rapport UsbFix.txt qui apparaitra avec le bureau.

Note :
Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt)

*******

Poste un nouveau rapport RSIT avec ça et donne moi des nouvelles du PC un peu ;-).

crapoulou · Answer

Supprime RSIT, supprime ce dossier :
C:\rsit
Télécharge-le à nouveau le et génère un nouveau rapport RSIT.

1) As-tu déjà défragmenté le PC ?
2) Fait la poussière ?
3) Utilisé Ccleaner ou un logiciel équivalent ?

Analyse hijackthis pour nettoyage svchost - Page 2

Discussions similaires

Newsletters