Svchost.exe

Résolu

zazoo77 Messages postés 24 Date d'inscription Statut Membre Dernière intervention -
Utilisateur anonyme - 8 févr. 2010 à 08:59

Bonjour,
Alors voila, je ne suis pas doué en informatique et j'ai depuis aujourd'hui des alertes intenpestives d'avira concernant svchost qui est présenté comme un delphi.gen
J'aimerai savoir que faire.
Voici mon log hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:37:49, on 06/02/2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskhost.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\QuickTime\qttask .exe
C:\Windows\system32\taskeng.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\program files\itunes\ituneshelper .exe
C:\program files\adobe\reader 9.0\reader\reader_sl .exe
C:\program files\windows live\messenger\msnmsgr .exe
C:\Users\Saya\appdata\local\temp\kwo .exe
C:\Users\Saya\appdata\local\temp\sb7b7 .exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Users\Saya\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Saya\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Saya\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Saya\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Saya\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Saya\Documents\Downloads\hijackthis.exe
C:\Users\Saya\AppData\Local\Google\Chrome\Application\chrome.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.duxot.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.duxot.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: C:\Windows\system32\u5y68.dll - {A3BA40A2-74F0-42BD-F434-00B15A2C8953} - C:\Windows\system32\u5y68.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\program files\quicktime\qttask .exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Users\Saya\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [msnmsgr] "C:\program files\windows live\messenger\msnmsgr .exe" /background
O4 - HKCU\..\Run: [Speech Recognition] "C:\Windows\Speech\Common\sapisvr.exe" -SpeechUX -Startup
O4 - HKCU\..\Run: [Edulihumevixipab] rundll32.exe "C:\Users\Saya\AppData\Local\KBDANco.dll",Startup
O4 - HKCU\..\Run: [uishf9wuifwuh387fh3wufinhjfdwefe] C:\Users\Saya\appdata\local\temp\sb7b7 .exe
O4 - HKCU\..\Run: [LosAlamos] rundll32.exe C:\Windows\system32\sshnas21.dll,AttachConsoleA
O4 - HKCU\..\Run: [F5JMWNZTHI] C:\Users\Saya\appdata\local\temp\kwo .exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Télécharger avec BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Télécharger toutes les vidéos avec BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.3.7.16.dll/206 (file missing)
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe

Afficher la suite

A voir également:

Svchost.exe
Svchost.exe - Guide
Svchost.exe (secsvcs) ✓ - Forum Virus
Virus ?! - Forum Virus
Problème de virus ✓ - Forum Virus
Cheval de troie et formatage - Forum Virus

45 réponses

Réponse 21 / 45

Utilisateur anonyme

bon on a une grosse saleté là , il faut sortir l'artillerie Lourde (tout ce qu'on a supprimé est revenu):

/!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\

▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

_______________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
======================================================

▶ On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Avant d'utiliser ComboFix :
______________________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

>> Reviens sur le forum, et

▶ copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Réponse 22 / 45

zazoo77 Messages postés 24 Date d'inscription Statut Membre Dernière intervention

Je suis désolé mon net a planté hier soir donc je suis partit me coucher, voila le log

ComboFix 10-02-06.01 - Saya 07/02/2010 3:30.1.2 - x86
Microsoft Windows 7 Édition Intégrale 6.1.7600.0.1252.33.1036.18.2047.1330 [GMT 1:00]
Lancé depuis: c:\users\Saya\Desktop\Saya.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Internet Explorer\js.mui
c:\program files\Internet Explorer\wmpscfgs.exe
c:\users\Saya\AppData\Local\KBDANco.dll
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\u5y68.dll

Une copie infectée de c:\windows\system32\DRIVERS\atapi.sys a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\System32\DriverStore\FileRepository\mshdc.inf_x86_neutral_f64b9c35a3a5be81\atapi.sys
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-01-07 au 2010-02-07 ))))))))))))))))))))))))))))))))))))
.

2010-02-07 00:20 . 2010-02-07 01:51 -------- d-----w- C:\Kill'em
2010-02-06 23:25 . 2010-02-06 23:25 -------- d-----w- c:\program files\List_Kill'em
2010-02-06 23:11 . 2010-02-07 01:15 1741 ----a-w- C:\UsbFix_Upload_Me_Saya-PC.zip
2010-02-06 22:55 . 2010-02-06 22:55 -------- d-sh--w- c:\windows\system32\%APPDATA%
2010-02-06 22:47 . 2010-02-07 01:20 -------- d-----w- C:\UsbFix
2010-01-30 16:41 . 2010-02-06 19:11 -------- d-----w- c:\program files\Garena
2010-01-22 22:57 . 2010-01-22 22:57 -------- d-----w- C:\Temp
2010-01-20 16:57 . 2010-01-21 13:13 107952 ----a-w- c:\windows\War3Unin.dat
2010-01-20 16:57 . 2010-01-20 17:14 2829 ----a-w- c:\windows\War3Unin.pif
2010-01-20 16:57 . 2010-01-20 17:14 139264 ----a-w- c:\windows\War3Unin.exe
2010-01-20 16:53 . 2010-02-06 20:41 -------- d-----w- c:\program files\Warcraft III

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-07 02:35 . 2009-07-14 08:39 697522 ----a-w- c:\windows\system32\perfh00C.dat
2010-02-07 02:35 . 2009-07-14 08:39 128356 ----a-w- c:\windows\system32\perfc00C.dat
2010-02-07 01:36 . 2009-11-11 08:59 -------- d-----w- c:\program files\QuickTime
2010-02-06 23:25 . 2009-11-11 09:00 -------- d-----w- c:\program files\iTunes
2010-02-05 22:59 . 2009-12-01 23:29 -------- d-----w- c:\program files\JDownloader
2010-02-02 00:28 . 2009-11-11 08:56 -------- d-----w- c:\users\Saya\AppData\Roaming\vlc
2010-01-20 18:53 . 2010-01-01 23:15 -------- d-----w- c:\program files\Pvm
2010-01-16 18:05 . 2009-11-13 12:57 -------- d-----w- c:\program files\BitComet
2010-01-05 20:59 . 2009-11-14 00:00 628488 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCEClientUX\UpdateableMarkup\Markup.dll
2010-01-05 20:59 . 2009-11-14 00:00 588096 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2010-01-02 11:30 . 2009-11-11 08:30 109208 ----a-w- c:\users\Saya\AppData\Local\GDIPFONTCACHEV1.DAT
2009-12-31 13:59 . 2009-11-11 09:05 -------- d-----w- c:\programdata\Microsoft Help
2009-12-28 08:48 . 2009-11-11 09:00 -------- d-----w- c:\users\Saya\AppData\Roaming\Apple Computer
2009-12-27 00:23 . 2009-12-27 00:23 -------- d-----w- c:\users\Saya\AppData\Roaming\Megaupload
2009-12-27 00:22 . 2009-12-27 00:22 -------- d-----w- c:\program files\Megaupload
2009-12-25 19:24 . 2009-12-25 19:24 -------- d-----w- c:\program files\WBFS
2009-12-25 17:17 . 2009-12-25 17:17 -------- d-----w- c:\users\Saya\AppData\Roaming\ImgBurn
2009-12-25 12:13 . 2009-12-25 12:12 -------- d-----w- c:\program files\ImgBurn
2009-12-24 21:44 . 2009-12-08 19:55 588096 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight-2\SpotlightResources.dll
2009-12-19 18:41 . 2009-11-11 08:57 -------- d-----w- c:\users\Saya\AppData\Roaming\Skype
2009-12-19 18:31 . 2009-11-11 14:47 -------- d-----w- c:\users\Saya\AppData\Roaming\skypePM
2009-12-18 17:02 . 2009-12-18 17:02 -------- d-----w- c:\users\Saya\AppData\Roaming\dvdcss
2009-12-13 23:10 . 2009-12-13 23:10 -------- d-----w- c:\program files\Common Files\Skype
2009-12-13 23:10 . 2009-11-11 08:57 -------- d-----r- c:\program files\Skype
2009-12-10 22:15 . 2009-11-11 08:52 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-01 23:29 . 2009-12-01 23:29 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-11-18 09:52 . 2009-11-18 09:52 628488 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCEClientUX\UpdateableMarkup-2\markup.dll
2009-11-11 14:47 . 2009-11-11 14:47 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-11-11 11:30 . 2009-11-11 11:31 348160 ----a-w- c:\windows\system32\msvcr71.dll
2009-06-10 21:26 . 2009-07-14 02:04 9633792 --sha-r- c:\windows\Fonts\StaticCache.dat
2009-07-14 01:14 . 2009-07-13 23:42 396800 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe
.
[code]<pre>
c:\program files\Adobe\Reader 9.0\Reader\reader_sl .exe
c:\program files\Common Files\Adobe\ARM\1.0\adobearm .exe
c:\program files\iTunes\ituneshelper .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\Windows Live\Messenger\msnmsgr .exe
c:\program files\Windows Live\Messenger\msnmsgr .exe
c:\program files\Windows Live\Messenger\msnmsgr .exe
c:\program files\Windows Live\Messenger\msnmsgr .exe
c:\program files\Windows Live\Messenger\msnmsgr .exe
c:\program files\Windows Live\Messenger\msnmsgr .exe
c:\program files\Windows Live\Messenger\msnmsgr .exe
c:\program files\Windows Live\Messenger\msnmsgr .exe
</pre>/code

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\users\Saya\AppData\Local\Google\Update\GoogleUpdate.exe" [2010-02-07 56832]
"msnmsgr"="c:\program files\windows live\messenger\msnmsgr .exe" [2010-02-07 56832]
"Speech Recognition"="c:\windows\Speech\Common\sapisvr.exe" [2009-07-14 51712]
"Edulihumevixipab"="c:\users\Saya\AppData\Local\KBDANco.dll" [N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\program files\quicktime\qttask .exe -atboottime" [X]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-02-07 56832]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-02-07 56832]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-02-07 56832]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"

R1 vwififlt;Virtual WiFi Filter Driver;c:\windows\System32\drivers\vwififlt.sys [14/07/2009 00:52 48128]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [11/11/2009 09:52 108289]
R3 RTL8167;Pilote Realtek 8167 NT;c:\windows\System32\drivers\Rt86win7.sys [10/06/2009 22:18 139776]
.
Contenu du dossier 'Tâches planifiées'

2010-02-07 c:\windows\Tasks\At1.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-02-07 02:38]

2010-02-07 c:\windows\Tasks\At10.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-02-07 02:38]

2010-02-07 c:\windows\Tasks\At11.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-02-07 02:38]

2010-02-07 c:\windows\Tasks\At12.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-02-07 02:38]

2010-02-07 c:\windows\Tasks\At13.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-02-07 02:38]

2010-02-07 c:\windows\Tasks\At14.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-02-07 02:38]

2010-02-07 c:\windows\Tasks\At15.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-02-07 02:38]

2010-02-07 c:\windows\Tasks\At16.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-02-07 02:38]

2010-02-07 c:\windows\Tasks\At17.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-02-07 02:38]

2010-02-07 c:\windows\Tasks\At18.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-02-07 02:38]

2010-02-07 c:\windows\Tasks\At19.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-02-07 02:38]

2010-02-07 c:\windows\Tasks\At2.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-02-07 02:38]

2010-02-07 c:\windows\Tasks\At20.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-02-07 02:38]

2010-02-07 c:\windows\Tasks\At21.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-02-07 02:38]

2010-02-07 c:\windows\Tasks\At22.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-02-07 02:38]

2010-02-07 c:\windows\Tasks\At23.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-02-07 02:38]

2010-02-07 c:\windows\Tasks\At24.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-02-07 02:38]

2010-02-07 c:\windows\Tasks\At3.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-02-07 02:38]

2010-02-07 c:\windows\Tasks\At4.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-02-07 02:38]

2010-02-07 c:\windows\Tasks\At5.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-02-07 02:38]

2010-02-07 c:\windows\Tasks\At6.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-02-07 02:38]

2010-02-07 c:\windows\Tasks\At7.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-02-07 02:38]

2010-02-07 c:\windows\Tasks\At8.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-02-07 02:38]

2010-02-07 c:\windows\Tasks\At9.job
- c:\program files\internet explorer\wmpscfgs.exe [2010-02-07 02:38]

2010-01-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-692804913-2186769510-1121914712-1000Core.job
- c:\users\Saya\AppData\Local\Google\Update\GoogleUpdate.exe [2009-11-11 02:38]

2010-02-07 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-692804913-2186769510-1121914712-1000UA.job
- c:\users\Saya\AppData\Local\Google\Update\GoogleUpdate.exe [2009-11-11 02:38]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Tout télécharger avec BitComet - c:\program files\BitComet\BitComet.exe/AddAllLink.htm
IE: Télécharger avec BitComet - c:\program files\BitComet\BitComet.exe/AddLink.htm
IE: Télécharger toutes les vidéos avec BitComet - c:\program files\BitComet\BitComet.exe/AddVideo.htm
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{A3BA40A2-74F0-42BD-F434-00B15A2C8953} - c:\windows\system32\u5y68.dll
SafeBoot-dmboot.sys
SafeBoot-dmio.sys
SafeBoot-dmload.sys
SafeBoot-dmadmin
SafeBoot-dmserver
SafeBoot-SRService

[HKEY_LOCAL_MACHINE\system\ControlSet001\services\GarenaPEngine]
"ImagePath"="\??\c:\users\Saya\AppData\Local\Temp\IMXDA10.tmp"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\windows\system32\nvvsvc.exe
c:\windows\system32\taskhost.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\windows\system32\conhost.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\QuickTime\qttask .exe
c:\program files\itunes\ituneshelper .exe
c:\program files\adobe\reader 9.0\reader\reader_sl .exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\Windows Live\Contacts\wlcomm.exe
c:\program files\Internet Explorer\iexplore.exe
c:\program files\Internet Explorer\iexplore.exe
c:\program files\Internet Explorer\iexplore.exe
c:\windows\system32\sppsvc.exe
.
**************************************************************************
.
Heure de fin: 2010-02-07 03:39:42 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-02-07 02:39

Avant-CF: 79 191 031 808 octets libres
Après-CF: 79 437 803 520 octets libres

- - End Of File - - 84A49D19D98ECB3BD5DF499DDB5FCF9C

Réponse 23 / 45

Utilisateur anonyme

bien refais l option 2 de List_Kill'em stp

Réponse 24 / 45

zazoo77 Messages postés 24 Date d'inscription Statut Membre Dernière intervention

voila

Kill'em by g3n-h@ckm@n 1.2.4.0

User : Saya (Administrateurs)
Update on 05/02/2010 by g3n-h@ckm@n ::::: 18.40
Start at: 16:54:44 | 07/02/2010
Contact : https://forums.commentcamarche.net/forum/virus-securite-7

Intel(R) Core(TM)2 CPU 6420 @ 2.13GHz
Microsoft Windows 7 Édition Intégrale (6.1.7600 32-bit) #
Internet Explorer 8.0.7600.16385
Windows Firewall Status : Enabled

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local | 172,78 Go (73,76 Go free) | NTFS
D:\ -> Disque fixe local | 292,97 Go (145,15 Go free) [Données] | NTFS
E:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskhost.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\QuickTime\qttask .exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\program files\itunes\ituneshelper .exe
C:\program files\windows live\messenger\msnmsgr .exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Users\Saya\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Saya\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Saya\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Saya\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Saya\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Saya\AppData\Local\Google\Chrome\Application\chrome.exe
c:\program files\warcraft iii\war3.exe
C:\Users\Saya\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Saya\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Program Files\List_Kill'em\List_Kill'em.scr
C:\Windows\system32\conhost.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Users\Saya\AppData\Local\temp\57E5.tmp\ERUNT.EXE
C:\Users\Saya\AppData\Local\temp\57E5.tmp\pv.exe

Detections :
==========

¤¤¤¤¤¤¤¤¤¤ Files/folders :

Quarantined & Deleted !! : C:\Windows\mbr.exe

Quarantined & Deleted !! : C:\Windows\Tasks\At1.job
Quarantined & Deleted !! : C:\Windows\Tasks\At2.job
Quarantined & Deleted !! : C:\Windows\Tasks\At3.job
Quarantined & Deleted !! : C:\Windows\Tasks\At4.job
Quarantined & Deleted !! : C:\Windows\Tasks\At5.job
Quarantined & Deleted !! : C:\Windows\Tasks\At6.job
Quarantined & Deleted !! : C:\Windows\Tasks\At7.job
Quarantined & Deleted !! : C:\Windows\Tasks\At8.job
Quarantined & Deleted !! : C:\Windows\Tasks\At9.job
Quarantined & Deleted !! : C:\Windows\Tasks\At10.job
Quarantined & Deleted !! : C:\Windows\Tasks\At11.job
Quarantined & Deleted !! : C:\Windows\Tasks\At12.job
Quarantined & Deleted !! : C:\Windows\Tasks\At13.job
Quarantined & Deleted !! : C:\Windows\Tasks\At14.job
Quarantined & Deleted !! : C:\Windows\Tasks\At15.job
Quarantined & Deleted !! : C:\Windows\Tasks\At16.job
Quarantined & Deleted !! : C:\Windows\Tasks\At17.job
Quarantined & Deleted !! : C:\Windows\Tasks\At18.job
Quarantined & Deleted !! : C:\Windows\Tasks\At19.job
Quarantined & Deleted !! : C:\Windows\Tasks\At20.job
Quarantined & Deleted !! : C:\Windows\Tasks\At21.job
Quarantined & Deleted !! : C:\Windows\Tasks\At22.job
Quarantined & Deleted !! : C:\Windows\Tasks\At23.job
Quarantined & Deleted !! : C:\Windows\Tasks\At24.job
Quarantined & Deleted !! : C:\Users\Saya\LOCAL Settings\Temp\wmpscfgs.exe

==============
host file OK !
==============

========
Registry
========

Deleted : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives
Deleted : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives
========
Services
=========

Ndisuio : Start = 3
EapHost : Start = 2
Wlansvc : Start = 2
SharedAccess : Start = 2
windefend : Start = 2
wuauserv : Start = 2
wscsvc : Start = 2

============
Disk Cleaned
============

================
Prefetch cleaned
================

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 25 / 45

Utilisateur anonyme

peux-tu refaire ceci avec OTL stp :

https://forums.commentcamarche.net/forum/affich-16479444-svchost-exe?entiere#16

Réponse 26 / 45

zazoo77 Messages postés 24 Date d'inscription Statut Membre Dernière intervention

Voila OTL.Txt : http://www.cijoint.fr/cjlink.php?file=cj201002/cijCX02gV8.txt
et Extras.txt: http://www.cijoint.fr/cjlink.php?file=cj201002/cijm2ayEgT.txt

Réponse 27 / 45

Utilisateur anonyme

Salut Zazoo ,

Ton infection se relance ..

Essai ceci , supprime usbfix.exe que tu avais télécharger et fais ceci :

• Télécharge cette version de UsbFix sur ton Bureau :

https://www.ionos.fr/?affiliate_id=77097

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir.

• Double clic sur UsbFix.exe présent sur ton bureau .

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

• Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]

• Ton bureau disparaîtra et le pc redémarrera.

• Au redémarrage, UsbFix scannera ton PC, laisse travailler l'outil.

• Ensuite poste le rapport UsbFix.txt qui apparaîtra avec le bureau.

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

• Tuto : https://www.androidworld.fr/

Réponse 28 / 45

zazoo77 Messages postés 24 Date d'inscription Statut Membre Dernière intervention

############################## | UsbFix V6.092 Beta 1 |

User : Saya (Administrateurs) # SAYA-PC
Update on 07/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 20:26:48 | 07/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 CPU 6420 @ 2.13GHz
Microsoft Windows 7 Édition Intégrale (6.1.7600 32-bit) #
Internet Explorer 8.0.7600.16385
Windows Firewall Status : Enabled

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 172,78 Go (73,06 Go free) # NTFS
D:\ -> Disque fixe local # 292,97 Go (145,15 Go free) [Données] # NTFS
E:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\runonce.exe
C:\Windows\system32\conhost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Windows\system32\taskhost.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\svchost.exe

################## | Elements infectieux |

Supprimé ! C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\eepf.tmp\svchost.exe
Supprimé ! C:\Program Files\internet explorer\wmpscfgs.exe
Supprimé ! C:\$Recycle.Bin\S-1-5-21-692804913-2186769510-1121914712-1000
Supprimé ! D:\$Recycle.Bin\S-1-5-21-692804913-2186769510-1121914712-1000

################## | MD5 |

Supprimé ! C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe
Supprimé ! C:\Program Files\Common Files\Adobe\ARM\1.0\adobearm.exe
Supprimé ! C:\Program Files\iTunes\ituneshelper.exe
Supprimé ! C:\Program Files\QuickTime\qttask .exe
Supprimé ! C:\Program Files\QuickTime\qttask .exe
Supprimé ! C:\Program Files\QuickTime\qttask .exe
Supprimé ! C:\Program Files\QuickTime\qttask .exe
Supprimé ! C:\Program Files\QuickTime\qttask .exe
Supprimé ! C:\Program Files\QuickTime\qttask .exe
Supprimé ! C:\Program Files\QuickTime\qttask .exe
Supprimé ! C:\Program Files\QuickTime\qttask .exe
Supprimé ! C:\Program Files\QuickTime\qttask .exe
Supprimé ! C:\Program Files\QuickTime\qttask.exe
Supprimé ! C:\Program Files\Windows Live\Messenger\msnmsgr .exe
Supprimé ! C:\Program Files\Windows Live\Messenger\msnmsgr .exe
Supprimé ! C:\Program Files\Windows Live\Messenger\msnmsgr .exe
Supprimé ! C:\Program Files\Windows Live\Messenger\msnmsgr .exe
Supprimé ! C:\Program Files\Windows Live\Messenger\msnmsgr .exe
Supprimé ! C:\Program Files\Windows Live\Messenger\msnmsgr .exe
Supprimé ! C:\Program Files\Windows Live\Messenger\msnmsgr .exe
Supprimé ! C:\Program Files\Windows Live\Messenger\msnmsgr .exe
Supprimé ! C:\Program Files\Windows Live\Messenger\msnmsgr.exe
Supprimé ! C:\Users\Saya\AppData\Local\Google\Update\googleupdate.exe

################## | Registre |

################## | Mountpoints2 |

################## | Listing des fichiers présent |

[07/02/2010 17:16|--a------|4] C:\autoexec.bat
[14/07/2009 02:38|-rahs----|383562] C:\bootmgr
[11/11/2009 08:59|-rahs----|8192] C:\BOOTSECT.BAK
[07/02/2010 03:39|--a------|13709] C:\ComboFix.txt
[10/06/2009 22:42|--a------|10] C:\config.sys
[11/11/2009 10:41|-r-hs----|203836] C:\grldr
[?|?|?] C:\hiberfil.sys
[07/02/2010 17:16|--a------|5081] C:\Kill'em.txt
[07/02/2010 00:55|--a------|19407] C:\List'em.txt
[?|?|?] C:\pagefile.sys
[07/02/2010 20:30|--a------|4434] C:\UsbFix.txt
[07/02/2010 02:15|--a------|1741] C:\UsbFix_Upload_Me_Saya-PC.zip
[11/11/2009 10:41|-r-hs----|0] C:\winx.ld

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix .
# D:\autorun.inf -> Dossier créé par UsbFix .

################## | Upload |

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_Saya-PC.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.092 Beta 1 ! |

Réponse 29 / 45

Utilisateur anonyme

• Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.
• Double-clique sur RSIT.exe afin de lancer le programme.
• Clique sur Continue à l'écran Disclaimer.
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

Note : les rapports sont sauvegardés dans le dossier C:\rsit.

Réponse 30 / 45

zazoo77 Messages postés 24 Date d'inscription Statut Membre Dernière intervention

Ca me fait
"Line-1:
Error: Variable used without being declared"

Réponse 31 / 45

Utilisateur anonyme

Fais un clic droit sur RSIT.exe

chosi propriété , ensuite va sur l onglet compatibilté et coche : executer ce prog en mode compatibilité windows xp sp3 .

Fais appliquer et ok .

Relance rsit ensuite .

Réponse 32 / 45

zazoo77 Messages postés 24 Date d'inscription Statut Membre Dernière intervention

Log.txt:
Logfile of random's system information tool 1.06 (written by random/random)
Run by Saya at 2010-02-07 20:44:51
Microsoft Windows 7 Édition Intégrale Service Pack 3
System drive C: has 75 GB (42%) free of 177 GB
Total RAM: 2047 MB (67% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:44:54, on 07/02/2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskhost.exe
C:\Windows\explorer.exe
C:\Users\Saya\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Windows\system32\notepad.exe
C:\Users\Saya\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Saya\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Saya\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Saya\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Users\Saya\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Saya\Documents\Downloads\RSIT.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Saya\Documents\Downloads\Saya.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\program files\quicktime\qttask .exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Users\Saya\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [msnmsgr] "C:\program files\windows live\messenger\msnmsgr .exe" /background
O4 - HKCU\..\Run: [Speech Recognition] "C:\Windows\Speech\Common\sapisvr.exe" -SpeechUX -Startup
O4 - HKCU\..\Run: [Edulihumevixipab] rundll32.exe "C:\Users\Saya\AppData\Local\KBDANco.dll",Startup
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Télécharger avec BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Télécharger toutes les vidéos avec BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.3.7.16.dll/206 (file missing)
O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe

Réponse 33 / 45

zazoo77 Messages postés 24 Date d'inscription Statut Membre Dernière intervention

info.txt:
info.txt logfile of random's system information tool 1.06 2010-02-07 20:44:59

======Uninstall list======

Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.2 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A92000000001}
Apple Application Support-->MsiExec.exe /I{B607C354-CD79-4D22-86D1-92DC94153F42}
Apple Mobile Device Support-->MsiExec.exe /I{AADEA55D-C834-4BCB-98A3-4B8D1C18F4EE}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Assistant de connexion Windows Live-->MsiExec.exe /I{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
BitComet 1.16-->C:\Program Files\BitComet\uninst.exe
Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B}
EmoDio-->"C:\Program Files\InstallShield Installation Information\{C20CE592-B0F8-4D20-BF31-0151CA6331A6}\setup.exe" -runfromtemp -l0x040c -removeonly
EmoDio-->MsiExec.exe /X{C20CE592-B0F8-4D20-BF31-0151CA6331A6}
Garena 2010-->C:\Program Files\Garena\uninst.exe
HijackThis 2.0.2-->"C:\Users\Saya\Documents\Downloads\HijackThis.exe" /uninstall
ImgBurn 2.3.2.0 Fr-->"C:\Program Files\ImgBurn\unins000.exe"
Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{46ABBC54-1872-4AA3-95E2-F2C063A63F31}
iTunes-->MsiExec.exe /I{D1A74FBB-CA8D-4CCA-9B89-BAAA436DB178}
Java(TM) 6 Update 15-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216015FF}
JDownloader-->C:\Program Files\JDownloader\uninstall.exe
LG PC Suite III-->C:\Program Files\InstallShield Installation Information\{C0E18DC4-C74A-4889-AE3A-933471023787}\setup.exe -runfromtemp -l0x040c -removeonly
LG USB Modem Drivers-->MsiExec.exe /I{FA02ACAC-9E14-4878-A257-92A22A647C2C}
List_Kill'em 1.2.4.0-->"C:\Program Files\List_Kill'em\unins000.exe"
Logiciel d'archivage WinRAR-->C:\Program Files\WinRAR\uninstall.exe
MagicDisc 2.7.106-->C:\PROGRA~1\MAGICD~1\UNWISE.EXE C:\PROGRA~1\MAGICD~1\INSTALL.LOG
Messenger Plus! Live-->"C:\Program Files\Messenger Plus! Live\Uninstall.exe"
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Office Access MUI (French) 2007-->MsiExec.exe /X{90120000-0015-040C-0000-0000000FF1CE}
Microsoft Office Excel MUI (French) 2007-->MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (French) 2007-->MsiExec.exe /X{90120000-0044-040C-0000-0000000FF1CE}
Microsoft Office Outlook MUI (French) 2007-->MsiExec.exe /X{90120000-001A-040C-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (French) 2007-->MsiExec.exe /X{90120000-0018-040C-0000-0000000FF1CE}
Microsoft Office Professional Plus 2007-->"C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall PROPLUS /dll OSETUP.DLL
Microsoft Office Professional Plus 2007-->MsiExec.exe /X{90120000-0011-0000-0000-0000000FF1CE}
Microsoft Office Proof (Arabic) 2007-->MsiExec.exe /X{90120000-001F-0401-0000-0000000FF1CE}
Microsoft Office Proof (Dutch) 2007-->MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
Microsoft Office Proofing (French) 2007-->MsiExec.exe /X{90120000-002C-040C-0000-0000000FF1CE}
Microsoft Office Publisher MUI (French) 2007-->MsiExec.exe /X{90120000-0019-040C-0000-0000000FF1CE}
Microsoft Office Shared MUI (French) 2007-->MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}
Microsoft Office Word MUI (French) 2007-->MsiExec.exe /X{90120000-001B-040C-0000-0000000FF1CE}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
Mumble and Murmur-->C:\Program Files\Mumble\Uninstall.exe
NVIDIA Drivers-->C:\Windows\system32\nvuninst.exe UninstallGUI
Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
QuickTime-->MsiExec.exe /I{A429C2AE-EBF1-4F81-A221-1C115CAADDAD}
Skype™ Beta 4.2-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36}
TeamSpeak 2 RC2-->"C:\Program Files\Teamspeak2_RC2\unins000.exe"
VLC media player 1.0.3-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Warcraft III-->C:\Windows\War3Unin.exe C:\Windows\War3Unin.dat
WBFS Manager 3.0-->C:\Program Files\WBFS\WBFS Manager 3.0\uninstall.exe
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{ED00D08A-3C5F-488D-93A0-A04F21F23956}
Windows Live Messenger-->MsiExec.exe /X{770F1BEC-2871-4E70-B837-FB8525FFA3B1}
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}

======System event log======

Computer Name: Saya-PC
Event Code: 4001
Message: Le Service d’autoconfiguration WLAN s’est arrêté correctement.

Record Number: 575
Source Name: Microsoft-Windows-WLAN-AutoConfig
Time Written: 20091111081722.824522-000
Event Type: Avertissement
User: AUTORITE NT\Système

Computer Name: Saya-PC
Event Code: 6
Message: Certaines fonctionnalités de gestion de l’alimentation relatives aux performances du processeur ont été désactivées en raison d’un problème connu avec le microprogramme. Contactez le fabricant de l’ordinateur pour obtenir la mise à jour du microprogramme.
Record Number: 480
Source Name: Microsoft-Windows-Kernel-Processor-Power
Time Written: 20091111081621.253213-000
Event Type: Erreur
User: AUTORITE NT\Système

Computer Name: Saya-PC
Event Code: 4001
Message: Le Service d’autoconfiguration WLAN s’est arrêté correctement.

Record Number: 474
Source Name: Microsoft-Windows-WLAN-AutoConfig
Time Written: 20091111080924.854989-000
Event Type: Avertissement
User: AUTORITE NT\Système

Computer Name: Saya-PC
Event Code: 6
Message: Certaines fonctionnalités de gestion de l’alimentation relatives aux performances du processeur ont été désactivées en raison d’un problème connu avec le microprogramme. Contactez le fabricant de l’ordinateur pour obtenir la mise à jour du microprogramme.
Record Number: 374
Source Name: Microsoft-Windows-Kernel-Processor-Power
Time Written: 20091111080550.830414-000
Event Type: Erreur
User: AUTORITE NT\Système

Computer Name: 37L4247D28-05
Event Code: 6
Message: Certaines fonctionnalités de gestion de l’alimentation relatives aux performances du processeur ont été désactivées en raison d’un problème connu avec le microprogramme. Contactez le fabricant de l’ordinateur pour obtenir la mise à jour du microprogramme.
Record Number: 25
Source Name: Microsoft-Windows-Kernel-Processor-Power
Time Written: 20091111080101.360433-000
Event Type: Erreur
User: AUTORITE NT\Système

=====Application event log=====

Computer Name: Saya-PC
Event Code: 1000
Message:
Record Number: 415
Source Name: Microsoft-Windows-User Profiles General
Time Written: 20091111094217.000000-000
Event Type: Erreur
User:

Computer Name: Saya-PC
Event Code: 63
Message: Le fournisseur OffProv12 a été inscrit dans l’espace de noms Windows Management Instrumentation Root\MSAPPS12, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
Record Number: 376
Source Name: Microsoft-Windows-WMI
Time Written: 20091111090814.000000-000
Event Type: Avertissement
User: AUTORITE NT\Système

Computer Name: Saya-PC
Event Code: 63
Message: Le fournisseur OffProv12 a été inscrit dans l’espace de noms Windows Management Instrumentation Root\MSAPPS12, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
Record Number: 375
Source Name: Microsoft-Windows-WMI
Time Written: 20091111090814.000000-000
Event Type: Avertissement
User: AUTORITE NT\Système

Computer Name: Saya-PC
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d’autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela.

DÉTAIL -
1 user registry handles leaked from \Registry\User\S-1-5-21-692804913-2186769510-1121914712-1000:
Process 424 (\Device\HarddiskVolume1\Windows\System32\winlogon.exe) has opened key \REGISTRY\USER\S-1-5-21-692804913-2186769510-1121914712-1000

Record Number: 129
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20091111080923.606987-000
Event Type: Avertissement
User: AUTORITE NT\Système

Computer Name: Saya-PC
Event Code: 1008
Message: Le service Windows Search démarre et tente de supprimer l’ancien index de recherche {Raison : Réinitialisation totale de l’index}.

Record Number: 110
Source Name: Microsoft-Windows-Search
Time Written: 20091111080811.000000-000
Event Type: Avertissement
User:

=====Security event log=====

Computer Name: 37L4247D28-05
Event Code: 4735
Message: Un groupe local dont la sécurité est activée a été modifié.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : 37L4247D28-05$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7

Groupe :
ID de sécurité : S-1-5-32-551
Nom du groupe : Opérateurs de sauvegarde
Domaine du groupe : Builtin

Attributs modifiés :
Nom du compte SAM : -
Historique SID : -

Informations supplémentaires :
Privilèges : -
Record Number: 5
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091111080122.841670-000
Event Type: Succès de l’audit
User:

Computer Name: 37L4247D28-05
Event Code: 4731
Message: Un groupe local dont la sécurité est activée a été créé.

Sujet :
ID de sécurité : S-1-5-18
Nom du compte : 37L4247D28-05$
Domaine du compte : WORKGROUP
ID d’ouverture de session : 0x3e7

Nouveau groupe :
ID de sécurité : S-1-5-32-551
Nom du groupe : Opérateurs de sauvegarde
Domaine du groupe : Builtin

Attributs :
Nom du compte SAM : Opérateurs de sauvegarde
Historique SID : -

Informations supplémentaires :
Privilèges : -
Record Number: 4
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091111080122.841670-000
Event Type: Succès de l’audit
User:

Computer Name: 37L4247D28-05
Event Code: 4902
Message: La table de stratégie d’audit par utilisateur a été créée.

Nombre d’éléments : 0
ID de la stratégie : 0x24a8f
Record Number: 3
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091111080122.342470-000
Event Type: Succès de l’audit
User:

Computer Name: 37L4247D28-05
Event Code: 4624
Message: L’ouverture de session d’un compte s’est correctement déroulée.

Sujet :
ID de sécurité : S-1-0-0
Nom du compte : -
Domaine du compte : -
ID d’ouverture de session : 0x0

Type d’ouverture de session : 0

Nouvelle ouverture de session :
ID de sécurité : S-1-5-18
Nom du compte : Système
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e7
GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

Informations sur le processus :
ID du processus : 0x4
Nom du processus :

Informations sur le réseau :
Nom de la station de travail : -
Adresse du réseau source : -
Port source : -

Informations détaillées sur l’authentification :
Processus d’ouverture de session : -
Package d’authentification : -
Services en transit : -
Nom du package (NTLM uniquement) : -
Longueur de la clé : 0

Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
- Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
Record Number: 2
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091111080119.784065-000
Event Type: Succès de l’audit
User:

Computer Name: 37L4247D28-05
Event Code: 4608
Message: Windows démarre.

Cet événement est journalisé lorsque LSASS.EXE démarre et que le sous-système d’audit est initialisé.
Record Number: 1
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091111080119.628065-000
Event Type: Succès de l’audit
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0;C:\Program Files\QuickTime\QTSystem;C:\Windows\Microsoft.NET\Framework\v2.0.50727
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PSModulePath"=%SystemRoot%\system32\WindowsPowerShell\v1.0\Modules\
"NUMBER_OF_PROCESSORS"=2
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 6, GenuineIntel
"PROCESSOR_REVISION"=0f06
"CLASSPATH"=.;C:\Program Files\QuickTime\QTSystem\QTJava.zip
"QTJAVA"=C:\Program Files\QuickTime\QTSystem\QTJava.zip

-----------------EOF-----------------

Réponse 34 / 45

Utilisateur anonyme

Tu vas devoir réinstaller ces programmes car ils ont été infecté :

QuickTime
Adobe Reader
iTunes
messenger

##########

• Télécharge OTM (OldTimer) sur ton Bureau.
• Clique droit sur OTM.exe et choisis Exécuter en tant qu'administrateur.
• Copie (Ctrl+C) le texte suivant ci-dessous :

:processes
explorer.exe

:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"=-
"iTunesHelper"=-
"Adobe Reader Speed Launcher"=-
"Adobe ARM"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Google Update"=-
"msnmsgr"=-
"Edulihumevixipab"=-

:files
C:\Users\Saya\AppData\Local\KBDANco.dll
C:\UsbFix.txt
C:\ComboFix.txt
C:\Windows\zip.exe
C:\Windows\SWSC.exe
C:\Windows\SWREG.exe
C:\Windows\sed.exe
C:\Windows\PEV.exe
C:\Windows\NIRCMD.exe
C:\Windows\grep.exe
C:\Qoobox
C:\Windows\SWXCACLS.exe
C:\Kill'em.txt
C:\Kill'em
C:\List'em.txt
C:\Program Files\List_Kill'em
C:\Program Files\BitComet

:commands
[purity]
[emptytemp]
[reboot]

• Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
• Clique maintenant sur le bouton MoveIt! puis ferme OTM.

---> Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

• Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\
---> Le nom du rapport correspond au moment de sa création : date_heure.log

Réponse 35 / 45

zazoo77 Messages postés 24 Date d'inscription Statut Membre Dernière intervention

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio n\Run not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio n\Run not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio n\Run not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio n\Run not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Google Update deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\msnmsgr deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Edulihumevixipab deleted successfully.
========== FILES ==========
File/Folder C:\Users\Saya\AppData\Local\KBDANco.dll not found.
C:\UsbFix.txt moved successfully.
C:\ComboFix.txt moved successfully.
C:\Windows\zip.exe moved successfully.
C:\Windows\SWSC.exe moved successfully.
C:\Windows\SWREG.exe moved successfully.
C:\Windows\sed.exe moved successfully.
C:\Windows\PEV.exe moved successfully.
C:\Windows\NIRCMD.exe moved successfully.
C:\Windows\grep.exe moved successfully.
C:\Qoobox\Quarantine\Registry_backups folder moved successfully.
C:\Qoobox\Quarantine\C\Windows\System32\drivers folder moved successfully.
C:\Qoobox\Quarantine\C\Windows\System32 folder moved successfully.
C:\Qoobox\Quarantine\C\Windows folder moved successfully.
C:\Qoobox\Quarantine\C\Users\Saya\AppData\Local folder moved successfully.
C:\Qoobox\Quarantine\C\Users\Saya\AppData folder moved successfully.
C:\Qoobox\Quarantine\C\Users\Saya folder moved successfully.
C:\Qoobox\Quarantine\C\Users folder moved successfully.
C:\Qoobox\Quarantine\C\Program Files\Internet Explorer folder moved successfully.
C:\Qoobox\Quarantine\C\Program Files folder moved successfully.
C:\Qoobox\Quarantine\C folder moved successfully.
C:\Qoobox\Quarantine folder moved successfully.
C:\Qoobox\BackEnv folder moved successfully.
C:\Qoobox folder moved successfully.
C:\Windows\SWXCACLS.exe moved successfully.
C:\Kill'em.txt moved successfully.
C:\Kill'em\Save\Users\00000002 folder moved successfully.
C:\Kill'em\Save\Users\00000001 folder moved successfully.
C:\Kill'em\Save\Users folder moved successfully.
C:\Kill'em\Save folder moved successfully.
C:\Kill'em\Quarantine folder moved successfully.
C:\Kill'em folder moved successfully.
C:\List'em.txt moved successfully.
C:\Program Files\List_Kill'em folder moved successfully.
C:\Program Files\BitComet\torrents folder moved successfully.
C:\Program Files\BitComet\tools folder moved successfully.
C:\Program Files\BitComet\share folder moved successfully.
C:\Program Files\BitComet\scripts folder moved successfully.
C:\Program Files\BitComet\rules folder moved successfully.
C:\Program Files\BitComet\lang folder moved successfully.
C:\Program Files\BitComet\fav folder moved successfully.
C:\Program Files\BitComet\cache folder moved successfully.
C:\Program Files\BitComet\archive folder moved successfully.
C:\Program Files\BitComet folder moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public
->Temp folder emptied: 0 bytes

User: Saya
->Temp folder emptied: 3916174 bytes
->Temporary Internet Files folder emptied: 9372350 bytes
->Java cache emptied: 14998589 bytes
->Google Chrome cache emptied: 314519086 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 327,00 mb

OTM by OldTimer - Version 3.1.8.0 log created on 02072010_211126

Réponse 36 / 45

Utilisateur anonyme

Comment va le pc ?

Lance un scan avec Antivir et quand il a finit communique nous le rapport stp

Réponse 37 / 45

zazoo77 Messages postés 24 Date d'inscription Statut Membre Dernière intervention

J'en suis qu'au début et j'ai un resultat positif, toujours le delphi.gen

Réponse 38 / 45

Utilisateur anonyme

En effet , Antivir reconnais cette infection , il devrait nettoyer les residu .

Réponse 39 / 45

zazoo77 Messages postés 24 Date d'inscription Statut Membre Dernière intervention

Voila le rapport:

Avira AntiVir Personal
Date de création du fichier de rapport : dimanche 7 février 2010 21:36

La recherche porte sur 1731055 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows Vista
Version de Windows : (plain) [6.1.7600]
Mode Boot : Démarré normalement
Identifiant : Système
Nom de l'ordinateur : SAYA-PC

Informations de version :
BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 19/11/2009 20:45:35
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 10:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 11:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 10:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 20:45:35
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 20:45:35
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 22:59:14
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 22:36:36
VBASE004.VDF : 7.10.3.76 2048 Bytes 26/01/2010 22:36:36
VBASE005.VDF : 7.10.3.77 2048 Bytes 26/01/2010 22:36:36
VBASE006.VDF : 7.10.3.78 2048 Bytes 26/01/2010 22:36:36
VBASE007.VDF : 7.10.3.79 2048 Bytes 26/01/2010 22:36:36
VBASE008.VDF : 7.10.3.80 2048 Bytes 26/01/2010 22:36:36
VBASE009.VDF : 7.10.3.81 2048 Bytes 26/01/2010 22:36:36
VBASE010.VDF : 7.10.3.82 2048 Bytes 26/01/2010 22:36:36
VBASE011.VDF : 7.10.3.83 2048 Bytes 26/01/2010 22:36:36
VBASE012.VDF : 7.10.3.84 2048 Bytes 26/01/2010 22:36:36
VBASE013.VDF : 7.10.3.85 2048 Bytes 26/01/2010 22:36:36
VBASE014.VDF : 7.10.3.122 172544 Bytes 29/01/2010 22:36:51
VBASE015.VDF : 7.10.3.149 79872 Bytes 01/02/2010 10:47:03
VBASE016.VDF : 7.10.3.174 68608 Bytes 03/02/2010 10:46:51
VBASE017.VDF : 7.10.3.199 76800 Bytes 04/02/2010 14:01:26
VBASE018.VDF : 7.10.3.200 2048 Bytes 04/02/2010 14:01:26
VBASE019.VDF : 7.10.3.201 2048 Bytes 04/02/2010 14:01:26
VBASE020.VDF : 7.10.3.202 2048 Bytes 04/02/2010 14:01:26
VBASE021.VDF : 7.10.3.203 2048 Bytes 04/02/2010 14:01:26
VBASE022.VDF : 7.10.3.204 2048 Bytes 04/02/2010 14:01:26
VBASE023.VDF : 7.10.3.205 2048 Bytes 04/02/2010 14:01:26
VBASE024.VDF : 7.10.3.206 2048 Bytes 04/02/2010 14:01:26
VBASE025.VDF : 7.10.3.207 2048 Bytes 04/02/2010 14:01:26
VBASE026.VDF : 7.10.3.208 2048 Bytes 04/02/2010 14:01:26
VBASE027.VDF : 7.10.3.209 2048 Bytes 04/02/2010 14:01:26
VBASE028.VDF : 7.10.3.210 2048 Bytes 04/02/2010 14:01:26
VBASE029.VDF : 7.10.3.211 2048 Bytes 04/02/2010 14:01:26
VBASE030.VDF : 7.10.3.212 2048 Bytes 04/02/2010 14:01:26
VBASE031.VDF : 7.10.3.219 64512 Bytes 05/02/2010 14:01:28
Version du moteur : 8.2.1.160
AEVDF.DLL : 8.1.1.3 106868 Bytes 22/01/2010 22:36:20
AESCRIPT.DLL : 8.1.3.13 823674 Bytes 01/02/2010 22:37:03
AESCN.DLL : 8.1.4.0 127348 Bytes 27/01/2010 22:36:44
AESBX.DLL : 8.1.1.1 246132 Bytes 19/11/2009 20:45:35
AERDL.DLL : 8.1.3.4 479605 Bytes 30/11/2009 20:45:32
AEPACK.DLL : 8.2.0.5 422262 Bytes 14/01/2010 19:40:07
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 11/11/2009 09:33:58
AEHEUR.DLL : 8.1.1.5 2326901 Bytes 06/02/2010 14:01:30
AEHELP.DLL : 8.1.10.0 237942 Bytes 14/01/2010 19:33:50
AEGEN.DLL : 8.1.1.86 369012 Bytes 01/02/2010 22:37:02
AEEMU.DLL : 8.1.1.0 393587 Bytes 11/11/2009 09:33:57
AECORE.DLL : 8.1.11.1 184694 Bytes 01/02/2010 22:37:02
AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 14:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 08:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 11/11/2009 09:33:58
AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 14:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 15:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 15:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 10:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 15:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 08:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 15:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 11/11/2009 09:33:57
RCTEXT.DLL : 9.0.73.0 88321 Bytes 19/11/2009 20:45:34

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : dimanche 7 février 2010 21:36

La recherche d'objets cachés commence.
sapisvr.exe
[INFO] Le processus n'est pas visible.
'22749' objets ont été contrôlés, '1' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmplayer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'notepad.exe' - '1' module(s) sont contrôlés
Processus de recherche 'chrome.exe' - '1' module(s) sont contrôlés
Processus de recherche 'chrome.exe' - '1' module(s) sont contrôlés
Processus de recherche 'chrome.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskhost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvvsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WUDFHost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvvsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'42' processus ont été contrôlés avec '42' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '20' fichiers).

La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\UsbFix_Upload_Me_Saya-PC.zip
[0] Type d'archive: ZIP
--> UsbFix_Upload_Me/svchost.exe.UsbFix
[RESULTAT] Contient le modèle de détection du dropper DR/Delphi.Gen
C:\UsbFix\Quarantine\C\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\eepf.tmp\svchost.exe.UsbFix
[RESULTAT] Contient le modèle de détection du dropper DR/Delphi.Gen
Recherche débutant dans 'D:\' <Données>

Début de la désinfection :
C:\UsbFix_Upload_Me_Saya-PC.zip
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bd12ad4.qua' !
C:\UsbFix\Quarantine\C\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\eepf.tmp\svchost.exe.UsbFix
[RESULTAT] Contient le modèle de détection du dropper DR/Delphi.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bd22ad7.qua' !

Fin de la recherche : dimanche 7 février 2010 22:02
Temps nécessaire: 25:51 Minute(s)

La recherche a été effectuée intégralement

14356 Les répertoires ont été contrôlés
266465 Des fichiers ont été contrôlés
2 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
2 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
266461 Fichiers non infectés
2759 Les archives ont été contrôlées
2 Avertissements
4 Consignes
22749 Des objets ont été contrôlés lors du Rootkitscan
1 Des objets cachés ont été trouvés

Réponse 40 / 45

Utilisateur anonyme

RAS ,

Antivir a détecté la zone de quarantaine de UsbFix :)

• Télécharge ToolsCleaner2 sur ton Bureau.
• Clique droit sur ToolsCleaner2.exe et choisis Exécuter en tant qu'administrateur.
• Clique sur Recherche et laisse le scan agir.
• Clique sur Suppression pour finaliser.
• Tu peux, si tu le souhaites, te servir des Options Facultatives.
• Clique sur Quitter pour obtenir le rapport.
• Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

Discussions similaires

Svchost.exe bouffe ma connexion et mon cpu

Svchost s'ouvre treize fois , normal ou pas ?

svchost.exe (secsvcs)

SVCHOST.EXE --> Lag

svchost intempestif

Votre réponse

Discussions similaires