C:\WINDOWS\system32\Winbooterr\Svchost.exe
niou
-
Helpmedia Messages postés 11 Statut Membre -
Helpmedia Messages postés 11 Statut Membre -
Bonjour,
j ai une fenetre qui souvre me disant qu une apllication cherche a rentrer en contact avec moi ( lol ) non j rigole mais c est super chiant
fenetre Svchost il me semble
merci d avance.
scan hijachthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:44:12, on 17/03/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16981)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\WINDOWS\wanmpsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\APPS\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Program Files\Philips\SPC 200NC PC Camera\TrayMin.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Documents and Settings\MONDOLONI\Bureau\HiJackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?linkid=7715
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [IMBooster] C:\Program Files\Iminent\IMBooster\IMBooster.exe /warmup
O4 - HKLM\..\Run: [Iminent.Notifier] C:\Program Files\Iminent\SearchTheWeb\Iminent.Notifier.exe
O4 - HKLM\..\Run: [HKLM] C:\WINDOWS\system32\Winbooterr\Svchost.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [bwcxl] c:\documents and settings\mondoloni\local settings\application data\bwcxl.exe bwcxl
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [winlog] C:\Documents and Settings\MONDOLONI\Application Data\winlog\winlog.exe
O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\MONDOLONI\Application Data\Microsoft\svchost.exe
O4 - HKCU\..\Run: [HKCU] C:\WINDOWS\system32\Winbooterr\Svchost.exe
O4 - HKCU\..\RunOnce: [Iminent.Notifier Install] "C:\DOCUME~1\MONDOL~1\LOCALS~1\Temp\NotifierSetup.exe" /s
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\Winbooterr\Svchost.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\Winbooterr\Svchost.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Contrôleur de calendrier Ulead.lnk = C:\APPS\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Global Startup: TrayMin.lnk = ?
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wlscbase8460.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8731163E-77B9-4F91-9122-F112521C28AF} (MMSPlayerX Class) - http://mmt.bouyguestelecom.fr/mmawap/jsp/composer/player/mmsPlayer.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab57213.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{634C8478-F469-48EC-AEB1-29B067916EE5}: NameServer = 86.64.145.140 84.103.237.140
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
j ai une fenetre qui souvre me disant qu une apllication cherche a rentrer en contact avec moi ( lol ) non j rigole mais c est super chiant
fenetre Svchost il me semble
merci d avance.
scan hijachthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:44:12, on 17/03/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16981)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\WINDOWS\wanmpsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\APPS\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Program Files\Philips\SPC 200NC PC Camera\TrayMin.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Documents and Settings\MONDOLONI\Bureau\HiJackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?linkid=7715
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [IMBooster] C:\Program Files\Iminent\IMBooster\IMBooster.exe /warmup
O4 - HKLM\..\Run: [Iminent.Notifier] C:\Program Files\Iminent\SearchTheWeb\Iminent.Notifier.exe
O4 - HKLM\..\Run: [HKLM] C:\WINDOWS\system32\Winbooterr\Svchost.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [bwcxl] c:\documents and settings\mondoloni\local settings\application data\bwcxl.exe bwcxl
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [winlog] C:\Documents and Settings\MONDOLONI\Application Data\winlog\winlog.exe
O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\MONDOLONI\Application Data\Microsoft\svchost.exe
O4 - HKCU\..\Run: [HKCU] C:\WINDOWS\system32\Winbooterr\Svchost.exe
O4 - HKCU\..\RunOnce: [Iminent.Notifier Install] "C:\DOCUME~1\MONDOL~1\LOCALS~1\Temp\NotifierSetup.exe" /s
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\Winbooterr\Svchost.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\Winbooterr\Svchost.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Contrôleur de calendrier Ulead.lnk = C:\APPS\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Global Startup: TrayMin.lnk = ?
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wlscbase8460.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8731163E-77B9-4F91-9122-F112521C28AF} (MMSPlayerX Class) - http://mmt.bouyguestelecom.fr/mmawap/jsp/composer/player/mmsPlayer.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab57213.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{634C8478-F469-48EC-AEB1-29B067916EE5}: NameServer = 86.64.145.140 84.103.237.140
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
22 réponses
bonjour, pardon de l'intrusion mais je pense que :
C:\WINDOWS\System32\svchost.exe ( = légitime)
C:\WINDOWS\system32\Winbooterr\Svchost.exe (à mon avis celui ci n'est pas légitime)
C:\WINDOWS\System32\svchost.exe ( = légitime)
C:\WINDOWS\system32\Winbooterr\Svchost.exe (à mon avis celui ci n'est pas légitime)
supprime la sélection ensuite après le redémarrage relance malwarebytes, et effectue un scanne complet c'est important tu as exécuter un scanne rapide
A part le log Hijackthis est ce que tu as essayé autre chose ? Comme une analyse avec ton antivirus ?
fait ceci :
pour malwarebytes suis ces directives ;-)
1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau.
http://www.malwarebytes.org/mbam-download.php
3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.
4) fait un clique droit puis clique sur exécuter en tans qu'administrateur sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.
5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.
6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :
7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.
8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.
9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.
10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)
12) Ferme MBAM en cliquant sur Quitter.
13) Poste nous le rapport dans ta réponse, nous l'analyserons ensembles et te donnerons les directives, car malwarebytes ne suffiras pas .
pour malwarebytes suis ces directives ;-)
1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau.
http://www.malwarebytes.org/mbam-download.php
3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.
4) fait un clique droit puis clique sur exécuter en tans qu'administrateur sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.
5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.
6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :
7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.
8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.
9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.
10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)
12) Ferme MBAM en cliquant sur Quitter.
13) Poste nous le rapport dans ta réponse, nous l'analyserons ensembles et te donnerons les directives, car malwarebytes ne suffiras pas .
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
je fais une analyse anti virus deja avec antivir et ensuite je fais l analyse malware, je posterai le résultat des 2 analyses !!!
merci en tout cas
merci en tout cas
bon je n ai fait que l analyse mawarebytes en fait, j ai supprimé les 15 fichiers infectés et du coup je n ai plus ce probleme de fenetre qui s ouvre a l allumage du pc.
voici le rapport malwarebytes :
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3876
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13
17/03/2010 19:10:35
mbam-log-2010-03-17 (19-10-29).txt
Type de recherche: Examen rapide
Eléments examinés: 131139
Temps écoulé: 12 minute(s), 57 second(s)
Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 7
Processus mémoire infecté(s):
C:\WINDOWS\system32\Winbooterr\Svchost.exe (Trojan.Backdoor) -> No action taken.
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{1xpo2e5x-2bh6-1614-2i77-8tvu4ts510gh} (Generic.Bot.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b4a78d29-52b1-4a7b-bac0-1471bedf9836} (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> No action taken.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hkcu (Trojan.Backdoor) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Trojan.Backdoor) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hklm (Trojan.Backdoor) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Trojan.Backdoor) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon (Trojan.Agent) -> No action taken.
Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.
Dossier(s) infecté(s):
C:\WINDOWS\system32\Winbooterr (Trojan.Backdoor) -> No action taken.
Fichier(s) infecté(s):
C:\WINDOWS\system32\Winbooterr\Svchost.exe (Generic.Bot.H) -> No action taken.
C:\Documents and Settings\MONDOLONI\Application Data\rssms32.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\MONDOLONI\Local Settings\Temp\MSN.abc (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\incognito.exe (Worm.Messenger) -> No action taken.
C:\Documents and Settings\MONDOLONI\Application Data\logs.dat (Bifrose.Trace) -> No action taken.
C:\Documents and Settings\MONDOLONI\Local Settings\Temp\XxX.xXx (Malware.Trace) -> No action taken.
C:\Documents and Settings\MONDOLONI\Application Data\Microsoft\rundll32.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
voici le rapport malwarebytes :
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3876
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13
17/03/2010 19:10:35
mbam-log-2010-03-17 (19-10-29).txt
Type de recherche: Examen rapide
Eléments examinés: 131139
Temps écoulé: 12 minute(s), 57 second(s)
Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 7
Processus mémoire infecté(s):
C:\WINDOWS\system32\Winbooterr\Svchost.exe (Trojan.Backdoor) -> No action taken.
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{1xpo2e5x-2bh6-1614-2i77-8tvu4ts510gh} (Generic.Bot.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b4a78d29-52b1-4a7b-bac0-1471bedf9836} (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> No action taken.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hkcu (Trojan.Backdoor) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Trojan.Backdoor) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hklm (Trojan.Backdoor) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Trojan.Backdoor) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon (Trojan.Agent) -> No action taken.
Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.
Dossier(s) infecté(s):
C:\WINDOWS\system32\Winbooterr (Trojan.Backdoor) -> No action taken.
Fichier(s) infecté(s):
C:\WINDOWS\system32\Winbooterr\Svchost.exe (Generic.Bot.H) -> No action taken.
C:\Documents and Settings\MONDOLONI\Application Data\rssms32.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\MONDOLONI\Local Settings\Temp\MSN.abc (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\incognito.exe (Worm.Messenger) -> No action taken.
C:\Documents and Settings\MONDOLONI\Application Data\logs.dat (Bifrose.Trace) -> No action taken.
C:\Documents and Settings\MONDOLONI\Local Settings\Temp\XxX.xXx (Malware.Trace) -> No action taken.
C:\Documents and Settings\MONDOLONI\Application Data\Microsoft\rundll32.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
Fix cette ligne avec Hijackthis
Comme j'ai dit pour les autres a la fin de ce message:https://forums.commentcamarche.net/forum/affich-17045161-c-windows-system32-winbooterr-svchost-exe#5
Fix cette ligne avec Hijackthis
Comme j'ai dit pour les autres a la fin de ce message:https://forums.commentcamarche.net/forum/affich-17045161-c-windows-system32-winbooterr-svchost-exe#5
Item Name: {6DE3EF0D-6B49-9CD8-BA8F-DCDDDEB3AB62}
Author:
Related File: C:\WINDOWS\system32\incognito.exe
Type: ActiveSetup
Item Name: VIDC.I420
Author: www.helixcommunity.org
Related File: C:\WINDOWS\system32\I420VFW.DLL
Type: Codecs
Item Name: vidc.xvid
Author:
Related File: xvid.dll
Type: Codecs
Item Name: msacm.vorbis
Author: HMS http://hp.vector.co.jp/authors/VA012897/
Related File: C:\WINDOWS\system32\VORBIS.ACM
Type: Codecs
Item Name: bwcxl
Author:
Related File: c:\documents and settings\mondoloni\local settings\application data\bwcxl.exe bwcxl
Type: Registry Run
Item Name: IMBooster
Author:
Related File: C:\Program Files\Iminent\IMBooster\IMBooster.exe /warmup
Type: Registry Run
Item Name: Iminent.Notifier
Author:
Related File: C:\Program Files\Iminent\SearchTheWeb\Iminent.Notifier.exe
Type: Registry Run
Item Name: TrayMin.lnk
Author:
Related File: C:\PROGRAM FILES\PHILIPS\SPC 200NC PC CAMERA\TRAYMIN.EXE
Type: Common Startup Folder
Item Name: BootExecute
Author: Unknown
Related File: autocheck autochk *\n lsdelete<BR>
Type: Bootexecute
Author:
Related File: C:\WINDOWS\system32\incognito.exe
Type: ActiveSetup
Item Name: VIDC.I420
Author: www.helixcommunity.org
Related File: C:\WINDOWS\system32\I420VFW.DLL
Type: Codecs
Item Name: vidc.xvid
Author:
Related File: xvid.dll
Type: Codecs
Item Name: msacm.vorbis
Author: HMS http://hp.vector.co.jp/authors/VA012897/
Related File: C:\WINDOWS\system32\VORBIS.ACM
Type: Codecs
Item Name: bwcxl
Author:
Related File: c:\documents and settings\mondoloni\local settings\application data\bwcxl.exe bwcxl
Type: Registry Run
Item Name: IMBooster
Author:
Related File: C:\Program Files\Iminent\IMBooster\IMBooster.exe /warmup
Type: Registry Run
Item Name: Iminent.Notifier
Author:
Related File: C:\Program Files\Iminent\SearchTheWeb\Iminent.Notifier.exe
Type: Registry Run
Item Name: TrayMin.lnk
Author:
Related File: C:\PROGRAM FILES\PHILIPS\SPC 200NC PC CAMERA\TRAYMIN.EXE
Type: Common Startup Folder
Item Name: BootExecute
Author: Unknown
Related File: autocheck autochk *\n lsdelete<BR>
Type: Bootexecute
Réanalyse exactement de la mème façon et choisit Choisit "Get it out" (La feuille rouge) pour les items suivants et confirme.
Choisit Reboot quand la fenètre s'ouvrira et confirme pour redémarrer.
Au démarrage,une analyse va s'effectuer. Note les items détectés a,b,c plutot que 1,2,3.
Donne moi la liste si il y a quoi que ce soit de nouveau..
Item Name: {6DE3EF0D-6B49-9CD8-BA8F-DCDDDEB3AB62}
Author:
Related File: C:\WINDOWS\system32\incognito.exe
Type: ActiveSetup
Item Name: bwcxl
Author:
Related File: c:\documents and settings\mondoloni\local settings\application data\bwcxl.exe bwcxl
Type: Registry Run
Item Name: IMBooster
Author:
Related File: C:\Program Files\Iminent\IMBooster\IMBooster.exe /warmup
Type: Registry Run
Item Name: Iminent.Notifier
Author:
Related File: C:\Program Files\Iminent\SearchTheWeb\Iminent.Notifier.exe
Type: Registry Run
Choisit Reboot quand la fenètre s'ouvrira et confirme pour redémarrer.
Au démarrage,une analyse va s'effectuer. Note les items détectés a,b,c plutot que 1,2,3.
Donne moi la liste si il y a quoi que ce soit de nouveau..
Item Name: {6DE3EF0D-6B49-9CD8-BA8F-DCDDDEB3AB62}
Author:
Related File: C:\WINDOWS\system32\incognito.exe
Type: ActiveSetup
Item Name: bwcxl
Author:
Related File: c:\documents and settings\mondoloni\local settings\application data\bwcxl.exe bwcxl
Type: Registry Run
Item Name: IMBooster
Author:
Related File: C:\Program Files\Iminent\IMBooster\IMBooster.exe /warmup
Type: Registry Run
Item Name: Iminent.Notifier
Author:
Related File: C:\Program Files\Iminent\SearchTheWeb\Iminent.Notifier.exe
Type: Registry Run
merde j me suis planté sur la premiere analyse, j ai oublié de cocher "use deep..." j recommnce tout ??
de plus quand j ai fait exit, ça m a fermé le programme...
de plus quand j ai fait exit, ça m a fermé le programme...
Item Name: Qzip45
Author: Unknown
Related File: C:\PROGRA~1\QUICKZ~1\QZSHLEXT.DLL
Type: Context Menu Handlers
Item Name: {6DE3EF0D-6B49-9CD8-BA8F-DCDDDEB3AB62}
Author:
Related File: C:\WINDOWS\system32\incognito.exe
Type: ActiveSetup
Item Name: vcsmpdrv.sys
Author: H+H Software GmbH
Related File: C:\WINDOWS\SYSTEM32\DRIVERS\VCSMPDRV.SYS
Type: Drivers
Item Name: ACEDRV07.sys
Author: Protect Software GmbH
Related File: C:\WINDOWS\SYSTEM32\DRIVERS\ACEDRV07.SYS
Type: Drivers
Item Name: avisynth.dll
Author: The Public
Related File: C:\WINDOWS\SYSTEM32\AVISYNTH.DLL
Type: Detected using Heuristic Algorithm
Item Name: AVSredirect.dll
Author: Unknown
Related File: C:\WINDOWS\SYSTEM32\AVSREDIRECT.DLL
Type: Detected using Heuristic Algorithm
Item Name: cygwin1.dll
Author: Red Hat
Related File: C:\WINDOWS\SYSTEM32\CYGWIN1.DLL
Type: Detected using Heuristic Algorithm
Item Name: cygz.dll
Author: Unknown
Related File: C:\WINDOWS\SYSTEM32\CYGZ.DLL
Type: Detected using Heuristic Algorithm
Item Name: i420vfw.dll
Author: www.helixcommunity.org
Related File: C:\WINDOWS\SYSTEM32\I420VFW.DLL
Type: Detected using Heuristic Algorithm
Item Name: Smab.dll
Author: http://mediaarea.net/en/MediaInfo
Related File: C:\WINDOWS\SYSTEM32\SMAB.DLL
Type: Detected using Heuristic Algorithm
Item Name: x.264.exe
Author: Unknown
Related File: C:\WINDOWS\SYSTEM32\X.264.EXE
Type: Detected using Heuristic Algorithm
Item Name: meta4.exe
Author: Unknown
Related File: C:\WINDOWS\META4.EXE
Type: Detected using Heuristic Algorithm
Item Name: MOTA113.exe
Author: Unknown
Related File: C:\WINDOWS\MOTA113.EXE
Type: Detected using Heuristic Algorithm
Item Name: x2.64.exe
Author: Unknown
Related File: C:\WINDOWS\X2.64.EXE
Type: Detected using Heuristic Algorithm
Item Name: bwcxl
Author:
Related File: c:\documents and settings\mondoloni\local settings\application data\bwcxl.exe bwcxl
Type: Registry Run
Item Name: IMBooster
Author:
Related File: C:\Program Files\Iminent\IMBooster\IMBooster.exe /warmup
Type: Registry Run
Item Name: Iminent.Notifier
Author:
Related File: C:\Program Files\Iminent\SearchTheWeb\Iminent.Notifier.exe
Type: Registry Run
Item Name: TrayMin.lnk
Author:
Related File: C:\PROGRAM FILES\PHILIPS\SPC 200NC PC CAMERA\TRAYMIN.EXE
Type: Common Startup Folder
Item Name: TrayMin.exe
Author:
Related File: C:\PROGRAM FILES\PHILIPS\SPC 200NC PC CAMERA\TRAYMIN.EXE
Type: Running Processes
Item Name: NclRSSrv.exe
Author: Nokia
Related File: C:\PROGRAM FILES\PC CONNECTIVITY SOLUTION\TRANSPORTS\NCLRSSRV.EXE
Type: Running Processes
Item Name: BootExecute
Author: Unknown
Related File: autocheck autochk *\n lsdelete<BR>
Type: Bootexecute
Author: Unknown
Related File: C:\PROGRA~1\QUICKZ~1\QZSHLEXT.DLL
Type: Context Menu Handlers
Item Name: {6DE3EF0D-6B49-9CD8-BA8F-DCDDDEB3AB62}
Author:
Related File: C:\WINDOWS\system32\incognito.exe
Type: ActiveSetup
Item Name: vcsmpdrv.sys
Author: H+H Software GmbH
Related File: C:\WINDOWS\SYSTEM32\DRIVERS\VCSMPDRV.SYS
Type: Drivers
Item Name: ACEDRV07.sys
Author: Protect Software GmbH
Related File: C:\WINDOWS\SYSTEM32\DRIVERS\ACEDRV07.SYS
Type: Drivers
Item Name: avisynth.dll
Author: The Public
Related File: C:\WINDOWS\SYSTEM32\AVISYNTH.DLL
Type: Detected using Heuristic Algorithm
Item Name: AVSredirect.dll
Author: Unknown
Related File: C:\WINDOWS\SYSTEM32\AVSREDIRECT.DLL
Type: Detected using Heuristic Algorithm
Item Name: cygwin1.dll
Author: Red Hat
Related File: C:\WINDOWS\SYSTEM32\CYGWIN1.DLL
Type: Detected using Heuristic Algorithm
Item Name: cygz.dll
Author: Unknown
Related File: C:\WINDOWS\SYSTEM32\CYGZ.DLL
Type: Detected using Heuristic Algorithm
Item Name: i420vfw.dll
Author: www.helixcommunity.org
Related File: C:\WINDOWS\SYSTEM32\I420VFW.DLL
Type: Detected using Heuristic Algorithm
Item Name: Smab.dll
Author: http://mediaarea.net/en/MediaInfo
Related File: C:\WINDOWS\SYSTEM32\SMAB.DLL
Type: Detected using Heuristic Algorithm
Item Name: x.264.exe
Author: Unknown
Related File: C:\WINDOWS\SYSTEM32\X.264.EXE
Type: Detected using Heuristic Algorithm
Item Name: meta4.exe
Author: Unknown
Related File: C:\WINDOWS\META4.EXE
Type: Detected using Heuristic Algorithm
Item Name: MOTA113.exe
Author: Unknown
Related File: C:\WINDOWS\MOTA113.EXE
Type: Detected using Heuristic Algorithm
Item Name: x2.64.exe
Author: Unknown
Related File: C:\WINDOWS\X2.64.EXE
Type: Detected using Heuristic Algorithm
Item Name: bwcxl
Author:
Related File: c:\documents and settings\mondoloni\local settings\application data\bwcxl.exe bwcxl
Type: Registry Run
Item Name: IMBooster
Author:
Related File: C:\Program Files\Iminent\IMBooster\IMBooster.exe /warmup
Type: Registry Run
Item Name: Iminent.Notifier
Author:
Related File: C:\Program Files\Iminent\SearchTheWeb\Iminent.Notifier.exe
Type: Registry Run
Item Name: TrayMin.lnk
Author:
Related File: C:\PROGRAM FILES\PHILIPS\SPC 200NC PC CAMERA\TRAYMIN.EXE
Type: Common Startup Folder
Item Name: TrayMin.exe
Author:
Related File: C:\PROGRAM FILES\PHILIPS\SPC 200NC PC CAMERA\TRAYMIN.EXE
Type: Running Processes
Item Name: NclRSSrv.exe
Author: Nokia
Related File: C:\PROGRAM FILES\PC CONNECTIVITY SOLUTION\TRANSPORTS\NCLRSSRV.EXE
Type: Running Processes
Item Name: BootExecute
Author: Unknown
Related File: autocheck autochk *\n lsdelete<BR>
Type: Bootexecute
Toujour les 4 mèmes,porte quand mème attention au démarrage,si quelque chose de suspect apparait.
Item Name: {6DE3EF0D-6B49-9CD8-BA8F-DCDDDEB3AB62}
Author:
Related File: C:\WINDOWS\system32\incognito.exe
Type: ActiveSetup
Item Name: bwcxl
Author:
Related File: c:\documents and settings\mondoloni\local settings\application data\bwcxl.exe bwcxl
Type: Registry Run
Item Name: IMBooster
Author:
Related File: C:\Program Files\Iminent\IMBooster\IMBooster.exe /warmup
Type: Registry Run
Item Name: Iminent.Notifier
Author:
Related File: C:\Program Files\Iminent\SearchTheWeb\Iminent.Notifier.exe
Type: Registry Run
Item Name: {6DE3EF0D-6B49-9CD8-BA8F-DCDDDEB3AB62}
Author:
Related File: C:\WINDOWS\system32\incognito.exe
Type: ActiveSetup
Item Name: bwcxl
Author:
Related File: c:\documents and settings\mondoloni\local settings\application data\bwcxl.exe bwcxl
Type: Registry Run
Item Name: IMBooster
Author:
Related File: C:\Program Files\Iminent\IMBooster\IMBooster.exe /warmup
Type: Registry Run
Item Name: Iminent.Notifier
Author:
Related File: C:\Program Files\Iminent\SearchTheWeb\Iminent.Notifier.exe
Type: Registry Run
y en a un qui était marqué en rouge au redémarrage :
Item Name: catchme
Author:
Related File: \??\C:\ComboFix\catchme.sys
Type: Services detected by Partizan
Item Name: catchme
Author:
Related File: \??\C:\ComboFix\catchme.sys
Type: Services detected by Partizan
Clic sur scan for viruses / scan windows startup.
Coche la case "Use deep level scanning once".
Clic sur "Reboot".
Choisit "Get it out" pour celui ci.
Item Name: catchme
Author:
Related File: \??\C:\ComboFix\catchme.sys
Type: Services detected by Partizan
Si autre chose nouveau ou inconnu,dit le moi.
------------------------------------------------------------------------------------------
Après,(si rien de neuf) ça sera le temps de refaire une analyse complète avec Malwarebytes et supprimer ce qu'il trouve,
------------------------------------------------------------------------------------------
Ensuite,
- Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.
- Double-clique sur RSIT.exe afin de lancer le programme.
- Clique sur Continue à l'écran Disclaimer.
-Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
- Lorsque l'analyse sera terminée,deux fichiers texte s'ouvriront.Dans le dossier C:RSIT se trouveront ces deux logs,
- Poste le log.txt ainsi que de info.txt sur le site Cijoint.fr,coche la case "Rendre public le fichier".
Note les adresses en bleu qui te seront données et poste les adresses dans ton prochain message.
Coche la case "Use deep level scanning once".
Clic sur "Reboot".
Choisit "Get it out" pour celui ci.
Item Name: catchme
Author:
Related File: \??\C:\ComboFix\catchme.sys
Type: Services detected by Partizan
Si autre chose nouveau ou inconnu,dit le moi.
------------------------------------------------------------------------------------------
Après,(si rien de neuf) ça sera le temps de refaire une analyse complète avec Malwarebytes et supprimer ce qu'il trouve,
------------------------------------------------------------------------------------------
Ensuite,
- Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.
- Double-clique sur RSIT.exe afin de lancer le programme.
- Clique sur Continue à l'écran Disclaimer.
-Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
- Lorsque l'analyse sera terminée,deux fichiers texte s'ouvriront.Dans le dossier C:RSIT se trouveront ces deux logs,
- Poste le log.txt ainsi que de info.txt sur le site Cijoint.fr,coche la case "Rendre public le fichier".
Note les adresses en bleu qui te seront données et poste les adresses dans ton prochain message.
http://www.cijoint.fr/cjlink.php?file=cj201003/cijgu1C8eT.txt
http://www.cijoint.fr/cjlink.php?file=cj201003/cijA4G1GL2.txt
http://www.cijoint.fr/cjlink.php?file=cj201003/cijA4G1GL2.txt
C'est pas fini,
*Télécharge et installe UsbFix de C_XX & El Desaparecido (Chiquitine29).
*Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir.
*Double clique sur le raccourci UsbFix présent sur ton bureau.
*Clic sur F pour le mettre en français,
*Choisi l'option 1 ( Recherche )
*Laisse travailler l'outil.
*Ensuite poste le rapport UsbFix.txt qui apparaîtra dans ton prochain message.
Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
*Télécharge et installe UsbFix de C_XX & El Desaparecido (Chiquitine29).
*Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir.
*Double clique sur le raccourci UsbFix présent sur ton bureau.
*Clic sur F pour le mettre en français,
*Choisi l'option 1 ( Recherche )
*Laisse travailler l'outil.
*Ensuite poste le rapport UsbFix.txt qui apparaîtra dans ton prochain message.
Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
C'est bizzare parce qu'il y a des choses qu'on avait pas plus tot,
Tu te ré-infecte?
O4 - HKCU\..\Run: [winlog] C:\Documents and Settings\MONDOLONI\Application Data\winlog\winlog.exe
O4 - HKCU\..\RunOnce: [Iminent.Notifier Install] "C:\DOCUME~1\MONDOL~1\LOCALS~1\Temp\NotifierSetup.exe" /s
"winlog"=C:\Documents and Settings\MONDOLONI\Application Data\winlog\winlog.exe []
"Iminent.Notifier Install"=C:\DOCUME~1\MONDOL~1\LOCALS~1\Temp\NotifierSetup.exe [2009-12-06 1489968]
shell\AutoRun\command - G:\svchost.exe
C:\Documents and Settings\MONDOLONI\Bureau\MONDOLONI.exe
S3 gkmixern;gkmixern; \??\C:\DOCUME~1\MONDOL~1\LOCALS~1\Temp\gkmixern.sys []
"C:\WINDOWS\system32incognito.exe"="C:\WINDOWS\system32incognito.exe:*:Enabled:incognito"
"C:\Documents and Settings\MONDOLONI\Application Data\winlogwinlog.exe"="C:\Documents and Settings\MONDOLONI\Application Data\winlogwinlog.exe:*:Enabled:winlog"
Tu te ré-infecte?
O4 - HKCU\..\Run: [winlog] C:\Documents and Settings\MONDOLONI\Application Data\winlog\winlog.exe
O4 - HKCU\..\RunOnce: [Iminent.Notifier Install] "C:\DOCUME~1\MONDOL~1\LOCALS~1\Temp\NotifierSetup.exe" /s
"winlog"=C:\Documents and Settings\MONDOLONI\Application Data\winlog\winlog.exe []
"Iminent.Notifier Install"=C:\DOCUME~1\MONDOL~1\LOCALS~1\Temp\NotifierSetup.exe [2009-12-06 1489968]
shell\AutoRun\command - G:\svchost.exe
C:\Documents and Settings\MONDOLONI\Bureau\MONDOLONI.exe
S3 gkmixern;gkmixern; \??\C:\DOCUME~1\MONDOL~1\LOCALS~1\Temp\gkmixern.sys []
"C:\WINDOWS\system32incognito.exe"="C:\WINDOWS\system32incognito.exe:*:Enabled:incognito"
"C:\Documents and Settings\MONDOLONI\Application Data\winlogwinlog.exe"="C:\Documents and Settings\MONDOLONI\Application Data\winlogwinlog.exe:*:Enabled:winlog"
t un nettoyage (Option 2 avec USBFix) et refait une analyse Reanimator avec l'option "Reboot".
S3 gkmixern;gkmixern; \??\C:\DOCUME~1\MONDOL~1\LOCALS~1\Temp\gkmixern.sys sur VirusTotal,
Peut ètre que tu ne le trouvera pas ça peut ètre un rootkit a supprimer en analysant avec Reanimator (Reboot) (Get it out Reboot).
Et c'est quoi ça sur ton bureau?
C:\Documents and Settings\MONDOLONI\Bureau\MONDOLONI.exe
S3 gkmixern;gkmixern; \??\C:\DOCUME~1\MONDOL~1\LOCALS~1\Temp\gkmixern.sys sur VirusTotal,
Peut ètre que tu ne le trouvera pas ça peut ètre un rootkit a supprimer en analysant avec Reanimator (Reboot) (Get it out Reboot).
Et c'est quoi ça sur ton bureau?
C:\Documents and Settings\MONDOLONI\Bureau\MONDOLONI.exe
Bonjour,
Il y a ceci pour WinDir/svchost.exe mais peut fonctionner pour pas mal de spyware et autres virus, il faut juste changer le chemin d'acces :
https://forums.commentcamarche.net/forum/affich-19614263-c-windows-system32-windir-svchost-exe
Il y a ceci pour WinDir/svchost.exe mais peut fonctionner pour pas mal de spyware et autres virus, il faut juste changer le chemin d'acces :
https://forums.commentcamarche.net/forum/affich-19614263-c-windows-system32-windir-svchost-exe
@ niou.c'est pas des farces,ton pc est bien infecté.
Fait une analise complète avec Malwarebytes mis a jour,supprime ce qu'il trouve et poste le raport.
@ Al-catraz,
O4 - HKLM\..\Run: [IMBooster] C:\Program Files\Iminent\IMBooster\IMBooster.exe /warmup
O4 - HKLM\..\Run: [Iminent.Notifier] C:\Program Files\Iminent\SearchTheWeb\Iminent.Notifier.exe
O4 - HKCU\..\Run: [bwcxl] c:\documents and settings\mondoloni\local settings\application data\bwcxl.exe bwcxl
O4 - HKCU\..\Run: [winlog] C:\Documents and Settings\MONDOLONI\Application Data\winlog\winlog.exe
O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\MONDOLONI\Application Data\Microsoft\svchost.exe
O4 - HKCU\..\RunOnce: [Iminent.Notifier Install] "C:\DOCUME~1\MONDOL~1\LOCALS~1\Temp\NotifierSetup.exe" /s
O4 - HKLM\..\Run: [HKLM] C:\WINDOWS\system32\Winbooterr\Svchost.exe
O4 - HKCU\..\Run: [HKCU] C:\WINDOWS\system32\Winbooterr\Svchost.exe
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\Winbooterr\Svchost.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\Winbooterr\Svchost.exe
Autres lignes a fixer avec HijackThis: (Do a system scan only)
Coche les cases a gauche des lignes et clic sur "Fix checked"
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
Fait une analise complète avec Malwarebytes mis a jour,supprime ce qu'il trouve et poste le raport.
@ Al-catraz,
O4 - HKLM\..\Run: [IMBooster] C:\Program Files\Iminent\IMBooster\IMBooster.exe /warmup
O4 - HKLM\..\Run: [Iminent.Notifier] C:\Program Files\Iminent\SearchTheWeb\Iminent.Notifier.exe
O4 - HKCU\..\Run: [bwcxl] c:\documents and settings\mondoloni\local settings\application data\bwcxl.exe bwcxl
O4 - HKCU\..\Run: [winlog] C:\Documents and Settings\MONDOLONI\Application Data\winlog\winlog.exe
O4 - HKCU\..\Run: [winlogon] C:\Documents and Settings\MONDOLONI\Application Data\Microsoft\svchost.exe
O4 - HKCU\..\RunOnce: [Iminent.Notifier Install] "C:\DOCUME~1\MONDOL~1\LOCALS~1\Temp\NotifierSetup.exe" /s
O4 - HKLM\..\Run: [HKLM] C:\WINDOWS\system32\Winbooterr\Svchost.exe
O4 - HKCU\..\Run: [HKCU] C:\WINDOWS\system32\Winbooterr\Svchost.exe
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\Winbooterr\Svchost.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\Winbooterr\Svchost.exe
Autres lignes a fixer avec HijackThis: (Do a system scan only)
Coche les cases a gauche des lignes et clic sur "Fix checked"
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
