Virus dans svchost.exe => probleme son

JeromeMusic -  
 gen-hackman -
Bonjour,

Je me tourne vers vous après avoir utiliser la plupart de mes connaissances informatiques pour essayer de soigner mon ordinateur...

Depuis hier, mon antivirus AVG m'affiche assez réguliérement (toutes les 5 minutes, un peu moins) des alertes de virus dans le fichier c:\WINDOWS\Temps\dywr.tmp\svchost.exe
Le repertoire dywr.tmp change pour d'autres repertoires comme ngys.tmp ou rzgx.tmp lorsque je met en quarantaine le fichier.

Ce virus ne se limite pas qu'à m'ennuyer avec des alertes AVG, il a surtout bousiller mon son. J'ai un ordinateur portable HP pavilion dv7 qui est muni de deux haut parleurs en facade et un caisson de basse. Il est aussi muni de touches tactiles qui permettent d'augmenter/diminuer le son ou de mettre en mute. Depuis que j'ai ce virus, la touche mute de la zone tactile est en rouge (donc son muté) quoique je fasse et lorsque j'écoute un son (MP3, film, n'importe) seul le caisson de basse fonctionne ce qui rend le son horrible evidemment. Pourtant d'après windows, le son n'est pas en mute et tout marche parfaitement...

J'ai essayé un Malware antibyte à jour en scan rapide, rien y a fait.
J'ai trouvé sur internet des procédures avec Hijackthis mais les deux lignes qui sont dites à cocher n'apparaissent pas dans le mien. Par ailleurs, j'ai environ une trentaine de
O23 - Service: @%SystemRoot%\system32\sdrsvc.dll,-107 (SDRSVC) - Unknown owner - C:\Windows\system32\svchost.exe
Et tout ces truvcs là (tous dans system32\svchost.exe )

Avez vous la moindre idée de ce que je pourrai essayer pour retrouver un pc avec un son ?

Merci d'avance
Jérôme

15 réponses

  1. gen-hackman
     
    salut :

    ▶ Telecharge UsbFix

    (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

    ▶ Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" .

    ▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

    ▶ Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

    ▶ Laisse travailler l outil.

    ▶ Ensuite post le rapport UsbFix.txt qui apparaitra.

    Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque. ( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html
    0
  2. JeromeMusic
     
    Merci Gen-hackman, voici le rapport :

    ############################## | UsbFix V6.106 |

    User : moi (Administrateurs) # JEROME
    Update on 19/04/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 13:14:19 | 21/04/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    AMD Turion(tm) X2 Dual-Core Mobile RM-70
    Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
    Internet Explorer 7.0.6001.18000
    Windows Firewall Status : Disabled
    FW : ZoneAlarm Pro Firewall[ Enabled ]8.0.298.004

    C:\ -> Disque fixe local # 223,73 Go (8,61 Go free) [Disque local] # NTFS
    D:\ -> Disque fixe local # 9,15 Go (1,61 Go free) [HP_RECOVERY] # NTFS
    E:\ -> Disque CD-ROM
    F:\ -> Disque CD-ROM
    J:\ -> Disque CD-ROM
    K:\ -> Disque CD-ROM

    ################## | Elements infectieux |

    ################## | Registre |

    ################## | Mountpoints2 |

    HKCU\..\..\Explorer\MountPoints2\G
    shell\AutoRun\command =G:\autorun.exe

    HKCU\..\..\Explorer\MountPoints2\{09b04aad-0683-11de-88ee-001eec823a09}
    shell\AutoRun\command =I:\SETUP.EXE -quit

    HKCU\..\..\Explorer\MountPoints2\{100b1d32-599b-11de-ae4e-001eec823a09}
    shell\AutoRun\command =G:\launcher.exe

    HKCU\..\..\Explorer\MountPoints2\{482ddce7-0369-11de-aada-806e6f6e6963}
    shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\Info.exe protect.ed 480 480

    HKCU\..\..\Explorer\MountPoints2\{600a1f50-f248-11de-adb8-001eec823a09}
    shell\AutoRun\command =I:\Ouvrir_le_Cartable_de_poche.exe

    HKCU\..\..\Explorer\MountPoints2\{7ef60b6d-e3ef-11de-a214-001eec823a09}
    shell\AutoRun\command =I:\Ouvrir_le_Cartable_de_poche.exe

    HKCU\..\..\Explorer\MountPoints2\{a91c6466-0381-11de-9092-001eec823a09}
    shell\AutoRun\command =F:\FS2AutoRun.exe

    HKCU\..\..\Explorer\MountPoints2\{bb650981-b818-11de-b587-001eec823a09}
    shell\AutoRun\command =J:\AUTOSTARTER.EXE

    HKCU\..\..\Explorer\MountPoints2\{e57596f0-0e46-11df-97f4-001eec823a09}
    shell\AutoRun\command =K:\BSAutoRun.exe

    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné !

    ################## | ! Fin du rapport # UsbFix V6.106 ! |

    Je précise que je n'ai branché aucun disque externe tout simplement car je ne les ai pas branché depuis un moment déjà (une semaine minimum) donc je suppose qu'ils ne sont pas infectés
    0
  3. gen-hackman
     
    refais-le avec tous branchés stp
    0
    1. gen-hackman
       
      et retire les CD
      0
  4. JeromeMusic
     
    Voilà avec mon disque dur externe de branché. Par contre, je n'arrive pas à enlever les disques virtuels, c'est ceux de Alcohol et sa période d'essai est dépassé et j'arrive aps à le desinstaller ca me dit "Adapatateur occupé" ou un truc du genre....

    ############################## | UsbFix V6.106 |

    User : moi (Administrateurs) # JEROME
    Update on 19/04/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 13:32:30 | 21/04/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    AMD Turion(tm) X2 Dual-Core Mobile RM-70
    Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
    Internet Explorer 7.0.6001.18000
    Windows Firewall Status : Disabled
    FW : ZoneAlarm Pro Firewall[ Enabled ]8.0.298.004

    C:\ -> Disque fixe local # 223,73 Go (8,58 Go free) [Disque local] # NTFS
    D:\ -> Disque fixe local # 9,15 Go (1,61 Go free) [HP_RECOVERY] # NTFS
    E:\ -> Disque CD-ROM
    F:\ -> Disque CD-ROM
    G:\ -> Disque fixe local # 111,76 Go (1,4 Go free) [LACIE] # FAT32
    J:\ -> Disque CD-ROM
    K:\ -> Disque CD-ROM

    ################## | Elements infectieux |

    G:\autorun.inf

    ################## | Registre |

    ################## | Mountpoints2 |

    HKCU\..\..\Explorer\MountPoints2\G
    shell\AutoRun\command =G:\autorun.exe

    HKCU\..\..\Explorer\MountPoints2\{09b04aad-0683-11de-88ee-001eec823a09}
    shell\AutoRun\command =I:\SETUP.EXE -quit

    HKCU\..\..\Explorer\MountPoints2\{100b1d32-599b-11de-ae4e-001eec823a09}
    shell\AutoRun\command =G:\launcher.exe

    HKCU\..\..\Explorer\MountPoints2\{482ddce7-0369-11de-aada-806e6f6e6963}
    shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\Info.exe protect.ed 480 480

    HKCU\..\..\Explorer\MountPoints2\{600a1f50-f248-11de-adb8-001eec823a09}
    shell\AutoRun\command =I:\Ouvrir_le_Cartable_de_poche.exe

    HKCU\..\..\Explorer\MountPoints2\{7ef60b6d-e3ef-11de-a214-001eec823a09}
    shell\AutoRun\command =I:\Ouvrir_le_Cartable_de_poche.exe

    HKCU\..\..\Explorer\MountPoints2\{a91c6466-0381-11de-9092-001eec823a09}
    shell\AutoRun\command =F:\FS2AutoRun.exe

    HKCU\..\..\Explorer\MountPoints2\{bb650981-b818-11de-b587-001eec823a09}
    shell\AutoRun\command =J:\AUTOSTARTER.EXE

    HKCU\..\..\Explorer\MountPoints2\{e57596f0-0e46-11df-97f4-001eec823a09}
    shell\AutoRun\command =K:\BSAutoRun.exe

    ################## | Vaccin |

    ################## | ! Fin du rapport # UsbFix V6.106 ! |
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. gen-hackman
     
    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir

    ▶ Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisi éxécuter en tant qu'administrateur .

    ▶ choisi l option 2 ( Suppression )

    ▶ Ton bureau disparaitra et le pc redémarrera .

    ▶ Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

    ▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

    ▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    ######### | Désinstallation | #########

    ▶ Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisi éxécuter en tant qu'administrateur .

    ▶ Choisi l option Désinstaller ....
    0
  7. JeromeMusic
     
    Malheureusement, je n'arrive pas àfaire ce que tu me dis, lorsque je lance l'option 2 dans USBFix j'ai un ecran bleu (blue screen of death) avec soit IRQL_NOT_LESS_OR_EQUAL
    soit PAGE_FAULT_IN_NONPAGED_AREA
    Et tout bug avant qu'il n'ai le temps d'arriver à 15%....

    Jérôme
    0
  8. gen-hackman
     
    redemarre ton pc en mode sans echec et fais l'option 4
    0
  9. JeromeMusic
     
    Voici le rapport que ca m'a donné (et j'ai le fichier zip associé) :

    ############################## | UsbFix V6.106 |

    User : moi () # JEROME
    Update on 19/04/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 16:37:23 | 21/04/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    AMD Turion(tm) X2 Dual-Core Mobile RM-70
    Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
    Internet Explorer 7.0.6001.18000
    Windows Firewall Status : Enabled
    FW : ZoneAlarm Pro Firewall[ Enabled ]8.0.298.004

    C:\ -> Disque fixe local # 223,73 Go (22,03 Go free) [Disque local] # NTFS
    D:\ -> Disque fixe local # 9,15 Go (1,61 Go free) [HP_RECOVERY] # NTFS
    E:\ -> Disque CD-ROM
    F:\ -> Disque CD-ROM

    ################## | Elements infectieux |

    Supprimé ! C:\Users\moi\AppData\Local\Temp\ubi98AF.tmp.exe
    Supprimé ! C:\$Recycle.Bin\S-1-5-21-2068282240-1914999055-2407401424-1000
    Supprimé ! C:\$Recycle.Bin\S-1-5-21-2068282240-1914999055-2407401424-500
    Supprimé ! D:\$Recycle.Bin\S-1-5-21-2068282240-1914999055-2407401424-1000
    Supprimé ! D:\$Recycle.Bin\S-1-5-21-2068282240-1914999055-2407401424-500
    Supprimé ! D:\$Recycle.Bin\S-1-5-21-872852622-792000573-3328472507-500

    ################## | Registre |

    ################## | Mountpoints2 |

    Supprimé ! HKCU\...\Explorer\MountPoints2\G\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{09b04aad-0683-11de-88ee-001eec823a09}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{100b1d32-599b-11de-ae4e-001eec823a09}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{482ddce7-0369-11de-aada-806e6f6e6963}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{600a1f50-f248-11de-adb8-001eec823a09}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{7ef60b6d-e3ef-11de-a214-001eec823a09}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{a91c6466-0381-11de-9092-001eec823a09}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{bb650981-b818-11de-b587-001eec823a09}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{e57596f0-0e46-11df-97f4-001eec823a09}\Shell\AutoRun\Command

    ################## | Listing des fichiers présent |

    [13/06/2008 05:29|--a------|74] C:\autoexec.bat
    [21/01/2008 04:24|-rahs----|333203] C:\bootmgr
    [31/12/2008 16:48|--a------|5080320] C:\Cadeau Marie Laure.mp3
    [18/09/2006 23:43|--a------|10] C:\config.sys
    [07/04/2010 20:27|--a------|370916088] C:\Counter-Strike.rar
    [03/08/2009 17:11|--a------|0] C:\CreateMarkers.log
    [10/02/2009 19:35|--a------|3974440] C:\FEAR2.exe
    [19/03/2009 11:28|-rahs----|0] C:\IO.SYS
    [11/02/2009 07:47|--ah-----|373] C:\IPH.PH
    [21/04/2010 09:20|--a------|127] C:\mbam-error.txt
    [19/03/2009 11:28|-rahs----|0] C:\MSDOS.SYS
    [29/02/2004 17:44|--a------|52576] C:\orange.bmp
    [04/06/2007 21:36|--a------|7582934] C:\P1000292.MOV
    [?|?|?] C:\pagefile.sys
    [21/10/2009 20:09|--a------|104011] C:\Psychomachia (War in the Soul) Essai 8 Aout Poil a gratter dans le mixeur.gp5
    [08/08/2009 19:54|--a------|104314] C:\Psychomachia.gp5
    [29/06/2001 11:43|--a------|201] C:\Register.html
    [11/08/2009 20:33|--a------|2364] C:\Rudix Batterie EZDrummer.fxb
    [22/10/2009 10:27|--a------|60] C:\Rudix Batterie EZDrummer.fxp
    [21/04/2010 12:28|--a------|9312] C:\TDSSKiller.2.2.8.1_21.04.2010_12.28.03_log.txt
    [21/04/2010 16:43|--a------|3396] C:\UsbFix.txt
    [31/05/2009 16:43|--a------|733528064] C:\video orchestre.avi
    [21/12/2005 21:10|--a------|594819228] C:\WWP.nrg
    [30/06/2009 20:37|--a------|734380032] C:\X-Men 3 French DVDrip xvid (condom be).avi
    [11/02/2009 07:44|---hs----|13] D:\BLOCK.RIN
    [04/10/2006 00:02|---hs----|438328] D:\bootmgr
    [26/03/2008 17:08|---hs----|1089] D:\Desktop.ini
    [10/02/2009 21:45|---hs----|0] D:\DRECOVERY
    [10/09/2002 17:14|---hs----|8134] D:\Folder.htt
    [21/04/2010 15:53|--ahs----|150] D:\MASTER.LOG
    [16/09/2002 15:37|---hs----|181898] D:\protect.chinese hong kong
    [16/09/2002 15:37|---hs----|181916] D:\protect.chinese simplified
    [16/09/2002 15:37|---hs----|181898] D:\protect.chinese traditional
    [27/04/2006 17:19|---hs----|181865] D:\protect.czech
    [03/11/2005 16:21|---hs----|181726] D:\protect.danish
    [10/09/2002 14:56|---hs----|181605] D:\protect.dutch
    [10/09/2002 14:50|---hs----|181651] D:\protect.ed
    [22/11/2004 16:28|---hs----|181648] D:\protect.english
    [03/11/2005 16:20|---hs----|181673] D:\protect.finnish
    [03/11/2005 16:19|---hs----|181736] D:\protect.french
    [03/11/2005 16:18|---hs----|181669] D:\protect.german
    [23/11/2005 16:56|---hs----|182689] D:\protect.greek
    [23/01/2006 10:18|---hs----|182605] D:\protect.hebrew
    [28/08/2007 15:58|---hs----|181696] D:\protect.hungarian
    [03/11/2005 16:17|---hs----|181554] D:\protect.italian
    [19/06/2007 16:22|---hs----|182351] D:\protect.japanese
    [24/11/2005 12:24|---hs----|218295] D:\protect.korean
    [03/11/2005 16:15|---hs----|181578] D:\protect.norwegian
    [25/04/2006 15:44|---hs----|181789] D:\protect.polish
    [03/11/2005 16:13|---hs----|181624] D:\protect.portuguese
    [27/10/2005 20:24|---hs----|181882] D:\protect.portuguese brazilian
    [28/06/2004 09:52|---hs----|211936] D:\protect.russian
    [03/11/2005 16:11|---hs----|181586] D:\protect.spanish
    [10/09/2002 15:15|---hs----|181602] D:\protect.swedish
    [12/08/2003 11:37|---hs----|181783] D:\protect.turkish

    ################## | Vaccination |

    # C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
    # D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

    ################## | Upload |

    Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_JEROME.zip : https://www.ionos.fr/?affiliate_id=77097
    Merci pour votre contribution .

    ################## | ! Fin du rapport # UsbFix V6.106 ! |
    0
  10. gen-hackman
     
    Télécharge OTL de OLDTimer

    enregistre le sur ton Bureau.

    ▶ Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.

    ▶ Coche les 2 cases Lop et Purity

    ▶ Coche la case devant tous les utilisateurs

    ▶ règle age du fichier sur "60 jours"

    ▶ dans la moitié gauche , mets tout sur "tous"

    ne modifie pas ceci :

    "fichiers créés" et "fichiers Modifiés"


    ▶Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.

    ▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
    0
  11. JeromeMusic
     
    Je suis en train de faire ce que tu me demandes mais je tient juste à te préciser que depuis que j'ai redemarré le pc je n'avais eu aucune alerte virus (alors que généralement j'attendais 2 minute et elle apparaissait, toujours en double d'ailleurs) mais là j'en ai une nouvelle :

    c:\WINDOWS\System32\youma1.dll
    Contient le cheval de Troie : TR/Spy.Gen

    Je ne sais pas si ca a un rapport avec notre souci... de même il apparait en double...

    Je te donne les rapports de OTL dès qu'ils sont disponibles

    Merci encore de ton aide
    Jérôme
    0
  12. JeromeMusic
     
    Rectification il est toujours là, je viens d'avoir une nouvelle alerte virus sur svchost.exe...
    0
  13. JeromeMusic
     
    Voici le fichier OTL.txt :

    http://www.cijoint.fr/cjlink.php?file=cj201004/cijlRp9PEe.txt

    Et voici Extra.txt :

    http://www.cijoint.fr/cjlink.php?file=cj201004/cijgx7FoW2.txt
    0
  14. gen-hackman
     
    DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

    ▶ Télécharge List_Kill'em et enregistre le sur ton bureau

    double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

    une fois terminée , clic sur "terminer" et le programme se lancera seul

    choisis l'option Search

    un icone blanc et noir va s'afficher sur le bureau , il te servira à relancer le programme par la suite.
    un autre rouge et noir te servira a desinstaller le prog a la fin de la desinfection.

    ▶ laisse travailler l'outil

    à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

    un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , , il s'auto supprimera a la fin du scan

    ▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

    0
  15. JeromeMusic
     
    Excuse moi du retard, vraiment, j'ai lancé le scan comme demandé mais il met énormément longtemps et j'ai malheureusement pas pu le laisser tourner.

    Je fais ca demain dans la journée.

    Jérôme
    0
  16. gen-hackman
     
    tu le lances bien avec le clic droit "executer en tant que....." toutes protections desactivées ?
    0