Fichier svchost infecté
TheMatt
-
TheMatt -
TheMatt -
Bonjour à tous,
J'ai utilisé le logiciel MalwareBytes pour détecter des éventuels problèmes, il me dit que svchost.exe est infecté. Je sais que c'est un exécutable indispensable pour le bon fonctionnement de Windows, je ne peux donc pas le supprimer ... Que faire ?
Merci de votre aide et bonne journée :)
J'ai utilisé le logiciel MalwareBytes pour détecter des éventuels problèmes, il me dit que svchost.exe est infecté. Je sais que c'est un exécutable indispensable pour le bon fonctionnement de Windows, je ne peux donc pas le supprimer ... Que faire ?
Merci de votre aide et bonne journée :)
A voir également:
- Fichier svchost infecté
- Fichier bin - Guide
- Fichier epub - Guide
- Svchost - Guide
- Fichier rar - Guide
- Comment réduire la taille d'un fichier - Guide
16 réponses
Bonjour, TheMatt
Oui, svchost.exe est légitime lorsqu'il est localisé en C:\windows\system32
Toute autre localisation de ce fichier est suspecte et est généralement le fait d'une infection.
Malwarebytes ne supprimera pas le fichier légitime. C'est sans doute un autre fichier localisé ailleurs sur le disque dur.
Peux-tu poster le rapport de malwarebytes ?
Il se trouve dans l'onglet Rapport/logs de ce logiciel.
A+
Oui, svchost.exe est légitime lorsqu'il est localisé en C:\windows\system32
Toute autre localisation de ce fichier est suspecte et est généralement le fait d'une infection.
Malwarebytes ne supprimera pas le fichier légitime. C'est sans doute un autre fichier localisé ailleurs sur le disque dur.
Peux-tu poster le rapport de malwarebytes ?
Il se trouve dans l'onglet Rapport/logs de ce logiciel.
A+
Bonjour verni29, et merci de ta réponse.
En effet, le fichier infecté ne se situe pas dans C:\windows\system32
Ci-joint le rapport de malwarebytes :
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org
Version de la base de données: 4050
Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000
29/04/2010 10:18:09
mbam-log-2010-04-29 (10-18-09).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 108157
Temps écoulé: 7 minute(s), 4 seconde(s)
Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
D:\Windows\AppData\Local\Temp\svchost.exe (Trojan.Agent) -> No action taken.
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
D:\Windows\AppData\Local\Temp\svchost.exe (Trojan.Agent) -> No action taken.
Autorisation de le supprimer ? :)
En effet, le fichier infecté ne se situe pas dans C:\windows\system32
Ci-joint le rapport de malwarebytes :
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org
Version de la base de données: 4050
Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000
29/04/2010 10:18:09
mbam-log-2010-04-29 (10-18-09).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 108157
Temps écoulé: 7 minute(s), 4 seconde(s)
Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
D:\Windows\AppData\Local\Temp\svchost.exe (Trojan.Agent) -> No action taken.
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
D:\Windows\AppData\Local\Temp\svchost.exe (Trojan.Agent) -> No action taken.
Autorisation de le supprimer ? :)
Re,
Oui, supprime-le.
Ensuite, j'aimerais qu'on vérifie tout de même le PC.
------------------------------------------------------------------------
Télécharge OTL (de OldTimer) sur ton Bureau.
http://oldtimer.geekstogo.com/OTL.scr
Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.
* Double-clique sur OTL.scr pour le lancer.
Si Sous Vista , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur.
* Dans la partie Personnalisation, copie/colle la liste suivante.
* Enfin, clique sur le bouton Analyse rapide.
* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)
Utilise un site comme http://cijoint.fr pour les déposer.
indique ensuite les deux liens crées.
A+
Oui, supprime-le.
Ensuite, j'aimerais qu'on vérifie tout de même le PC.
------------------------------------------------------------------------
Télécharge OTL (de OldTimer) sur ton Bureau.
http://oldtimer.geekstogo.com/OTL.scr
Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.
* Double-clique sur OTL.scr pour le lancer.
Si Sous Vista , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur.
* Dans la partie Personnalisation, copie/colle la liste suivante.
netsvcs Drivers32 %SYSTEMDRIVE%\*.exe /md5start eventlog.dll scecli.dll netlogon.dll cngaudit.dll sceclt.dll ntelogon.dll logevent.dll iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys nvrd32.sys /md5stop %systemroot%\*. /mp /s CREATERESTOREPOINT
* Enfin, clique sur le bouton Analyse rapide.
* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)
Utilise un site comme http://cijoint.fr pour les déposer.
indique ensuite les deux liens crées.
A+
Merci encore de ta réponse.
J'ai donc supprimé le fichier infecté.
Voilà les rapports OTL :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijRJ3fFXA.txt
http://www.cijoint.fr/cjlink.php?file=cj201004/cijfsio2BM.txt
Avec ces infos, j'espère qu'on ne peut pas atteindre mon PC pour l'infecter ? (c'est peut-être de la parano mais bon, autant savoir... :) )
J'ai donc supprimé le fichier infecté.
Voilà les rapports OTL :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijRJ3fFXA.txt
http://www.cijoint.fr/cjlink.php?file=cj201004/cijfsio2BM.txt
Avec ces infos, j'espère qu'on ne peut pas atteindre mon PC pour l'infecter ? (c'est peut-être de la parano mais bon, autant savoir... :) )
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Re,
Il n'y a aucun problème pour la publication des rapports sur le forum.
Aucun moyen de remonter jusqu'à ton PC.
------------------------------------------------------------
Le rapport ne montre pas d'autres infections.
EDIT : J'allais oublier. les supports amovibles sont infectés . A nettoyer.
Deux vérifications.
1/ Tu vas sur le site de VirusTotal et tu vas pouvoir analyser un fichier.
https://www.virustotal.com/gui/
# Copiez le chemin indiqué ci-dessous et le coller dans la zone à analyser.
# Tu cliques ensuite sur envoyer le fichier.
#Tu postes le rapport de l'analyse ( pour cela, tu sélectionnes la zone de résultat --> click droit --> copier )
2/ Télécharge gmer sur ton bureau ( IMPORTANT )
http://www.gmer.net/#files
Précautions d'usage :
- Durant l'utilisation du logiciel, désactive tes protections actives ( antivirus, parefeu ). IMPORTANT.
- Ferme également toutes les applications actives dont ton navigateur.
# Double-clique sur l'exécutable téléchargé .
Si sous Vista , click droit sur l'exécutable et choisir exécuter en tant qu'administrateur.
# Le scan va se lancer de lui-même.
Si tu reçois un message t'indiquant la présence de rootkits, choisis oui pour effectuer une analyse complète du PC mais ne supprime rien.
# A la fin de l'analyse, clique sur save pour enregistrer le rapport
# Enregistre-le sur le bureau ( fichier .log )
Édite ce rapport dans ta prochaine réponse.
A+
Allez jusqu'au bout de la procédure de désinfection.
Il n'y a aucun problème pour la publication des rapports sur le forum.
Aucun moyen de remonter jusqu'à ton PC.
------------------------------------------------------------
Le rapport ne montre pas d'autres infections.
EDIT : J'allais oublier. les supports amovibles sont infectés . A nettoyer.
Deux vérifications.
1/ Tu vas sur le site de VirusTotal et tu vas pouvoir analyser un fichier.
https://www.virustotal.com/gui/
# Copiez le chemin indiqué ci-dessous et le coller dans la zone à analyser.
C:\Users\Matt\AppData\Roaming\wzmjhy.dat
# Tu cliques ensuite sur envoyer le fichier.
#Tu postes le rapport de l'analyse ( pour cela, tu sélectionnes la zone de résultat --> click droit --> copier )
2/ Télécharge gmer sur ton bureau ( IMPORTANT )
http://www.gmer.net/#files
Précautions d'usage :
- Durant l'utilisation du logiciel, désactive tes protections actives ( antivirus, parefeu ). IMPORTANT.
- Ferme également toutes les applications actives dont ton navigateur.
# Double-clique sur l'exécutable téléchargé .
Si sous Vista , click droit sur l'exécutable et choisir exécuter en tant qu'administrateur.
# Le scan va se lancer de lui-même.
Si tu reçois un message t'indiquant la présence de rootkits, choisis oui pour effectuer une analyse complète du PC mais ne supprime rien.
# A la fin de l'analyse, clique sur save pour enregistrer le rapport
# Enregistre-le sur le bureau ( fichier .log )
Édite ce rapport dans ta prochaine réponse.
A+
Allez jusqu'au bout de la procédure de désinfection.
Re,
Voilà pour virustotal, je me mets à gmer ensuite.
Fichier wzmjhy.dat reçu le 2010.04.29 11:38:30 (UTC)
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.04.29 -
AhnLab-V3 2010.04.29.05 2010.04.29 -
AntiVir 8.2.1.224 2010.04.29 -
Antiy-AVL 2.0.3.7 2010.04.29 -
Authentium 5.2.0.5 2010.04.29 -
Avast 4.8.1351.0 2010.04.29 -
AVG 9.0.0.787 2010.04.29 -
BitDefender 7.2 2010.04.29 -
CAT-QuickHeal 10.00 2010.04.29 -
ClamAV 0.96.0.3-git 2010.04.29 -
Comodo 4710 2010.04.29 -
DrWeb 5.0.2.03300 2010.04.29 -
eSafe 7.0.17.0 2010.04.28 -
eTrust-Vet 35.2.7457 2010.04.29 -
F-Prot 4.5.1.85 2010.04.28 -
F-Secure 9.0.15370.0 2010.04.29 -
Fortinet 4.0.14.0 2010.04.27 -
GData 21 2010.04.29 -
Ikarus T3.1.1.80.0 2010.04.29 -
Jiangmin 13.0.900 2010.04.29 -
Kaspersky 7.0.0.125 2010.04.29 -
McAfee 5.400.0.1158 2010.04.29 -
McAfee-GW-Edition 6.8.5 2010.04.29 -
Microsoft 1.5703 2010.04.29 -
NOD32 5071 2010.04.29 -
Norman 6.04.12 2010.04.29 -
nProtect 2010-04-29.01 2010.04.29 -
Panda 10.0.2.7 2010.04.28 -
PCTools 7.0.3.5 2010.04.29 -
Prevx 3.0 2010.04.29 -
Rising 22.45.03.03 2010.04.29 -
Sophos 4.53.0 2010.04.29 -
Sunbelt 6235 2010.04.28 -
Symantec 20091.2.0.41 2010.04.29 -
TheHacker 6.5.2.0.272 2010.04.28 -
TrendMicro 9.120.0.1004 2010.04.29 -
VBA32 3.12.12.4 2010.04.28 -
ViRobot 2010.4.27.2295 2010.04.28 -
VirusBuster 5.0.27.0 2010.04.29 -
Information additionnelle
File size: 12 bytes
MD5 : 53a340d4d202d1517ed6d6de412962ad
SHA1 : f93a3d30fec462d4f015a31939ce7f7934d7ba66
SHA256: 8443ebc44adfd9c4279485cfd82617cb56e231ab01965dad7fc57c032b30d530
TrID : File type identification<br>Unknown!
ssdeep: 3:IuKyhD:IuKyhD
sigcheck: publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
PEiD : -
RDS : NSRL Reference Data Set<br>-
Voilà pour virustotal, je me mets à gmer ensuite.
Fichier wzmjhy.dat reçu le 2010.04.29 11:38:30 (UTC)
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.04.29 -
AhnLab-V3 2010.04.29.05 2010.04.29 -
AntiVir 8.2.1.224 2010.04.29 -
Antiy-AVL 2.0.3.7 2010.04.29 -
Authentium 5.2.0.5 2010.04.29 -
Avast 4.8.1351.0 2010.04.29 -
AVG 9.0.0.787 2010.04.29 -
BitDefender 7.2 2010.04.29 -
CAT-QuickHeal 10.00 2010.04.29 -
ClamAV 0.96.0.3-git 2010.04.29 -
Comodo 4710 2010.04.29 -
DrWeb 5.0.2.03300 2010.04.29 -
eSafe 7.0.17.0 2010.04.28 -
eTrust-Vet 35.2.7457 2010.04.29 -
F-Prot 4.5.1.85 2010.04.28 -
F-Secure 9.0.15370.0 2010.04.29 -
Fortinet 4.0.14.0 2010.04.27 -
GData 21 2010.04.29 -
Ikarus T3.1.1.80.0 2010.04.29 -
Jiangmin 13.0.900 2010.04.29 -
Kaspersky 7.0.0.125 2010.04.29 -
McAfee 5.400.0.1158 2010.04.29 -
McAfee-GW-Edition 6.8.5 2010.04.29 -
Microsoft 1.5703 2010.04.29 -
NOD32 5071 2010.04.29 -
Norman 6.04.12 2010.04.29 -
nProtect 2010-04-29.01 2010.04.29 -
Panda 10.0.2.7 2010.04.28 -
PCTools 7.0.3.5 2010.04.29 -
Prevx 3.0 2010.04.29 -
Rising 22.45.03.03 2010.04.29 -
Sophos 4.53.0 2010.04.29 -
Sunbelt 6235 2010.04.28 -
Symantec 20091.2.0.41 2010.04.29 -
TheHacker 6.5.2.0.272 2010.04.28 -
TrendMicro 9.120.0.1004 2010.04.29 -
VBA32 3.12.12.4 2010.04.28 -
ViRobot 2010.4.27.2295 2010.04.28 -
VirusBuster 5.0.27.0 2010.04.29 -
Information additionnelle
File size: 12 bytes
MD5 : 53a340d4d202d1517ed6d6de412962ad
SHA1 : f93a3d30fec462d4f015a31939ce7f7934d7ba66
SHA256: 8443ebc44adfd9c4279485cfd82617cb56e231ab01965dad7fc57c032b30d530
TrID : File type identification<br>Unknown!
ssdeep: 3:IuKyhD:IuKyhD
sigcheck: publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
PEiD : -
RDS : NSRL Reference Data Set<br>-
Me revoilà,
Tout d'abord tu me dis que les supports amovibles sont infectés. Je n'ai aucun support amovible connecté en ce moment. Si c'est une clé usb que j'ai connecté il y a un moment, dois-je la scanner ?
Concernant Gmer, j'ai un soucis : J'ai bien fait tout ce que tu m'as dit, le scan se lance automatiquement, et dure environ 20 secondes... Ensuite le PC se met à ramer énormément et le scan n'a pas l'air de continuer... (en bas, où il y a l'affichage des fichiers scannés, il n'y a plus rien).
Que faire ?
A+
Tout d'abord tu me dis que les supports amovibles sont infectés. Je n'ai aucun support amovible connecté en ce moment. Si c'est une clé usb que j'ai connecté il y a un moment, dois-je la scanner ?
Concernant Gmer, j'ai un soucis : J'ai bien fait tout ce que tu m'as dit, le scan se lance automatiquement, et dure environ 20 secondes... Ensuite le PC se met à ramer énormément et le scan n'a pas l'air de continuer... (en bas, où il y a l'affichage des fichiers scannés, il n'y a plus rien).
Que faire ?
A+
TheMatt,
Pour les supports amovibles, il faut considérer tout type de support : clé USB, téléphone portable, lecteur MP3, disque dur externe....
Tout ce que tu as pu être branché au PC.
Il suffit de connecter une fois un support pour l'infecter ( si le PC l'est déjà ).
Ce peut être au travail, chez un ami, ...
Et en rebranchant ce support à la maison, on infecte le PC et les autres supports lorsqu'ils seront connectés.
Extrait du rapport OTL :
Utilise l'outil suivant pour analyser les supports.
Télécharge USBFix ( par Chiquitine29 ) sur ton bureau.
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir
* Double clic sur UsbFix.exe présent sur ton bureau .
* Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
* Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]
* Laisse travailler l'outil.
* Ensuite post le rapport UsbFix.txt qui apparaitra.
Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
----------------------------------------------------------------------------------------
Pour Gmer, as-tu bien désactivé l'antivirus avant de le lancer ?
Il faut aussi fermer toutes les applications actives ( navigateurs, ... )
Peux-tu ressayer une deuxième fois ?
A+
Pour les supports amovibles, il faut considérer tout type de support : clé USB, téléphone portable, lecteur MP3, disque dur externe....
Tout ce que tu as pu être branché au PC.
Il suffit de connecter une fois un support pour l'infecter ( si le PC l'est déjà ).
Ce peut être au travail, chez un ami, ...
Et en rebranchant ce support à la maison, on infecte le PC et les autres supports lorsqu'ils seront connectés.
Extrait du rapport OTL :
O33 - MountPoints2\{29a92dc4-c17e-11dd-a14d-001dd9e5dc11}\Shell\AutoRun\command - "" = e.cmd
O33 - MountPoints2\{29a92dc4-c17e-11dd-a14d-001dd9e5dc11}\Shell\explore\Command - "" = e.cmd
O33 - MountPoints2\{29a92dc4-c17e-11dd-a14d-001dd9e5dc11}\Shell\open\Command - "" = e.cmd
O33 - MountPoints2\{667ebb42-34a0-11dd-a859-001dd9e5dc11}\Shell\AutoRun\command - "" = p3vwxx.exe
O33 - MountPoints2\{667ebb42-34a0-11dd-a859-001dd9e5dc11}\Shell\open\Command - "" = p3vwxx.exe
O33 - MountPoints2\{96b95c42-ea43-11de-ad9b-001dd9e5dc11}\Shell\AutoRun\command - "" = nds0q.exe
O33 - MountPoints2\{96b95c42-ea43-11de-ad9b-001dd9e5dc11}\Shell\open\Command - "" = nds0q.exe
Utilise l'outil suivant pour analyser les supports.
Télécharge USBFix ( par Chiquitine29 ) sur ton bureau.
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir
* Double clic sur UsbFix.exe présent sur ton bureau .
* Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
* Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]
* Laisse travailler l'outil.
* Ensuite post le rapport UsbFix.txt qui apparaitra.
Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
----------------------------------------------------------------------------------------
Pour Gmer, as-tu bien désactivé l'antivirus avant de le lancer ?
Il faut aussi fermer toutes les applications actives ( navigateurs, ... )
Peux-tu ressayer une deuxième fois ?
A+
Re,
Voilà le rapport usbfix :
############################## | UsbFix V6.110 |
User : Matt (Administrateurs) # LH-XJF1H9MI6UER
Update on 28/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 15:49:56 | 29/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
Intel(R) Pentium(R) Dual CPU T2310 @ 1.46GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 7.0.6001.18000
Windows Firewall Status : Enabled
C:\ -> Disque fixe local # 24,41 Go (1,13 Go free) # NTFS
D:\ -> Disque fixe local # 50,07 Go (16,57 Go free) # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 7,45 Go (1,65 Go free) [USB DISK] # FAT32
################## | Elements infectieux |
C:\Users\Matt\GoToAssistDownloadHelper.exe
################## | Registre |
################## | Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\{10c0dc2e-bbc6-11dd-a3ef-001dd9e5dc11}
shell\AutoRun\command =F:\LaunchU3.exe -a
HKCU\..\..\Explorer\MountPoints2\{29a92dc4-c17e-11dd-a14d-001dd9e5dc11}
shell\AutoRun\command =e.cmd
shell\explore\Command =e.cmd
shell\open\Command =e.cmd
HKCU\..\..\Explorer\MountPoints2\{2c83d318-5b52-11de-846e-001dd9e5dc11}
shell\AutoRun\command =F:\ReadMe.exe
HKCU\..\..\Explorer\MountPoints2\{37d005b3-2bf0-11dd-a227-001dd9e5dc11}
shell\AutoRun\command =G:\LaunchU3.exe
HKCU\..\..\Explorer\MountPoints2\{667ebb42-34a0-11dd-a859-001dd9e5dc11}
shell\AutoRun\command =p3vwxx.exe
shell\open\Command =p3vwxx.exe
HKCU\..\..\Explorer\MountPoints2\{96b95c42-ea43-11de-ad9b-001dd9e5dc11}
shell\AutoRun\command =nds0q.exe
shell\open\Command =nds0q.exe
HKCU\..\..\Explorer\MountPoints2\{dede060d-332f-11df-b365-001dd9e5dc11}
shell\AutoRun\command =G:\LaunchU3.exe -a
################## | Vaccin |
(!) Cet ordinateur n'est pas vacciné !
################## | ! Fin du rapport # UsbFix V6.110 ! |
J'avais déjà tout fermé pour Gmer, mais je vais tenter à nouveau ! :)
Merci de ton aide en tout cas.
Voilà le rapport usbfix :
############################## | UsbFix V6.110 |
User : Matt (Administrateurs) # LH-XJF1H9MI6UER
Update on 28/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 15:49:56 | 29/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
Intel(R) Pentium(R) Dual CPU T2310 @ 1.46GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 7.0.6001.18000
Windows Firewall Status : Enabled
C:\ -> Disque fixe local # 24,41 Go (1,13 Go free) # NTFS
D:\ -> Disque fixe local # 50,07 Go (16,57 Go free) # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 7,45 Go (1,65 Go free) [USB DISK] # FAT32
################## | Elements infectieux |
C:\Users\Matt\GoToAssistDownloadHelper.exe
################## | Registre |
################## | Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\{10c0dc2e-bbc6-11dd-a3ef-001dd9e5dc11}
shell\AutoRun\command =F:\LaunchU3.exe -a
HKCU\..\..\Explorer\MountPoints2\{29a92dc4-c17e-11dd-a14d-001dd9e5dc11}
shell\AutoRun\command =e.cmd
shell\explore\Command =e.cmd
shell\open\Command =e.cmd
HKCU\..\..\Explorer\MountPoints2\{2c83d318-5b52-11de-846e-001dd9e5dc11}
shell\AutoRun\command =F:\ReadMe.exe
HKCU\..\..\Explorer\MountPoints2\{37d005b3-2bf0-11dd-a227-001dd9e5dc11}
shell\AutoRun\command =G:\LaunchU3.exe
HKCU\..\..\Explorer\MountPoints2\{667ebb42-34a0-11dd-a859-001dd9e5dc11}
shell\AutoRun\command =p3vwxx.exe
shell\open\Command =p3vwxx.exe
HKCU\..\..\Explorer\MountPoints2\{96b95c42-ea43-11de-ad9b-001dd9e5dc11}
shell\AutoRun\command =nds0q.exe
shell\open\Command =nds0q.exe
HKCU\..\..\Explorer\MountPoints2\{dede060d-332f-11df-b365-001dd9e5dc11}
shell\AutoRun\command =G:\LaunchU3.exe -a
################## | Vaccin |
(!) Cet ordinateur n'est pas vacciné !
################## | ! Fin du rapport # UsbFix V6.110 ! |
J'avais déjà tout fermé pour Gmer, mais je vais tenter à nouveau ! :)
Merci de ton aide en tout cas.
Re,
Après avoir reessayé gmer, relance USBFix pour le nettoyage.
Choisis l'option 2.
Le PC va redémarrer.
Poste le rapport obtenu.
A+
Après avoir reessayé gmer, relance USBFix pour le nettoyage.
Choisis l'option 2.
Le PC va redémarrer.
Poste le rapport obtenu.
A+
Re,
J'ai essayé Gmer, 3 fois, rien n'y fait. Tout est désactivé : pare-feu, antivirus, tous les programmes de la barre des tâches aussi...
Je fais ce que tu as dis pour usbfix.
A tout de suite ^^
J'ai essayé Gmer, 3 fois, rien n'y fait. Tout est désactivé : pare-feu, antivirus, tous les programmes de la barre des tâches aussi...
Je fais ce que tu as dis pour usbfix.
A tout de suite ^^
Voilà pour usb fix :
############################## | UsbFix V6.110 |
User : Matt (Administrateurs) # LH-XJF1H9MI6UER
Update on 28/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 16:56:17 | 29/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
Intel(R) Pentium(R) Dual CPU T2310 @ 1.46GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 7.0.6001.18000
Windows Firewall Status : Enabled
C:\ -> Disque fixe local # 24,41 Go (905,52 Mo free) # NTFS
D:\ -> Disque fixe local # 50,07 Go (16,57 Go free) # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 7,45 Go (1,65 Go free) [USB DISK] # FAT32
################## | Elements infectieux |
Supprimé ! C:\Users\Matt\GoToAssistDownloadHelper.exe
Supprimé ! C:\$Recycle.Bin\S-1-5-21-2152478756-3922319563-605102323-500
Supprimé ! C:\$Recycle.Bin\S-1-5-21-2385280212-3773118359-3536737220-1000
Supprimé ! D:\$Recycle.Bin\S-1-5-21-2385280212-3773118359-3536737220-1000
################## | Registre |
################## | Mountpoints2 |
Supprimé ! HKCU\...\Explorer\MountPoints2\{10c0dc2e-bbc6-11dd-a3ef-001dd9e5dc11}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{29a92dc4-c17e-11dd-a14d-001dd9e5dc11}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{2c83d318-5b52-11de-846e-001dd9e5dc11}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{37d005b3-2bf0-11dd-a227-001dd9e5dc11}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{667ebb42-34a0-11dd-a859-001dd9e5dc11}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{96b95c42-ea43-11de-ad9b-001dd9e5dc11}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{dede060d-332f-11df-b365-001dd9e5dc11}\Shell\AutoRun\Command
################## | Listing des fichiers présent |
[25/02/2010 14:35|--a--c---|60] C:\autoexec.bat
[19/01/2008 09:45|-rahs----|333203] C:\bootmgr
[26/03/2008 17:02|-ra-sc---|8192] C:\BOOTSECT.BAK
[18/09/2006 23:43|--a--c---|10] C:\config.sys
[25/02/2010 14:34|-rahsc---|0] C:\IO.SYS
[25/02/2010 14:34|-rahsc---|0] C:\MSDOS.SYS
[?|?|?] C:\pagefile.sys
[10/06/2008 18:23|--a--c---|174] C:\Setup.log
[29/04/2010 17:01|--a--c---|2280] C:\UsbFix.txt
[29/04/2010 16:25|--a------|0] D:\cd.dat
[17/08/2008 00:36|--a------|24064] D:\Liste affaires.xls
[08/03/2010 12:06|--a------|204810111] D:\MS3.rar
[23/04/2010 21:06|--a------|1572] F:\BOOTEX.LOG
[27/04/2010 14:50|--a------|117] F:\lspost.cfile
[27/04/2010 14:50|--a------|0] F:\lspost.msg
[27/04/2010 14:43|--a------|821873] F:\voiture_900kg.zip
################## | Vaccination |
# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# F:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
################## | Upload |
Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_LH-XJF1H9MI6UER.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .
################## | ! Fin du rapport # UsbFix V6.110 ! |
############################## | UsbFix V6.110 |
User : Matt (Administrateurs) # LH-XJF1H9MI6UER
Update on 28/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 16:56:17 | 29/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
Intel(R) Pentium(R) Dual CPU T2310 @ 1.46GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 7.0.6001.18000
Windows Firewall Status : Enabled
C:\ -> Disque fixe local # 24,41 Go (905,52 Mo free) # NTFS
D:\ -> Disque fixe local # 50,07 Go (16,57 Go free) # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 7,45 Go (1,65 Go free) [USB DISK] # FAT32
################## | Elements infectieux |
Supprimé ! C:\Users\Matt\GoToAssistDownloadHelper.exe
Supprimé ! C:\$Recycle.Bin\S-1-5-21-2152478756-3922319563-605102323-500
Supprimé ! C:\$Recycle.Bin\S-1-5-21-2385280212-3773118359-3536737220-1000
Supprimé ! D:\$Recycle.Bin\S-1-5-21-2385280212-3773118359-3536737220-1000
################## | Registre |
################## | Mountpoints2 |
Supprimé ! HKCU\...\Explorer\MountPoints2\{10c0dc2e-bbc6-11dd-a3ef-001dd9e5dc11}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{29a92dc4-c17e-11dd-a14d-001dd9e5dc11}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{2c83d318-5b52-11de-846e-001dd9e5dc11}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{37d005b3-2bf0-11dd-a227-001dd9e5dc11}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{667ebb42-34a0-11dd-a859-001dd9e5dc11}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{96b95c42-ea43-11de-ad9b-001dd9e5dc11}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{dede060d-332f-11df-b365-001dd9e5dc11}\Shell\AutoRun\Command
################## | Listing des fichiers présent |
[25/02/2010 14:35|--a--c---|60] C:\autoexec.bat
[19/01/2008 09:45|-rahs----|333203] C:\bootmgr
[26/03/2008 17:02|-ra-sc---|8192] C:\BOOTSECT.BAK
[18/09/2006 23:43|--a--c---|10] C:\config.sys
[25/02/2010 14:34|-rahsc---|0] C:\IO.SYS
[25/02/2010 14:34|-rahsc---|0] C:\MSDOS.SYS
[?|?|?] C:\pagefile.sys
[10/06/2008 18:23|--a--c---|174] C:\Setup.log
[29/04/2010 17:01|--a--c---|2280] C:\UsbFix.txt
[29/04/2010 16:25|--a------|0] D:\cd.dat
[17/08/2008 00:36|--a------|24064] D:\Liste affaires.xls
[08/03/2010 12:06|--a------|204810111] D:\MS3.rar
[23/04/2010 21:06|--a------|1572] F:\BOOTEX.LOG
[27/04/2010 14:50|--a------|117] F:\lspost.cfile
[27/04/2010 14:50|--a------|0] F:\lspost.msg
[27/04/2010 14:43|--a------|821873] F:\voiture_900kg.zip
################## | Vaccination |
# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# F:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
################## | Upload |
Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_LH-XJF1H9MI6UER.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .
################## | ! Fin du rapport # UsbFix V6.110 ! |
TheMatt,
Peux-tu envoyer au concepteur d'USBFix le fichier zippé crée lors de l'option 2 ?
Merci.
---------------------------------------------------------------------
On laisse tomber pour gmer.
Tu vas utiliser un autre antirootkit pour vérifier la présence du rootkit.
· Télécharge RootRepeal à partir d'un des liens suivants et enregistre-le sur ton bureau.
o http://ad13.geekstogo.com/RootRepeal.exe
o https://download.bleepingcomputer.com/rootrepeal/RootRepeal.exe
· Double clique sur RootRepeal.exe
( Si sous vista -> Choisir exécuter en tant qu'administrateur )
· Clique sur l'onglet Report puis sur le bouton Scan.
· Sélectionne ensuite chacune des cases ( Drivers, Files, processes, ... )
· Valide en cliquant sur Ok
· Une fenêtre va s'ouvrir. Sélectionne ton disque dur ( genéralement C: ), et valide.
· RootRepeal va maintenant scanner ton PC. .
· Une fois les analyses terminées, clique sur le bouton Save Report .Sauvegarde le rapport sur ton bureau
· Poste-le .
A+
Peux-tu envoyer au concepteur d'USBFix le fichier zippé crée lors de l'option 2 ?
Merci.
---------------------------------------------------------------------
On laisse tomber pour gmer.
Tu vas utiliser un autre antirootkit pour vérifier la présence du rootkit.
· Télécharge RootRepeal à partir d'un des liens suivants et enregistre-le sur ton bureau.
o http://ad13.geekstogo.com/RootRepeal.exe
o https://download.bleepingcomputer.com/rootrepeal/RootRepeal.exe
· Double clique sur RootRepeal.exe
( Si sous vista -> Choisir exécuter en tant qu'administrateur )
· Clique sur l'onglet Report puis sur le bouton Scan.
· Sélectionne ensuite chacune des cases ( Drivers, Files, processes, ... )
· Valide en cliquant sur Ok
· Une fenêtre va s'ouvrir. Sélectionne ton disque dur ( genéralement C: ), et valide.
· RootRepeal va maintenant scanner ton PC. .
· Une fois les analyses terminées, clique sur le bouton Save Report .Sauvegarde le rapport sur ton bureau
· Poste-le .
A+
