Sujet Précédent Sujet Suivant

Svchos 100% uc

Fermé
Denis - 13 juin 2010 à 17:58
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 4 juil. 2010 à 22:50
Bonjour,


Comme une certain nombre d'internautes deja, je viens sur ce forum pour de l'aide afin de régler ce porblème de svchost qui prend 90% de mon UC.
J'ai essayé plein de manip en utilisant des astuces sur plusieurs forum mais rien y fait. Voici mon .log HijackThis Est ce que quelqu'un peut m'aider à le décrypter, merci d'avance :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:46:05, on 13/06/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Java\jre6\bin\jucheck.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Documents and Settings\jean-michel\Bureau\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://y.lo.st/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://y.lo.st
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Logitech . Enregistrement du produit.lnk = C:\Program Files\Fichiers communs\LogiShrd\eReg\SetPoint\eReg.exe
O4 - Startup: siszpe32.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://plugin.driveragent.com/files/driveragent.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\LogiShrd\Bluetooth\LBTServ.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

7 réponses

Réponse 1 / 7
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
23 juin 2010 à 21:38
p'tain chuis miro.... :\
C'est ça qui fout la grouille : O4 - Startup: siszpe32.exe



DESACTIVE LA PROTECTION ANTIVIR DURANT LA PROCEDURE

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes : 

file::
c:\documents and settings\jean-michel\Menu Démarrer\Programmes\Démarrage\siszpe32.exe


Enregistre ce fichier sous le nom CFScript

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

[*]Combofix se lance, laisse toi guider..

[*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
[*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur http://www.cijoint.fr/ et donne le lien ici dans un nouveau message.

1
Denis
29 juin 2010 à 21:04
Salut !

Voici enfin le .log de combofix. J'ai un peu galere pour rien en plus mais voila :
http://www.cijoint.fr/cjlink.php?file=cj201006/cijdOP78aJ.txt

Merci encore !
0
Réponse 2 / 7
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
13 juin 2010 à 17:59
Salut,

Sauvegarde tes documents importants.


Désactive les logiciels de protection (Antivirus, Antispywares) puis :

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

Eventuellement, installe la console de récupération comme cela est conseillé

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://www.cijoint.fr/
et donne le lien ici :)

Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

0
Denis
13 juin 2010 à 18:01
Salut !

Merci a toi pour cette réponse rapide.
Je m'y colle tout de suite !
a+
0
Réponse 3 / 7
Denis
14 juin 2010 à 22:47
Resalut !

Voici enfin le .log de comboFix. Il a mis quelque choses comme 6h a ce générer :

ComboFix 10-06-12.04 - jean-michel 13/06/2010 18:16:57.1.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1279.792 [GMT 2:00]
Lancé depuis: c:\documents and settings\jean-michel\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

E:\Autorun.inf

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_IPRIP
-------\Service_Iprip


((((((((((((((((((((((((((((( Fichiers créés du 2010-05-13 au 2010-06-13 ))))))))))))))))))))))))))))))))))))
.

2010-06-11 19:45 . 2010-06-11 19:56 -------- d-----w- c:\program files\Ad-Remover
2010-06-11 19:10 . 2010-06-11 19:10 -------- d-----w- c:\documents and settings\jean-michel\Application Data\Malwarebytes
2010-06-11 19:10 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-06-11 19:10 . 2010-06-11 19:10 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-06-11 19:10 . 2010-06-13 01:12 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-06-11 19:10 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-06-11 18:48 . 2008-04-13 18:46 10880 -c--a-w- c:\windows\system32\dllcache\ndisip.sys
2010-06-11 18:48 . 2008-04-13 18:46 10880 ----a-w- c:\windows\system32\drivers\ndisip.sys
2010-06-11 18:39 . 2008-04-13 18:40 8192 -c--a-w- c:\windows\system32\dllcache\changer.sys
2010-06-11 18:39 . 2008-04-13 18:40 8192 ----a-w- c:\windows\system32\drivers\changer.sys
2010-06-09 22:11 . 2008-04-13 18:40 34688 -c--a-w- c:\windows\system32\dllcache\lbrtfdc.sys
2010-06-09 22:11 . 2008-04-13 18:40 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys
2010-06-09 22:11 . 2008-04-13 18:41 8576 -c--a-w- c:\windows\system32\dllcache\i2omgmt.sys
2010-06-09 22:11 . 2008-04-13 18:41 8576 ----a-w- c:\windows\system32\drivers\i2omgmt.sys
2010-05-31 20:18 . 2010-05-31 20:18 -------- d-----w- c:\documents and settings\jean-michel\Application Data\AnvSoft

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-13 21:07 . 2010-03-21 17:54 -------- d-----w- c:\documents and settings\jean-michel\Application Data\skypePM
2010-06-13 21:07 . 2009-04-14 18:25 -------- d-----w- c:\documents and settings\jean-michel\Application Data\Skype
2010-06-11 18:33 . 2010-06-11 18:33 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.216\itstv.exe
2010-06-11 18:31 . 2010-06-11 18:31 12 ----a-w- c:\documents and settings\Default User\Application Data\qcopjv.dat
2010-06-09 22:07 . 2010-06-09 22:07 12 ----a-w- c:\documents and settings\jean-michel\Application Data\qcopjv.dat
2010-06-08 19:10 . 2010-06-08 19:10 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.213\itstv.exe
2010-06-07 18:17 . 2010-06-07 18:17 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.212\itstv.exe
2010-06-06 16:14 . 2010-06-06 16:14 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.211\itstv.exe
2010-06-04 22:50 . 2010-06-04 22:50 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.210\itstv.exe
2010-05-29 22:56 . 2010-05-29 22:56 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.205\itstv.exe
2010-05-29 08:36 . 2010-05-29 08:36 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.204\itstv.exe
2010-05-28 18:54 . 2010-05-28 18:54 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.203\itstv.exe
2010-05-25 21:26 . 2010-05-25 21:26 503808 ----a-w- c:\documents and settings\jean-michel\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-141f1b7e-n\msvcp71.dll
2010-05-25 21:26 . 2010-05-25 21:26 499712 ----a-w- c:\documents and settings\jean-michel\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-141f1b7e-n\jmc.dll
2010-05-25 21:26 . 2010-05-25 21:26 348160 ----a-w- c:\documents and settings\jean-michel\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-141f1b7e-n\msvcr71.dll
2010-05-25 21:24 . 2010-05-25 21:24 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.200\itstv.exe
2010-05-20 18:44 . 2010-05-20 18:44 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.195\itstv.exe
2010-05-17 18:45 . 2010-05-17 18:45 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.192\itstv.exe
2010-05-12 22:00 . 2010-05-12 22:00 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.188\itstv.exe
2010-05-12 20:00 . 2010-05-12 20:00 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.187\itstv.exe
2010-05-08 22:20 . 2009-08-26 17:45 -------- d-----w- c:\program files\Fichiers communs\DVDVideoSoft
2010-05-08 22:17 . 2010-05-08 22:17 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.184\itstv.exe
2010-05-08 13:14 . 2010-05-08 13:14 -------- d-----w- c:\documents and settings\jean-michel\Application Data\Media Player Classic
2010-05-08 13:14 . 2010-05-08 13:14 -------- d-----w- c:\program files\K-Lite Codec Pack
2010-05-08 10:12 . 2010-05-08 10:12 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.183\itstv.exe
2010-05-07 20:11 . 2010-05-07 20:11 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.182\itstv.exe
2010-05-05 20:27 . 2010-05-05 20:27 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.180\itstv.exe
2010-05-04 19:20 . 2010-05-04 19:20 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.179\itstv.exe
2010-05-03 20:54 . 2005-12-26 00:38 491 ----a-w- c:\program files\Options.ini
2010-05-03 20:41 . 2010-05-03 20:41 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.178\itstv.exe
2010-05-03 20:27 . 2010-05-03 20:27 -------- d-----w- c:\program files\Microsoft
2010-05-03 20:27 . 2010-05-03 20:26 -------- d-----w- c:\program files\Windows Live
2010-05-03 20:27 . 2010-05-03 20:27 -------- d-----w- c:\program files\Windows Live SkyDrive
2010-05-03 20:04 . 2010-05-03 20:04 -------- d-----w- c:\documents and settings\jean-michel\Application Data\teamspeak2
2010-05-02 08:08 . 2003-04-24 12:00 1851392 ----a-w- c:\windows\system32\win32k.sys
2010-04-20 05:30 . 2003-04-24 12:00 285696 ----a-w- c:\windows\system32\atmfd.dll
2010-04-16 16:07 . 2006-06-23 12:28 671232 ----a-w- c:\windows\system32\wininet.dll
2010-04-16 16:07 . 2008-02-12 21:48 81920 ------w- c:\windows\system32\ieencode.dll
2010-04-10 10:28 . 2010-04-10 10:28 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.155\itstv.exe
2010-04-10 00:02 . 2008-02-12 22:46 47384 ----a-w- c:\documents and settings\jean-michel\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-04-08 23:02 . 2010-04-08 23:02 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.154\itstv.exe
2010-04-01 18:57 . 2010-04-01 18:57 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.146\itstv.exe
2010-03-28 10:58 . 2003-04-24 12:00 48616 ----a-w- c:\windows\system32\perfc00C.dat
2010-03-28 10:58 . 2003-04-24 12:00 367658 ----a-w- c:\windows\system32\perfh00C.dat
2010-03-23 20:31 . 2010-03-23 20:31 623488 ----a-w- c:\documents and settings\jean-michel\Application Data\HiYo\Data\hiyo_install.exe
2010-03-22 22:11 . 2010-03-22 22:11 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.136\itstv.exe
2010-03-21 21:21 . 2010-03-21 21:21 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.135\itstv.exe
2010-03-21 18:36 . 2010-03-21 18:36 81920 ------r- c:\windows\bwUnin-6.1.4.68-8876480L.exe
2005-12-25 17:05 . 2005-12-25 17:05 582 ----a-w- c:\program files\BlackLst.ecb
2005-09-12 22:13 . 2005-09-12 22:13 2318 ----a-w- c:\program files\license.txt
2005-01-14 21:38 . 2005-01-14 21:38 2117632 ----a-w- c:\program files\EasyClea.exe
2003-11-21 18:08 . 2003-11-21 18:08 226 ----a-w- c:\program files\File_id.diz
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LDM"="c:\program files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [2010-03-21 20480]
"LogitechSoftwareUpdate"="c:\program files\Logitech\Video\ManifestEngine.exe" [2005-01-18 196608]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Omnipage"="c:\program files\ScanSoft\OmniPageSE\opware32.exe" [2002-06-03 49152]
"AudioDeck"="c:\program files\VIA\VIAudioi\SBADeck\ADeck.exe" [2007-08-09 528384]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 577536]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-09-02 149280]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2009-06-17 55824]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2004-10-08 221184]
"LogitechVideoRepair"="c:\program files\Logitech\Video\ISStart.exe" [2005-01-18 458752]
"LogitechVideoTray"="c:\program files\Logitech\Video\LogiTray.exe" [2005-01-18 217088]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\jean-michel\Menu D'marrer\Programmes\D'marrage\
Logitech . Enregistrement du produit.lnk - c:\program files\Fichiers communs\LogiShrd\eReg\SetPoint\eReg.exe [2008-11-7 517384]
siszpe32.exe [2008-4-14 29696]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2010-3-21 450560]
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2010-3-21 813584]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2009-07-20 11:28 72208 ----a-w- c:\program files\Fichiers communs\LogiShrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Hiyo]
2009-11-13 22:13 206192 ----a-w- c:\program files\HiYo\Bin\HiYo.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\ScanSoft\\OmniPageSE\\EregFre\\NAVBrowser.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\backWeb-8876480.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3587:TCP"= 3587:TCP:Groupement homologue Windows
"3540:UDP"= 3540:UDP:Protocole PNRP (Peer Name Resolution Protocol)
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R2 LBeepKE;LBeepKE;c:\windows\system32\drivers\LBeepKE.sys [21/03/2010 19:23 10384]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://y.lo.st/
uInternet Settings,ProxyOverride = localhost
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\jean-michel\Application Data\Mozilla\Firefox\Profiles\cru0bnsk.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - component: c:\program files\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll
FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-WOOKIT - c:\progra~1\Wanadoo\Shell.exe
HKLM-Run-EoEngine - (no file)
MSConfigStartUp-Cmaudio - cmicnfg.cpl
MSConfigStartUp-ErrorSmart - c:\program files\ErrorSmart\ErrorSmart.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-13 23:03
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
AudioDeck = c:\program files\VIA\VIAudioi\SBADeck\ADeck.exe 1????????????????????????????????????????????????

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(616)
c:\program files\fichiers communs\logishrd\bluetooth\LBTWlgn.dll
c:\program files\fichiers communs\logishrd\bluetooth\LBTServ.dll

- - - - - - - > 'explorer.exe'(1596)
c:\docume~1\JEAN-M~1\LOCALS~1\Temp\IadHide4.dll
c:\program files\ScanSoft\OmniPageSE\ophook32.dll
c:\program files\Logitech\SetPoint\lgscroll.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir Desktop\sched.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\System32\tcpsvcs.exe
c:\windows\System32\snmp.exe
c:\windows\SOUNDMAN.EXE
c:\program files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
c:\program files\Logitech\Video\FxSvr2.exe
c:\program files\Skype\Phone\Skype.exe
c:\program files\Skype\Plugin Manager\skypePM.exe
c:\program files\Java\jre6\bin\jucheck.exe
.
**************************************************************************
.
Heure de fin: 2010-06-13 23:27:50 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-06-13 21:27

Avant-CF: 27 701 776 384 octets libres
Après-CF: 27 855 605 760 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn

- - End Of File - - DBCA328386A7EB774C1C751B6472236D
0
Denis
15 juin 2010 à 21:58
Salut tout le monde !

Je suis bloqué à cette fameuse etape de compréhension du .log de comboFix.
Est ce que l'un de vous pourrez m'aider ! Merci d'avance ... à l'aideeee !
0
Réponse 4 / 7
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
16 juin 2010 à 08:21
T'as pas l'air infecté...

Fais une capture du gestionnaire de tâches en triant par la colonne CPU pour voir l'utilisation mémoire de svchost : http://www.cijoint.fr/

~~

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT
* Clique sur le bouton Quick Scan.
* Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.

puis :

Télécharge GMER à partir de ce lien : http://www.gmer.net#files - clic sur "Download EXE" et télécharge le fichier sur ton bureau.
Voir le tutorial GMER, ça peut peut-être t'aider : https://www.malekal.com/tutorial-gmer/

Désactive tes logiciels de protection (antivirus, antispyware etc) et ferme tous les programmes ouverts.
Double-clic sur le fichier GMER téléchargé.
[b]IMPORTANT:/b Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
Clic sur l'onglet "rootkit"
Laisse tout coché.
Clic sur Scan
Lorsque le scan est terminé, clic sur "Copy"

Ouvre le bloc-note et clic sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle le contenu ici.
0
Denis
21 juin 2010 à 19:46
Salut !

J'ai enfin tous les fichiers.
Merci encore pour ton aide !
OTL.txt dans :
http://www.cijoint.fr/cjlink.php?file=cj201006/cijHZiIRS4.txt
Extra.txt
http://www.cijoint.fr/cjlink.php?file=cj201006/cijWYFlbxR.txt

et le rapport de gmer :

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-06-20 19:46:39
Windows 5.1.2600 Service Pack 3
Running: id77j9wn.exe; Driver: C:\DOCUME~1\JEAN-M~1\LOCALS~1\Temp\uflirfow.sys


---- System - GMER 1.0.15 ----

SSDT BA27A49B ZwDeleteKey
SSDT BA27A4A5 ZwDeleteValueKey
SSDT BA27A4AA ZwLoadKey
SSDT BA27A4B4 ZwReplaceKey
SSDT BA27A4AF ZwRestoreKey

---- Kernel code sections - GMER 1.0.15 ----

PAGE Ntfs.sys F7B77E55 4 Bytes CALL 89F3A9B9

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\Explorer.EXE[432] ntdll.dll!NtQueryDirectoryFile + 6 7C91D774 4 Bytes [90, 61, C1, 00]
? C:\WINDOWS\system32\svchost.exe[3448] image checksum mismatch; time/date stamp mismatch;

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!RegQueryValueExW] 81EC8B55
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorDacl] 000208EC
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!SetEntriesInAclW] 56565300
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorGroup] 01B1C033
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorOwner] 000100BE
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!InitializeSecurityDescriptor] D1B60F00
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!GetTokenInformation] F8158488
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!OpenProcessToken] 8AFFFFFE
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!OpenThreadToken] 80E280D1
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!SetServiceStatus] F8058C88
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!RegisterServiceCtrlHandlerW] 40FFFFFD
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!RegCloseKey] D21ADAF6
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!RegOpenKeyExW] E280D98A
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!StartServiceCtrlDispatcherW] 32DB021B
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!WideCharToMultiByte] B60F0040
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!lstrlenW] 18E2C1D1
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!LocalFree] D18A1089
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetCurrentProcess] 8380E280
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetCurrentThread] DAF604C0
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetProcAddress] E280D21A
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!LoadLibraryExW] 32C9021B
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!LCMapStringW] 6A000040
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!FreeLibrary] C9335B63
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!lstrcpyW] 94B81D89
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!ExpandEnvironmentStringsW] 0F410040
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!lstrcmpiW] F80D84B6
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!ExitProcess] 8DFFFFFE
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetCommandLineW] FFFEF795
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!InitializeCriticalSection] 8AD02BFF
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetProcessHeap] D0C28A12
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!SetErrorMode] D0D032C0
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!SetUnhandledExceptionFilter] D0D032C0
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!RegisterWaitForSingleObject] D0D032C0
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!InterlockedCompareExchange] 32C232C0
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!LoadLibraryA] C0B60FC3
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!QueryPerformanceCounter] B88D0489
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetTickCount] 89004094
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetCurrentThreadId] C4E0850C
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetCurrentProcessId] 3B410040
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetSystemTimeAsFileTime] 33C47CCE
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!TerminateProcess] 00FFBFC9
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!UnhandledExceptionFilter] 918A0000
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!LocalAlloc] [004094B8] C:\WINDOWS\system32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!lstrcmpW] 8024C28A
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!DelayLoadFailureHook] C01AD8F6
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!NtQuerySecurityObject] C332DB02
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlFreeHeap] 8AF0B60F
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!NtOpenKey] 40C4E099
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!wcscat] D2B60F00
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!wcscpy] E0C1C68B
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlAllocateHeap] C1C23308
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlCompareUnicodeString] C23308E0
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlInitUnicodeString] 3308E0C1
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlInitializeSid] 89C233C6
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlLengthRequiredSid] 40C0E081
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlSubAuthoritySid] 08C8C100
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!NtClose] BCE08189
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlSubAuthorityCountSid] C8C10040
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlGetDaclSecurityDescriptor] E0818908
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlQueryInformationAcl] C10040B8
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlGetAce] 818908C8
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlImageNtHeader] [0040B4E0] C:\WINDOWS\system32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!wcslen] 2674DB84
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlUnhandledExceptionFilter] 0395B60F
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlCopySid] 0FFFFFFF
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIfEx] FEF80584
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!RpcMgmtWaitServerListen] C203FFFF
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!RpcMgmtSetServerStackSize] F7F78B99
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIf] 84B60FFE
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!RpcServerListen] FFFDF815
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!RpcServerUseProtseqEpW] FC4589FF
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!RpcServerRegisterIf] 658304EB
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!I_RpcMapWin32Status] DB8400FC
IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!RpcMgmtStopServerListening] B60F2674

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 898D30B8

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\ukgzqxk@Type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\ukgzqxk@Start 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\ukgzqxk@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\ukgzqxk@Group Boot Bus Extender

---- EOF - GMER 1.0.15 ----
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 7
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
21 juin 2010 à 21:09
Ce qui est sûr c'est que tu as été infecté.
Mais çe ne semble plus actif.

Tu as tjrs le problème de svchost qui bouffe toute la CPU ?



Si c'est le cas, tente ça :

Télécharge ce zip : http://sd-2.archive-host.com/membres/up/200691265947653694/svchost.zip
Tu le décompresse dans C:\
pour avoir C:\svchost.exe

Assure toi que c'est bien le cas sinon ça va pas marcher.


* Telecharge:: http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
-> http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

* dezippe le , Lance l'épée , executer en tant qu'administrateur sous vista

Dans le cadre , sous Input Script here , copie_colle le contenu du cadre ci dessous et clic execute:

begin copying here:
Drivers to delete:
ukgzqxk
Files to move:
c:\svchost.exe | C:\Windows\System32\svchost.exe

* Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
0
Denis
21 juin 2010 à 21:48
Salut !
Oui en effet le svchost me bouffe toujours 70à 90% de la CPU.
Je fais les manip de suite !
Encore merci a toi pour le temps consacré !
0
Denis
21 juin 2010 à 22:17
salut !

Voici ce que me génère avenger.
Je suis administrateur de mon pc (sauf erreur de ma part, si comment je dois faire pour l'etre ?) et le message d'erreur dans le .txt ci-dessous me ferrait dire c'est n'est pas le cas sauf si c'est autre chose :

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "ukgzqxk" deleted successfully.

Error: file "C:\Windows\System32\svchost.exe" is whitelisted
File move operation "c:\svchost.exe|C:\Windows\System32\svchost.exe" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)


Completed script processing.

*******************

Finished! Terminate.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
22 juin 2010 à 12:43
il y a un accès plus haut qu'administrateur.

Bon The Avenger veux pas toucher à svchost.exe à cause de la whitelist.

Tu peux faire une capture du gestionnaire de tâches triés par la colonne CPU stp
tu mets la capture là http://www.cijoint.fr/ et tu files le lien.

Réouvre GMER.
Vas dans l'onglet Files.
Navigue dans les dossiers jusqu'à C:\Windows\System32\svchost.ex
Sélectionne C:\Windows\System32\svchost.ex
clic sur copy et vas sur ton bureau
dans le nom du fichier tu mets zinzin

scanne zinzin sur https://www.virustotal.com/gui/
donne le lien de scan ici.
0
Denis
23 juin 2010 à 20:43
Salut :

Voici le scan du fichier :
analisis/6234155d6c02c67689744d21380b17db5fe395bc8622c71b046e40ca1767785a-1277069489

et le lien pour le snapshot du CPU utilisé dans le process :
http://www.cijoint.fr/cjlink.php?file=cj201006/cijuRqpydC.png

Merci !
0
Réponse 6 / 7
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 30/06/2010 à 09:16
Tu peux supprimer ce fichier : c:\windows\system32\drivers\ukgzqxk.sys?

Si c'est pas le cas :
* Telecharge:: http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
-> http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

* dezippe le , Lance l'épée , executer en tant qu'administrateur sous vista

Dans le cadre , sous Input Script here , copie_colle le contenu du cadre ci dessous et clic execute:

begin copying here:
Drivers to delete:
ukgzqxk
Files to delete:
c:\windows\system32\drivers\ukgzqxk.sys

* Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt


svchost.exe est tjrs à fond la caisse ?


Rise Against rules :D
0
Denis
4 juil. 2010 à 22:15
Salut !

Au moment au j'allais supprimer ukgzqxk.sys, Antivir me l'a detecté comme Chevale de Troie.
Je les mis en 40aine. Mon svchot n'est plus a fond, je dirais meme il est à 0%.
Merci pour tout le temps consacré, nickel !

Du coup comment je pourrais me prémunir d'un nouvel emballement de svchost qui si j'ai bien compris veut tout et rien dire puisque les logiciels malveillants tournent sous ce nom !
J'ai antivir et le firewall Windows. Penses tu que c'est efficace ? Ou aurais des suggestions a me faire !


Bonne soiree a toi et heureusement que des passionnés comme toi nous aident pour des pblm aussi complexe !
0
Réponse 7 / 7
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
4 juil. 2010 à 22:50
:)

Si Antivir a bien viré le zinzin et ne fais plus d'alertes (fais un scan avec le scan rootkit quand tu auras le temps ) :)


Maintiens tes logiciel à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.


Pour désinstaller Combofix :
- Menu Démarrer / exécuter et tape : Combofix /uninstall puis OK (attention il y a pas d'espace entre le / et le uninstall)

Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html
0

Discussions similaires

taxe foncière pour locataire
Cryséis -
irongege -

1 réponse
C'est quoi UC ?
crvenazvezda -
mothman974 -

7 réponses
100 mo internet, équivalent en nombre d'heures
sara ! 75014 -
ictus -

15 réponses
100 mo d'internet en gros c quoi ?
jess4 -
MPMP10 -

4 réponses
A quoi correspond 1 Go en Mo
clara65 -
Jeff -

10 réponses