Svchos 100% uc

Denis -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

Comme une certain nombre d'internautes deja, je viens sur ce forum pour de l'aide afin de régler ce porblème de svchost qui prend 90% de mon UC.
J'ai essayé plein de manip en utilisant des astuces sur plusieurs forum mais rien y fait. Voici mon .log HijackThis Est ce que quelqu'un peut m'aider à le décrypter, merci d'avance :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:46:05, on 13/06/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Java\jre6\bin\jucheck.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Documents and Settings\jean-michel\Bureau\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://y.lo.st/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://y.lo.st
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIA\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Logitech . Enregistrement du produit.lnk = C:\Program Files\Fichiers communs\LogiShrd\eReg\SetPoint\eReg.exe
O4 - Startup: siszpe32.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://plugin.driveragent.com/files/driveragent.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\LogiShrd\Bluetooth\LBTServ.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

--
End of file - 7578 bytes

7 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    p'tain chuis miro.... :\
    C'est ça qui fout la grouille : O4 - Startup: siszpe32.exe

    DESACTIVE LA PROTECTION ANTIVIR DURANT LA PROCEDURE

    Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

    file::
    c:\documents and settings\jean-michel\Menu Démarrer\Programmes\Démarrage\siszpe32.exe


    Enregistre ce fichier sous le nom CFScript

    [*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

    [*]Combofix se lance, laisse toi guider..

    [*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
    [*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur http://www.cijoint.fr/ et donne le lien ici dans un nouveau message.

    1
    1. Denis
       
      Salut !

      Voici enfin le .log de combofix. J'ai un peu galere pour rien en plus mais voila :
      http://www.cijoint.fr/cjlink.php?file=cj201006/cijdOP78aJ.txt

      Merci encore !
      0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Sauvegarde tes documents importants.

    Désactive les logiciels de protection (Antivirus, Antispywares) puis :

    Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

    Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

    Eventuellement, installe la console de récupération comme cela est conseillé

    Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
    Si le rapport ne passe pas, envoie le sur ce site : http://www.cijoint.fr/
    et donne le lien ici :)

    Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

    Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

    0
    1. Denis
       
      Salut !

      Merci a toi pour cette réponse rapide.
      Je m'y colle tout de suite !
      a+
      0
  3. Denis
     
    Resalut !

    Voici enfin le .log de comboFix. Il a mis quelque choses comme 6h a ce générer :

    ComboFix 10-06-12.04 - jean-michel 13/06/2010 18:16:57.1.1 - x86
    Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1279.792 [GMT 2:00]
    Lancé depuis: c:\documents and settings\jean-michel\Bureau\ComboFix.exe
    AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    E:\Autorun.inf

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_IPRIP
    -------\Service_Iprip

    ((((((((((((((((((((((((((((( Fichiers créés du 2010-05-13 au 2010-06-13 ))))))))))))))))))))))))))))))))))))
    .

    2010-06-11 19:45 . 2010-06-11 19:56 -------- d-----w- c:\program files\Ad-Remover
    2010-06-11 19:10 . 2010-06-11 19:10 -------- d-----w- c:\documents and settings\jean-michel\Application Data\Malwarebytes
    2010-06-11 19:10 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-06-11 19:10 . 2010-06-11 19:10 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2010-06-11 19:10 . 2010-06-13 01:12 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-06-11 19:10 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-06-11 18:48 . 2008-04-13 18:46 10880 -c--a-w- c:\windows\system32\dllcache\ndisip.sys
    2010-06-11 18:48 . 2008-04-13 18:46 10880 ----a-w- c:\windows\system32\drivers\ndisip.sys
    2010-06-11 18:39 . 2008-04-13 18:40 8192 -c--a-w- c:\windows\system32\dllcache\changer.sys
    2010-06-11 18:39 . 2008-04-13 18:40 8192 ----a-w- c:\windows\system32\drivers\changer.sys
    2010-06-09 22:11 . 2008-04-13 18:40 34688 -c--a-w- c:\windows\system32\dllcache\lbrtfdc.sys
    2010-06-09 22:11 . 2008-04-13 18:40 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys
    2010-06-09 22:11 . 2008-04-13 18:41 8576 -c--a-w- c:\windows\system32\dllcache\i2omgmt.sys
    2010-06-09 22:11 . 2008-04-13 18:41 8576 ----a-w- c:\windows\system32\drivers\i2omgmt.sys
    2010-05-31 20:18 . 2010-05-31 20:18 -------- d-----w- c:\documents and settings\jean-michel\Application Data\AnvSoft

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-06-13 21:07 . 2010-03-21 17:54 -------- d-----w- c:\documents and settings\jean-michel\Application Data\skypePM
    2010-06-13 21:07 . 2009-04-14 18:25 -------- d-----w- c:\documents and settings\jean-michel\Application Data\Skype
    2010-06-11 18:33 . 2010-06-11 18:33 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.216\itstv.exe
    2010-06-11 18:31 . 2010-06-11 18:31 12 ----a-w- c:\documents and settings\Default User\Application Data\qcopjv.dat
    2010-06-09 22:07 . 2010-06-09 22:07 12 ----a-w- c:\documents and settings\jean-michel\Application Data\qcopjv.dat
    2010-06-08 19:10 . 2010-06-08 19:10 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.213\itstv.exe
    2010-06-07 18:17 . 2010-06-07 18:17 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.212\itstv.exe
    2010-06-06 16:14 . 2010-06-06 16:14 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.211\itstv.exe
    2010-06-04 22:50 . 2010-06-04 22:50 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.210\itstv.exe
    2010-05-29 22:56 . 2010-05-29 22:56 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.205\itstv.exe
    2010-05-29 08:36 . 2010-05-29 08:36 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.204\itstv.exe
    2010-05-28 18:54 . 2010-05-28 18:54 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.203\itstv.exe
    2010-05-25 21:26 . 2010-05-25 21:26 503808 ----a-w- c:\documents and settings\jean-michel\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-141f1b7e-n\msvcp71.dll
    2010-05-25 21:26 . 2010-05-25 21:26 499712 ----a-w- c:\documents and settings\jean-michel\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-141f1b7e-n\jmc.dll
    2010-05-25 21:26 . 2010-05-25 21:26 348160 ----a-w- c:\documents and settings\jean-michel\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-141f1b7e-n\msvcr71.dll
    2010-05-25 21:24 . 2010-05-25 21:24 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.200\itstv.exe
    2010-05-20 18:44 . 2010-05-20 18:44 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.195\itstv.exe
    2010-05-17 18:45 . 2010-05-17 18:45 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.192\itstv.exe
    2010-05-12 22:00 . 2010-05-12 22:00 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.188\itstv.exe
    2010-05-12 20:00 . 2010-05-12 20:00 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.187\itstv.exe
    2010-05-08 22:20 . 2009-08-26 17:45 -------- d-----w- c:\program files\Fichiers communs\DVDVideoSoft
    2010-05-08 22:17 . 2010-05-08 22:17 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.184\itstv.exe
    2010-05-08 13:14 . 2010-05-08 13:14 -------- d-----w- c:\documents and settings\jean-michel\Application Data\Media Player Classic
    2010-05-08 13:14 . 2010-05-08 13:14 -------- d-----w- c:\program files\K-Lite Codec Pack
    2010-05-08 10:12 . 2010-05-08 10:12 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.183\itstv.exe
    2010-05-07 20:11 . 2010-05-07 20:11 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.182\itstv.exe
    2010-05-05 20:27 . 2010-05-05 20:27 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.180\itstv.exe
    2010-05-04 19:20 . 2010-05-04 19:20 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.179\itstv.exe
    2010-05-03 20:54 . 2005-12-26 00:38 491 ----a-w- c:\program files\Options.ini
    2010-05-03 20:41 . 2010-05-03 20:41 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.178\itstv.exe
    2010-05-03 20:27 . 2010-05-03 20:27 -------- d-----w- c:\program files\Microsoft
    2010-05-03 20:27 . 2010-05-03 20:26 -------- d-----w- c:\program files\Windows Live
    2010-05-03 20:27 . 2010-05-03 20:27 -------- d-----w- c:\program files\Windows Live SkyDrive
    2010-05-03 20:04 . 2010-05-03 20:04 -------- d-----w- c:\documents and settings\jean-michel\Application Data\teamspeak2
    2010-05-02 08:08 . 2003-04-24 12:00 1851392 ----a-w- c:\windows\system32\win32k.sys
    2010-04-20 05:30 . 2003-04-24 12:00 285696 ----a-w- c:\windows\system32\atmfd.dll
    2010-04-16 16:07 . 2006-06-23 12:28 671232 ----a-w- c:\windows\system32\wininet.dll
    2010-04-16 16:07 . 2008-02-12 21:48 81920 ------w- c:\windows\system32\ieencode.dll
    2010-04-10 10:28 . 2010-04-10 10:28 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.155\itstv.exe
    2010-04-10 00:02 . 2008-02-12 22:46 47384 ----a-w- c:\documents and settings\jean-michel\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2010-04-08 23:02 . 2010-04-08 23:02 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.154\itstv.exe
    2010-04-01 18:57 . 2010-04-01 18:57 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.146\itstv.exe
    2010-03-28 10:58 . 2003-04-24 12:00 48616 ----a-w- c:\windows\system32\perfc00C.dat
    2010-03-28 10:58 . 2003-04-24 12:00 367658 ----a-w- c:\windows\system32\perfh00C.dat
    2010-03-23 20:31 . 2010-03-23 20:31 623488 ----a-w- c:\documents and settings\jean-michel\Application Data\HiYo\Data\hiyo_install.exe
    2010-03-22 22:11 . 2010-03-22 22:11 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.136\itstv.exe
    2010-03-21 21:21 . 2010-03-21 21:21 20480 ----a-w- c:\documents and settings\jean-michel\Application Data\EoRezo\SoftwareUpdate\Software\itsTV\3.0.1.135\itstv.exe
    2010-03-21 18:36 . 2010-03-21 18:36 81920 ------r- c:\windows\bwUnin-6.1.4.68-8876480L.exe
    2005-12-25 17:05 . 2005-12-25 17:05 582 ----a-w- c:\program files\BlackLst.ecb
    2005-09-12 22:13 . 2005-09-12 22:13 2318 ----a-w- c:\program files\license.txt
    2005-01-14 21:38 . 2005-01-14 21:38 2117632 ----a-w- c:\program files\EasyClea.exe
    2003-11-21 18:08 . 2003-11-21 18:08 226 ----a-w- c:\program files\File_id.diz
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "LDM"="c:\program files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [2010-03-21 20480]
    "LogitechSoftwareUpdate"="c:\program files\Logitech\Video\ManifestEngine.exe" [2005-01-18 196608]
    "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Omnipage"="c:\program files\ScanSoft\OmniPageSE\opware32.exe" [2002-06-03 49152]
    "AudioDeck"="c:\program files\VIA\VIAudioi\SBADeck\ADeck.exe" [2007-08-09 528384]
    "SoundMan"="SOUNDMAN.EXE" [2007-04-16 577536]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-09-02 149280]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
    "Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2009-06-17 55824]
    "LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2004-10-08 221184]
    "LogitechVideoRepair"="c:\program files\Logitech\Video\ISStart.exe" [2005-01-18 458752]
    "LogitechVideoTray"="c:\program files\Logitech\Video\LogiTray.exe" [2005-01-18 217088]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

    c:\documents and settings\jean-michel\Menu D'marrer\Programmes\D'marrage\
    Logitech . Enregistrement du produit.lnk - c:\program files\Fichiers communs\LogiShrd\eReg\SetPoint\eReg.exe [2008-11-7 517384]
    siszpe32.exe [2008-4-14 29696]

    c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
    Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2010-3-21 450560]
    Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2010-3-21 813584]
    Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
    2009-07-20 11:28 72208 ----a-w- c:\program files\Fichiers communs\LogiShrd\Bluetooth\LBTWLgn.dll

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
    @=""

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Hiyo]
    2009-11-13 22:13 206192 ----a-w- c:\program files\HiYo\Bin\HiYo.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusOverride"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\ScanSoft\\OmniPageSE\\EregFre\\NAVBrowser.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
    "c:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\backWeb-8876480.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Skype\\Phone\\Skype.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "3587:TCP"= 3587:TCP:Groupement homologue Windows
    "3540:UDP"= 3540:UDP:Protocole PNRP (Peer Name Resolution Protocol)
    "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
    "3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
    "AllowInboundEchoRequest"= 1 (0x1)

    R2 LBeepKE;LBeepKE;c:\windows\system32\drivers\LBeepKE.sys [21/03/2010 19:23 10384]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://y.lo.st/
    uInternet Settings,ProxyOverride = localhost
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
    FF - ProfilePath - c:\documents and settings\jean-michel\Application Data\Mozilla\Firefox\Profiles\cru0bnsk.default\
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
    FF - component: c:\program files\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll
    FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKCU-Run-WOOKIT - c:\progra~1\Wanadoo\Shell.exe
    HKLM-Run-EoEngine - (no file)
    MSConfigStartUp-Cmaudio - cmicnfg.cpl
    MSConfigStartUp-ErrorSmart - c:\program files\ErrorSmart\ErrorSmart.exe

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-06-13 23:03
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    AudioDeck = c:\program files\VIA\VIAudioi\SBADeck\ADeck.exe 1????????????????????????????????????????????????

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(616)
    c:\program files\fichiers communs\logishrd\bluetooth\LBTWlgn.dll
    c:\program files\fichiers communs\logishrd\bluetooth\LBTServ.dll

    - - - - - - - > 'explorer.exe'(1596)
    c:\docume~1\JEAN-M~1\LOCALS~1\Temp\IadHide4.dll
    c:\program files\ScanSoft\OmniPageSE\ophook32.dll
    c:\program files\Logitech\SetPoint\lgscroll.dll
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\eappprxy.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\Avira\AntiVir Desktop\sched.exe
    c:\program files\Avira\AntiVir Desktop\avguard.exe
    c:\program files\Java\jre6\bin\jqs.exe
    c:\windows\System32\tcpsvcs.exe
    c:\windows\System32\snmp.exe
    c:\windows\SOUNDMAN.EXE
    c:\program files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
    c:\program files\Logitech\Video\FxSvr2.exe
    c:\program files\Skype\Phone\Skype.exe
    c:\program files\Skype\Plugin Manager\skypePM.exe
    c:\program files\Java\jre6\bin\jucheck.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-06-13 23:27:50 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-06-13 21:27

    Avant-CF: 27 701 776 384 octets libres
    Après-CF: 27 855 605 760 octets libres

    WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn

    - - End Of File - - DBCA328386A7EB774C1C751B6472236D
    0
    1. Denis
       
      Salut tout le monde !

      Je suis bloqué à cette fameuse etape de compréhension du .log de comboFix.
      Est ce que l'un de vous pourrez m'aider ! Merci d'avance ... à l'aideeee !
      0
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    T'as pas l'air infecté...

    Fais une capture du gestionnaire de tâches en triant par la colonne CPU pour voir l'utilisation mémoire de svchost : http://www.cijoint.fr/

    ~~

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    * Lance OTL
    * Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    CREATERESTOREPOINT

    * Clique sur le bouton Quick Scan.
    * Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.

    puis :

    Télécharge GMER à partir de ce lien : http://www.gmer.net#files - clic sur "Download EXE" et télécharge le fichier sur ton bureau.
    Voir le tutorial GMER, ça peut peut-être t'aider : https://www.malekal.com/tutorial-gmer/

    Désactive tes logiciels de protection (antivirus, antispyware etc) et ferme tous les programmes ouverts.
    Double-clic sur le fichier GMER téléchargé.
    [b]IMPORTANT:/b Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
    Clic sur l'onglet "rootkit"
    Laisse tout coché.
    Clic sur Scan
    Lorsque le scan est terminé, clic sur "Copy"

    Ouvre le bloc-note et clic sur le Menu Edition / Coller
    Le rapport doit alors apparaître.
    Enregistre le fichier sur ton bureau et copie/colle le contenu ici.
    0
    1. Denis
       
      Salut !

      J'ai enfin tous les fichiers.
      Merci encore pour ton aide !
      OTL.txt dans :
      http://www.cijoint.fr/cjlink.php?file=cj201006/cijHZiIRS4.txt
      Extra.txt
      http://www.cijoint.fr/cjlink.php?file=cj201006/cijWYFlbxR.txt

      et le rapport de gmer :

      GMER 1.0.15.15281 - http://www.gmer.net
      Rootkit scan 2010-06-20 19:46:39
      Windows 5.1.2600 Service Pack 3
      Running: id77j9wn.exe; Driver: C:\DOCUME~1\JEAN-M~1\LOCALS~1\Temp\uflirfow.sys


      ---- System - GMER 1.0.15 ----

      SSDT BA27A49B ZwDeleteKey
      SSDT BA27A4A5 ZwDeleteValueKey
      SSDT BA27A4AA ZwLoadKey
      SSDT BA27A4B4 ZwReplaceKey
      SSDT BA27A4AF ZwRestoreKey

      ---- Kernel code sections - GMER 1.0.15 ----

      PAGE Ntfs.sys F7B77E55 4 Bytes CALL 89F3A9B9

      ---- User code sections - GMER 1.0.15 ----

      .text C:\WINDOWS\Explorer.EXE[432] ntdll.dll!NtQueryDirectoryFile + 6 7C91D774 4 Bytes [90, 61, C1, 00]
      ? C:\WINDOWS\system32\svchost.exe[3448] image checksum mismatch; time/date stamp mismatch;

      ---- User IAT/EAT - GMER 1.0.15 ----

      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!RegQueryValueExW] 81EC8B55
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorDacl] 000208EC
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!SetEntriesInAclW] 56565300
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorGroup] 01B1C033
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorOwner] 000100BE
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!InitializeSecurityDescriptor] D1B60F00
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!GetTokenInformation] F8158488
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!OpenProcessToken] 8AFFFFFE
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!OpenThreadToken] 80E280D1
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!SetServiceStatus] F8058C88
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!RegisterServiceCtrlHandlerW] 40FFFFFD
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!RegCloseKey] D21ADAF6
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!RegOpenKeyExW] E280D98A
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!StartServiceCtrlDispatcherW] 32DB021B
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!WideCharToMultiByte] B60F0040
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!lstrlenW] 18E2C1D1
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!LocalFree] D18A1089
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetCurrentProcess] 8380E280
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetCurrentThread] DAF604C0
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetProcAddress] E280D21A
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!LoadLibraryExW] 32C9021B
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!LCMapStringW] 6A000040
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!FreeLibrary] C9335B63
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!lstrcpyW] 94B81D89
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!ExpandEnvironmentStringsW] 0F410040
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!lstrcmpiW] F80D84B6
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!ExitProcess] 8DFFFFFE
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetCommandLineW] FFFEF795
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!InitializeCriticalSection] 8AD02BFF
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetProcessHeap] D0C28A12
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!SetErrorMode] D0D032C0
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!SetUnhandledExceptionFilter] D0D032C0
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!RegisterWaitForSingleObject] D0D032C0
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!InterlockedCompareExchange] 32C232C0
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!LoadLibraryA] C0B60FC3
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!QueryPerformanceCounter] B88D0489
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetTickCount] 89004094
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetCurrentThreadId] C4E0850C
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetCurrentProcessId] 3B410040
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetSystemTimeAsFileTime] 33C47CCE
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!TerminateProcess] 00FFBFC9
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!UnhandledExceptionFilter] 918A0000
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!LocalAlloc] [004094B8] C:\WINDOWS\system32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!lstrcmpW] 8024C28A
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!DelayLoadFailureHook] C01AD8F6
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!NtQuerySecurityObject] C332DB02
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlFreeHeap] 8AF0B60F
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!NtOpenKey] 40C4E099
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!wcscat] D2B60F00
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!wcscpy] E0C1C68B
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlAllocateHeap] C1C23308
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlCompareUnicodeString] C23308E0
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlInitUnicodeString] 3308E0C1
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlInitializeSid] 89C233C6
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlLengthRequiredSid] 40C0E081
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlSubAuthoritySid] 08C8C100
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!NtClose] BCE08189
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlSubAuthorityCountSid] C8C10040
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlGetDaclSecurityDescriptor] E0818908
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlQueryInformationAcl] C10040B8
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlGetAce] 818908C8
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlImageNtHeader] [0040B4E0] C:\WINDOWS\system32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!wcslen] 2674DB84
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlUnhandledExceptionFilter] 0395B60F
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlCopySid] 0FFFFFFF
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIfEx] FEF80584
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!RpcMgmtWaitServerListen] C203FFFF
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!RpcMgmtSetServerStackSize] F7F78B99
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIf] 84B60FFE
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!RpcServerListen] FFFDF815
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!RpcServerUseProtseqEpW] FC4589FF
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!RpcServerRegisterIf] 658304EB
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!I_RpcMapWin32Status] DB8400FC
      IAT C:\WINDOWS\system32\svchost.exe[3448] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!RpcMgmtStopServerListening] B60F2674

      ---- Devices - GMER 1.0.15 ----

      Device \FileSystem\Ntfs \Ntfs 898D30B8

      AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

      ---- Registry - GMER 1.0.15 ----

      Reg HKLM\SYSTEM\CurrentControlSet\Services\ukgzqxk@Type 1
      Reg HKLM\SYSTEM\CurrentControlSet\Services\ukgzqxk@Start 0
      Reg HKLM\SYSTEM\CurrentControlSet\Services\ukgzqxk@ErrorControl 0
      Reg HKLM\SYSTEM\CurrentControlSet\Services\ukgzqxk@Group Boot Bus Extender

      ---- EOF - GMER 1.0.15 ----
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Ce qui est sûr c'est que tu as été infecté.
    Mais çe ne semble plus actif.

    Tu as tjrs le problème de svchost qui bouffe toute la CPU ?

    Si c'est le cas, tente ça :

    Télécharge ce zip : http://sd-2.archive-host.com/membres/up/200691265947653694/svchost.zip
    Tu le décompresse dans C:\
    pour avoir C:\svchost.exe

    Assure toi que c'est bien le cas sinon ça va pas marcher.

    * Telecharge:: http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
    -> http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

    * dezippe le , Lance l'épée , executer en tant qu'administrateur sous vista

    Dans le cadre , sous Input Script here , copie_colle le contenu du cadre ci dessous et clic execute:

    begin copying here:
    Drivers to delete:
    ukgzqxk
    Files to move:
    c:\svchost.exe | C:\Windows\System32\svchost.exe


    * Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
    0
    1. Denis
       
      Salut !
      Oui en effet le svchost me bouffe toujours 70à 90% de la CPU.
      Je fais les manip de suite !
      Encore merci a toi pour le temps consacré !
      0
    2. Denis
       
      salut !

      Voici ce que me génère avenger.
      Je suis administrateur de mon pc (sauf erreur de ma part, si comment je dois faire pour l'etre ?) et le message d'erreur dans le .txt ci-dessous me ferrait dire c'est n'est pas le cas sauf si c'est autre chose :

      Logfile of The Avenger Version 2.0, (c) by Swandog46
      http://swandog46.geekstogo.com

      Platform: Windows XP

      *******************

      Script file opened successfully.
      Script file read successfully.

      Backups directory opened successfully at C:\Avenger

      *******************

      Beginning to process script file:

      Rootkit scan active.
      No rootkits found!

      Driver "ukgzqxk" deleted successfully.

      Error: file "C:\Windows\System32\svchost.exe" is whitelisted
      File move operation "c:\svchost.exe|C:\Windows\System32\svchost.exe" failed!
      Status: 0xc0000022 (STATUS_ACCESS_DENIED)


      Completed script processing.

      *******************

      Finished! Terminate.
      0
    3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      il y a un accès plus haut qu'administrateur.

      Bon The Avenger veux pas toucher à svchost.exe à cause de la whitelist.

      Tu peux faire une capture du gestionnaire de tâches triés par la colonne CPU stp
      tu mets la capture là http://www.cijoint.fr/ et tu files le lien.

      Réouvre GMER.
      Vas dans l'onglet Files.
      Navigue dans les dossiers jusqu'à C:\Windows\System32\svchost.ex
      Sélectionne C:\Windows\System32\svchost.ex
      clic sur copy et vas sur ton bureau
      dans le nom du fichier tu mets zinzin

      scanne zinzin sur https://www.virustotal.com/gui/
      donne le lien de scan ici.
      0
    4. Denis
       
      Salut :

      Voici le scan du fichier :
      analisis/6234155d6c02c67689744d21380b17db5fe395bc8622c71b046e40ca1767785a-1277069489

      et le lien pour le snapshot du CPU utilisé dans le process :
      http://www.cijoint.fr/cjlink.php?file=cj201006/cijuRqpydC.png

      Merci !
      0
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Tu peux supprimer ce fichier : c:\windows\system32\drivers\ukgzqxk.sys?

    Si c'est pas le cas :
    * Telecharge:: http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
    -> http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

    * dezippe le , Lance l'épée , executer en tant qu'administrateur sous vista

    Dans le cadre , sous Input Script here , copie_colle le contenu du cadre ci dessous et clic execute:

    begin copying here:
    Drivers to delete:
    ukgzqxk
    Files to delete:
    c:\windows\system32\drivers\ukgzqxk.sys


    * Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

    svchost.exe est tjrs à fond la caisse ?

    Rise Against rules :D
    0
    1. Denis
       
      Salut !

      Au moment au j'allais supprimer ukgzqxk.sys, Antivir me l'a detecté comme Chevale de Troie.
      Je les mis en 40aine. Mon svchot n'est plus a fond, je dirais meme il est à 0%.
      Merci pour tout le temps consacré, nickel !

      Du coup comment je pourrais me prémunir d'un nouvel emballement de svchost qui si j'ai bien compris veut tout et rien dire puisque les logiciels malveillants tournent sous ce nom !
      J'ai antivir et le firewall Windows. Penses tu que c'est efficace ? Ou aurais des suggestions a me faire !


      Bonne soiree a toi et heureusement que des passionnés comme toi nous aident pour des pblm aussi complexe !
      0
  8. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    :)

    Si Antivir a bien viré le zinzin et ne fais plus d'alertes (fais un scan avec le scan rootkit quand tu auras le temps ) :)

    Maintiens tes logiciel à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
    Absolument à faire.

    Pour désinstaller Combofix :
    - Menu Démarrer / exécuter et tape : Combofix /uninstall puis OK (attention il y a pas d'espace entre le / et le uninstall)

    Un peu de lecture pour éviter les infections :
    - connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
    - sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html
    0