Cheval de troie. System32. Fermé

Question

Bonjour, je suis aujourd'hui en possétion d'un ordinateur portable HP compaq6715b. 
Et j'ai depuis quelque jour un message d'execution d'une application qui s'ouvre souvent. Avec comme nom : Svchost.
Et aujourd'hui en allumant mon ordinateur. Ma webcam c'est allumé toute seule avec aucun programme ouvert. Je ne sais pas trop quoi faire. J'ai Avast gratuit ainsi que spyware terminator.
Merci de votre aide.

Configuration: Windows XP / Safari 534.10

archet9 · Answer

Bonjour et bonnes fêtes...

Pour un diagnostic du pc: 

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions. 

/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur » 

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. 
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix) 
- Clique sur la loupe pour lancer l'analyse. 
- Laisse l'outil travailler, il peut être assez long. 
- Ferme ZHPDiag en fin d'analyse. 
- Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ 
- Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 
- Sélectionne le fichier ZHPDiag.txt. 
- Clique sur "Cliquez ici pour déposer le fichier". 
- Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page. 
- Copie ce lien dans ta réponse.

Kuschina · Answer

http://www.cijoint.fr/cjlink.php?file=cj201012/cijjPSRFZY.txt


Voici le lien obtenue en suivant la procédure.

archet9 · Answer

Effectivement, c'est bien bien vérolé !!!!

Télécharge ComboFix (de sUBs) sur ton Bureau. 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

* Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer. 
* Il va te demander d'installer la console de récupération : ACCEPTE !. 
* Ne touche pas au pc durant le scan. 
* Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse. 

Pour t'aider : Un Tutoriel sur l'utilisation de ComboFix (à lire avant de le lancer) 

-->> https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Kuschina · Answer

Alors, j'ai lancer combofix, l'analyse c'est faite normalement. Cependant lors de la suppression des fichier, arrivé a la suppression des fichier du system32, L'ordi c'est éteins d'un seul coup avec un écran bleu et des écriture blanche, et c'est ensuite rallumé tout seul. Et lorsque celui ci était sur le bureau allumé, il y a eu un message d'erreur disant : nous avons récupéré une erreur sérieuse. Je n'ai donc pas eu de de rapport. Et sous C:  je n'ai qu'une icone du poste de travail avec marquer combofix. je n'ai aucun dossier.

Kuschina · Answer

J'ai obtenue un rapport. Mais je n'arrive pas a le posté, du moin je ne le vois pas sur le fofo.
Je le poste donc sur un herbergeur : 

http://www.cijoint.fr/cjlink.php?file=cj201012/cij60B8FVn.txt

archet9 · Answer

Un nouveau ZHPdiag stp

Kuschina · Answer

http://www.cijoint.fr/cjlink.php?file=cj201012/cij83NQd3S.txt  

Le rapport de ZHPdiag.

archet9 · Answer

* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX) 
http://www.teamxscript.org/adremoverTelechargement.html 

/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\ 

Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

- Double-clique sur l'icône Ad-remover située sur ton Bureau. 
- Sur la page, clique sur le bouton « NETTOYER » 
- Confirme lancement du scan 
- Laisse travailler l'outil. 
- Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

Kuschina · Answer

======= RAPPORT D'AD-REMOVER 2.0.0.2,C | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 22/12/10 à 11:40
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 17:30:32 le 25/12/2010, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86) 
Amandine@AMANDINE ( ) 
 
============== ACTION(S) ==============

Service: "Application Updater" Stoppé et supprimé 

Fichier supprimé: C:\WINDOWS\system32\wgtmsrxzkqtxdbi.exe
Fichier supprimé: C:\Program Files\Mozilla FireFox\extensions\dealio@mybrowserbar.com
Fichier supprimé: C:\Program Files\Mozilla Firefox\extensions\searchsettings@spigot.com
Dossier supprimé: C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\kc81m28y.default\conduit
Dossier supprimé: C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\kc81m28y.default\ConduitEngine
Dossier supprimé: C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\kc81m28y.default\extensions\engine@conduit.com
Dossier supprimé: C:\Documents and Settings\Administrateur\Local Settings\Application Data\Conduit
Dossier supprimé: C:\Documents and Settings\Administrateur\Local Settings\Application Data\ConduitEngine
Dossier supprimé: C:\Program Files\ConduitEngine
Dossier supprimé: C:\Program Files\Application Updater
Dossier supprimé: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\live-player
Dossier supprimé: C:\Program Files\live-player
Dossier supprimé: C:\Documents and Settings\Administrateur\Application Data\PriceGong
Dossier supprimé: C:\Documents and Settings\Administrateur\Application Data\Search Settings
Dossier supprimé: C:\Documents and Settings\Administrateur\Application Data\EoRezo
Dossier supprimé: C:\Documents and Settings\Administrateur\Application Data\ItsLabel

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\kc81m28y.default\Prefs.js --
Ligne supprimée: user_pref("CT2542115.SearchEngine", "Recherche||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_... 
Ligne supprimée: user_pref("CT2542115.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT254... 
Ligne supprimée: user_pref("CT2786678.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT278... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://settings.toolbar.search.conduit.com/root/CT2786678/CT2786678... 
Ligne supprimée: user_pref("ConduitEngine.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=C... 
-- Fichier Fermé --
 

Clé supprimée: HKLM\Software\Classes\CLSID\{01D94331-9E09-4D5F-9598-B20F12E6CCC3}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{01D94331-9E09-4D5F-9598-B20F12E6CCC3}
Clé supprimée: HKLM\Software\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
Clé supprimée: HKLM\Software\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}
Clé supprimée: HKLM\Software\Classes\Interface\{D5A1EF9A-7948-435D-8B87-D6A598317288}
Clé supprimée: HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
Clé supprimée: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\wgtmsrxzkqtxdbi
Clé supprimée: HKLM\Software\Classes\EoRezoBHO.EoBho
Clé supprimée: HKLM\Software\Classes\EoRezoBHO.EoBho.1
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2542115
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2786678
Clé supprimée: HKLM\Software\EoRezo
Clé supprimée: HKLM\Software\Application Updater
Clé supprimée: HKLM\Software\Conduit
Clé supprimée: HKLM\Software\conduitEngine
Clé supprimée: HKLM\Software\Dealio
Clé supprimée: HKLM\Software\Freeze.com
Clé supprimée: HKLM\Software\Search Settings
Clé supprimée: HKCU\Software\Spointer
Clé supprimée: HKCU\Software\EoRezo
Clé supprimée: HKCU\Software\ItsLabel
Clé supprimée: HKCU\Software\Ask.com
Clé supprimée: HKCU\Software\AskToolbar
Clé supprimée: HKCU\Software\Conduit
Clé supprimée: HKCU\Software\conduitEngine
Clé supprimée: HKCU\Software\PriceGong
Clé supprimée: HKCU\Software\Search Settings
Clé supprimée: HKCU\Software\AppDataLow\Software\Dealio
Clé supprimée: HKU\.DEFAULT\Software\Conduit
Clé supprimée: HKU\.DEFAULT\Software\Dealio
Clé supprimée: HKU\.DEFAULT\Software\fcn
Clé supprimée: HKU\.DEFAULT\Software\Search Settings
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\live-player
Clé supprimée: HKLM\Software\Classes\Installer\Products\96DC878CBD58B624183A7E1157AABE19
Clé supprimée: HKLM\Software\Classes\Installer\Products\D82C50F59AED6DA47AA360145789E8BA
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\96DC878CBD58B624183A7E1157AABE19
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\D82C50F59AED6DA47AA360145789E8BA
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A71CAD41-907E-4FED-A3B6-A741B4A2E2BD}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{5F05C28D-DEA9-4AD6-A73A-064175988EAB}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{C878CD69-85DB-426B-81A3-E71175AAEB91}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}

Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{30F9B915-B755-4826-820B-08FBA6BD249D}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.0.19 (fr)] **

-- C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\kc81m28y.default\Prefs.js --
browser.download.lastDir, C:\Documents and Settings\Administrateur\Mes documents
browser.startup.homepage, hxxp://www.yougoo.fr/meteo
browser.startup.homepage_override.mstone, rv:1.9.0.19
keyword.URL, hxxp://www.yougoo.fr/meteo?search&q=

-- C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\kc81m28y.default\Prefs.js --
browser.download.lastDir, C:\Documents and Settings\Administrateur\Mes documents
browser.startup.homepage, hxxp://www.yougoo.fr/meteo
browser.startup.homepage_override.mstone, rv:1.9.0.19
keyword.URL, hxxp://www.yougoo.fr/meteo?search&q=

-- C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\kc81m28y.default\Prefs.js --
browser.download.lastDir, C:\Documents and Settings\Administrateur\Mes documents
browser.startup.homepage, hxxp://www.yougoo.fr/meteo
browser.startup.homepage_override.mstone, rv:1.9.0.19
keyword.URL, hxxp://www.yougoo.fr/meteo?search&q=

-- C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\kc81m28y.default\Prefs.js --
browser.download.lastDir, C:\Documents and Settings\Administrateur\Mes documents
browser.startup.homepage, hxxp://www.yougoo.fr/meteo
browser.startup.homepage_override.mstone, rv:1.9.0.19
keyword.URL, hxxp://www.yougoo.fr/meteo?search&q=

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 99 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 25/12/2010 (2755 Octet(s)) 

Fin à: 17:32:04, 25/12/2010 
 
============== E.O.F ==============

archet9 · Answer

Ok,

Kuschina · Answer

Je relance un scann de ZHP diag en gros ?

Cheval de troie. System32.

11 réponses

Discussions similaires

Newsletters