Bonjour, C'est après de nombreuses et vaines tentatives que je vous écrit. Depuis 2 mois environ mon pc rame à cause d'un Svchost.exe qui me prends toute la mémoire et le CPU. J'ai bien tenté ce que la loupiote proposait dans ce post : https://forums.commentcamarche.net/forum/affich-2985386-svchost-exe-processeur-100-la-solution?page=5 mais cela n'a malheureusement pas marché, ni le fait d'enlever les MàJ auto de Office 2007. J'ai un Lenovo Ideapad S-10 2 avec XP. En espérant que vous pourrez m'aider. Cordialement

salut il semblerait que tu aies des ouvertures qui facilitent l'infection Virut Télécharge ici :OTL &#9654 enregistre le sur ton Bureau. si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." sur OTL.exe pour le lancer. &#9654 => Clique ici pour voir la Configuration &#9654Clic sur Analyse. A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt). Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt) &#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long) Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ &#9654 Clique sur Parcourir et cherche le fichier ci-dessus. &#9654 Clique sur Ouvrir. &#9654 Clique sur "Cliquez ici pour déposer le fichier". juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra : http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt &#9654 Copie ce lien dans ta réponse. &#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

Svchost.exe et CPU à 100%

Réponse 21 / 47

Utilisateur anonyme
16 juil. 2011 à 12:41

salut il semblerait que tu aies des ouvertures qui facilitent l'infection Virut

Télécharge ici :OTL

▶ enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.

▶ => Clique ici pour voir la Configuration

▶Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

▶ Copie ce lien dans ta réponse.

▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

Réponse 22 / 47

Popovff Messages postés 26 Date d'inscription dimanche 10 juillet 2011 Statut Membre Dernière intervention 25 juillet 2011
16 juil. 2011 à 13:42

http://www.cijoint.fr/cjlink.php?file=cj201107/cij97tv35v.txt

http://www.cijoint.fr/cjlink.php?file=cj201107/cijzCUYztA.txt

Réponse 23 / 47

Utilisateur anonyme
16 juil. 2011 à 13:57

desinstalle google toolbar for internet explorer
desinstalle Java 6 update 14
desinstalle Adobe Reader 9.3.1

===================================

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.

▶Copie la liste qui se trouve en gras ci-dessous,

▶ colle-la dans la zone sous "Personnalisation" :

:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}:6.0.14
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
O2 - BHO: () - {A3C3ECEF-F82D-179F-F474-EF31055E4512} - File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Java Plug-in 1.6.0_14)
O16 - DPF: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Java Plug-in 1.6.0_14)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Java Plug-in 1.6.0_14)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O18 - Protocol\Handler\ipp - No CLSID value found
O18 - Protocol\Handler\msdaipp - No CLSID value found
O37 - HKU\.DEFAULT\...exe [@ = exefile] -- "C:\Documents and Settings\NetworkService\Local Settings\Application Data\jmq.exe" -a "%1" %*

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications"=0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications"=0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"14462:TCP"=-
"16297:TCP"=-
"62580:TCP"=-
"61233:TCP"=-

:Files
C:\Documents and Settings\LocalService\Local Settings\Application Data\qw0j6rj2eh126b41tbg4561cs4qy0b8ai286q3u8rph5
C:\Documents and Settings\NetworkService\Local Settings\Application Data\qw0j6rj2eh126b41tbg4561cs4qy0b8ai286q3u8rph5
C:\WINDOWS\System32\gpiyfwca.dat
C:\WINDOWS\System32\yqucrciz.dat
C:\WINDOWS\System32\egbuunvg.dat
C:\WINDOWS\System32\doazpfzh.dat
C:\WINDOWS\System32\mipwlhep.dat
C:\WINDOWS\System32\pjwztese.dat
C:\WINDOWS\System32\rzwimpiw.dat
C:\WINDOWS\System32\lhiozhbv.dat

:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]

▶ Clique sur "Correction" pour lancer la suppression.

▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

Réponse 24 / 47

Popovff Messages postés 26 Date d'inscription dimanche 10 juillet 2011 Statut Membre Dernière intervention 25 juillet 2011
16 juil. 2011 à 18:31

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
Process msnmsgr.exe killed successfully!
No active process named Teatimer.exe was found!
========== OTL ==========
Prefs.js: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}:6.0.14 removed from extensions.enabledItems
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@Apple.com/iTunes,version=\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A3C3ECEF-F82D-179F-F474-EF31055E4512}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A3C3ECEF-F82D-179F-F474-EF31055E4512}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully.
Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {E2883E8F-472F-4FB0-9522-AC9BF37916A7}
C:\WINDOWS\Downloaded Program Files\gp.inf not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\ipp\ deleted successfully.
File Protocol\Handler\ipp - No CLSID value found not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\msdaipp\ deleted successfully.
File Protocol\Handler\msdaipp - No CLSID value found not found.
Registry key HKEY_USERS\.DEFAULT\Software\Classes\.exe\ deleted successfully.
Registry key HKEY_USERS\.DEFAULT\Software\Classes\exefile\ deleted successfully.
HKEY_LOCAL_MACHINE\Software\Classes\.exe\\|exefile /E : value set successfully!
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\\"DisableNotifications"|0 /E : value set successfully!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\\"DisableNotifications"|0 /E : value set successfully!
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\\14462:TCP deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\\16297:TCP deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\\62580:TCP deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\\61233:TCP deleted successfully.
========== FILES ==========
C:\Documents and Settings\LocalService\Local Settings\Application Data\qw0j6rj2eh126b41tbg4561cs4qy0b8ai286q3u8rph5 moved successfully.
C:\Documents and Settings\NetworkService\Local Settings\Application Data\qw0j6rj2eh126b41tbg4561cs4qy0b8ai286q3u8rph5 moved successfully.
C:\WINDOWS\System32\gpiyfwca.dat moved successfully.
C:\WINDOWS\System32\yqucrciz.dat moved successfully.
C:\WINDOWS\System32\egbuunvg.dat moved successfully.
C:\WINDOWS\System32\doazpfzh.dat moved successfully.
C:\WINDOWS\System32\mipwlhep.dat moved successfully.
C:\WINDOWS\System32\pjwztese.dat moved successfully.
C:\WINDOWS\System32\rzwimpiw.dat moved successfully.
C:\WINDOWS\System32\lhiozhbv.dat moved successfully.
========== COMMANDS ==========
Restore points cleared and new OTL Restore Point set!

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->Flash cache emptied: 321 bytes

User: Flo
->Temp folder emptied: 1438647 bytes
->Temporary Internet Files folder emptied: 74792486 bytes
->Java cache emptied: 13079 bytes
->FireFox cache emptied: 44030948 bytes
->Flash cache emptied: 3172 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 6679693 bytes
->Flash cache emptied: 1483 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 4626429 bytes
->Java cache emptied: 13094 bytes
->Flash cache emptied: 10123 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2142714 bytes
%systemroot%\System32 .tmp files removed: 2577 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 33509 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 10898519 bytes
RecycleBin emptied: 698558606 bytes

Total Files Cleaned = 804,00 mb

OTL by OldTimer - Version 3.2.26.1 log created on 07162011_182620

Files\Folders moved on Reboot...
File\Folder C:\Documents and Settings\Flo\Local Settings\Temp\Perflib_Perfdata_9f0.dat not found!
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\J52R3H3D\fr_iad[2].htm moved successfully.
File\Folder C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\J52R3H3D\fr_msn_com[1].htm not found!
File\Folder C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\HTDYH8UT\01[1].htm not found!
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\HTDYH8UT\B5518314[1].htm moved successfully.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\HTDYH8UT\Include[1].htm moved successfully.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\HTDYH8UT\Sync[1].htm moved successfully.

Registry entries deleted on Reboot...

Réponse 25 / 47

Utilisateur anonyme
16 juil. 2011 à 18:35

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

▶ Télécharge ici :

Malwarebytes

▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

▶ Potasses le Tuto pour te familiariser avec le prg :

( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

▶ Lance Malwarebyte's .

Fais un examen dit "Complet" .

▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

Réponse 26 / 47

Popovff Messages postés 26 Date d'inscription dimanche 10 juillet 2011 Statut Membre Dernière intervention 25 juillet 2011
16 juil. 2011 à 20:20

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7162

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

16/07/2011 20:12:08
mbam-log-2011-07-16 (20-12-08).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 218479
Temps écoulé: 1 heure(s), 1 minute(s), 46 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Qoobox\quarantine\C\WINDOWS\system32\sshnas21.dll.vir (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.

Réponse 27 / 47

Utilisateur anonyme
16 juil. 2011 à 20:26

ok quels soucis persistent ?

Réponse 28 / 47

Popovff Messages postés 26 Date d'inscription dimanche 10 juillet 2011 Statut Membre Dernière intervention 25 juillet 2011
16 juil. 2011 à 20:33

Toujours le même ... un programme svchost.exe se lance au bout de 10 min et me prends tout le CPU (entre 50 et 95%). du coup je rame comme pas possible

Réponse 29 / 47

Utilisateur anonyme
16 juil. 2011 à 20:48

on doit avoir du tdss dans explorer....

▶ Télécharge Dr Web CureIt sur ton Bureau :

▶ redemarre en mode sans échec

▶- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;

▶- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.

Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".

▶- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
▶- De retour à la fenêtre principale : clique pour activer <Analyse complète>

selectionne tous les disques

▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv

▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses

ensuite :

tu m'envoies l'archive comme ceci :

clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

▶- Ferme Dr.Web Cureit
▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).

Réponse 30 / 47

Popovff Messages postés 26 Date d'inscription dimanche 10 juillet 2011 Statut Membre Dernière intervention 25 juillet 2011
18 juil. 2011 à 00:22

http://www.cijoint.fr/cjlink.php?file=cj201107/cijzhNRZeU.zip

Réponse 31 / 47

Utilisateur anonyme
18 juil. 2011 à 00:25

supprime combofix , retelecharge-le et repasse-le stp

Réponse 32 / 47

Popovff Messages postés 26 Date d'inscription dimanche 10 juillet 2011 Statut Membre Dernière intervention 25 juillet 2011
18 juil. 2011 à 20:29

ComboFix 11-07-17.03 - Flo 18/07/2011 0:35.4.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1033.18.1014.534 [GMT 2:00]
Running from: c:\documents and settings\Flo\Desktop\Florent.exe
* Created a new restore point
.
.
((((((((((((((((((((((((( Files Created from 2011-06-17 to 2011-07-17 )))))))))))))))))))))))))))))))
.
.
2011-07-17 15:20 . 2011-07-17 15:20 -------- d-----w- c:\documents and settings\Flo\DoctorWeb
2011-07-17 15:16 . 2011-07-17 15:17 -------- d-----w- c:\documents and settings\Administrator
2011-07-16 16:26 . 2011-07-16 16:26 -------- d-----w- C:\_OTL
2011-07-12 19:43 . 2011-07-12 20:47 -------- d-----w- C:\Florent
2011-07-12 18:32 . 2011-07-17 18:05 -------- d-----w- c:\program files\Ad-Remover
2011-07-10 18:03 . 2011-07-11 19:43 -------- d-----w- C:\Kill'em
2011-07-10 16:26 . 2011-07-10 16:27 -------- d-----w- c:\program files\Microsoft Works
2011-07-10 16:14 . 2011-07-10 16:14 -------- d-----w- c:\program files\Microsoft Visual Studio 8
2011-07-10 16:12 . 2011-07-10 16:26 -------- d-----w- c:\windows\SHELLNEW
2011-07-10 16:11 . 2011-07-10 16:11 -------- d-----r- C:\MSOCache
2011-07-09 17:49 . 2001-08-17 10:12 97354 ----a-w- c:\windows\system32\dllcache\aspndis3.sys
2011-07-09 17:49 . 2001-08-17 11:51 14848 ----a-w- c:\windows\system32\dllcache\asc3550.sys
2011-07-09 17:49 . 2001-08-17 11:52 22400 ----a-w- c:\windows\system32\dllcache\asc3350p.sys
2011-07-09 17:49 . 2001-08-17 11:52 26496 ----a-w- c:\windows\system32\dllcache\asc.sys
2011-07-09 17:47 . 2001-08-17 10:19 584448 ----a-w- c:\windows\system32\dllcache\adm8810.sys
2011-07-09 17:46 . 2001-08-17 12:56 66048 ----a-w- c:\windows\system32\dllcache\s3legacy.dll
2011-07-06 20:14 . 2011-07-06 20:14 -------- d-----w- c:\program files\iPod
2011-07-04 14:54 . 2011-07-04 14:54 72192 ----a-w- c:\windows\system32\tasklist.exe
2011-06-26 17:48 . 2011-07-10 18:01 -------- d-----w- c:\documents and settings\All Users\Application Data\AVAST Software
2011-06-26 17:48 . 2011-06-26 17:48 -------- d-----w- c:\program files\AVAST Software
2011-06-26 17:05 . 2011-06-26 17:05 -------- d-----w- c:\documents and settings\All Users\Application Data\{AB2D8F2E-F7AD-4446-A11A-50D846B2CF2A}
2011-06-26 16:38 . 2011-06-26 16:38 -------- d-----w- c:\documents and settings\Flo\Application Data\Uniblue
2011-06-26 16:37 . 2011-06-26 16:37 -------- d-----w- c:\program files\Uniblue
2011-06-26 16:36 . 2011-06-26 16:36 -------- d-----w- c:\documents and settings\Flo\Local Settings\Application Data\PackageAware
2011-06-26 14:49 . 2011-06-26 14:49 -------- d-----w- c:\program files\CCleaner
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-06 17:52 . 2011-05-15 10:06 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-07-06 17:52 . 2011-05-15 10:06 22712 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-05-10 06:06 . 2009-09-30 20:12 4517664 ----a-w- c:\windows\system32\usbaaplrc.dll
2011-05-10 06:06 . 2009-09-30 20:12 42496 ----a-w- c:\windows\system32\drivers\usbaapl.sys
2011-05-02 15:31 . 2006-07-28 18:03 692736 ----a-w- c:\windows\system32\inetcomm.dll
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
.
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\VeriFace Enc]
@="{771C7324-DA80-49D3-8017-753B0AF60951}"
[HKEY_CLASSES_ROOT\CLSID\{771C7324-DA80-49D3-8017-753B0AF60951}]
2009-09-20 16:32 241752 ----a-w- c:\windows\system32\IcnOvrly.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-03-09 26100520]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-04-09 1512744]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-28 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-28 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-28 137752]
"BisonMnt"="c:\windows\BisonC07\BisonM07.exe" [2008-10-14 32768]
"VeriFaceManager"="c:\program files\Lenovo\VeriFaceIII\PManage.exe" [2009-09-20 323584]
"EnergyUtility"="c:\program files\Lenovo\Energy Management\utility.exe" [2009-01-04 4462464]
"itype"="c:\program files\Microsoft IntelliType Pro\itype.exe" [2009-06-01 1501064]
"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2010-12-14 47904]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]
.
c:\documents and settings\All Users\Start Menu\Programs\Startup\
Bluetooth.lnk - c:\program files\Lenovo\Bluetooth Software\BTTray.exe [2009-1-17 604776]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PicNotify]
2009-09-20 16:32 1167360 ----a-w- c:\windows\system32\PicNotify.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 0
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Java\\jre6\\launch4j-tmp\\crazyloader.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
.
R2 DvmMDES;DeviceVM Meta Data Export Service;c:\qstart.sys\config\DVMExportService.exe [26/03/2009 19:20 315392]
R2 System_Repair_UpdateMonitor;System Repair Windows Update Monitor;c:\program files\Lenovo\OneKey App\System Repair\UpdateMonitor.exe [19/08/2009 13:19 430080]
R2 tvtumon;tvtumon;c:\windows\system32\drivers\tvtumon.sys [19/08/2009 13:19 48192]
R3 ACPIVPC;Lenovo Virtual Power Controller Driver;c:\windows\system32\drivers\AcpiVpc.sys [20/09/2009 18:39 9472]
S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys --> c:\windows\system32\DRIVERS\Lbd.sys [?]
S2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [18/05/2010 19:14 136176]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [19/08/2009 13:11 1684736]
S3 gupdatem;Google Update Service (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [18/05/2010 19:14 136176]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [15/05/2011 12:06 41272]
S3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys --> c:\windows\system32\Drivers\RtsUStor.sys [?]
S3 RtsUIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys --> c:\windows\system32\DRIVERS\Rts516xIR.sys [?]
S3 WSVD;WSVD;c:\windows\system32\drivers\WSVD.sys [19/08/2009 13:18 81192]
.
Contents of the 'Scheduled Tasks' folder
.
2011-07-06 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 19:34]
.
2011-07-17 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-05-18 17:13]
.
2011-07-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-05-18 17:13]
.
2009-10-03 c:\windows\Tasks\Microsoft_Hardware_Launch_IType_exe.job
- c:\program files\Microsoft IntelliType Pro\itype.exe [2009-06-01 20:43]
.
.
------- Supplementary Scan -------
.
uInternet Settings,ProxyOverride = *.local
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_43C348BC2E93EB2B.dll/cmsidewiki.html
IE: Send to &Bluetooth Device... - c:\program files\Lenovo\Bluetooth Software\btsendto_ie_ctx.htm
IE: Send To Bluetooth - c:\program files\Lenovo\Bluetooth Software\btsendto_ie.htm
TCP: DhcpNameServer = 212.27.40.240 212.27.40.241
FF - ProfilePath - c:\documents and settings\Flo\Application Data\Mozilla\Firefox\Profiles\p7v2whn7.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-07-18 00:42
Windows 5.1.2600 Service Pack 3 NTFS
.
scanning hidden processes ...
.
scanning hidden autostart entries ...
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
BisonMnt = c:\windows\BisonC07\BisonM07.exe????????????????????????????????????????????????????????????????????????????????h5??????????????????????????????????????????????????????'????v?|???????????? ???????????x????x?|?????y!????????????????|?????????????????X?w???
.
scanning hidden files ...
.
scan completed successfully
hidden files: 0
.
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
.
- - - - - - - > 'winlogon.exe'(856)
c:\windows\system32\PicNotify.dll
c:\windows\system32\FaceVerify.dll
c:\windows\system32\MainOp.dll
c:\windows\system32\VideoOp.dll
c:\windows\system32\Image.dll
c:\windows\system32\Momo.dll
c:\windows\system32\Apblend.dll
c:\windows\system32\SetDev.dll
c:\windows\system32\FunFrm.dll
c:\windows\system32\facev.dll
c:\windows\system32\3DImageRenderer.dll
c:\windows\system32\d3dx9_35.dll
c:\windows\system32\DevIL.dll
c:\windows\system32\ILU.dll
c:\windows\system32\CamOpex.dll
c:\windows\system32\WMVCore.DLL
c:\windows\system32\WMASF.DLL
c:\windows\system\BisonC07.dll
.
- - - - - - - > 'explorer.exe'(2636)
c:\windows\system32\WININET.dll
c:\windows\system32\IcnOvrly.dll
c:\windows\system32\btmmhook.dll
c:\windows\system32\ieframe.dll
.
Completion time: 2011-07-18 00:44:57
ComboFix-quarantined-files.txt 2011-07-17 22:44
ComboFix2.txt 2011-07-16 10:17
ComboFix3.txt 2011-07-13 18:19
ComboFix4.txt 2011-07-12 20:42
.
Pre-Run: 28 725 755 904 bytes free
Post-Run: 28 794 400 768 bytes free
.
- - End Of File - - 2BF13C15B9E8C6977C52578F4502E2CE

Popovff Messages postés 26 Date d'inscription dimanche 10 juillet 2011 Statut Membre Dernière intervention 25 juillet 2011
18 juil. 2011 à 21:45

Il semblerait que DrWeb ait bien fonctionné. Il a viré un "virus" (j'utilise ce mot à défaut) utilisant en effet svchost.exe et venant de IE. Avec les rapport peux tu déterminer ce que c'était ? et si oui m'en dire un peu plus et comment éviter de le rechoper ? Merci beaucoup en tout cas !

Réponse 33 / 47

Utilisateur anonyme
19 juil. 2011 à 04:36

c'est quoi ce dossier ?

c:\qstart.sys

Réponse 34 / 47

Popovff Messages postés 26 Date d'inscription dimanche 10 juillet 2011 Statut Membre Dernière intervention 25 juillet 2011
20 juil. 2011 à 20:31

Dossier de 692mb qui apparemment sert au quick start des ordi lenovo.

Réponse 35 / 47

Utilisateur anonyme
20 juil. 2011 à 22:21

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

c:\windows\system32\Momo.dll

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

Réponse 36 / 47

Popovff Messages postés 26 Date d'inscription dimanche 10 juillet 2011 Statut Membre Dernière intervention 25 juillet 2011
21 juil. 2011 à 20:13

http://www.virustotal.com/file-scan/report.html?id=1285c5ef9bb6b39538335b8d2c0a1a990e04ae6e46f03db559df686bed0ee0df-1311271598

Réponse 37 / 47

Utilisateur anonyme
21 juil. 2011 à 20:38

ton CPU est toujours à 100% ?

Réponse 38 / 47

Popovff Messages postés 26 Date d'inscription dimanche 10 juillet 2011 Statut Membre Dernière intervention 25 juillet 2011
21 juil. 2011 à 20:53

non c'est bon je suis retombé à 4% / 11% depuis le passage de DrWeb ! je te remercie donc grandement !!!!!

Réponse 39 / 47

Utilisateur anonyme
21 juil. 2011 à 21:06

pourtant il a rien viré d'actif.....

Réponse 40 / 47

Popovff Messages postés 26 Date d'inscription dimanche 10 juillet 2011 Statut Membre Dernière intervention 25 juillet 2011
21 juil. 2011 à 21:17

pendant la premiere analyse "rapide" oui. Mais il n'y a pas de rapport et c'était un nom du style "explorer.svchost.exe"

Svchost.exe et CPU à 100%

47 réponses

Discussions similaires

Newsletters