Processeur NTVDM svhost.exe

Résolu
yrez.com Messages postés 8 Statut Membre -  
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,
Je possède un mac sous lequel j'ai installer Parallels Desktop (forma Windows xp) depuis 5 mois et voilà maintenant qui depuis environ 3-4 heures, dès que j'allume Parallels Desktop, 3 fenêtres noires s'affichent à l'écran (C:/DOCUME-1/ADMINI-1/APPLIC-svhost.exe (/ est dans l'autre sens et "-" représente une petite vague)) ainsi qu'une indication (Sous-système MS-DOS 16 bits) m'indique : C:/DOCUME-1/ADMINI-1/APPLIC-svhost.exe Le processeur NTVDMa rencontré une instruction non autorisée. CS:0730 IP: 208b 0P:ff ff ff ff 0c Choisissez "Fermer" pour mettre fin à l'application.

J'ai vu que sur certain forum "svhost.exe" semblait être un virus et j'aimerais le supprimer, mais comment faire ?
Et comment supprimer que ces 3 fenêtres noires apparaissent sur l'écran à chaque démarrage ?

J'ai aussi fait des test avec avast (mon antivirus actuel sur Parallels Desktop) il semble avoir trouver des virus, je les supprime. Je relance un test pour voir si ils ne sont plus là, et je ne trouve rien, mais le problème avec svhost.exe persiste toujours, j'ai aussi fait un test Spyboot, sans avoir rien trouver de suspect.

12 réponses

  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    bonsoir

    Nous allons essayer de régler ton problème ensemble. D''abord, quelques rappels :

    ▶ N''ouvre pas d''autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
    ▶ N''hésite pas à poser des questions en cas de besoin ;)
    ▶ Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
    ▶ La désinfection va se dérouler en plusieurs étapes. Même si les symptômes de l''infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu''au bout, sinon ce qu''on a fait n''aura servi à rien.

    ETAPE 1/

    ▶ Télécharge sur le bureau RogueKiller (par tigzy)

    ▶ ▶ Sous Windows XP, double clic gauche

    ▶ ▶ Sous Vista/Seven, clique droit, lancer en tant qu''administrateur

    ▶ Quitte tous tes programmes en cours
    ▶ Lance RogueKiller.exe.
    ▶ Un scan se lance, puis tu verra d''indiqué dans la fenêtre
    ▶ ▶ 1. Recherche (écrit en vert)
    ▶ ▶ 2. Suppression(écrit en rouge)
    ▶ ▶ 3. Hosts RAZ (écrit en rouge)
    ▶ ▶ 4. Proxy RAZ (écrit en rouge)
    ▶ ▶ 5. DNS RAZ (écrit en rouge)
    ▶ ▶ 6. Raccourcis RAZ (écrit en rouge)
    ▶ ▶ 0. Quitter
    A ce moment tape 2 et valide

    ▶ Un rapport (RKreport1.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
    ▶ Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois ou a changer son nom en winlogon.exe

    ETAPE 2/

    ▶ Télécharge Reload_TDSSKiller

    ▶ Lance le

    choisis : lancer le nettoyage

    l'outil va automatiquement télécharger la derniere version puis

    TDSSKiller va s'ouvrir , clique sur "Start Scan" Clique ici pour l'aide en image

    Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
    Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
    Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
    Si Suspicious file est indiqué, laisse l''option cochée sur Skip
    une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

    sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

    ▶ Copie/Colle son contenu dans ta prochaine réponse.

    ETAPE 3/

    ▶ Télécharge MBAM et installe le selon l'emplacement par défaut
    https://www.malwarebytes.com/mwb-download/
    ▶ Effectue la mise à jour et lance Malwarebytes' Anti-Malware
    ▶ Clique dans l'onglet du haut "Recherche"
    ▶ Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
    ▶ Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

    A la fin de l'analyse, si MBAM n'a rien trouvé :

    ▶ Clique sur OK, le rapport s'ouvre spontanément

    Si des menaces ont été détectées :

    ▶ Clique sur OK puis "Afficher les résultats"
    ▶ Choisis l'option "Supprimer la sélection"
    ▶ Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
    ▶ Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
    ▶ Sinon le rapport s'ouvre automatiquement après la suppression

    Quelque soit le résultat, copie/colle le rapport dans le prochain message

    ▶ ▶ Si tu n''arrive pas à le mettre à jour, télécharge ce fichier , ferme MBAM, et exécute le

    ETAPE 4/

    Télécharge ZHPDiag

    ▶ Laisse toi guider lors de l''installation,coche "Ajouter une icône sur le bureau" et "Exécuter ZHPDiag"

    ▶ Clique sur l''icône représentant une loupe (« Lancer le diagnostic »)

    ▶ Une fois le scan aux 100%, ferme ZHPDiag. Héberge le rapport ZHPDiag.txt présent sur ton bureau :

    Voici comment procéder

    ▶ Rends toi sur pjjoint.malekal.com
    ▶ Clique sur le bouton Parcourir
    ▶ Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
    ▶ Clique sur le bouton Envoyer
    ▶ Un message de confirmation s''affiche (L''upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.

    A bientôt.
    1
  2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    l étape 4 : fichier vide.

    normalement t as plus de soucis?

    supprime spybot.
    1
  3. yrez.com Messages postés 8 Statut Membre
     
    Etape 1 :

    Rkreport :

    RogueKiller V5.3.4 [30/08/2011] par Tigzy
    contact sur https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Administrateur [Droits d'admin]
    Mode: Suppression -- Date : 02/09/2011 00:09:01

    Processus malicieux: 0

    Entrees de registre: 4
    [SUSP PATH] HKCU\[...]\Run : Windows Defender (C:\Documents and Settings\Administrateur\Application Data\svhost.exe) -> DELETED
    [SUSP PATH] HKLM\[...]\Run : Windows Defender (C:\Documents and Settings\Administrateur\Application Data\svhost.exe) -> DELETED
    [SUSP PATH] HKLM\[...]\Run : Windows Defender (C:\Documents and Settings\Administrateur\Application Data\svhost.exe) -> DELETED
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

    Fichiers / Dossiers particuliers:

    Fichier HOSTS:
    127.0.0.1 localhost
    127.0.0.1 .psf
    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com
    127.0.0.1 www.0scan.com
    127.0.0.1 0scan.com
    127.0.0.1 1000gratisproben.com
    127.0.0.1 www.1000gratisproben.com
    127.0.0.1 1001namen.com
    127.0.0.1 www.1001namen.com
    127.0.0.1 100888290cs.com
    127.0.0.1 www.100888290cs.com
    [...]

    Termine : << RKreport[1].txt >>
    RKreport[1].txt

    Etape 2 :

    Pour l'étape 2, la recherche n'a pas trouvée d'élément infectés et n'a pas donner de résultats.

    Etape 3 :

    Malwarebytes' Anti-Malware 1.51.1.1800
    www.malwarebytes.org

    Version de la base de données: 7632

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 7.0.5730.13

    02/09/2011 00:35:26
    mbam-log-2011-09-02 (00-35-26).txt

    Type d'examen: Examen complet (A:\|C:\|D:\|Z:\|)
    Elément(s) analysé(s): 200381
    Temps écoulé: 16 minute(s), 13 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 4
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CLASSES_ROOT\CLSID\{F6DE472D-C1DF-F23B-A1B4-EAFCCBCBD6E5} (Trojan.Agent) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{F6DE472D-C1DF-F23B-A1B4-EAFCCBCBD6E5} (Trojan.Agent) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{F6DE472D-C1DF-F23B-A1B4-EAFCCBCBD6E5} (Trojan.Agent) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\documents and settings\administrateur\application data\svhost.exe (Trojan.Agent) -> Quarantined and deleted successfully.

    Etape 4 :

    Le lien : https://pjjoint.malekal.com/files.php?read=i7h10i6n14v8q14b10i14v11q11s12d7t9n6u8c10q13y12m11v13
    0
  4. yrez.com Messages postés 8 Statut Membre
     
    Oups je n'avais pas fait attention, je n'avais pas vu, mais j'ai bien les résultats de l'étape 2 :

    2011/09/02 00:13:11.0015 3644 TDSS rootkit removing tool 2.5.17.0 Aug 22 2011 15:46:57
    2011/09/02 00:13:11.0203 3644 ================================================================================
    2011/09/02 00:13:11.0203 3644 SystemInfo:
    2011/09/02 00:13:11.0203 3644
    2011/09/02 00:13:11.0203 3644 OS Version: 5.1.2600 ServicePack: 3.0
    2011/09/02 00:13:11.0203 3644 Product type: Workstation
    2011/09/02 00:13:11.0203 3644 ComputerName: TOTOC996
    2011/09/02 00:13:11.0203 3644 UserName: Administrateur
    2011/09/02 00:13:11.0203 3644 Windows directory: C:\WINDOWS
    2011/09/02 00:13:11.0203 3644 System windows directory: C:\WINDOWS
    2011/09/02 00:13:11.0203 3644 Processor architecture: Intel x86
    2011/09/02 00:13:11.0203 3644 Number of processors: 1
    2011/09/02 00:13:11.0203 3644 Page size: 0x1000
    2011/09/02 00:13:11.0203 3644 Boot type: Normal boot
    2011/09/02 00:13:11.0203 3644 ================================================================================
    2011/09/02 00:13:11.0531 3644 Initialize success
    2011/09/02 00:13:15.0812 3600 ================================================================================
    2011/09/02 00:13:15.0812 3600 Scan started
    2011/09/02 00:13:15.0812 3600 Mode: Manual;
    2011/09/02 00:13:15.0812 3600 ================================================================================
    2011/09/02 00:13:16.0203 3600 Aavmker4 (dfcdd5936cad0138775d5a105d4c7716) C:\WINDOWS\system32\drivers\Aavmker4.sys
    2011/09/02 00:13:16.0265 3600 ac97intc (0f2d66d5f08ebe2f77bb904288dcf6f0) C:\WINDOWS\system32\drivers\ac97intc.sys
    2011/09/02 00:13:16.0281 3600 ACPI (e5e6dbfc41ea8aad005cb9a57a96b43b) C:\WINDOWS\system32\DRIVERS\ACPI.sys
    2011/09/02 00:13:16.0312 3600 ACPIEC (e4abc1212b70bb03d35e60681c447210) C:\WINDOWS\system32\drivers\ACPIEC.sys
    2011/09/02 00:13:16.0390 3600 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
    2011/09/02 00:13:16.0421 3600 AFD (355556d9e580915118cd7ef736653a89) C:\WINDOWS\System32\drivers\afd.sys
    2011/09/02 00:13:16.0828 3600 aswFsBlk (861cb512e4e850e87dd2316f88d69330) C:\WINDOWS\system32\drivers\aswFsBlk.sys
    2011/09/02 00:13:16.0906 3600 aswMon2 (7857e0b4c817f69ff463eea2c63e56f9) C:\WINDOWS\system32\drivers\aswMon2.sys
    2011/09/02 00:13:16.0906 3600 aswRdr (8db043bf96bb6d334e5b4888e709e1c7) C:\WINDOWS\system32\drivers\aswRdr.sys
    2011/09/02 00:13:16.0984 3600 aswSnx (17230708a2028cd995656df455f2e303) C:\WINDOWS\system32\drivers\aswSnx.sys
    2011/09/02 00:13:17.0000 3600 aswSP (dbedd9d43b00630966ef05d2d8d04cee) C:\WINDOWS\system32\drivers\aswSP.sys
    2011/09/02 00:13:17.0046 3600 aswTdi (984cfce2168286c2511695c2f9621475) C:\WINDOWS\system32\drivers\aswTdi.sys
    2011/09/02 00:13:17.0062 3600 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
    2011/09/02 00:13:17.0078 3600 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
    2011/09/02 00:13:17.0187 3600 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
    2011/09/02 00:13:17.0218 3600 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
    2011/09/02 00:13:17.0250 3600 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
    2011/09/02 00:13:17.0453 3600 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
    2011/09/02 00:13:17.0468 3600 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
    2011/09/02 00:13:17.0500 3600 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
    2011/09/02 00:13:17.0515 3600 Cdrom (4b0a100eaf5c49ef3cca8c641431eacc) C:\WINDOWS\system32\DRIVERS\cdrom.sys
    2011/09/02 00:13:17.0750 3600 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
    2011/09/02 00:13:17.0781 3600 dmboot (f5deadd42335fb33edca74ecb2f36cba) C:\WINDOWS\system32\drivers\dmboot.sys
    2011/09/02 00:13:17.0812 3600 dmio (5a7c47c9b3f9fb92a66410a7509f0c71) C:\WINDOWS\system32\drivers\dmio.sys
    2011/09/02 00:13:17.0828 3600 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
    2011/09/02 00:13:17.0843 3600 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
    2011/09/02 00:13:17.0890 3600 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
    2011/09/02 00:13:17.0906 3600 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
    2011/09/02 00:13:17.0937 3600 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
    2011/09/02 00:13:17.0937 3600 Fips (31f923eb2170fc172c81abda0045d18c) C:\WINDOWS\system32\drivers\Fips.sys
    2011/09/02 00:13:17.0953 3600 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
    2011/09/02 00:13:17.0968 3600 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
    2011/09/02 00:13:17.0968 3600 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
    2011/09/02 00:13:17.0984 3600 Ftdisk (a86859b77b908c18c2657f284aa29fe3) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
    2011/09/02 00:13:17.0984 3600 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
    2011/09/02 00:13:18.0000 3600 hamachi (833051c6c6c42117191935f734cfbd97) C:\WINDOWS\system32\DRIVERS\hamachi.sys
    2011/09/02 00:13:18.0015 3600 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
    2011/09/02 00:13:18.0031 3600 i8042prt (a09bdc4ed10e3b2e0ec27bb94af32516) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
    2011/09/02 00:13:18.0046 3600 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
    2011/09/02 00:13:18.0046 3600 IntelIde (4b6da2f0a4095857a9e3f3697399d575) C:\WINDOWS\system32\DRIVERS\intelide.sys
    2011/09/02 00:13:18.0062 3600 intelppm (ad340800c35a42d4de1641a37feea34c) C:\WINDOWS\system32\DRIVERS\intelppm.sys
    2011/09/02 00:13:18.0078 3600 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
    2011/09/02 00:13:18.0093 3600 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
    2011/09/02 00:13:18.0109 3600 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
    2011/09/02 00:13:18.0125 3600 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
    2011/09/02 00:13:18.0140 3600 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
    2011/09/02 00:13:18.0187 3600 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
    2011/09/02 00:13:18.0203 3600 isapnp (355836975a67b6554bca60328cd6cb74) C:\WINDOWS\system32\DRIVERS\isapnp.sys
    2011/09/02 00:13:18.0218 3600 Kbdclass (16813155807c6881f4bfbf6657424659) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
    2011/09/02 00:13:18.0250 3600 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
    2011/09/02 00:13:18.0265 3600 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
    2011/09/02 00:13:18.0312 3600 LMIInfo (4f69faaabb7db0d43e327c0b6aab40fc) C:\Program Files\LogMeIn\x86\RaInfo.sys
    2011/09/02 00:13:18.0312 3600 lmimirr (4477689e2d8ae6b78ba34c9af4cc1ed1) C:\WINDOWS\system32\DRIVERS\lmimirr.sys
    2011/09/02 00:13:18.0343 3600 LMIRfsDriver (3faa563ddf853320f90259d455a01d79) C:\WINDOWS\system32\drivers\LMIRfsDriver.sys
    2011/09/02 00:13:18.0375 3600 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
    2011/09/02 00:13:18.0437 3600 Modem (510ade9327fe84c10254e1902697e25f) C:\WINDOWS\system32\drivers\Modem.sys
    2011/09/02 00:13:18.0453 3600 Mouclass (027c01bd7ef3349aaebc883d8a799efb) C:\WINDOWS\system32\DRIVERS\mouclass.sys
    2011/09/02 00:13:18.0468 3600 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
    2011/09/02 00:13:18.0500 3600 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
    2011/09/02 00:13:18.0531 3600 MRxSmb (7d304a5eb4344ebeeab53a2fe3ffb9f0) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
    2011/09/02 00:13:18.0562 3600 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
    2011/09/02 00:13:18.0593 3600 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
    2011/09/02 00:13:18.0625 3600 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
    2011/09/02 00:13:18.0640 3600 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
    2011/09/02 00:13:18.0656 3600 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
    2011/09/02 00:13:18.0671 3600 Mup (de6a75f5c270e756c5508d94b6cf68f5) C:\WINDOWS\system32\drivers\Mup.sys
    2011/09/02 00:13:18.0703 3600 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
    2011/09/02 00:13:18.0718 3600 NdisTapi (0109c4f3850dfbab279542515386ae22) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
    2011/09/02 00:13:18.0734 3600 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
    2011/09/02 00:13:18.0750 3600 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
    2011/09/02 00:13:18.0781 3600 NDProxy (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
    2011/09/02 00:13:18.0796 3600 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
    2011/09/02 00:13:18.0812 3600 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
    2011/09/02 00:13:18.0843 3600 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
    2011/09/02 00:13:18.0875 3600 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
    2011/09/02 00:13:18.0906 3600 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
    2011/09/02 00:13:18.0937 3600 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
    2011/09/02 00:13:18.0953 3600 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
    2011/09/02 00:13:18.0968 3600 Parport (8fd0bdbea875d06ccf6c945ca9abaf75) C:\WINDOWS\system32\DRIVERS\parport.sys
    2011/09/02 00:13:18.0984 3600 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
    2011/09/02 00:13:19.0000 3600 ParVdm (9575c5630db8fb804649a6959737154c) C:\WINDOWS\system32\drivers\ParVdm.sys
    2011/09/02 00:13:19.0015 3600 PCI (043410877bda580c528f45165f7125bc) C:\WINDOWS\system32\DRIVERS\pci.sys
    2011/09/02 00:13:19.0062 3600 Pcmcia (f0406cbc60bdb0394a0e17ffb04cdd3d) C:\WINDOWS\system32\drivers\Pcmcia.sys
    2011/09/02 00:13:19.0171 3600 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
    2011/09/02 00:13:19.0171 3600 prl_boot (0b1dbe9e0da3836a669f5aed10b67147) C:\WINDOWS\system32\Drivers\prl_boot.sys
    2011/09/02 00:13:19.0187 3600 prl_eth5 (41b6167933fa46a8d2896a1af021c1c8) C:\WINDOWS\system32\DRIVERS\prl_eth5.sys
    2011/09/02 00:13:19.0203 3600 prl_fs (e4568092abdb92bc72eb5e73e71ce7c8) C:\WINDOWS\system32\DRIVERS\prl_fs.sys
    2011/09/02 00:13:19.0218 3600 prl_memdev (7543416d13ed4f87455e9d2bd4a967ba) C:\Program Files\Parallels\Parallels Tools\Drivers\prl_memdev\prl_memdev.sys
    2011/09/02 00:13:19.0250 3600 prl_mouf (15dc29ab5c324a85b6dc06204f787f5f) C:\WINDOWS\system32\DRIVERS\prl_mouf.sys
    2011/09/02 00:13:19.0265 3600 prl_pv32 (f87f12b1175f22458ede621c20f1b9ac) C:\WINDOWS\system32\drivers\prl_pv32.sys
    2011/09/02 00:13:19.0281 3600 prl_tg (1ba2afac909b634ca29499a6c3a8d658) C:\WINDOWS\system32\DRIVERS\prl_tg.sys
    2011/09/02 00:13:19.0296 3600 prl_time (ab903f7c3869680898af45357434e099) C:\WINDOWS\system32\drivers\prl_time.sys
    2011/09/02 00:13:19.0312 3600 prl_va (5ece8be8d971d5291c4f902356881cf4) C:\WINDOWS\system32\DRIVERS\prl_vamp.sys
    2011/09/02 00:13:19.0328 3600 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
    2011/09/02 00:13:19.0343 3600 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
    2011/09/02 00:13:19.0390 3600 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
    2011/09/02 00:13:19.0406 3600 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
    2011/09/02 00:13:19.0468 3600 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
    2011/09/02 00:13:19.0484 3600 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
    2011/09/02 00:13:19.0500 3600 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
    2011/09/02 00:13:19.0515 3600 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
    2011/09/02 00:13:19.0531 3600 rdpdr (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
    2011/09/02 00:13:19.0562 3600 RDPWD (fc105dd312ed64eb66bff111e8ec6eac) C:\WINDOWS\system32\drivers\RDPWD.sys
    2011/09/02 00:13:19.0578 3600 redbook (d8eb2a7904db6c916eb5361878ddcbae) C:\WINDOWS\system32\DRIVERS\redbook.sys
    2011/09/02 00:13:19.0625 3600 rtl8029 (493b54a894a6e70dd02961a68db8863f) C:\WINDOWS\system32\DRIVERS\RTL8029.SYS
    2011/09/02 00:13:19.0656 3600 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
    2011/09/02 00:13:19.0687 3600 Serial (93d313c31f7ad9ea2b75f26075413c7c) C:\WINDOWS\system32\drivers\Serial.sys
    2011/09/02 00:13:19.0718 3600 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
    2011/09/02 00:13:19.0765 3600 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
    2011/09/02 00:13:19.0796 3600 sr (39626e6dc1fb39434ec40c42722b660a) C:\WINDOWS\system32\DRIVERS\sr.sys
    2011/09/02 00:13:19.0812 3600 Srv (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys
    2011/09/02 00:13:19.0843 3600 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
    2011/09/02 00:13:19.0843 3600 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
    2011/09/02 00:13:19.0906 3600 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
    2011/09/02 00:13:19.0937 3600 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
    2011/09/02 00:13:19.0953 3600 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
    2011/09/02 00:13:19.0984 3600 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
    2011/09/02 00:13:20.0000 3600 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
    2011/09/02 00:13:20.0046 3600 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
    2011/09/02 00:13:20.0078 3600 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
    2011/09/02 00:13:20.0109 3600 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
    2011/09/02 00:13:20.0109 3600 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
    2011/09/02 00:13:20.0140 3600 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
    2011/09/02 00:13:20.0140 3600 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
    2011/09/02 00:13:20.0171 3600 VolSnap (46de1126684369bace4849e4fc8c43ca) C:\WINDOWS\system32\drivers\VolSnap.sys
    2011/09/02 00:13:20.0203 3600 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
    2011/09/02 00:13:20.0218 3600 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
    2011/09/02 00:13:20.0296 3600 MBR (0x1B8) (c99c3199cfaa4cbdcd91493f6d113a50) \Device\Harddisk0\DR0
    2011/09/02 00:13:20.0593 3600 Boot (0x1200) (973790ac51dc3f0cc1f10b656f0ec060) \Device\Harddisk0\DR0\Partition0
    2011/09/02 00:13:20.0593 3600 ================================================================================
    2011/09/02 00:13:20.0593 3600 Scan finished
    2011/09/02 00:13:20.0593 3600 ================================================================================
    2011/09/02 00:13:20.0609 1516 Detected object count: 0
    2011/09/02 00:13:20.0609 1516 Actual detected object count: 0
    2011/09/02 00:15:09.0468 3640 Deinitialize success
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. yrez.com Messages postés 8 Statut Membre
     
    Merci, je crois que c'est parti. Pourrais-tu juste m'expliquer quel était le problème ? Etait-ce vraiment un virus que j'avais ? A quoi consistait-il ?

    Mais franchement merci, les réponses étaient rapides et ta solution a été très efficace.
    0
  7. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Supprime Spybot il est obsolète.

    Copie cette ligne :

    O47 - AAKE:Key Export SP - "C:\Documents and Settings\Administrateur\Application Data\svhost.exe" [Enabled] .(...) -- C:\Documents and Settings\Administrateur\Application Data\svhost.exe (.not file.)

    Ouvre ZHPFix
    Clique sur le H bleu
    Clique sur GO
    Poste le rapport.

    __________________

    Tu étais victime d'une infection MSN
    Une variante de ça : http://www.microsoft.com/security/portal/threat/Encyclopedia/Entry.aspx?Name=Backdoor%3AWin32%2FCycbot.B

    il sera judicieux de changer tes mots de passe une fois la désinfection terminée !

    .::. Contributeur Sécurité .::.
    0
  8. yrez.com Messages postés 8 Statut Membre
     
    La ligne que tu m'a fait copier, j'en fais quoi ?

    Voici le rapport :

    Rapport de ZHPFix 1.12.3360 par Nicolas Coolman, Update du 29/08/2011
    Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-02-09-2011-02-05-30.txt
    Run by Administrateur at 02/09/2011 02:05:30
    Windows XP Professional Service Pack 3 (Build 2600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

    ========== Registry Value ==========
    DELETED AAKE KeyValue: C:\Documents and Settings\Administrateur\Application Data\svhost.exe

    ========== File ==========
    NOT FOUND File: c:\documents and settings\administrateur\application data\svhost.exe

    ========== Summary ==========
    1 : Registry Value
    1 : File

    End of the scan in 00mn 00s

    ========== Report File ==========
    C:\ZHP\ZHPFix[R1].txt - 02/09/2011 02:05:30 [654]
    0
  9. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    bah rien.
    c'était juste pour être propre, car il restait cette trace dans ton registre.

    en gros :

    -> roguekiller a stoppé l'infection
    -> mbam l'a supprimé
    -> tdss killer a été inutile mais ça m'a permis de vérifier si présence de rootkit tdss
    -> zhpdiag c est pour voir si y'a pas autre chose.

    Procédure d'optimisation/d'entretien/de prévention

    ▶ Télécharge ici : PureRa (par l''editeur de JavaRa)

    ▶ Lance-le (clic droit "executer en tant qu''administrateur" pour Vista/7)

    => Configuration en vidéo ( merci gen-hackman )

    ▶ clique sur "Clean"

    ▶ L''outil va faire son scan puis son nettoyage

    ▶ à la fin du rapport tu auras une ligne comme ca :

    Total space cleaned: 8140878 bytes

    ▶ transmets juste cette ligne , le reste importe peu

    ------

    ▶ télécharge et installe Ccleaner

    ▶ double-clique sur le fichier pour lancer l''installation

    /!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu''administrateur »

    ▶ ▶ une fois ouvert tu cliques sur option et puis avancé
    ▶ tu décoches "effacer uniquement les fichiers du dossier temp de windows plus vieux que 24 heures "
    ▶ ▶ cliques sur nettoyeur
    ▶ cliques sur windows et dans la colonne avancé
    ▶ coches la première case "vieilles données du perfetch"
    ▶ cliques sur analyse une fois l''analyse terminé
    ▶ cliques sur "lancer le nettoyage" et sur la demande de confirmation "OK" ▶ ▶ cliques maintenant sur registre et puis sur "rechercher les erreurs "
    ▶ laisses tout cochées et cliques sur "réparer les erreurs sélectionnées"
    ▶ il te demande de sauvegarder ==> OUI
    ▶ tu lui donnes un nom pour pouvoir la retrouver et enregistre
    ▶ cliques sur "corriger toutes les erreurs sélectionnées" et sur la demande de confirmation ==> OK
    ▶ Vérifie qu''il ne reste plus rien en relançant "rechercher les erreurs"
    ▶ tu retournes dans option et tu recoches la case "effacer uniquement les fichiers du dossier temp de windows plus vieux que 24 heures" et sur nettoyeur windows, sous avancé, tu décoches la première case "vieilles données du perfetch"
    ▶ tu peux fermer Ccleaner

    ------

    Fais une recherche des erreurs de disque :
    ouvre Ordinateur/Poste de travail => clic droit sur C: => propriétés => outils => Vérification des erreurs cliquez sur vérifier maintenant. Ensuite cochez les deux cases puis cliquez sur démarrer. Répondez oui pour le message d''avertissement et redémarrez votre système.

    ------

    Défragmente tes disques dur :
    Télécharge Deffragler, et défragmente tes disques.

    ------

    ▶ Désactivation, puis Réactivation de la restauration système après désinfection :

    Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés :

    XP/Vista : http://www.forum-fec.net/t97-purger-la-restauration-du-systeme
    Seven: http://www.forum-fec.net/faq-tutoriel-astuces-f10/purger-la-restauration-du-systeme-sous-windows-7-t142.htm

    ------

    ▶ Maintiens tes logiciels à jour c'est important, utilise ce programme : https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
    Absolument à faire.

    ▶ idem pour les Mises à jour Windows :

    Il est très important de maintenir son OS à jour car ceci comble les failles de sécurité par lesquelles les malwares ("virus") s'introduisent ...

    ▶ Windows Update XP (uniquement avec Internet Explorer): http://update.microsoft.com/windowsupdate/v6/

    ▶ Windows Update Vista/Seven : cliquer sur le logo windows, dans la rechercher taper "Windows Update", cliquer sur le résultat.

    -----

    ▶ Mets à jour Java : https://www.java.com/fr/download/uninstalltool.jsp

    ▶ Désinstaller les anciennes versions de Java :

    ▶ Télécharge JavaRa.zip

    ▶ Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)

    ▶ Double-clique sur le répertoire JavaRa obtenu.

    ▶ Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s''afficher)

    ▶ Clique sur Remove Older Versions.

    ▶ Clique sur Oui pour confirmer. L''outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.

    ▶ Un rapport va s''ouvrir, copie-colle le dans ta prochaine réponse.

    ▶ Note : le rapport se trouve aussi là : ( C:\JavaRa.log )

    ▶ Tu peux fermer l''application

    ▶ ▶ Met à jour les logiciels Adobe :

    ▶ Reader : https://get2.adobe.com/fr/reader/otherversions/

    ▶ Flash Player: https://get.adobe.com/flashplayer/?loc=fr

    -----

    Si tu utilise FireFox, vérifie que tes plug in sont à jour : https://support.mozilla.org/en-US/kb/npapi-plugins

    -----

    ▶ ▶ pour supprimer les outils de désinfection :

    ▶ Télécharge et exécute Delfix sur ton bureau

    ▶ Clique sur le bouton « Suppression » et poste son rapport sur ton prochain message
    ▶ ▶ Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation.

    ------

    Tu peux garder Malwarebytes pour un scan de temps à autres

    -----

    Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
    La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
    Donc faut se documenter.

    Tu peux lire ce sujet sur les logiciels recommandés, et les attitudes responsables sur le web
    Et celui ci, sur les logiciels gratuits à éviter

    Si tu utilises Avast! ou AVG - regle le pour détecter les LPIs - voir : https://www.malekal.com/adwares-pup-protection/

    Un peu de lecture pour éviter les infections :
    - connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
    - sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html
    - lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese

    Ce qu'il ne faut pas faire :
    Je télécharge n'importe quoi - je m'infecte - evite les programmes par publicités ou sur les liens commerciaux des moteurs de recherche - ce sont des arnaques ::
    Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/
    Exemple de ce qu'il ne faut pas faire :
    https://forums.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14
    https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9
    Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
    Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1

    Fonctionnement de quelques catégories de malwares :
    https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen
    https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus
    ------

    ▶ ▶ Pense à marquer le fil comme résolu

    ------

    Si tu as d'autres questions,
    Sur le fonctionnement des malwares
    Ou comment tu t'es fait infecté
    N'hésites pas.
    On se quitte si le rapport DelFix est ok...

    @+
    .::. Contributeur Sécurité .::.
    0
  10. yrez.com Messages postés 8 Statut Membre
     
    # DelFix v8.3 - Rapport créé le 02/09/2011 à 03:58
    # Mis à jour le 04/08/11 à 11h par Xplode
    # Système d'exploitation : Microsoft Windows XP (32 bits) [] Service Pack 3
    # Nom d'utilisateur : Administrateur - TOTOC996 (Administrateur)
    # Exécuté depuis : \\.psf\Home\Documents\Downloads\delfix0.exe
    # Option [Suppression]

    ~~~~~~ Dossier(s) ~~~~~~

    Supprimé : C:\Program Files\trend micro\Hijackthis
    Supprimé : C:\Program Files\ZHPDiag
    Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP

    ~~~~~~ Fichier(s) ~~~~~~

    Supprimé : C:\JavaRa.log
    Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk
    Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
    Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk

    ~~~~~~ Registre ~~~~~~

    Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

    ~~~~~~ Autre ~~~~~~

    -> Prefetch vidé

    ########## EOF - "C:\DelFixSuppr.txt" - [1051 octets] ##########

    ça me fait chier, j'étais sur le point de tout envoyer, mais j'ai du faire une touche genre précedent sur la souris et j'ai perdu tous les autres rapports, je n'ai que le dernier.
    0