Generic host Process - Point d'arret

nogeek -  
 no geek -
Bonsoir,

Je suis entrain de scanner avec Avira antivir et j'ai changé de forum car il semblerait que c'est une virus que je dois rechercher (j'etais sur logiciels)

Hier soir en allumant mon pc (après l'écran windows), je vois un encadré avec ces infos:
"Generic host Process for win32 Services a rencontré un problème".
Et dessus un autre encadré " svchost.exe erreur d'application. L'exception point d'arrêt s'est produite à l'emplacement 0x752a292a"
Et proposait "OK pour terminer" et Annuler pour déboguer"
J'ai fait OK pour terminer

Ce soir, j'ai un nouveau message:
"winlogon.exe" introuvable"
Le point d'entrée de procédure OseW est introuvable dans la bibliothèque de liaison dynalmique RPCRT4.dll

Je ne peux toujours rien voir sur VLC et You tube me demande encore la mise à jour Flash player

Merci de m'aider à pouvoir utiliser VLC et Flash player
NG
Comment supprimer le sujet sur l'autre forum?

57 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Des symptômes de malware apparaissent sur Windows XP après le démarrage, avec des messages d’erreur liés à svchost.exe et winlogon.exe, et des soucis pour VLC et Flash Player. Plusieurs approches préconisent de désinstaller Softonic et d’éviter leurs téléchargements, puis d’utiliser ADWCleaner pour supprimer les adwares et d’analyser les fichiers suspects sur VirusTotal en ligne. Des suggestions supplémentaires recommandent l’utilisation d’USBFix pour nettoyer le système et le rapport USBFix.txt, puis l’analyse des éléments suspects comme C:\Windows\metallica.exe ou metallica.scr sur VirusTotal. D'autres éléments évoquent la prudence dans les téléchargements, notamment éviter Softonic, et recommandent de vérifier l’intégrité des extensions et plugins comme Flash Player pour YouTube, ainsi que d’activer les mises à jour système.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. g3n-h@ckm@n
     
    salut

    /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

    __________________________________________________________
    >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
    >>>>>>>[u]Ne pas utiliser en dehors de ce cas de figure : dangereux<<<<<<<<
    =====================================================


    Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

    Telecharge ici : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    Combofix

    Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
    La simple désactivation du résident n'est pas suffisante.
    Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
    Choisis la version adéquate (32 ou 64 bits)/!\

    _________________________________________________________
    >> referme les fenêtres de tous les programmes en cours.
    >><souligne>Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
    >>la protection en temps réel de ton Antivirus et de tes Antispywares,
    >>qui peuvent gêner fortement la procédure de recherche et de nettoyage
    de l'outil.
    °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°


    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."

    sur combofix renommé

    !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!


    n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
    0
  2. nogeek
     
    Merci !

    J'ai fait ce que tu as dit et voici le résultat et ce que j'ai eu avant le début du process :

    Après tentative de création d'un point de restauration système, j'ai un avertissement « la console de récupération Microsoft Windows n'est pas installée sur ce PC.
    Combifix n'essaiera pas de corriger certaines infections graves »

    Ensuite il me propose de l'installer, je clique OUI et là j'ai un nouvel avetissement disant »
    « C/boot.ini n'es pas dans un format correct »
    Et me propose ensuite de continuer

    Et voici donc le rapport Combofix :
    ComboFix 11-11-30.01 - Admin 30/11/2011 19:56:11.3.1 - x86
    Lancé depuis: c:\documents and settings\Admin\Bureau\inno.exe
    * Un nouveau point de restauration a été créé
    .
    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .
    .
    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\documents and settings\Admin\Application Data\RapidGet
    c:\documents and settings\Admin\Application Data\RapidGet\settings.ini
    c:\documents and settings\Admin\WINDOWS
    c:\documents and settings\All Users\Application Data\TEMP
    c:\documents and settings\All Users\Application Data\TEMP\DFC5A2B2.TMP
    c:\windows\bwUnin-6.1.4.68-8876480L.exe
    c:\windows\bwUnin-7.2.0.157-8876480SL.exe
    c:\windows\CSC\d6
    .
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2011-10-28 au 2011-11-30 ))))))))))))))))))))))))))))))))))))
    .
    .
    .
    .
    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2011-11-14 17:08 . 2011-05-19 07:43 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
    2011-10-10 14:23 . 2004-06-07 12:19 692736 ----a-w- c:\windows\system32\inetcomm.dll
    2011-09-28 07:06 . 2004-02-15 16:53 606208 ----a-w- c:\windows\system32\crypt32.dll
    2011-09-26 09:41 . 2011-09-26 09:41 614400 ------w- c:\windows\system32\uiautomationcore.dll
    2011-09-26 09:41 . 2001-08-28 12:00 22528 ----a-w- c:\windows\system32\oleaccrc.dll
    2011-09-26 09:41 . 2001-08-28 12:00 220160 ----a-w- c:\windows\system32\oleacc.dll
    2011-09-06 14:10 . 2002-08-29 09:32 1859072 ----a-w- c:\windows\system32\win32k.sys
    2010-08-24 18:23 . 2010-08-24 18:23 19563096 ----a-w- c:\program files\vlc-1.1.3-win32.exe
    .
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]
    "LogitechVideoRepair"="c:\program files\Logitech\Video\ISStart.exe" [2004-10-08 458752]
    .
    c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\
    Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2011-5-8 110592]
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
    @=""
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
    @=""
    .
    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Synchronizer.lnk]
    backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup
    .
    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Device Detector 2.lnk]
    backup=c:\windows\pss\Device Detector 2.lnkCommon Startup
    .
    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
    backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup
    .
    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Logitech Desktop Messenger.lnk]
    backup=c:\windows\pss\Logitech Desktop Messenger.lnkCommon Startup
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "c:\\Program Files\\Messenger\\msmsgs.exe"=
    "c:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\WINDOWS\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Google\\Google Earth\\client\\googleearth.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
    "c:\\Program Files\\uTorrent\\uTorrent.exe"=
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "1031:TCP"= 1031:TCP:Akamai NetSession Interface
    "5000:UDP"= 5000:UDP:Akamai NetSession Interface
    .
    R2 gupdate1c9e60c6c9312c6;Service Google Update (gupdate1c9e60c6c9312c6);c:\program files\Google\Update\GoogleUpdate.exe [2009-06-05 133104]
    R2 ousbehci;%OWC_USBEHCD.DeviceDesc%;c:\windows\system32\Drivers\ousbehci.sys [2002-03-01 29568]
    R3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\DRIVERS\fbxusb32.sys [2004-10-20 21344]
    R3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2009-06-05 133104]
    R3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2011-08-08 311928]
    R3 ousb2hub;OrangeWare USB 2.0 Root Hub Support;c:\windows\system32\DRIVERS\ousb2hub.sys [2002-03-01 42752]
    R3 viafilter;VIA USB Filter;c:\windows\System32\Drivers\viausb1.sys [2001-09-19 9728]
    R4 sdAuxService;PC Tools Auxiliary Service; [x]
    S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-04-27 136360]
    .
    .
    Contenu du dossier 'Tâches planifiées'
    .
    2011-11-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-06-05 18:35]
    .
    2011-11-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-06-05 18:35]
    .
    2011-11-30 c:\windows\Tasks\User_Feed_Synchronization-{70997FBA-043B-4D75-81FB-ED06237725AB}.job
    - c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.yahoo.com/
    uInternet Settings,ProxyOverride = localhost
    uInternet Settings,ProxyServer = hxxp://127.0.0.1:8080
    Trusted Zone: secuser.com\www
    TCP: DhcpNameServer = 212.27.40.241 212.27.40.240
    TCP: Interfaces\{0BB3976A-0467-4F0A-B480-E7D7FC5E130B}: NameServer = 212.27.53.252,212.27.54.252
    DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
    DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
    .
    - - - - ORPHELINS SUPPRIMES - - - -
    .
    Toolbar-Locked - (no file)
    Notify-WgaLogon - (no file)
    .
    .
    .
    **************************************************************************
    .
    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2011-11-30 20:05
    Windows 5.1.2600 Service Pack 3 NTFS
    .
    Recherche de processus cachés ...
    .
    Recherche d'éléments en démarrage automatique cachés ...
    .
    Recherche de fichiers cachés ...
    .
    Scan terminé avec succès
    Fichiers cachés: 0
    .
    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------
    .
    [HKEY_USERS\S-1-5-21-1844237615-2111687655-682003330-1006\Software\Microsoft\SystemCertificates\AddressBook*]
    @Allowed: (Read) (RestrictedCode)
    @Allowed: (Read) (RestrictedCode)
    .
    Heure de fin: 2011-11-30 20:08:51
    ComboFix-quarantined-files.txt 2011-11-30 19:08
    ComboFix2.txt 2010-05-21 21:36
    .
    Avant-CF: 7 194 017 792 octets libres
    Après-CF: 9 278 492 672 octets libres
    .
    - - End Of File - - 507B981ACECAD907F43E472D2BAD9FE8

    Re merci!
    NG
    0
  3. g3n-h@ckm@n
     
    demarrer/executer

    puis tape :

    notepad C:\boot.ini

    puis valide

    colle le texte qui s'ouvrira
    0
  4. nogeek
     
    OK
    Je l'ai fait mais aucun texte ne s'affiche dans le bloc note qui s'ouvre

    NG
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. nogeek
     
    Par contre VLC remarche

    MAIS pas Youtube,
    Là depuis hier, on me demande la mise à jour Flash player 10
    Je le lance mais à exactement 50%, ca s'arrete et me demande de fermer internet explorer car c'est en conflit et de reessayer
    Je ferme tout et reessaie mais, rien n'y fait

    Et en plus dans mes programmes on dirait que flash player 10 est effectivement installé (flash player 11 plutôt)
    J'ai voulu désinstaller en passant par le site adobe mais c'est le meme problème, il me demande de fermer internet pour pouvoir désinstaller!
    Donc impossible d'avoir you tube

    Apparemment mon sytème est 32bits
    Je ne sais pas si les problèmes sont liés
    J'attends tes conseils!
    NG
    0
  7. g3n-h@ckm@n
     
    reessaie avec ceci :

    notepad C:\boot.ini.bak
    0
  8. nogeek
     
    Alors,
    cela me répond "impossible de trouver le fichier ..boot.ini..."
    voulez vous créer un nouveau fichier"
    J'ai répondu non
    J'espère que ce n'est pas grave!
    Merci de tes lumières
    NG
    0
  9. g3n-h@ckm@n
     
    desactive ton antivirus
    desactive Windows defender si présent
    desactive ton pare-feu

    Ferme toutes tes appilications en cours

    telecharge et enregistre ceci sur ton bureau :

    Pre_Scan

    si le lien ne fonctionne pas :

    http://www.archive-host.com

    Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

    si 'outil est bloqué par l'infection utilise cette version : Version .pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.

    si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
    0
  10. nogeek
     
    Bonsoir!
    Voila je viens de faire tout ce que tu as dit et je voulais spécifier que je ne sais pas si j'ai des proxy, dans le doute j'ai donc cliqué "ne pas supprimer le proxy"
    J'espère avoir bien fait

    Ce soir en allumant mon pc, j'ai eu nouvel avertissement qui n'a pas l'air grave mais sui spas sure: " Googleearth - in-bundle:6-1.050001: error"

    Voici le lien du résultat Pré scan:

    http://cjoint.com/?ALbueKPtmzb
    Merci
    NG
    0
  11. g3n-h@ckm@n
     
    re

    je ne sais pas si j'ai des proxy

    donc c'est que tu n'es pas censé en avoir donc il aurait fallu le virer
    0
  12. g3n-h@ckm@n
     
    non desinstalle softonic et ne telecharge plus chez eux ce sont des distributeurs d'adwares

    Télécharge et enregistre ADWcleaner sur ton bureau :

    ADWCleaner (Merci à Xplode)

    Lance le,

    clique sur suppression et poste son rapport.
    0
  13. nogeek
     
    Aie
    je ne sais pas trouver Softonic
    je dois aller dans panneau de configuration? puis ajouter supprimer des progs?

    quel est le nom complet à rechercher pour etre sure de supprimer le bon?
    merci!
    NG
    0
  14. g3n-h@ckm@n
     
    si t'en as plusieurs vire tous les softonic
    0
  15. nogeek
     
    Désolée,
    mais c'est que je ne vois pas écrit Softonic dans les programmes!
    Ou dois je chercher sinon?
    0
  16. g3n-h@ckm@n
     
    hello

    Softonic France toolbar par exemple non ?

    0
  17. nogeek
     
    Bonjour!
    Non, aucun où figure le mot Softonic
    Je parle du panneau de configuration et "ajout/sup programmes"
    J'ai aussi rveo unistaller, mais je n'ai pas vu non plus
    J'ai développé entièrement le disque durC: mais rien

    Est-ce que ca vaut la peine que je refasse combofix en supprimant le proxy?
    ou bien puis-je supprimer combofix?
    Merci
    NG
    0
  18. g3n-h@ckm@n
     
    non c'est pre_scan pour supprimer le proxy

    supprime-le et retelecharge-le
    0
  19. nogeek
     
    Voilà!
    J'ai refait le pr scan , ceci est le lien:
    http://cjoint.com/?ALdoFlqDIUK
    Merci
    !
    0
  20. g3n-h@ckm@n
     
    desinstalle firefox et reinstalle la derniere version

    https://www.mozilla.org/fr/firefox/new/

    =================================

    ca te parle ca ? :

    C:\windows\Metallica.dat
    C:\windows\Metallica.dll
    C:\windows\Metallica.exe
    C:\windows\Metallica.scr

    ====================================

    fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

    Lance Pre_script , une page vierge va s'ouvrir.

    selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
    ___________________________________________________
    Registry::
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
    "{0E5CBF21-D15F-11D0-8301-00AA005B4383}"=-
    [-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{A540D69B-1CD5-44FA-9B2A-DFEA5EBD97F1}]
    [-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\1ae52ff5-6570-43fd-b1da-59a3ea1fdc83]
    [-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\442b31d7-9912-4b2b-b3f7-604f234cd998]
    [-HKLM\Software\BrowserChoice]
    [-HKLM\Software\OTMoveIt]
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "C:\Program Files\Google\Google Earth\client\googleearth.exe"="C:\Program Files\Google\Google Earth\client\googleearth.exe:*:Enabled:Google Earth"

    list::
    C:\windows\system3

    folder::
    C:\Documents and Settings\All Users\Application Data\regid.1986-12.com.adobe
    C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    C:\Program Files\vlc-1.1.3-win32.exe

    attrib::

    clean::

    Reboot::

    ___________________________________________________

    colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

    si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
    ¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
  • 1
  • 2
  • 3