[Virus]svchost.exe problem trojan backdropFermé

Question

Bonjour,

Je fais appelle a vous car j'ai un probleme avec mon PC : 

Ce midi,alors que je demarais Skype, j'ai recu une alerte Virus (ou intrusion,je ne sais plus) de la part de mon Anti-virus Kaspersky, il m'a parlé de svchost.exe si je me rappelle bien,et j'ai noté aussi qu'il parlais d'un trojan backdrop (c'est assez flou vu que dans ces moment la,on fais tout sauf la seul chose inteligente qui est de noter ce qu'il y a d'ecrit). Kaspersky m'indique qu'il ne peux pas suprimer le virus (a plusieur reprise (en fait,il n'a jamais arrete de me le dire) puis un panneau d'affichage du genre windows me dis qu'il va redemarer mon system dans 1 min,et qu'il me faut tous fermer. Etant donné que j'avais bcp de chose d'ouverte,et j'ai pas pu tout fermer.

Il redemare, arrivé au choix des utilisateur,tout va bien,mais une fois l'utilisateur selectionné, mon image de fond d'ecran habituel s'affiche mais rien de ne se passe (pas de bar ou icones,rien) puis environ 30seconde ou 40 plus tard, enfin le pc "reflechi" (le petit voyant sur la facade de ma tour fretille) il m'affiche mes icones et une barre des taches dans le genre Windows 95. J'ai essayé de changer cela dans mes preferences d'affichage,impossible. En plus de cela,on dirai que plus aucun programe ne marche,et tout est tres lent (quand je double clic sur quelque chose,il ne se passe rien pendant pas mal de temp).

Je tiens a preciser que mon windows n'est malheureusement pas a jour mais mes antivirus et firewall le sont.

J'ai egalement essayé le mode sans echec, l'effet est le meme (tres long a demarer)
Si quelqu'un pouvais m'aider a resoudre ce probleme,ce serait super.

Merci d'avance.

Regis59 · Answer

Salut

Pour l affichage, rien de grave, c est un fichier qui a du sauter, on va le remettre mais d abord fais ceci stp

télécharge HijackThis ici: 
http://telechargement.zebulon.fr/138-hijackthis-1991.html 

Dézippe le dans un dossier prévu à cet effet. 
Par exemple C:\hijackthis < Enregistre le bien dans c : ! 
Démo : (Merci a Balltrap34 pour cette réalisation)   
http://pageperso.aol.fr/balltrap34/Hijenr.gif 

Lance le puis: 
clique sur "do a system scan and save logfile" (cf démo) 
faire un copier coller du log entier sur le forum

Démo : (Merci a Balltrap34 pour cette réalisation)   
http://pageperso.aol.fr/balltrap34/demohijack.htm
	
Bon courage

A+

Pierre · Answer

Ok, je vais essayer de faire ça.

Autrement, je n'ai desormais plus de barre des taches (en fait,elle est la,mais elle est vide, ca donne simplement un fin bandereau gris de 1mm). Autrement, pour le hijack,j'ai deja utilisé ce programme,mais etant donné que l'internet ne passe plus sur mon pc endomagé (Opera me dit qu'il ne trouve pas le server (le truc habituel),je vais devoir copier le log de hijack sur une disquette pour le passer sur ce pc. 

A noter egalement que je n'ai desormais plus de svchost dans mon tableau des processus (ctrl-alt-sup).

Je vous montre mon Hijack le plus vite possible,a toute.

Regis59 · Answer

Salut

Oui montre moi le Hijackthis stp

Pendant ce temps, je te fournit une manip de recuperation de ton style XP

télécharge ceci et décompresse le 
http://pageperso.aol.fr/Balltrap34/luna.zip 

ensuite met le dans C:\WINDOWS\Resources\Themes\Luna 
et double clic dessus

Ensuite réessaye de remettre le style xp

A+

Pierre · Answer

Voila le log HiJack. 

A noter en passant que la fonction Rechercher de windows ne marche pas non plus (je pense pas que ce soit la seul)


Logfile of HijackThis v1.99.1
Scan saved at 17:30:28, on 01/11/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Pierre\Bureau\Téléchargement\Pierre\Download\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local.,
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
N3 - Netscape 7: user_pref("browser.startup.homepage", "https://www.google.fr/?gws_rd=ssl"); (C:\Documents and Settings\Pierre\Application Data\Mozilla\Profiles\default\9jizjwmf.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CNetscape_France.src"); (C:\Documents and Settings\Pierre\Application Data\Mozilla\Profiles\default\9jizjwmf.slt\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Watch] C:\PROGRA~1\Minitel\Watch.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: Assign &hot key - C:\Program Files\Hot Keyboard Pro\IEScript.htm
O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Program Files\Free Download Manager\dlpage.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Program Files\VisualRoute\vrie.dll
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Program Files\VisualRoute\vrie.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Magic Nettrace - {92848C13-5482-49CB-B31C-CA8D74EFF508} - C:\Program Files\Magic NetTrace\MTIE.exe
O9 - Extra 'Tools' menuitem: &Magic Nettrace - {92848C13-5482-49CB-B31C-CA8D74EFF508} - C:\Program Files\Magic NetTrace\MTIE.exe
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://onedrive.live.com/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EAB40F0B-BADF-476E-B00B-E90D3B8ED7F5}: NameServer = 192.168.0.1
O23 - Service: Avertissement (Alerter) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Gestion d'applications (AppMgmt) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Audio Windows (AudioSrv) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Service Bonjour (Bonjour Service) - Unknown owner - C:\Program Files\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: Explorateur d'ordinateur (Browser) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Services de cryptographie (CryptSvc) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Client DHCP (Dhcp) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Gestionnaire de disque logique (dmserver) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Client DNS (Dnscache) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Système d'événements de COM+ (EventSystem) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Compatibilité avec le Changement rapide d'utilisateur (FastUserSwitchingCompatibility) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Aide et support (helpsvc) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pare-feu de connexion Internet IPv6 (Ip6FwHlp) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Serveur (lanmanserver) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Station de travail (lanmanworkstation) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Assistance TCP/IP NetBIOS (LmHosts) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Connexions réseau (Netman) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: NLA (Network Location Awareness) (Nla) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Stockage amovible (NtmsSvc) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Gestionnaire de connexion automatique d'accès distant (RasAuto) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Gestionnaire de connexions d'accès distant (RasMan) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Accès à distance au Registre (RemoteRegistry) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcappcapd.exe" -d -f "%ProgramFiles%\WinPcappcapd.ini (file missing)
O23 - Service: Appel de procédure distante (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Connexion secondaire (seclogon) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Notification d'événement système (SENS) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Pare-feu de connexion Internet (ICF) / Partage de connexion Internet (ICS) (SharedAccess) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Détection matériel noyau (ShellHWDetection) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Service de restauration système (srservice) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Acquisition d'image Windows (WIA) (stisvc) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Téléphonie (TapiSrv) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Services Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Thèmes (Themes) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Client de suivi de lien distribué (TrkWks) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Gestionnaire de téléchargement (uploadmgr) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: WebClient - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Infrastructure de gestion Windows (winmgmt) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Service de numéro de série du lecteur multimédia portable (WmdmPmSN) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Extensions du pilote WMI (Wmi) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Mises à jour automatiques (wuauserv) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Configuration automatique sans fil (WZCSVC) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)

Regis59 · Answer

Re,

Bon ok, la je crois qu il y a un gros pépin, faut que je verifie (tout s est transforme en svchost.exe lol)

As tu essayé la manip indiqué au dessu pour recuperer ton style XP?

A+

Pierre · Answer

Je viens d'essayé la manip pour le theme,et c'est de mieux en mieux lol :

J'ai pu me rendre compte que la fonction copier-coller ne marche pas non plus. j'ai donc voulu decompresser directement depuis la disquette, mais il m'affiche : Erreur I/O-ne peut lire le fichier zip (avec un petit big du HP interne) puis un deuxieme bip pour me dire : "Erreur, données compressé invalides pour generation"  (je precise que j'effectue cette manipulation sous windows en mode normal (pas sans echec).

Je ne sais pas si cela est du a windows ou un fichier zip raté.

Regis59 · Answer

Re,

1-Telecharge ceci
https://www.silentrunners.org/Silent%20Runners.vbs 
Execute le,atends quelques minutes, il va creer ensuite un dossier juste a coté de silent runner sous format texte, copie/colle ce qu il te donnera

2- Essai rien qu avec ton clavier:
*Utilise ctlr + c pour copier
* Utilise ctlr + v pour coller.

3- Telecharge ceci:
AVG anti-spyware (gratuit même après la période d'essai) ici :

http://www.grisoft.com/doc/downloads-results/lng/fr/tpl/tpl01?prd=triasw

Tu enregistres le fichier dans un dossier.

A la fin du téléchargement, tu ouvres le dossier et tu doubles click sur avgas-setup-7.5.0.47.exe Tu suis les instructions.

Si on te demande de redémarrer ton ordinateur, tu le fais.

Pour lancer AVG anti spyware tu doubles click sur l'icone qui s'est créé sur le bureau.

La première fois que tu l'utilises, tu configures le logiciel.
Sur la page "état", tu choisis inactif pour le bouclier résident.

Sur la page "mise à jour", tu coches les cases sur les mises à jour automatiques et tu fais une mise à jour manuelle (commencer la mise à jour). Tu redémarres l'ordinateur si nécessaire.
Sur la page "analyse", tu choisis d'abord l'onglet "paramètres". Tu coches "générer un rapport après chaque analyse" et "uniquement en cas de menaces".
Tu choisis l'onglet analyser, nouvelle analyse, analyse complète du système.
Aa fin de l'analyse, tu cliques sur "action", "appliquer toutes les actions" puis "enregistrer le rapport" puis "enregistrer le rapport sous". Tu suis les instructions dans la fenêtre qui s'ouvre. 
Ensuite, tu ouvres le rapport avec le bloc-notes pour le copier/coller avec ta réponse. 

A+

Pierre · Answer

Je vais faire cela pour les deux premieres etapes. Par contre, pour la troisieme, est-ce problematique si j'ai deja Kaspersky sur mon PC (2 antivirus, ils vont peut etre pas se supporter,non?)

Regis59 · Answer

Re,

Ok fais les 3 etapes.
La 3e, aucuns probleme, avg n est pas un antivirus mais un anti malware donc aucun risque de conflit
(je vois qu on t a deja donné des infos lol)

A+

Pierre · Answer

Pour les deux premiere etapes : 

-quand je double clic sur silenthunter,cela ne fait rien,peut etre est-ce du parceque je ne peux pas le copier sur le disque dur (je le fait depuis la disquette)

-et comme on l'aura deviné, Ctrl+C et V ne marche pas.

et pour AVG, je crois qu'il me faut le mettre sur ma clé usb (sa rentre pas sur une disquette je pense) et l'installer depuis celle ci,en esperant que cela fonctionne.

A toute

Regis59 · Answer

Re,

Ok ok.

Essai avg as, on verra apres

a+

Pierre · Answer

Une fois AVG as installé, je le lance.

Le programe s'ouvre, puis, 5 seconde plus tard, un energique bip accompagne le message suivant : "Something bad happened to the application : diagnostic error saved file to : ~Repertoire de AVG~/avgas.err"  (j'ai remplacé le chemin part repertoire, et je ne  suis pastout a fait sur du nom du fichier .err (mon pc malade n'est pas au meme etage que celui avec lequel je comunique avec vous, donc,difficile de bien se rapeler de tout (l'escalier,cela change les idée :D ).

Le programe disparait ensuite,j'ai essayé plusieurs fois de suite.

Il sont pas tres cooperant ces programes :( .

Je ne sais pas quoi faire...

En tout cas,merci a toi Regis59 de t'occuper de mon cas.

A toute

Pierre · Answer

Et autrement,n'est-ce pas possible d'utiliser une commande MS-Dos pour copier-coller quelque chose?

Je pense que tu y a deja pensé,mais n'est-ce pas possible que je copie le svchost de mon pc en bon etat sur mon pc infecté? (par contre,ce serait un svchost de XP familial,ca risque peut etre de poser des problemes pour rien...)

Regis59 · Answer

Re,

Non non ce n est pas possible....
Un fichier infecté est supprimable mais n infecte pas quelque chose de bon dans ton systeme.

As tu essayé en mode sans echec?

A+

Pierre · Answer

Idem en mode sans echec,sauf que la, il me met direct le message d'erreur sans afficher avg.

Visiblement,je suis tombé sur un violent...

Regis59 · Answer

Salut

Bizarre...
Tu peux me remettre un HijackThis et me dire les soucis que tu as repere?

a+

Pierre · Answer

Voici mon HiJackThis : 

Logfile of HijackThis v1.99.1
Scan saved at 12:59:35, on 02/11/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\PPControl.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\WINDOWS\System32undll32.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWSegedit.exe
C:\Documents and Settings\Pierre\Bureau\Téléchargement\Pierre\Download\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local.,
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
N3 - Netscape 7: user_pref("browser.startup.homepage", "https://www.google.fr/?gws_rd=ssl"); (C:\Documents and Settings\Pierre\Application Data\Mozilla\Profiles\default\9jizjwmf.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CNetscape_France.src"); (C:\Documents and Settings\Pierre\Application Data\Mozilla\Profiles\default\9jizjwmf.slt\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Watch] C:\PROGRA~1\Minitel\Watch.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: Assign &hot key - C:\Program Files\Hot Keyboard Pro\IEScript.htm
O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Program Files\Free Download Manager\dlpage.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Program Files\VisualRoute\vrie.dll
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Program Files\VisualRoute\vrie.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Magic Nettrace - {92848C13-5482-49CB-B31C-CA8D74EFF508} - C:\Program Files\Magic NetTrace\MTIE.exe
O9 - Extra 'Tools' menuitem: &Magic Nettrace - {92848C13-5482-49CB-B31C-CA8D74EFF508} - C:\Program Files\Magic NetTrace\MTIE.exe
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://onedrive.live.com/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - https://www.pandasecurity.com/?ref=www.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EAB40F0B-BADF-476E-B00B-E90D3B8ED7F5}: NameServer = 192.168.0.1
O23 - Service: Avertissement (Alerter) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Gestion d'applications (AppMgmt) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Audio Windows (AudioSrv) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Service Bonjour (Bonjour Service) - Unknown owner - C:\Program Files\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: Explorateur d'ordinateur (Browser) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Services de cryptographie (CryptSvc) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Client DHCP (Dhcp) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Gestionnaire de disque logique (dmserver) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Client DNS (Dnscache) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Système d'événements de COM+ (EventSystem) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Compatibilité avec le Changement rapide d'utilisateur (FastUserSwitchingCompatibility) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Aide et support (helpsvc) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pare-feu de connexion Internet IPv6 (Ip6FwHlp) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Serveur (lanmanserver) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Station de travail (lanmanworkstation) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Assistance TCP/IP NetBIOS (LmHosts) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Connexions réseau (Netman) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: NLA (Network Location Awareness) (Nla) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Stockage amovible (NtmsSvc) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: Gestionnaire de connexion automatique d'accès distant (RasAuto) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Gestionnaire de connexions d'accès distant (RasMan) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Accès à distance au Registre (RemoteRegistry) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcappcapd.exe" -d -f "%ProgramFiles%\WinPcappcapd.ini (file missing)
O23 - Service: Appel de procédure distante (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Connexion secondaire (seclogon) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Notification d'événement système (SENS) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Pare-feu de connexion Internet (ICF) / Partage de connexion Internet (ICS) (SharedAccess) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Détection matériel noyau (ShellHWDetection) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Service de restauration système (srservice) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Acquisition d'image Windows (WIA) (stisvc) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Téléphonie (TapiSrv) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Services Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Thèmes (Themes) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Client de suivi de lien distribué (TrkWks) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Gestionnaire de téléchargement (uploadmgr) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: WebClient - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Infrastructure de gestion Windows (winmgmt) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Service de numéro de série du lecteur multimédia portable (WmdmPmSN) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Extensions du pilote WMI (Wmi) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: Mises à jour automatiques (wuauserv) - Unknown owner - C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: Configuration automatique sans fil (WZCSVC) - Unknown owner - C:\WINDOWS\System32\svchost.exe (file missing)



En passant, j'ai fait le HiJackThis alors que regedit etait "allumé" (je precise pour pas que vous trouviez bizard qu'il soit dans les processus en cours).

On m'a dit que ceci pourrait etre suspect :

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

J'ai reguardé le fichier auquel cela se rapporte,c'est un fichier crée en 2000, et semble rataché a ma carte son (l'icone se resume a un dessin de style Registre,avec dans le coin superieur gauche le logo creative),donc,je ne sais pas  trop.

On m'a aussi signalé qu'il existait un dossier qui "gardais" une copie de tous les fichier important,dont svchost. Ce dossier se nomant dllcache devrai se trouver dans Windows/system32, il ne figure pas sur mon pc.

Autrement, il y a vraiment bcp de soucis, j'irai je pense plus vite en enumerant ce qui marche encore, cela dit, commencons parceque ce qui ne marche pas :

-Tous ce qui est jeu, et choses de ce genre, ne marchent pas.
-Pas de fonction recherche
-Pas de son
-Pas de barre des taches (ou du moins,vide et toute fine)
-Disparition du theme windows XP
-Pas de fonction coller,ou autre choses du meme type (coller,couper,etc..)
-Pas de fonction recherche.
-Beaucoup de programes ne fonctionnent pas (heureusement,HiJackThis n'a pas de probleme)
-Demarage windows long (une fois l'utilisateur selectionné) (pc inactif pdt 30 secondes,sur fond de mon fond d'ecran)
-svchost suprimé(ou renomé?)
-Deplacement des icones impossible.
-Surement d'autres problemes que je n'ai pas encore reperé.

Points "positif":

-Regedit fonctionne (mais je ne sais pas si les fonctions de celui ci fonctionnent...)
-Je peux encore naviguer sur l'ordinateur

Pierre · Answer

Pour le dossier dllcache, je l'ai trouvé (il fallait afficher les fichier systems)

Mais (et oui, toujours un Mais)

Juste au moment ou apparu sur mon ecran svchost.exe, j'ai recu une alert kaspersky m'affirmant que (cette fois ci, j'ai pris note) :

Access to svchost.exe blocked

This is trojan Backdoor.win32.Rbot.bnb (le nom exact).

Il m'a dit qu'il etait recommandé de le suprimer (la premiere fois,il avait echoué), mais la,il l'a pas loupé ;-( . J'ai desormais un trou blanc a la place de svchost.exe .

Le point positif,c'est que l'on a le nom exact (il faut bien trouver des points positif...)

Regis59 · Answer

Salut

Pour info:
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE 

Correspond  a ceci:
Reminder to register Creative Labs SoundBlaster Live! cards

Si je comprend, tu ne peux rien telecharger et rien executer?

Rend toi dans demarer < executer < tape: msconfig
Onglet demarrage, decoche tous les programmes sauf ton antivirus et ton pare feu, accepte le redemarrage
Au demarrage, tu auras un message, coche ne plus afficher...et valide.

Ensuite, retente SilentRunner stp

A+

Pierre · Answer

Je n'ai pas de menu redemarer (je n'ai plus de bar des tache du tout).

msconfig est trouvable dans le dossier windows? (je pense que oui,je vais chercher) (c'est comme cela que j'ai demarer regedit).

Si je le trouve,j'essaye ce que tu me dis.

Regis59 · Answer

Re,

J'aimerais essayer un programme pour voir si on peut recuperer quelque chose, tu peux telecharger et executer un programme sur ton PC malade?

Tu as acces au panneau de configuration?

A+

Pierre · Answer

Non,je ne le trouve pas (ni dans Windows,ni dans system32)...

Pierre · Answer

Telecharger,non, je n'ai plus acces a internet.

Pour le panneau de configuration,je vais jeter un oeil pour voir si il y a moyens d'y arriver avec l'explorer.

Pierre · Answer

Oui,j'ai acces au panneau de configuration (dans poste de travail,sur le panneau lateral gauche).

delalonde · Answer

bonjour,
j'ai moi aussi un problème de virus depuis hier...en effet dans icq j'ai reçu un lien qui m'était envoyé par un amis...en réalité ce n'est pas lui qui me l'a envoyé...je ne sais plus le nom du lien mais j'ai trouvé dans systeme 32 un fichier 5.tmp daté dhier...dès que je clique mon pc se met en erreur.Le pc est très très lent et je ne peux rien ouvrir sauf si je me dépêche sans quoi le message manque de ram apparait et la plus accès à rien

Pierre · Answer

Salut delalonde,

Je ne pense pas que ce soit le meme virus, je te conseil de creer ton propre sujet, je pense que ce serait beaucoup plus efficace.

Regis59 · Answer

Re,

1- Tu disais que la fonction rechercher ne marchait plus, essaie avec la combinaison de ces 2 touches de ton clavier: - Win+F
Lorsque tu es sur le bureau, utilise F3.

Tu as essayé une restauration systeme?

a+

Regis59 · Answer

Re,

Pour les icones, essaie ceci:
Désactivez l'option Réorganisation automatique pour les icônes du Bureau, puis placez les icônes comme vous le souhaitez sur le Bureau. 

As tu acces a CTLR + ALT + SUPP?

A+

Pierre · Answer

J'ai essayé F3 sur le bureau,cela ne fait rien, Win+F ne fait rien egalement (Win laissé apuiyé+F, et Win puis F (cela me selectionne un icone commençant par F sur mon bureau(une chose de + qui marche lol)).

Pour restauration system, ou est-ce que cela se trouve? (dans mes souvenir, c'etait dans outils systems,dans le menu accessoire du menu demarer,mais n'ayant plus ce menu...)

Regis59 · Answer

Re,

loooooool

regarde le poste au dessu lol

Je regarde pour la restau systeme

a+

Pierre · Answer

Oui,j'ai acces a Ctrl+alt+supr .

Pour la restau susteme, c'est dans Panno de config->Systeme-> onglet restauration system? ("desactiver restau system" est décoché,et j'ai un petit tableau avec mes deux Disques durs et chacun ecope de la mention "suspendu". 

Pour les icones, reorganisation automatique des icones n'est pas activé.

Regis59 · Answer

Re,

Tu peux te rendre ici:

C\windows\System32\restore\rstrui.exe 
Double clik sur rstrui.exe, tu peux?

Dans ctlr + alt + supp, quel processus bizarre tourne?La liste est trop longue pour me la donner?Tu as svchost.exe?

a+

Marco · Answer

Salut tout le monde !
Je permet de poster dans ce sujet parce que mon souci est exactement le même :
-J'ai Kasper
-Tout à l'heure j'ai eu une alerte concernant svchost.exe

J'ai été intrigué car svchost.exe est en principe un processus qui tourne parmis les processus système, sauf erreur de ma part.

Kaspersky m'a proposé un redemarrage pour supprimer les fichiers infectés (il y en a 2 dans C\Windows\syst32)
Le nom est bien : backdoor.win32.Rbot.bnb
J'ai supprimé les deux .exe avant que le pc ne redemarre par lintermédiaire de Kaspersky.
Au redemarrage ça rame et pas d'accès au menu démarrer etc etc. Et j'ai plus internet.

Je comprend pas très bien, j'ai peur de restaurer les svchost.exe.

 C'est possible qu'il y ait eu infection de l'exécutable de svchost?
Si le processus svchost est nécessaire au fonctionnement du menu démarrer et autres, il serait logique qu'après le suppression ou la mise en quarantaine de celui-ci, les applications dont il permet le fonctionnement ne marchent plus.

Bon bah voilà, sinon j'ai trouvé ke backdoor.win32.Rbot.bnb existe dans un programme de désinfection japonais ou chinois (en recherchant sur google je tombe là dessus)
Sinon je n'ai vraiment pas la moindre idée de quoi faire...

Regis59 · Answer

Salut Marco, 

Je pense que Kas vire svchost qui est legitime...
Si tu as possibilité de les restaurer, fais le.

Normalement, ce n est pas possible qu il y est l infection a l interieur du processus legitime, sinon, on ne finirait que par formater a chaque fois.

Tu peux restaurer les svchost?
Et dis moi egalement si tes soucis sont les memes qu au dessu:

-Tous ce qui est jeu, et choses de ce genre, ne marchent pas. 
-Pas de fonction recherche 
-Pas de son 
-Pas de barre des taches (ou du moins,vide et toute fine) 
-Disparition du theme windows XP 
-Pas de fonction coller,ou autre choses du meme type (coller,couper,etc..) 
-Pas de fonction recherche. 
-Beaucoup de programes ne fonctionnent pas (heureusement,HiJackThis n'a pas de probleme) 
-Demarage windows long (une fois l'utilisateur selectionné) (pc inactif pdt 30 secondes,sur fond de mon fond d'ecran) 
-svchost suprimé(ou renomé?) 
-Deplacement des icones impossible. 

Pour info:

Le processus svchost.exe (svchost signifiant Service Host Process) est un processus générique de Windows 2000/XP servant d'hôtes pour les autres processus dont le fonctionnement repose sur des librairies dynamiques (DLLs). Il existe ainsi autant d'entrées svchost qu'il y a de processus qui l'utilisent. 

L'utilitaire tlist.exe fourni sur le CD-ROM de Windows 2000/XP permet de lister les applications utilisant ce service grâce à la commande suivante : 

tlist -s
Le service svchost original possède une faille de sécurité qu'il est impératif de corriger en mettant à jour le système avec le service WindowsUpdate. 

Vos sytemes etaient a jour?

Merci
A+

Pierre · Answer

2 Regis59

Non,je n'ai pas svchost dans la liste, et rien ne tourne vraiment beaucoup, quand je reguarde le graphique de l'utilisation UC,ca reste a 0, parfois 4% quand je bouge la souris lol ). Pas de processus specialement gourmand (a noter que j'ai bcp moins de processus qu'avant il me semble).

Je vais essayer ce que tu m'as indiquer pour restaure systeme.


2 Marco

Oui,cela a l'air d'etre le meme probleme.

J'ai egalement vu les 3 site asiatique que me propose google lol.

Bienvenue au club :P

Regis59 · Answer

Ouais j ai vu aussi sur google ... lol

Je pense qu il vire le processus legitime et ca fait tout fouarré !

Essaie et dis moi

a+

Pierre · Answer

Non Regis, comme je l'ai precisé sur mon premier message, mon satané Windows n'etait pas a jour (dieu sait que c'est très mauvais...)

Regis59 · Answer

Ok

Dis moi si ceci existe:
Vérifie le contenu de la clé HKLM\Software\Microsoft\Windows NT\CurrentVersion\Svchost

Regis59 · Answer

Re,

Telecharge ceci (debrouille toi comme tu peux, via un autre pc lol)
https://www.cjoint.com/?lco6BArSd8
Tu l enregistre sur disquette, CD, clé usb (debrouille toi comme tu peux lol)
Puis essaie de le glisser avec ta souris vers le systeme32.

a+

Pierre · Answer

Pour la restauration system, il me dit quelque chose comme : La restauration systeme ne peut pas proteger votre ordinateur,redemarer votre machine puis reessayer (je l'ai fait,ca marche pas).

Pour la cle svchost,voila ce que cela donne : 

http://img98.imageshack.us/img98/3176/genialri3.jpg

Regis59 · Answer

re,

si tu peux faire des prises d ecrans, tu peux copier coller alors !?

Telecharge ceci (debrouille toi comme tu peux, via un autre pc lol) 
https://www.cjoint.com/?lco6BArSd8 
Tu l enregistre sur disquette, CD, clé usb (debrouille toi comme tu peux lol) 
Puis essaie de le glisser avec ta souris vers le systeme32. 

a+

Marco · Answer

Dans l'archive des fichiers supprimés de KAV j'ai trouvé deux svchost.exe. J'ai restauré le premier à sa place originale dans Syst32 et j'ai restauré l'autre sur mon bureau.
J'ai ensuite procédé à une analyse des deux fichiers ==> RAS kav ne détecte rien
Ensuite arrêter/démarrer et paf tout est redevenu normal.

Pour ce qui est des disfonctionnements, je n'ai pas tout testé car j'ai commencé par essayer de restaurer les fichiers mais voilà en gros : 

-Tous ce qui est jeu, et choses de ce genre, ne marchent pas. (pas essayé mais kav marchait)
-Pas de fonction recherche (pas essayé)
-Pas de son (pas essayé)
-Pas de barre des taches (ou du moins,vide et toute fine) (oui)
-Disparition du theme windows XP (oui mais conservation du fond d'écran)
-Pas de fonction coller,ou autre choses du meme type (coller,couper,etc..) (pas essayé)
-Pas de fonction recherche. (pas essayé)
-Beaucoup de programes ne fonctionnent pas (euh)
-Demarage windows long (une fois l'utilisateur selectionné) (pc inactif pdt 30 secondes,sur fond de mon fond d'ecran) (ouais méga long xD)
-svchost suprimé(ou renomé?) (bah ça ouais)
-Deplacement des icones impossible. (pas essayé)

Je précise aussi que je suis au SP2 car JE VEUX PAS CE SALE PACK PARANO qu'ils nous ont sorti. Je suis un resistant du SP3 et du SP4
Mais il est possible que le problème soit à ce niveau là?

Ca reste à voir.
Maintenant est ce que je risque à nouveau une infection (ou est-ce que je suis encore infecté ?) Vais-je devoir céder à l'installation d'un update d'OS qui va me faire chier toutes les 5minutes à cause de son pare-feu ?

Aie aie aie,,,, que de questions.

Regis59 · Answer

Salut Marco,

Dis moi avant de répondre a tes questions, tu les a restauré via la quarantaine de KAS?

Pierre, tu peux faire pareil?

Kaspersky doit les detecter et ce sont des faux positifs, je ne vois que cela comme explication.

A+

Pierre · Answer

Regis, j'ai reussi a copier le exe que tu m'a donné a telecharger dans le dossier system32(merci ms-dos), je fais quoi maintenant?

Je vais voir pour kaspersky,mais je sais pas si faire 2 choses a la fois est une bonne idée..

Pierre · Answer

J'ai reguardé sur Kav, j'ai pas de svchost en quarantaine, mais j'ai 3 svchost dans le dossier "backup", 2 venant de system32, et 1 venant de System32\dllcache . Ils sont noté comme infectés.

Regis59 · Answer

Re Pierre

Redemarre ton PC et regarde si c est ok. 
Si non, essaie de restaurer les elements que KAS a supprimer

a+

Pierre · Answer

Regis, est-ce normal que le fichier que tu m'a donné s'appelle lco6BAr8sd8_svchost.exe ? je ne dois pas le renomer en svchost.exe tout court?

Regis59 · Answer

Re,

Il a gardé le nom du fichier c-joint lol

Oui renomme le en svchost.exe

Redemarre et dis moi si ca s est retabli lol

a+

Marco · Answer

J'étais en train de manger ^^
Bon bah moi je les ai restaurés à partir de KAV, non pas de la quarantaine mais pour être précis de l'archive des fichiers supprimés.

Maintenant si tu peux répondre à mes questions, je t'en prie ;')
Ce sont peut-être des faux positifs comme tu dis. Mais comment est-ce possible?

pierre · Answer

Bonne nouvelle, je vous ecrit depuis mon autre pc.

Pour le moment,tout a l'air d'etre revenu dans l'ordre.

Par contre, lorsque j'ai renomé le svchost, windows m'a indiqué qu'il avait detecté un fichier d'une differente version, et qu'il etait preferable de reprendre ce fichier depuis mon cd de windows(pour la stabilité du system),j'ai mis annuler (sinon,peut etre que Kaspersky l'aurait detecté comme Virus). Pense tu que cela pose un gros problème? 

En tout cas,merci

Marco · Answer

!!
Bon bah aussi un truc bizarre qui m'intrigue.
Le nom du processus était tout à l'heure avant que je le delete en minuscule: svchost.exe
Maintenant il est écrit en majuscules : SVCHOST.EXE
De plus, certains de mes paramètres ont disparu au démarrage.

Je pense notemment à la barre de lancement rapide qui n'est plus du monde de mon pc. Je ne l'ai pas encore restaurée...

J'avoue ça me bluff toute cette histoire !

pierre · Answer

Pour la barre de lancement rapide,tu clique droit sur ta barre des tache (en bas quoi) tu va sur propriete,et la, tu coche "afficher la zone de lancement rapide".

Marco · Answer

Merci pour l'info ^_^

Regis59 · Answer

Salut Pierre et Marco,

Ca va les mecs? lol

Bon alors, dites moi ou en sont les soucis et si vous avez tout retrouvé, apres je repondrais aux questions mais demain, je suis naze, l entrainement de foot fut intense.

bonne nuit
Zzzzzzzzzz

marco · Answer

Yo... Yo...
Bon bah moi ça couille un peu.
Hier je n'arrivais plus à me connecter à mon réseau wifi. Je suis pas encore allé voir aujourdhui.
Mais il y a dans les processus au moins 5  SVCHOST.EXE maintenant.
Alors c'est très bizarre. Je pense à formater.
Sacré Windows...

Le jour ou Microsoft inventera quelque chose qui ne plante pas, ce sera un clou.

Regis59 · Answer

Salut

C'est normal que tu en ai 5.

Tu as quels genres de soucis maintenant?

a+

Marco · Answer

Ma connection internet  semblait fonctionner correctement jusqu'au moment ou j'ai arrêté de recevoir de paquets par wifi.
Au début ça marchait par salves internet fontionnait pendant un temps et puis paf plus rien. Et ça recommençait. Et puis au final ça ne fonctionnait plus du tout. Et pourtant mon pc continuait à émettre des paquets. Enfin.
Ca faisait un moment que je l'avais plus fait et c'était l'occase, donc j'ai fini par formater mon pc.

Voila voilà, j'ai maintenant installé Zone alarm FW et AV. Il est super chiant et il arrête pas de parler mais pour l'instant il me protège ^^

Merci pour ton aide Regis.

Regis59 · Answer

Salut,

Apparemment, ce que Kaspersky detectait etait bien une fausse alerte.
Pour ZA, tu as des petites cases que tu peux cocher afin qu il memorise l acces et comme cela tu n as plus a les recocher a chaque fois, tu vois ou?

A+

Regis59 · Answer

Salut

Pour les tentatives d intrusion, tu peux me donner plus de details?
Ta connection, tu nous explique?

a+

nala11 · Answer

bonjour, j'ai un peu le meme probleme.depuis l'attaque de trojans que j'ai eliminé avec KASPERSKY6.0,je n'arrive plus a ouvrir tous mes fichiers EXE.panneau de configuration compris.spybot et ad-aware on enlevés des SPYWARES...et apres le meme probleme.je peut aller sur le net avec FIREFOX en selectionant dans la liste car windows ne les ouvrent pas.aidez moi 3 jours de galeres a chercher.merci salutations a tous

mokette17 · Answer

Salut,

J'ai eu le même problème avant hier soir avec une suppression de SVchot par l'antivirus.
Après avoir lu ces post hier matin j'ai tenté d'installer un nouvel exécutable svchot récupéré sur un PC XP clean.
J'ai « chunté » le problème du copier coller en passant par la cmde DOS de "copy:"
Le résultat était "partiel" a savoir j'ai récupéré une partie de mes logiciels (antivirus, antispyware...) mais pas d'Internet ni de barre des tâches et encore moins de son !

Une verif complète du PC n'a bien évidement rien donné.
Impossible de pouvoir lancer la restauration système.

J'ai donc réaliser un back up de mes fichiers important de C: en en les zipant vers une autre partition.
J'ai enfourné le CD XP Pro SP2 et j'ai lancé la réparation système proposée lors de l'install.
Au bout de 30 minutes le PC était repartit sans perte de données ni de soft, j'ai juste eu a re-paramétrer les pilotes vidéo et les paramètres de sécurité Windows (update, firewall...) !

En espérant que cela puisse aider ce qui comme moi on eu cette m.......!

Merci encore aux membre de ce forum qui m'on bien fait avancés.

[Virus]svchost.exe problem trojan backdrop

61 réponses

Discussions similaires

Newsletters