PC infecté Svchost.exe system32\WinDir

cassoss Messages postés 324 Statut Membre -  
Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   -
Bonjour,

J'ai un problème, Avast! m'annonce en permanence qu'un cheval de troie a été bloqué, et vu que c'est Svchost.exe et que ce processus est toujours actif bah j'ai toujours une alerte donc j'ai mis avast! en silencieux mais je suis toujours infecté.

Ce processus étant impératif, j'aimerais savoir comment je peux supprimer le Trojan ?

Merci

37 réponses

  • 1
  • 2
Résumé de la discussion

Le problème décrit est une alerte Avast indiquant qu'un cheval de Troie est lié au fichier svchost.exe sur Windows XP, avec la suspicion que le processus soit intrusif et actif en permanence. Plusieurs utilisateurs recommandent de relancer des outils de nettoyage comme UsbFix ou AdwCleaner et de supprimer les éléments détectés dans le registre et les profils Firefox. Des rapports évoquent un faux svchost.exe dans des emplacements système et préconisent sa suppression via UsbFix ou AdwCleaner. En complément, il faut vérifier les extensions associées et les programmes installés qui peuvent masquer des menaces, afin d'éviter que des composants légitimes ne soient confondus avec des infections.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    Bonjour,

    Je peux t'aider à résoudre ton problème si tu le souhaites.

    Quelques précisions :
    - N'ouvre pas d'autre sujet sur ce forum ou sur un autre sur la même affaire.
    - La désinfection ne sera terminée que lorsque je te le dirai même s'il te semble que ta machine est "clean" sinon il te faudra sûrement tout recommencer.
    - Tu auras des rapports à me transmettre par l'intermédiaire d'un dépôt de fichier, note la procédure à suivre, je ne te la rappellerai pas ultérieurement et ne colle pas tes rapports directement dans ta réponse par copier/coller (sauf s'ils sont très courts!)
    Dépôt de fichiers :
    - Pour me transmettre les rapports que tu obtiendras à la suite du passage d'outils tu cliqueras sur un de ces liens :
    cijoint ou pjoint
    - Tu cliqueras ensuite sur Parcourir et chercheras le fichier du rapport, je t'indiquerai ou il est.
    - Tu cliqueras sur Ouvrir puis sur "Cliquez ici pour déposer le fichier".
    Un lien de cette forme: https://www.cjoint.com/index.php?file=cjge368/cijSKAP5fU.txt
    sera ajouté dans la page.
    - C'est ce lien que tu auras à me transmettre et uniquement cela.

    Commence par utiliser ce logiciel de diagnostic :
    Celui-ci est plus complet que Hijackthis.

    - Télécharge ZHPDiag (de Nicolas Coolman)
    - Lance le (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
    - Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau)
    - Il se lancera automatiquement à la fin de l'installation
    - Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    - Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    - Rends toi sur ce site, clique sur "Parcourir", sélectionne le rapport de ZHPDiag et clique sur Envoyer le fichier. Patiente pendant l'envoi du fichier, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

    A+
    0
  2. cassoss Messages postés 324 Statut Membre 23
     
    Bonjour,

    Je n'ai aucune icône représentant une loupe sur le programme que vous m'avez demandé de télécharger, du coup je bloque.
    0
    1. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
       
      Bonjour,

      Tu as dû lancer ZHPFix à la place de ZHPDiag.
      0
  3. cassoss Messages postés 324 Statut Membre 23
     
    Ah oui effectivement merci, ZHPDiag était caché derrière Météo Fusion, un programme qui passe prioritaire sur l'interface windows par rapport aux icônes.
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    En attendant le retour de cabrier,

    Tu te sers de Hotspot Shield ?

    Si non, désinstalle-le.

    --> Désinstalle Spybot qui ne sert pas à grand chose.

    --> Télécharge et lance AdwCleaner, choisis l'option "Suppression" et poste le rapport :
    https://toolslib.net
    0
  6. cassoss Messages postés 324 Statut Membre 23
     
    Oui je me sers de Hotspot Shield c'est le seul VPN dont je dispose. J'ai désinstallé Spybot et voici le rapport AdwC :

    # AdwCleaner v1.604 - Rapport créé le 28/04/2012 à 20:09:00
    # Mis à jour le 23/04/2012 par Xplode
    # Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
    # Nom d'utilisateur : sifeddine - PERCTANCE
    # Exécuté depuis : C:\Documents and Settings\sifeddine\Mes documents\Téléchargements\adwcleaner.exe
    # Option [Suppression]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    Dossier Supprimé : C:\Documents and Settings\sifeddine\Application Data\cacaoweb
    Dossier Supprimé : C:\Documents and Settings\sifeddine\Application Data\GetRightToGo
    Dossier Supprimé : C:\Documents and Settings\sifeddine\Application Data\OpenCandy
    Dossier Supprimé : C:\Documents and Settings\sifeddine\Application Data\Mozilla\Firefox\Profiles\w5iawvbu.default\extensions\cacaoweb@cacaoweb.org
    Dossier Supprimé : C:\Program Files\cacaoweb
    Dossier Supprimé : C:\Program Files\Mozilla Firefox\Extensions\quickstores@quickstores.de
    Dossier Supprimé : C:\WINDOWS\assembly\GAC_MSIL\QuickStoresToolbar
    Fichier Supprimé : C:\Documents and Settings\sifeddine\Application Data\Microsoft\Internet Explorer\Quick Launch\QuickStores.url
    Fichier Supprimé : C:\Documents and Settings\sifeddine\Menu Démarrer\QuickStores.url
    Fichier Supprimé : C:\Documents and Settings\sifeddine\Application Data\Mozilla\Firefox\Profiles\w5iawvbu.default\searchplugins\Askcom.xml
    Fichier Supprimé : C:\Documents and Settings\sifeddine\Application Data\Mozilla\Firefox\Profiles\w5iawvbu.default\searchplugins\Startsear.xml
    Fichier Supprimé : C:\Program Files\Mozilla Firefox\Plugins\npvsharetvplg.dll

    ***** [Registre] *****

    Clé Supprimée : HKCU\Software\cacaoweb
    Clé Supprimée : HKCU\Software\Softonic
    Clé Supprimée : HKCU\Software\StartSearch
    Clé Supprimée : HKLM\SOFTWARE\Boxore
    Clé Supprimée : HKLM\SOFTWARE\Software
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43

    ***** [Registre - GUID] *****

    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A1B48071-416D-474E-A13B-BE5456E7FC31}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{79D60450-56C5-4A8C-9321-6D5BC2A81E5A}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{99C22A61-21BA-4F81-85FF-CDC9EB5DB10B}
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40B7-AC73-056A5EBA4A7E}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A1B48071-416D-474E-A13B-BE5456E7FC31}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}]
    Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]

    ***** [Navigateurs] *****

    -\\ Internet Explorer v8.0.6001.18702

    [OK] Le registre ne contient aucune entrée illégitime.

    -\\ Mozilla Firefox v12.0 (fr)

    Nom du profil : default
    Fichier : C:\Documents and Settings\sifeddine\Application Data\Mozilla\Firefox\Profiles\w5iawvbu.default\prefs.js

    C:\Documents and Settings\sifeddine\Application Data\Mozilla\Firefox\Profiles\w5iawvbu.default\user.js ... Supprimé !

    Supprimée : user_pref("browser.search.order.1", "Ask.com");
    Supprimée : user_pref("keyword.URL", "hxxp://startsear.ch/?aff=1&src=sp&cf=5f073236-1935-11e1-82d2-0008d380d6b2&[...]
    Supprimée : user_pref("quickstores.toolbar.affid", "2017");
    Supprimée : user_pref("quickstores.toolbar.guid", "{9DD9791E-D2AD-BA27-2365-3C644186BB3B}");

    *************************

    AdwCleaner[R1].txt - [4139 octets] - [28/04/2012 20:08:07]
    AdwCleaner[S1].txt - [4228 octets] - [28/04/2012 20:09:00]

    ########## EOF - C:\AdwCleaner[S1].txt - [4356 octets] ##########
    0
  7. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    --> Relance AdwCleaner et choisis "Désinstallation".

    Où est situé le fichier svchost.exe détecté par Avast ?
    0
  8. cassoss Messages postés 324 Statut Membre 23
     
    Je sais plus du tout, dans systeme32 il me semble, mais c'est fort possible que je dise n'importe quoi... parce que j'ai plus les alertes mais je sais que je suis encore infecté.
    0
  9. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    J'y vais, à demain.

    Ouvre Avast et regarde dans la partie Protection résidente ou encore Maintenance > Zone de quarantaine, tu trouveras peut-être des infos.

    Mets à jour Malwarebytes Anti-Malware et fais un examen rapide.

    Poste un nouveau rapport ZHPDiag.
    0
  10. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Malwarebytes Anti-Malware a trouvé des infections ?

    Si oui, poste-moi le rapport.
    0
  11. cassoss Messages postés 324 Statut Membre 23
     
    Non aucune, même en examen complet.

    On m'a dit qu'on pouvait se désinfecter via Regedit mais je sais pas où chercher, et je sais pas si c'est vrai surtout...
    0
  12. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    --> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").

    SysRestore
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} Clé orpheline
    OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe
    O42 - Logiciel: vShare.tv plugin 1.3 - (.vShare.tv, Inc..) [HKLM] -- vShare.tv plugin
    [HKCU\Software\vShare.tv]
    O43 - CFD: 13/04/2012 - 00:29:22 - [0] ----D C:\Program Files\Software
    O43 - CFD: 28/04/2012 - 20:07:00 - [1,651] ----D C:\Program Files\Spybot - Search & Destroy
    O43 - CFD: 27/11/2011 - 22:21:43 - [0,396] ----D C:\Program Files\vShare.tv plugin
    O43 - CFD: 13/04/2012 - 00:29:21 - [0] ----D C:\Documents and Settings\sifeddine\Local Settings\Application Data\Software
    O47 - AAKE:Key Export SP - "C:\Program Files\cacaoweb\cacaoweb.exe" [Enabled] .(...) -- C:\Program Files\cacaoweb\cacaoweb.exe (.not file.)
    O47 - AAKE:Key Export SP - "C:\Documents and Settings\sifeddine\Mes documents\Téléchargements\cyberghost_vpn_keygen_rar_downloader_352b.exe" [Enabled] .(...) -- C:\Documents and Settings\sifeddine\Mes documents\Téléchargements\cyberghost_vpn_keygen_rar_d
    O47 - AAKE:Key Export SP - "C:\Documents and Settings\sifeddine\Bureau\spynet\Desktop\SpyNet.exe" [Enabled] .(...) -- C:\Documents and Settings\sifeddine\Bureau\spynet\Desktop\SpyNet.exe (.not file.)
    O47 - AAKE:Key Export SP - "C:\Documents and Settings\sifeddine\Bureau\spynet\SpyNet.exe" [Enabled] .(...) -- C:\Documents and Settings\sifeddine\Bureau\spynet\SpyNet.exe (.not file.)
    O53 - SMSR:HKLM\...\startupreg\cacaoweb [Key] . (...) -- C:\Program Files\cacaoweb\cacaoweb.exe (.not file.)
    [HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\cacaoweb]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\vShare.tv plugin]
    [HKCU\Software\vShare.tv]
    C:\Windows\system32\WinDir\Svchost.exe
    EmptyFlash
    EmptyTemp


    --> Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.
    (Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPFix et choisir Exécuter en tant qu'administrateur)

    --> Une fois ZHPFix ouvert, clique sur le bouton "H" (Coller les lignes Helper).

    --> Dans l'encadré principal, tu verras donc les lignes que tu as copié précédemment apparaître. Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    --> Clique sur "GO" pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.

    --> Une fois terminé, copie-colle le rapport dans ton prochain message.
    0
  13. cassoss Messages postés 324 Statut Membre 23
     
    Voilà le rapport :

    Rapport de ZHPFix 1.12.3372 par Nicolas Coolman, Update du 22/11/2011
    Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-29-04-2012-17-48-55.txt
    Run by sifeddine at 29/04/2012 17:48:55
    Windows XP Professional Service Pack 3 (Build 2600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

    ========== Logiciel(s) ==========
    ABSENT Uninstall Process: c:\program files\vshare.tv plugin\uninst.exe

    ========== Clé(s) du Registre ==========
    SUPPRIME [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\vShare.tv plugin]
    SUPPRIME Key: CLSID BHO: {5C255C8A-E604-49b4-9D64-90988571CECB}
    SUPPRIME Key: HKCU\Software\vShare.tv
    SUPPRIME Key: StartupReg: cacaoweb
    ABSENT Key: HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\cacaoweb
    ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\vShare.tv plugin

    ========== Valeur(s) du Registre ==========
    SUPPRIME RunValue: QuickTime Task
    SUPPRIME AAKE KeyValue: C:\Program Files\cacaoweb\cacaoweb.exe
    SUPPRIME AAKE KeyValue: C:\Documents and Settings\sifeddine\Mes documents\Téléchargements\cyberghost_vpn_keygen_rar_downloader_352b.exe
    SUPPRIME AAKE KeyValue: C:\Documents and Settings\sifeddine\Bureau\spynet\Desktop\SpyNet.exe
    SUPPRIME AAKE KeyValue: C:\Documents and Settings\sifeddine\Bureau\spynet\SpyNet.exe

    ========== Dossier(s) ==========
    SUPPRIME Folder: C:\Program Files\Software
    SUPPRIME Folder: C:\Program Files\Spybot - Search & Destroy
    ABSENT C:\Program Files\vShare.tv plugin
    SUPPRIME Folder: C:\Documents and Settings\sifeddine\Local Settings\Application Data\Software
    SUPPRIME Flash Cookies: 73
    SUPPRIME Temporaires Windows: : 18

    ========== Fichier(s) ==========
    ABSENT File: c:\program files\cacaoweb\cacaoweb.exe
    ABSENT File: c:\documents and settings\sifeddine\mes documents\téléchargements\cyberghost_vpn_keygen_rar_d
    ABSENT File: c:\documents and settings\sifeddine\bureau\spynet\desktop\spynet.exe
    ABSENT File: c:\documents and settings\sifeddine\bureau\spynet\spynet.exe
    ABSENT Folder/File: c:\windows\system32\windir\svchost.exe
    SUPPRIME Flash Cookies: 43
    SUPPRIME Temporaires Windows: : 22

    ========== Restauration Système ==========
    Point de restauration du système créé avec succès

    ========== Récapitulatif ==========
    6 : Clé(s) du Registre
    5 : Valeur(s) du Registre
    6 : Dossier(s)
    7 : Fichier(s)
    1 : Logiciel(s)
    1 : Restauration Système

    End of clean in 00mn 18s

    ========== Chemin de fichier rapport ==========
    C:\ZHP\ZHPFix[R1].txt - 29/04/2012 17:48:55 [2440]
    0
  14. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    --> Télécharge SEAF (de C_XX) sur ton Bureau.
    --> Lance SEAF.
    --> Dans le cadre, copie-colle ceci : svchost
    --> Clique sur Lancer la recherche.
    --> Un rapport va apparaître, poste-le.
    0
  15. cassoss Messages postés 324 Statut Membre 23
     
    1. ========================= SEAF 1.0.1.0 - C_XX
    2.
    3. Commencé à: 18:05:57 le 29/04/2012
    4.
    5. Valeur(s) recherchée(s):
    6. svchost
    7.
    8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
    9.
    10.
    11. ====== Fichier(s) ======
    12.
    13.
    14. "C:\Program Files\Malwarebytes' Anti-Malware\Chameleon\svchost.exe" [ ARCHIVE | 199 Ko ]
    15. TC: 01/04/2012,17:31:05 | TM: 04/04/2012,15:56:38 | DA: 22/04/2012,03:39:41
    16.
    17.
    18. =========================
    19.
    20.
    21. "C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\SMSvcHost\4dcff3b0e79fc27e31549bb2af00efb5\SMSvcHost.ni.exe" [ ARCHIVE | 366 Ko ]
    22. TC: 16/02/2012,23:07:55 | TM: 16/02/2012,23:07:55 | DA: 22/04/2012,04:17:01
    23.
    24.
    25. =========================
    26.
    27.
    28. "C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe" [ ARCHIVE | 132 Ko ]
    29. TC: 29/07/2008,19:16:38 | TM: 29/07/2008,19:16:38 | DA: 29/04/2012,00:05:16
    30.
    31.
    32. =========================
    33.
    34.
    35. "C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe.config" [ ARCHIVE | 2 Ko ]
    36. TC: 09/05/2008,16:49:48 | TM: 09/05/2008,16:49:48 | DA: 29/04/2012,00:10:43
    37.
    38.
    39. =========================
    40.
    41.
    42. "C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\_SMSvcHostPerfCounters.h" [ ARCHIVE | 702 o ]
    43. TC: 29/07/2008,04:25:24 | TM: 29/07/2008,04:25:24 | DA: 29/04/2012,00:10:43
    44.
    45.
    46. =========================
    47.
    48.
    49. "C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\_SMSvcHostPerfCounters.ini" [ ARCHIVE | 132 Ko ]
    50. TC: 09/05/2008,16:49:44 | TM: 09/05/2008,16:49:44 | DA: 29/04/2012,00:10:43
    51.
    52.
    53. =========================
    54.
    55.
    56. "C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\_SMSvcHostPerfCounters.reg" [ ARCHIVE | 4 Ko ]
    57. TC: 29/07/2008,04:25:24 | TM: 29/07/2008,04:25:24 | DA: 29/04/2012,00:10:43
    58.
    59.
    60. =========================
    61.
    62.
    63. "C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\_SMSvcHostPerfCounters.vrg" [ ARCHIVE | 4 Ko ]
    64. TC: 29/07/2008,04:25:24 | TM: 29/07/2008,04:25:24 | DA: 29/04/2012,00:10:43
    65.
    66.
    67. =========================
    68.
    69.
    70. "C:\WINDOWS\Prefetch\SVCHOST.EXE-3530F672.pf" [ NOT_CONTENT_INDEXED|ARCHIVE | 19 Ko ]
    71. TC: 22/04/2012,22:06:22 | TM: 29/04/2012,13:04:22 | DA: 29/04/2012,13:04:22
    72.
    73.
    74. =========================
    75.
    76.
    77. "C:\WINDOWS\system32\dllcache\svchost.exe" [ COMPRESSED|ARCHIVE | 14 Ko ]
    78. TC: 14/04/2008,14:00:00 | TM: 14/04/2008,14:00:00 | DA: 22/04/2012,04:07:12
    79.
    80.
    81. =========================
    82.
    83.
    84. "C:\WINDOWS\system32\svchost.exe" [ ARCHIVE | 14 Ko ]
    85. TC: 14/04/2008,14:00:00 | TM: 14/04/2008,14:00:00 | DA: 29/04/2012,13:02:57
    86.
    87.
    88. =========================
    89.
    90.
    91. =========================
    92.
    93. Fin à: 18:07:16 le 29/04/2012
    94. 77863 Éléments analysés
    95.
    96. =========================
    97. E.O.F
    0
  16. g3n-h@ckm@n
     
    [15:14:58] <Destrio5> Tu demanderais ........... ?

    bien sur ^^
    0
  17. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Merci gen-hackman ^^

    Pour cassoss :

    --> Télécharge et lance UsbFix, choisis l'option "Recherche" et poste le rapport :
    http://general-changelog-team.fr/fr/downloads/viewdownload/15-outils-de-el-desaparecido/19-usbfix
    0
  18. cassoss Messages postés 324 Statut Membre 23
     
    ############################## | UsbFix V 7.084 | [Recherche]

    Utilisateur: sifeddine (Administrateur) # PERCTANCE
    Mis à jour le 13/03/2012 par El Desaparecido
    Lancé à 14:07:50 | 30/04/2012

    Site Web: https://www.sosvirus.net/
    Fichier suspect ? : http://eldesaparecido.com/upload.html
    Contact: contact@eldesaparecido.com

    PC: Acer (Aspire M1100) (X86-based PC) # Desktop Computer
    CPU: AMD Athlon(tm) 64 X2 Dual Core Processor 4200+ (2194)
    RAM -> [ Total : 2303 | Free : 1134 ]
    BIOS: Phoenix - AwardBIOS v6.00PG
    BOOT: Normal boot

    OS: Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
    WB: Windows Internet Explorer 8.0.6001.18702

    SC: Security Center Service [ Enabled ]
    WU: Windows Update Service [ Enabled ]
    FW: Windows FireWall Service [ Enabled ]

    C:\ (%systemdrive%) -> Disque fixe # 226 Go (152 Go libre(s) - 67%) [] # NTFS
    H:\ -> CD-ROM

    ################## | Processus Actif |

    C:\WINDOWS\System32\smss.exe (1520)
    C:\WINDOWS\system32\winlogon.exe (2004)
    C:\WINDOWS\system32\services.exe (120)
    C:\WINDOWS\system32\lsass.exe (136)
    C:\WINDOWS\system32\Ati2evxx.exe (332)
    C:\WINDOWS\system32\svchost.exe (352)
    C:\WINDOWS\System32\svchost.exe (452)
    C:\Program Files\AVAST Software\Avast\AvastSvc.exe (820)
    C:\WINDOWS\system32\Ati2evxx.exe (852)
    C:\WINDOWS\system32\spoolsv.exe (952)
    C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe (616)
    C:\Program Files\Bonjour\mDNSResponder.exe (1104)
    C:\Program Files\Hotspot Shield\bin\openvpnas.exe (1664)
    C:\WINDOWS\Explorer.EXE (1064)
    C:\Program Files\Hotspot Shield\HssWPR\hsssrv.exe (1060)
    C:\Program Files\Hotspot Shield\bin\hsswd.exe (2148)
    C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe (2276)
    C:\WINDOWS\system32\svchost.exe (2588)
    C:\Program Files\AVAST Software\Avast\avastUI.exe (3444)
    C:\Program Files\Real\RealPlayer\update\realsched.exe (3644)
    C:\Program Files\Adobe\Acrobat 10.0\Acrobat\Acrotray.exe (3744)
    C:\Program Files\Unlocker\UnlockerAssistant.exe (3856)
    C:\Program Files\AMT Media Manager\AMTDeviceService.exe (3924)
    C:\Program Files\iTunes\iTunesHelper.exe (3944)
    C:\WINDOWS\PixArt\PAC207\Monitor.exe (544)
    C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (880)
    C:\WINDOWS\system32\ctfmon.exe (904)
    C:\Program Files\iPod\bin\iPodService.exe (1476)
    C:\Program Files\RocketDock\RocketDock.exe (1960)
    C:\Program Files\Eggiz\Meteo Fusion\Meteo Fusion.exe (2116)
    C:\Program Files\ManyCam\Bin\ManyCam.exe (2236)
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe (2244)
    C:\Program Files\Skype\Phone\Skype.exe (2368)
    C:\Program Files\Rainmeter\Rainmeter.exe (1500)
    C:\Program Files\REALTEK RTL8185 Wireless LAN Driver and Utility\RtWLan.exe (2076)
    C:\Program Files\Hercules\WiFiStationN\WiFiN.exe (344)
    C:\Program Files\Hotspot Shield\bin\openvpntray.exe (3728)
    C:\Documents and Settings\sifeddine\Application Data\Dropbox\bin\Dropbox.exe (3164)
    C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe (3860)
    C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe (1684)
    C:\Program Files\Mozilla Firefox\firefox.exe (3220)
    C:\Program Files\Mozilla Firefox\plugin-container.exe (1648)
    C:\UsbFix\Go.exe (3676)

    ################## | Éléments infectieux |

    Présent! C:\WINDOWS\system32\install
    Présent! C:\WINDOWS\system32\WinDir

    ################## | Registre |

    ################## | Mountpoints2 |

    HKCU\.\.\.\.\Explorer\MountPoints2\{f5b5572a-04a0-11e1-82a4-0008d380d6b2}
    Shell\AutoRun\Command = I:\MediaManager.exe

    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné!

    ################## | E.O.F |
    0
  19. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    --> Relance UsbFix, choisis l'option "Suppression" et poste le rapport.

    UsbFix a repéré le dossier où il y a le faux svchost.exe (ne pas confondre avec le svchost.exe de Windows qui se trouve à un autre emplacement) donc ton problème va être réglé avec l'option "Suppression" d'UsbFix.
    0
  • 1
  • 2