PC infecté Svchost.exe system32\WinDir Fermé

Question

Bonjour, 

J'ai un problème, Avast! m'annonce en permanence qu'un cheval de troie a été bloqué, et vu que c'est Svchost.exe et que ce processus est toujours actif bah j'ai toujours une alerte donc j'ai mis avast! en silencieux mais je suis toujours infecté.

Ce processus étant impératif, j'aimerais savoir comment je peux supprimer le Trojan ?

Merci

Configuration: Windows XP / Firefox 11.0

cabrier · Answer

Bonjour,

Je peux t'aider à résoudre ton problème si tu le souhaites.

Quelques précisions :
- N'ouvre pas d'autre sujet sur ce forum ou sur un autre sur la même affaire. 
- La désinfection ne sera terminée que lorsque je te le dirai même s'il te semble que ta machine est "clean" sinon il te faudra sûrement tout recommencer.
- Tu auras des rapports à me transmettre par l'intermédiaire d'un dépôt de fichier, note la procédure à suivre, je ne te la rappellerai pas ultérieurement et ne colle pas tes rapports directement dans ta réponse par copier/coller (sauf s'ils sont très courts!)
Dépôt de fichiers :
- Pour me transmettre les rapports que tu obtiendras à la suite du passage d'outils tu cliqueras sur un de ces liens : 
cijoint ou  pjoint
- Tu cliqueras ensuite sur Parcourir et chercheras le fichier du rapport, je t'indiquerai ou il est.
- Tu cliqueras sur Ouvrir puis sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme:  https://www.cjoint.com/index.php?file=cjge368/cijSKAP5fU.txt 
sera ajouté dans la page. 
- C'est ce lien que tu auras à me transmettre et uniquement cela.


Commence par utiliser ce logiciel de diagnostic :
Celui-ci est plus complet que Hijackthis.

- Télécharge ZHPDiag (de Nicolas Coolman)
- Lance le (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
- Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau)
- Il se lancera automatiquement à la fin de l'installation
- Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
- Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
- Rends toi sur ce site, clique sur "Parcourir", sélectionne le rapport de ZHPDiag et clique sur Envoyer le fichier. Patiente pendant l'envoi du fichier, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

A+

cassoss · Answer

Bonjour,

Je n'ai aucune icône représentant une loupe sur le programme que vous m'avez demandé de télécharger, du coup je bloque.

cassoss · Answer

Ah oui effectivement merci, ZHPDiag était caché derrière Météo Fusion, un programme qui passe prioritaire sur l'interface windows par rapport aux icônes.

cassoss · Answer

Voici le lien : https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120428_v5k12x10l11f5

Destrio5 · Answer

En attendant le retour de cabrier,

Tu te sers de Hotspot Shield ?

Si non, désinstalle-le.

--> Désinstalle Spybot qui ne sert pas à grand chose.

--> Télécharge et lance AdwCleaner, choisis l'option "Suppression" et poste le rapport :
https://toolslib.net

cassoss · Answer

Oui je me sers de Hotspot Shield c'est le seul VPN dont je dispose. J'ai désinstallé Spybot et voici le rapport AdwC : 

# AdwCleaner v1.604 - Rapport créé le 28/04/2012 à 20:09:00
# Mis à jour le 23/04/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : sifeddine - PERCTANCE
# Exécuté depuis : C:\Documents and Settings\sifeddine\Mes documents\Téléchargements\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Documents and Settings\sifeddine\Application Data\cacaoweb
Dossier Supprimé : C:\Documents and Settings\sifeddine\Application Data\GetRightToGo
Dossier Supprimé : C:\Documents and Settings\sifeddine\Application Data\OpenCandy
Dossier Supprimé : C:\Documents and Settings\sifeddine\Application Data\Mozilla\Firefox\Profiles\w5iawvbu.default\extensions\cacaoweb@cacaoweb.org
Dossier Supprimé : C:\Program Files\cacaoweb
Dossier Supprimé : C:\Program Files\Mozilla Firefox\Extensions\quickstores@quickstores.de
Dossier Supprimé : C:\WINDOWS\assembly\GAC_MSIL\QuickStoresToolbar
Fichier Supprimé : C:\Documents and Settings\sifeddine\Application Data\Microsoft\Internet Explorer\Quick Launch\QuickStores.url
Fichier Supprimé : C:\Documents and Settings\sifeddine\Menu Démarrer\QuickStores.url
Fichier Supprimé : C:\Documents and Settings\sifeddine\Application Data\Mozilla\Firefox\Profiles\w5iawvbu.default\searchplugins\Askcom.xml
Fichier Supprimé : C:\Documents and Settings\sifeddine\Application Data\Mozilla\Firefox\Profiles\w5iawvbu.default\searchplugins\Startsear.xml
Fichier Supprimé : C:\Program Files\Mozilla Firefox\Plugins
pvsharetvplg.dll

***** [Registre] *****

Clé Supprimée : HKCU\Software\cacaoweb
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKCU\Software\StartSearch
Clé Supprimée : HKLM\SOFTWARE\Boxore
Clé Supprimée : HKLM\SOFTWARE\Software
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43

***** [Registre - GUID] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A1B48071-416D-474E-A13B-BE5456E7FC31}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{79D60450-56C5-4A8C-9321-6D5BC2A81E5A}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{99C22A61-21BA-4F81-85FF-CDC9EB5DB10B}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40B7-AC73-056A5EBA4A7E}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A1B48071-416D-474E-A13B-BE5456E7FC31}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]

***** [Navigateurs] *****

-\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v12.0 (fr)

Nom du profil : default 
Fichier : C:\Documents and Settings\sifeddine\Application Data\Mozilla\Firefox\Profiles\w5iawvbu.default\prefs.js

C:\Documents and Settings\sifeddine\Application Data\Mozilla\Firefox\Profiles\w5iawvbu.default\user.js ... Supprimé !

Supprimée : user_pref("browser.search.order.1", "Ask.com");
Supprimée : user_pref("keyword.URL", "hxxp://startsear.ch/?aff=1&src=sp&cf=5f073236-1935-11e1-82d2-0008d380d6b2&[...]
Supprimée : user_pref("quickstores.toolbar.affid", "2017");
Supprimée : user_pref("quickstores.toolbar.guid", "{9DD9791E-D2AD-BA27-2365-3C644186BB3B}");

*************************

AdwCleaner[R1].txt - [4139 octets] - [28/04/2012 20:08:07]
AdwCleaner[S1].txt - [4228 octets] - [28/04/2012 20:09:00]

########## EOF - C:\AdwCleaner[S1].txt - [4356 octets] ##########

Destrio5 · Answer

--> Relance AdwCleaner et choisis "Désinstallation".

Où est situé le fichier svchost.exe détecté par Avast ?

cassoss · Answer

Je sais plus du tout, dans systeme32 il me semble, mais c'est fort possible que je dise n'importe quoi... parce que j'ai plus les alertes mais je sais que je suis encore infecté.

Destrio5 · Answer

J'y vais, à demain. 

Ouvre Avast et regarde dans la partie Protection résidente ou encore Maintenance > Zone de quarantaine, tu trouveras peut-être des infos. 

Mets à jour Malwarebytes Anti-Malware  et fais un examen rapide. 

Poste un nouveau rapport ZHPDiag.

cassoss · Answer

Oui alors ça se trouve dans system32\WinDir  

Je vais faire ce que tu m'as demandé, merci de ton aide.
Voici le lien :
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120429_v7x1513z14d15
Bye à demain

Destrio5 · Answer

Malwarebytes Anti-Malware a trouvé des infections ?

Si oui, poste-moi le rapport.

cassoss · Answer

Non aucune, même en examen complet.

On m'a dit qu'on pouvait se désinfecter via Regedit mais je sais pas où chercher, et je sais pas si c'est vrai surtout...

Destrio5 · Answer

--> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").


SysRestore
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} Clé orpheline
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe
O42 - Logiciel: vShare.tv plugin 1.3 - (.vShare.tv, Inc..) [HKLM] -- vShare.tv plugin  
[HKCU\Software\vShare.tv]  
O43 - CFD: 13/04/2012 - 00:29:22 - [0] ----D C:\Program Files\Software    
O43 - CFD: 28/04/2012 - 20:07:00 - [1,651] ----D C:\Program Files\Spybot - Search & Destroy 
O43 - CFD: 27/11/2011 - 22:21:43 - [0,396] ----D C:\Program Files\vShare.tv plugin  
O43 - CFD: 13/04/2012 - 00:29:21 - [0] ----D C:\Documents and Settings\sifeddine\Local Settings\Application Data\Software
O47 - AAKE:Key Export SP - "C:\Program Files\cacaoweb\cacaoweb.exe" [Enabled] .(...) -- C:\Program Files\cacaoweb\cacaoweb.exe (.not file.)   
O47 - AAKE:Key Export SP - "C:\Documents and Settings\sifeddine\Mes documents\Téléchargements\cyberghost_vpn_keygen_rar_downloader_352b.exe" [Enabled] .(...) -- C:\Documents and Settings\sifeddine\Mes documents\Téléchargements\cyberghost_vpn_keygen_rar_d
O47 - AAKE:Key Export SP - "C:\Documents and Settings\sifeddine\Bureau\spynet\Desktop\SpyNet.exe" [Enabled] .(...) -- C:\Documents and Settings\sifeddine\Bureau\spynet\Desktop\SpyNet.exe (.not file.)   
O47 - AAKE:Key Export SP - "C:\Documents and Settings\sifeddine\Bureau\spynet\SpyNet.exe" [Enabled] .(...) -- C:\Documents and Settings\sifeddine\Bureau\spynet\SpyNet.exe (.not file.)    
O53 - SMSR:HKLM\...\startupreg\cacaoweb  [Key] . (...) -- C:\Program Files\cacaoweb\cacaoweb.exe (.not file.)   
[HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\cacaoweb] 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\vShare.tv plugin]  
[HKCU\Software\vShare.tv]    
C:\Windows\system32\WinDir\Svchost.exe
EmptyFlash
EmptyTemp


--> Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.
(Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPFix et choisir Exécuter en tant qu'administrateur)

--> Une fois ZHPFix ouvert, clique sur le bouton "H" (Coller les lignes Helper). 

--> Dans l'encadré principal, tu verras donc les lignes que tu as copié précédemment apparaître. Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

--> Clique sur "GO" pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.

--> Une fois terminé, copie-colle le rapport dans ton prochain message.

cassoss · Answer

Voilà le rapport : 

Rapport de ZHPFix 1.12.3372 par Nicolas Coolman, Update du 22/11/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-29-04-2012-17-48-55.txt
Run by sifeddine at 29/04/2012 17:48:55
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Logiciel(s) ==========
ABSENT Uninstall Process: c:\program files\vshare.tv plugin\uninst.exe

========== Clé(s) du Registre ==========
SUPPRIME [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\vShare.tv plugin]
SUPPRIME Key: CLSID BHO: {5C255C8A-E604-49b4-9D64-90988571CECB}
SUPPRIME Key: HKCU\Software\vShare.tv
SUPPRIME Key:  StartupReg: cacaoweb
ABSENT Key: HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\cacaoweb
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\vShare.tv plugin

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: QuickTime Task
SUPPRIME AAKE KeyValue: C:\Program Files\cacaoweb\cacaoweb.exe
SUPPRIME AAKE KeyValue: C:\Documents and Settings\sifeddine\Mes documents\Téléchargements\cyberghost_vpn_keygen_rar_downloader_352b.exe
SUPPRIME AAKE KeyValue: C:\Documents and Settings\sifeddine\Bureau\spynet\Desktop\SpyNet.exe
SUPPRIME AAKE KeyValue: C:\Documents and Settings\sifeddine\Bureau\spynet\SpyNet.exe

========== Dossier(s) ==========
SUPPRIME Folder: C:\Program Files\Software
SUPPRIME Folder: C:\Program Files\Spybot - Search & Destroy
ABSENT C:\Program Files\vShare.tv plugin
SUPPRIME Folder: C:\Documents and Settings\sifeddine\Local Settings\Application Data\Software
SUPPRIME Flash Cookies: 73
SUPPRIME Temporaires Windows: : 18

========== Fichier(s) ==========
ABSENT File: c:\program files\cacaoweb\cacaoweb.exe
ABSENT File: c:\documents and settings\sifeddine\mes documents	éléchargements\cyberghost_vpn_keygen_rar_d
ABSENT File: c:\documents and settings\sifeddine\bureau\spynet\desktop\spynet.exe
ABSENT File: c:\documents and settings\sifeddine\bureau\spynet\spynet.exe
ABSENT Folder/File: c:\windows\system32\windir\svchost.exe
SUPPRIME Flash Cookies: 43
SUPPRIME Temporaires Windows: : 22

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
6 : Clé(s) du Registre
5 : Valeur(s) du Registre
6 : Dossier(s)
7 : Fichier(s)
1 : Logiciel(s)
1 : Restauration Système


End of clean in 00mn 18s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 29/04/2012 17:48:55 [2440]

Destrio5 · Answer

--> Télécharge SEAF (de C_XX) sur ton Bureau.
--> Lance SEAF.
--> Dans le cadre, copie-colle ceci : svchost
--> Clique sur Lancer la recherche.
--> Un rapport va apparaître, poste-le.

cassoss · Answer

1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 18:05:57 le 29/04/2012
4. 
5. Valeur(s) recherchée(s):
6. svchost
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. 
11. ====== Fichier(s) ======
12. 
13. 
14. "C:\Program Files\Malwarebytes' Anti-Malware\Chameleon\svchost.exe" [ ARCHIVE | 199 Ko ]
15. TC: 01/04/2012,17:31:05 | TM: 04/04/2012,15:56:38 | DA: 22/04/2012,03:39:41
16. 
17. 
18. =========================
19. 
20. 
21. "C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\SMSvcHost\4dcff3b0e79fc27e31549bb2af00efb5\SMSvcHost.ni.exe" [ ARCHIVE | 366 Ko ]
22. TC: 16/02/2012,23:07:55 | TM: 16/02/2012,23:07:55 | DA: 22/04/2012,04:17:01
23. 
24. 
25. =========================
26. 
27. 
28. "C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe" [ ARCHIVE | 132 Ko ]
29. TC: 29/07/2008,19:16:38 | TM: 29/07/2008,19:16:38 | DA: 29/04/2012,00:05:16
30. 
31. 
32. =========================
33. 
34. 
35. "C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe.config" [ ARCHIVE | 2 Ko ]
36. TC: 09/05/2008,16:49:48 | TM: 09/05/2008,16:49:48 | DA: 29/04/2012,00:10:43
37. 
38. 
39. =========================
40. 
41. 
42. "C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\_SMSvcHostPerfCounters.h" [ ARCHIVE | 702 o ]
43. TC: 29/07/2008,04:25:24 | TM: 29/07/2008,04:25:24 | DA: 29/04/2012,00:10:43
44. 
45. 
46. =========================
47. 
48. 
49. "C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\_SMSvcHostPerfCounters.ini" [ ARCHIVE | 132 Ko ]
50. TC: 09/05/2008,16:49:44 | TM: 09/05/2008,16:49:44 | DA: 29/04/2012,00:10:43
51. 
52. 
53. =========================
54. 
55. 
56. "C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\_SMSvcHostPerfCounters.reg" [ ARCHIVE | 4 Ko ]
57. TC: 29/07/2008,04:25:24 | TM: 29/07/2008,04:25:24 | DA: 29/04/2012,00:10:43
58. 
59. 
60. =========================
61. 
62. 
63. "C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\_SMSvcHostPerfCounters.vrg" [ ARCHIVE | 4 Ko ]
64. TC: 29/07/2008,04:25:24 | TM: 29/07/2008,04:25:24 | DA: 29/04/2012,00:10:43
65. 
66. 
67. =========================
68. 
69. 
70. "C:\WINDOWS\Prefetch\SVCHOST.EXE-3530F672.pf" [ NOT_CONTENT_INDEXED|ARCHIVE | 19 Ko ]
71. TC: 22/04/2012,22:06:22 | TM: 29/04/2012,13:04:22 | DA: 29/04/2012,13:04:22
72. 
73. 
74. =========================
75. 
76. 
77. "C:\WINDOWS\system32\dllcache\svchost.exe" [ COMPRESSED|ARCHIVE | 14 Ko ]
78. TC: 14/04/2008,14:00:00 | TM: 14/04/2008,14:00:00 | DA: 22/04/2012,04:07:12
79. 
80. 
81. =========================
82. 
83. 
84. "C:\WINDOWS\system32\svchost.exe" [ ARCHIVE | 14 Ko ]
85. TC: 14/04/2008,14:00:00 | TM: 14/04/2008,14:00:00 | DA: 29/04/2012,13:02:57
86. 
87. 
88. =========================
89. 
90. 
91. =========================
92. 
93. Fin à: 18:07:16 le 29/04/2012
94. 77863 Éléments analysés
95. 
96. =========================
97. E.O.F

g3n-h@ckm@n · Answer

[15:14:58] <Destrio5> Tu demanderais ........... ?

bien sur ^^

Destrio5 · Answer

Merci gen-hackman ^^

Pour cassoss :

--> Télécharge et lance UsbFix, choisis l'option "Recherche" et poste le rapport :
http://general-changelog-team.fr/fr/downloads/viewdownload/15-outils-de-el-desaparecido/19-usbfix

cassoss · Answer

############################## | UsbFix V 7.084 | [Recherche]

Utilisateur: sifeddine (Administrateur) # PERCTANCE
Mis à jour le 13/03/2012 par El Desaparecido
Lancé à 14:07:50 | 30/04/2012

Site Web: https://www.sosvirus.net/
Fichier suspect ? : http://eldesaparecido.com/upload.html
Contact: contact@eldesaparecido.com

PC: Acer                 (Aspire M1100) (X86-based PC) # Desktop Computer
CPU: AMD Athlon(tm) 64 X2 Dual Core Processor 4200+ (2194)
RAM -> [ Total : 2303 | Free : 1134 ]
BIOS: Phoenix - AwardBIOS v6.00PG
BOOT: Normal boot

OS: Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
WB: Windows Internet Explorer 8.0.6001.18702

SC: Security Center Service [ Enabled ]
WU: Windows Update Service [ Enabled ]
FW: Windows FireWall Service [ Enabled ]

C:\ (%systemdrive%) -> Disque fixe # 226 Go (152 Go libre(s) - 67%) [] # NTFS
H:\ -> CD-ROM

################## | Processus Actif |

C:\WINDOWS\System32\smss.exe (1520)
C:\WINDOWS\system32\winlogon.exe (2004)
C:\WINDOWS\system32\services.exe (120)
C:\WINDOWS\system32\lsass.exe (136)
C:\WINDOWS\system32\Ati2evxx.exe (332)
C:\WINDOWS\system32\svchost.exe (352)
C:\WINDOWS\System32\svchost.exe (452)
C:\Program Files\AVAST Software\Avast\AvastSvc.exe (820)
C:\WINDOWS\system32\Ati2evxx.exe (852)
C:\WINDOWS\system32\spoolsv.exe (952)
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe (616)
C:\Program Files\Bonjour\mDNSResponder.exe (1104)
C:\Program Files\Hotspot Shield\bin\openvpnas.exe (1664)
C:\WINDOWS\Explorer.EXE (1064)
C:\Program Files\Hotspot Shield\HssWPR\hsssrv.exe (1060)
C:\Program Files\Hotspot Shield\bin\hsswd.exe (2148)
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe (2276)
C:\WINDOWS\system32\svchost.exe (2588)
C:\Program Files\AVAST Software\Avast\avastUI.exe (3444)
C:\Program Files\Real\RealPlayer\update\realsched.exe (3644)
C:\Program Files\Adobe\Acrobat 10.0\Acrobat\Acrotray.exe (3744)
C:\Program Files\Unlocker\UnlockerAssistant.exe (3856)
C:\Program Files\AMT Media Manager\AMTDeviceService.exe (3924)
C:\Program Files\iTunes\iTunesHelper.exe (3944)
C:\WINDOWS\PixArt\PAC207\Monitor.exe (544)
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (880)
C:\WINDOWS\system32\ctfmon.exe (904)
C:\Program Files\iPod\bin\iPodService.exe (1476)
C:\Program Files\RocketDock\RocketDock.exe (1960)
C:\Program Files\Eggiz\Meteo Fusion\Meteo Fusion.exe (2116)
C:\Program Files\ManyCam\Bin\ManyCam.exe (2236)
C:\Program Files\Windows Live\Messenger\msnmsgr.exe (2244)
C:\Program Files\Skype\Phone\Skype.exe (2368)
C:\Program Files\Rainmeter\Rainmeter.exe (1500)
C:\Program Files\REALTEK RTL8185 Wireless LAN Driver and Utility\RtWLan.exe (2076)
C:\Program Files\Hercules\WiFiStationN\WiFiN.exe (344)
C:\Program Files\Hotspot Shield\bin\openvpntray.exe (3728)
C:\Documents and Settings\sifeddine\Application Data\Dropbox\bin\Dropbox.exe (3164)
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe (3860)
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe (1684)
C:\Program Files\Mozilla Firefox\firefox.exe (3220)
C:\Program Files\Mozilla Firefox\plugin-container.exe (1648)
C:\UsbFix\Go.exe (3676)

################## | Éléments infectieux |

Présent! C:\WINDOWS\system32\install
Présent! C:\WINDOWS\system32\WinDir

################## | Registre |


################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{f5b5572a-04a0-11e1-82a4-0008d380d6b2}
Shell\AutoRun\Command = I:\MediaManager.exe



################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

Destrio5 · Answer

--> Relance UsbFix, choisis l'option "Suppression" et poste le rapport.

UsbFix a repéré le dossier où il y a le faux svchost.exe (ne pas confondre avec le svchost.exe de Windows qui se trouve à un autre emplacement) donc ton problème va être réglé avec l'option "Suppression" d'UsbFix.

cassoss · Answer

Je ne peux pas supprimer parce qu'on m'informe que UsbFix va fermer des processus non vitaux mais ça me ferme l'explorer du coup je dois redémarrer mon PC et je ne peux pas utiliser comme il faut l'outil Suppression

Destrio5 · Answer

Il est normal que l'explorer soit fermé, laisse UsbFix travailler.

cassoss · Answer

Même après 45 minutes il ne se passe rien donc je sais pas trop... et pendant ce temps mon ordinateur ne fait pas de bruit, j'ai l'impression qu'il ne "travaille pas".

Destrio5 · Answer

Réutilise ZHPFix mais avec le texte suivant :

SysRestore
C:\WINDOWS\system32\install
C:\WINDOWS\system32\WinDir 
EmptyFlash
EmptyTemp

cassoss · Answer

Voilà 

Rapport de ZHPFix 1.12.3372 par Nicolas Coolman, Update du 22/11/2011
Fichier d'export Registre : 
Run by sifeddine at 30/04/2012 20:01:24
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Dossier(s) ==========
SUPPRIME Folder: c:\windows\system32\install
SUPPRIME Folder: c:\windows\system32\windir
SUPPRIME Flash Cookies: 15
SUPPRIME Temporaires Windows: : 14

========== Fichier(s) ==========
SUPPRIME Flash Cookies: 9
SUPPRIME Temporaires Windows: : 6

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
4 : Dossier(s)
2 : Fichier(s)
1 : Restauration Système


End of clean in 00mn 10s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 29/04/2012 16:48:55 [2492]
C:\ZHP\ZHPFix[R2].txt - 30/04/2012 20:01:24 [883]

Destrio5 · Answer

Avast ne détecte plus rien ?

cassoss · Answer

Non plus rien. Le truc c'est que des Trojans sont cryptés pour pas que les Antivirus les reconnaissent, et vu que j'étais infecté plein de fois, j'en ai déduis que certains étaient détectés et d'autres non.

g3n-h@ckm@n · Answer

c'est à cause de la sandbox d'avast que les outils tournent dans le vide...

Destrio5 · Answer

Quand tu lances UsbFix, Avast te dit quelque chose ?

cassoss · Answer

Non rien du tout.

Destrio5 · Answer

Si c'est OK pour toi, on passe au "pavé final".

cassoss · Answer

Heu je crois que j'ai pas compris :)

Destrio5 · Answer

Tu n'as plus de souci sur ton PC ?

cassoss · Answer

Je ne crois pas, il me semble que c'est fini oui, le seul problème c'est que la dernière chose que vous m'avez demander de faire je ne peux pas puisque tout se ferme, et que j'ai toujours les lignes  

C:\WINDOWS\system32\install
C:\WINDOWS\system32\WinDir

qui sont infectées et que je ne peux pas "réparer"

Destrio5 · Answer

Donc tu as fait une nouvelle recherche avec UsbFix et tu vois toujours ces deux lignes dans le rapport ?

cassoss · Answer

Je vois ABSENT Folder mais je ne sais pas l'interpréter en fait, si ça veut dire que c'est réglé ou non.

========== Fichier(s) ==========
ABSENT Folder/File: c:\windows\system32\install
ABSENT Folder/File: c:\windows\system32\windir

Destrio5 · Answer

Absent Folder = Dossier absent.