IE affiche page Web non demandée 2000 server

Résolu/Fermé
Signaler
Messages postés
6
Date d'inscription
mercredi 6 décembre 2006
Statut
Membre
Dernière intervention
19 décembre 2006
-
Messages postés
21123
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
-
Bonjour,
Je sollicite votre aide pour le problème suivant :

Sur un serveur en 2000 server, j'ai le lancement intempestif de 2 pages internet :
http://www.baknoe.ms.kr/home.htm
et http://happy888.3322.org/home.htm

J'ai passé un antivirus (avast edition serveur) + secuser + bitdefender on line + trendnet on line + adaware + spyboat + Ewido...
mais le problème est toujours là. Les pages s'ouvrent régulièrement et me ralentissent le système.

Comme j'ai vu dans le forum qu'avec ceci vous pouviez trouver quelque chose, je me permet de vous le poster.

En espérant que quelqu'un puisse m'aider.
Merci d'avance :

Logfile of HijackThis v1.99.1
Scan saved at 14:24:54, on 06/12/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\termsrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\netdde.exe
D:\Program Files\AvastServer\aswUpdSv.exe
D:\Program Files\AvastServer\aswServ.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\SYSTEM32\DNTUS26.EXE
C:\WINNT\SYSTEM32\DWRCS.EXE
C:\WINNT\System32\svchost.exe
D:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Borland\InterBase\bin\ibguard.exe
C:\Program Files\Borland\InterBase\bin\ibserver.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\LogWatNT.exe
D:\Program Files\Dell\OpenManage\Array Manager\mr2kserv.exe
C:\WINNT\system32\msiexec.exe
C:\WINNT\System32\NMSSvc.exe
C:\WINNT\system32\ntfrs.exe
d:\PIMphony_Central_Services\PimService.exe
d:\PIMphony_Central_Services\pimserver.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\locator.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\snmp.exe
C:\Program Files\TapeWare\TWWINSDR.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\lserver.exe
C:\WINNT\system32\tlntsvr.exe
D:\Program Files\Dell\OpenManage\Array Manager\VxSvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\wins.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\dns.exe
C:\WINNT\System32\ismserv.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\system32\mqsvc.exe
D:\Program Files\AvastServer\aswWebSv.exe
D:\Program Files\AvastServer\aswMaiSv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\PROMon.exe
C:\WINNT\tppaldr.exe
C:\WINNT\system32\hpnra.exe
D:\PROGRA~1\AVASTS~1\aswDisp.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\ewido anti-spyware 4.0\ewido.exe
D:\Program Files\Spamihilator\spamihilator.exe
C:\Program Files\GT2F\GlobalTax Entreprise\GlobalTax.exe
C:\WINNT\system32\dmremote.exe
D:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - D:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINNT\tppaldr.exe
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [HP Network Registry Agent] C:\WINNT\system32\hpnra.exe
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\AVASTS~1\aswDisp.exe
O4 - HKLM\..\Run: [only23] C:\WINNT\SCVHOST.exe
O4 - HKLM\..\Run: [!ewido] "D:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [Spamihilator] "D:\Program Files\Spamihilator\spamihilator.exe"
O4 - Startup: GlobalTax Entreprise 1.8 (2).lnk = C:\Program Files\GT2F\GlobalTax Entreprise\GlobalTax.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = SYSCARS
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D817A7D-CBBA-4B14-BD9B-DD365587828D}: NameServer = 80.10.246.130,80.10.246.3
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = SYSCARS
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = SYSCARS
O23 - Service: Active HelpAssistant - Unknown owner - C:\WINNT\IIS\iisset
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\AvastServer\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\AvastServer\aswServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\AvastServer\aswMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\AvastServer\aswWebSv.exe" /service (file missing)
O23 - Service: DameWare NT Utilities 2.6 (DNTUS26) - DameWare Development LLC - C:\WINNT\SYSTEM32\DNTUS26.EXE
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINNT\SYSTEM32\DWRCS.EXE
O23 - Service: FireDaemon Service: eserv (eserv) - Unknown owner - c:\winnt\system32\spool\FireDaemon.EXE (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - D:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: Indexing Helps (Indexingbox) - Unknown owner - %WINDIR%\system\svchest.exe (file missing)
O23 - Service: InterBase Guardian (InterBaseGuardian) - Inprise Corporation - C:\Program Files\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Inprise Corporation - C:\Program Files\Borland\InterBase\bin\ibserver.exe
O23 - Service: Event Log Watch (LogWatch) - Unknown owner - C:\WINNT\LogWatNT.exe
O23 - Service: mr2kserv - Unknown owner - D:\Program Files\Dell\OpenManage\Array Manager\mr2kserv.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINNT\System32\NMSSvc.exe
O23 - Service: FireDaemon Service: ntfs16 (ntfs16) - Unknown owner - c:\winnt\system32\spool\FireDaemon.EXE (file missing)
O23 - Service: FireDaemon Service: ntfs32 (ntfs32) - Unknown owner - c:\winnt\system32\spool\FireDaemon.EXE (file missing)
O23 - Service: PIMphony Central Services (PIMphonyService) - Unknown owner - d:\PIMphony_Central_Services\PimService.exe
O23 - Service: TapeWare - Unknown owner - C:\Program Files\TapeWare\TWWINSDR.EXE
O23 - Service: Disk Management Service (VxSvc) - VERITAS Software Corp. - D:\Program Files\Dell\OpenManage\Array Manager\VxSvc.exe
O23 - Service: Regedits Helps (Windows Regedit Helps) - Unknown owner - C:\WINNT\iis\iesetup.exe

Cdlt
Philippe

15 réponses

Messages postés
21123
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 338
Salut,

Rend toi sur ce site :
http://www.virustotal.com/xhtml/virustotal_en.html
Clik sur parcourir
Recherche ceci :
C:\WINNT\SCVHOST.exe
Clik send et colle le rapport stp

A+
Bonjour Régis,

Merci d'avoir répondu.
Ci-joint le rapport :
STATUS: FINISHEDComplete scanning result of "SCVHOST.EXE", received in VirusTotal at 12.07.2006, 09:48:09 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.49 12.07.2006 TR/Crypt.NSPM.Gen
Authentium 4.93.8 12.07.2006 Possibly a new variant of W32/NewMalware-BLP-based!Maximus
Avast 4.7.892.0 12.06.2006 no virus found
AVG 386 12.07.2006 no virus found
BitDefender 7.2 12.07.2006 GenPack:Generic.Malware.SBdldsp.DF4F4B13
CAT-QuickHeal 8.00 12.06.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 12.07.2006 no virus found
DrWeb 4.33 12.06.2006 BackDoor.Pigeon.516
eSafe 7.0.14.0 12.06.2006 suspicious Trojan/Worm
eTrust-InoculateIT 23.73.79 12.07.2006 no virus found
eTrust-Vet 30.3.3236 12.07.2006 no virus found
Ewido 4.0 12.06.2006 no virus found
Fortinet 2.82.0.0 12.07.2006 BDoor.ARR!tr.bdr
F-Prot 3.16f 12.05.2006 Possibly a new variant of W32/NewMalware-BLP-based!Maximus
F-Prot4 4.2.1.29 12.05.2006 W32/NewMalware-BLP-based!Maximus
Ikarus T3.1.0.26 12.07.2006 Backdoor.Win32.Hupigon.cpb
Kaspersky 4.0.2.24 12.07.2006 no virus found
McAfee 4912 12.07.2006 BackDoor-ARR
Microsoft 1.1804 12.07.2006 no virus found
NOD32v2 1906 12.07.2006 probably unknown NewHeur_PE virus
Norman 5.80.02 12.06.2006 W32/Malware.DQU
Panda 9.0.0.4 12.07.2006 Adware/CWS.Searchmeup
Prevx1 V2 12.07.2006 Win32.Malware.gen
Sophos 4.12.0 12.06.2006 no virus found
Sunbelt 2.2.907.0 11.30.2006 no virus found
TheHacker 6.0.3.130 12.06.2006

Maintenant j'ai besoin d'aide pour éradiquer cette ...
Merci d'avance.
Philippe
Messages postés
21123
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 338
Re,

¤Relance HijackThis, coche les cases devant ces lignes et ensuite clique sur fix checked :


O4 - HKLM\..\Run: [only23] C:\WINNT\SCVHOST.exe

----------------------------------------------------------------------------
¤Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
----------------------------------------------------------------------------
¤Recherche et supprime ceci:
attention seulement les fichiers (si présents).

C:\WINNT\SCVHOST.exe

Redemarre en normal !

Cette fois, analyse celui ci:
c:\winnt\system32\spool\FireDaemon.EXE

A+


Bon je suis inquiet. J'ai cherché à faire ce que tu m'as indiqué.

Je ne retrouve ni notre fameux C:\WINNT\SCVHOST.exe mais qui n'est pas dans HijackThis.
en revanche je ne trouve pas le fichier FIREDAEMON.exe qui apparait lui dans HijackThis.

?????
As-tu une idée ?

Merci d'avance.
Philippe
Messages postés
21123
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 338
Salut Philippe,

Remet un HijackThis stp

A+
Salut Regis,

entretemps je me suis un peu amélioré. Je n'arrête pas de faire des scans avec Ewido et 2Square. => 2square m'a a nouveau retrouvé notre fameux scvhots.exe => que j'ai supprimé.

Ewido vient de me trouver : Danlowder.banload.ase.

voila le log demandé :
Logfile of HijackThis v1.99.1
Scan saved at 15:43:16, on 08/12/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\termsrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\netdde.exe
D:\Program Files\AvastServer\aswUpdSv.exe
D:\Program Files\AvastServer\aswServ.exe
C:\Program Files\Dell\SysMgt\dataeng\bin\dcevt32.exe
C:\Program Files\Dell\SysMgt\dataeng\bin\dcstor32.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\SYSTEM32\DNTUS26.EXE
C:\WINNT\SYSTEM32\DWRCS.EXE
C:\WINNT\System32\svchost.exe
D:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Borland\InterBase\bin\ibguard.exe
C:\Program Files\Borland\InterBase\bin\ibserver.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\LogWatNT.exe
C:\Program Files\Dell\OpenManage\Array Manager\mr2kserv.exe
C:\WINNT\System32\NMSSvc.exe
C:\WINNT\system32\ntfrs.exe
C:\Program Files\Dell\SysMgt\oma\bin\omsad32.exe
d:\PIMphony_Central_Services\PimService.exe
d:\PIMphony_Central_Services\pimserver.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\RsFsa.exe
C:\WINNT\system32\RsSub.exe
C:\WINNT\System32\locator.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Dell\SysMgt\iws\bin\win32\omaws32.exe
C:\WINNT\System32\snmp.exe
C:\Program Files\TapeWare\TWWINSDR.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\lserver.exe
C:\WINNT\system32\tlntsvr.exe
C:\Program Files\Dell\OpenManage\Array Manager\VxSvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\wins.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\dns.exe
C:\WINNT\System32\ismserv.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\system32\mqsvc.exe
C:\WINNT\system32\RsEng.exe
D:\Program Files\AvastServer\aswWebSv.exe
D:\Program Files\AvastServer\aswMaiSv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\PROMon.exe
C:\WINNT\tppaldr.exe
D:\PROGRA~1\AVASTS~1\aswDisp.exe
D:\Program Files\ewido anti-spyware 4.0\ewido.exe
D:\Program Files\Spamihilator\spamihilator.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\PROMon.exe
C:\WINNT\tppaldr.exe
C:\PROGRA~1\MICROS~3\Office\MSACCESS.EXE
D:\PROGRA~1\AVASTS~1\aswDisp.exe
D:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\WINNT\system32\internat.exe
X:\Gestisys_Prod\LyaInDll.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - D:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINNT\tppaldr.exe
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\AVASTS~1\aswDisp.exe
O4 - HKLM\..\Run: [!ewido] "D:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [Spamihilator] "D:\Program Files\Spamihilator\spamihilator.exe"
O4 - Startup: GlobalTax Entreprise 1.8 (2).lnk = C:\Program Files\GT2F\GlobalTax Entreprise\GlobalTax.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = SYSCARS
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D817A7D-CBBA-4B14-BD9B-DD365587828D}: NameServer = 80.10.246.130,80.10.246.3
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = SYSCARS
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = SYSCARS
O23 - Service: Active HelpAssistant - Unknown owner - C:\WINNT\IIS\iisset
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\AvastServer\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\AvastServer\aswServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\AvastServer\aswMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\AvastServer\aswWebSv.exe" /service (file missing)
O23 - Service: Systems Management Event Manager (dcevt32) - Dell Inc. - C:\Program Files\Dell\SysMgt\dataeng\bin\dcevt32.exe
O23 - Service: Systems Management Data Manager (dcstor32) - Dell Inc. - C:\Program Files\Dell\SysMgt\dataeng\bin\dcstor32.exe
O23 - Service: DameWare NT Utilities 2.6 (DNTUS26) - DameWare Development LLC - C:\WINNT\SYSTEM32\DNTUS26.EXE
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINNT\SYSTEM32\DWRCS.EXE
O23 - Service: FireDaemon Service: eserv (eserv) - Unknown owner - c:\winnt\system32\spool\FireDaemon.EXE (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - D:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: Indexing Helps (Indexingbox) - Unknown owner - %WINDIR%\system\svchest.exe (file missing)
O23 - Service: InterBase Guardian (InterBaseGuardian) - Inprise Corporation - C:\Program Files\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Inprise Corporation - C:\Program Files\Borland\InterBase\bin\ibserver.exe
O23 - Service: Event Log Watch (LogWatch) - Unknown owner - C:\WINNT\LogWatNT.exe
O23 - Service: mr2kserv - Unknown owner - C:\Program Files\Dell\OpenManage\Array Manager\mr2kserv.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINNT\System32\NMSSvc.exe
O23 - Service: FireDaemon Service: ntfs16 (ntfs16) - Unknown owner - c:\winnt\system32\spool\FireDaemon.EXE (file missing)
O23 - Service: FireDaemon Service: ntfs32 (ntfs32) - Unknown owner - c:\winnt\system32\spool\FireDaemon.EXE (file missing)
O23 - Service: OM Common Services (omsad) - Dell Inc. - C:\Program Files\Dell\SysMgt\oma\bin\omsad32.exe
O23 - Service: PIMphony Central Services (PIMphonyService) - Unknown owner - d:\PIMphony_Central_Services\PimService.exe
O23 - Service: regsnthelp - Unknown owner - C:\WINNT\system32\regst.exe (file missing)
O23 - Service: Secure Port Server (Server Administrator) - Unknown owner - C:\Program Files\Dell\SysMgt\iws\bin\win32\omaws32.exe
O23 - Service: TapeWare - Unknown owner - C:\Program Files\TapeWare\TWWINSDR.EXE
O23 - Service: Disk Management Service (VxSvc) - VERITAS Software Corp. - C:\Program Files\Dell\OpenManage\Array Manager\VxSvc.exe
O23 - Service: Regedits Helps (Windows Regedit Helps) - Unknown owner - C:\WINNT\iis\iesetup.exe

Merci d'avance.
Je ne comprends pas comment j'ai pris cette ... c'est un serveur et personne n'est censé surfer avec !!!
Philippe
Messages postés
21123
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 338
Salut

Tu peux me donner le rapport de a² et ewido?

A+
Version - a-squared Free 2.1

Réglages Scan:

Objets: Mémoire, Traces, Cookies, C:\WINNT\, C:\Program Files
Scan archives: Marche
Heuristiques: Marche
Scan ADS: Marche

Début du scan: 08/12/2006 14:47:05

C:\WINNT\scvhost.exe Détecter: Trace.File.Xeol

Scanné

Fichiers: 20845
Traces: 87610
Cookies: 1
Processus: 75

Trouver

Fichiers: 0
Traces: 1
Cookies: 0
Processus: 0
Clés de Registre: 0

Fin du Scan: 08/12/2006 15:08:47
Temps du Scan: 00:21:42

C:\WINNT\scvhost.exe Supprimé Trace.File.Xeol

Supprimé

Fichiers: 0
Traces: 1
Cookies: 0

voila pour a2 square.
et voila pour Ewido :
---------------------------------------------------------
ewido anti-spyware - Scan Report
---------------------------------------------------------

+ Created at: 16:45:41 08/12/2006

+ Scan result:



C:\autoback\IISActivebox.exe -> Downloader.Banload.ase : Cleaned with backup (quarantined).
C:\Documents and Settings\Administrateur\Cookies\svenelles@adbrite[2].txt -> TrackingCookie.Adbrite : Cleaned.
C:\Documents and Settings\Default User\Cookies\system@adbrite[1].txt -> TrackingCookie.Adbrite : Cleaned.


::Report end

A+
philippe
Messages postés
21123
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 338
Salut

Télécharge: Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe

:: Démo d utilisation (merci a Balltrap34 pour cette réalisation) ::
http://pageperso.aol.fr/balltrap34/killbox.htm

Double clic sur killbox.exe (Pocket Killbox)

- coche: delete on reboot
- Dans "Full Path of File to Delete"
- Sélectionne "single File"
- copie et colle:

C:\WINNT\scvhost.exe

- clique sur la croix rouge
- une fenêtre va apparaître pour confirmation clique sur YES
- une seconde fenêtre te demande si tu veux redémarrer clique sur YES

Si ce message s’affiche ignore le :
http://tinypic.com/images/goodbye.jpg
Laisse le pc redémarrer.

Et après reposte un log HijackThis et un rapport de a².
Messages postés
6
Date d'inscription
mercredi 6 décembre 2006
Statut
Membre
Dernière intervention
19 décembre 2006

Salut Regis,

J'ai suivi tes indications : pour l'instant et cela depuis 3 heures, je n'ai pas eu de lancement intempestif d'IE.
Ci-dessous les rapports d'A² et HijackThis :

Version - a-squared Free 2.1

Réglages Scan:

Objets: Mémoire, Traces, Cookies, C:\, D:\
Scan archives: Marche
Heuristiques: Marche
Scan ADS: Marche

Début du scan: 11/12/2006 10:36:28

C:\WINNT\scvhost.exe Détecter: Trace.File.Xeol
Key: HKEY_LOCAL_MACHINE\software\dameware development\dwrcs Détecter: Trace.Registry.DameWareMiniRemoteControl
D:\Sauvegardes Serveur\Archive19J1.rar/Pstools.rar/psexec.exe Détecter: Riskware.RiskTool.Win32.PsExec.153
D:\Sauvegardes Serveur\Archive19J1.rar/Pstools.rar/pskill.exe Détecter: Riskware.RiskTool.Win32.PsKill.k
D:\Sauvegardes Serveur\Archive19J2.rar/Pstools.rar/psexec.exe Détecter: Riskware.RiskTool.Win32.PsExec.153
D:\Sauvegardes Serveur\Archive19J2.rar/Pstools.rar/pskill.exe Détecter: Riskware.RiskTool.Win32.PsKill.k
D:\Sauvegardes Serveur\Archive19J3.rar/Pstools.rar/psexec.exe Détecter: Riskware.RiskTool.Win32.PsExec.153
D:\Sauvegardes Serveur\Archive19J3.rar/Pstools.rar/pskill.exe Détecter: Riskware.RiskTool.Win32.PsKill.k

Scanné

Fichiers: 137643
Traces: 88051
Cookies: 3
Processus: 58

Trouver

Fichiers: 6
Traces: 2
Cookies: 0
Processus: 0
Clés de Registre: 0

Fin du Scan: 11/12/2006 12:21:13
Temps du Scan: 01:44:45

D:\Sauvegardes Serveur\Archive19J1.rar/Pstools.rar/pskill.exe Quarantaine Riskware.RiskTool.Win32.PsKill.k
D:\Sauvegardes Serveur\Archive19J2.rar/Pstools.rar/pskill.exe Quarantaine Riskware.RiskTool.Win32.PsKill.k
D:\Sauvegardes Serveur\Archive19J3.rar/Pstools.rar/pskill.exe Quarantaine Riskware.RiskTool.Win32.PsKill.k
D:\Sauvegardes Serveur\Archive19J1.rar/Pstools.rar/psexec.exe Quarantaine Riskware.RiskTool.Win32.PsExec.153
D:\Sauvegardes Serveur\Archive19J2.rar/Pstools.rar/psexec.exe Quarantaine Riskware.RiskTool.Win32.PsExec.153
D:\Sauvegardes Serveur\Archive19J3.rar/Pstools.rar/psexec.exe Quarantaine Riskware.RiskTool.Win32.PsExec.153
Key: HKEY_LOCAL_MACHINE\software\dameware development\dwrcs Quarantaine Trace.Registry.DameWareMiniRemoteControl
C:\WINNT\scvhost.exe Quarantaine Trace.File.Xeol

Quarantaine

Fichiers: 6
Traces: 2
Cookies: 0


Logfile of HijackThis v1.99.1
Scan saved at 12:27:59, on 11/12/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\termsrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\netdde.exe
D:\Program Files\AvastServer\aswUpdSv.exe
D:\Program Files\AvastServer\aswServ.exe
C:\WINNT\System32\cisvc.exe
C:\Program Files\Dell\SysMgt\dataeng\bin\dcevt32.exe
C:\Program Files\Dell\SysMgt\dataeng\bin\dcstor32.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\SYSTEM32\DNTUS26.EXE
C:\WINNT\SYSTEM32\DWRCS.EXE
C:\WINNT\System32\svchost.exe
D:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Borland\InterBase\bin\ibguard.exe
C:\Program Files\Borland\InterBase\bin\ibserver.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\LogWatNT.exe
C:\Program Files\Dell\OpenManage\Array Manager\mr2kserv.exe
C:\WINNT\System32\NMSSvc.exe
C:\WINNT\system32\ntfrs.exe
C:\Program Files\Dell\SysMgt\oma\bin\omsad32.exe
d:\PIMphony_Central_Services\PimService.exe
d:\PIMphony_Central_Services\pimserver.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\RsFsa.exe
C:\WINNT\system32\RsSub.exe
C:\WINNT\System32\locator.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Dell\SysMgt\iws\bin\win32\omaws32.exe
C:\WINNT\System32\snmp.exe
C:\Program Files\TapeWare\TWWINSDR.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\lserver.exe
C:\WINNT\system32\tlntsvr.exe
C:\Program Files\Dell\OpenManage\Array Manager\VxSvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\wins.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\dns.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\mqsvc.exe
C:\WINNT\system32\RsEng.exe
D:\Program Files\AvastServer\aswMaiSv.exe
C:\WINNT\Explorer.EXE
D:\Program Files\AvastServer\aswWebSv.exe
C:\WINNT\system32\PROMon.exe
C:\WINNT\tppaldr.exe
D:\PROGRA~1\AVASTS~1\aswDisp.exe
D:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINNT\System32\cidaemon.exe
C:\WINNT\System32\cidaemon.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\PROMon.exe
C:\WINNT\tppaldr.exe
D:\PROGRA~1\AVASTS~1\aswDisp.exe
D:\Program Files\ewido anti-spyware 4.0\ewido.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Internet Explorer\Connection Wizard\ICWCONN1.EXE
C:\PROGRA~1\MICROS~3\Office\MSACCESS.EXE
D:\GESTISYS\Gestisys_Prod\LyaInDll.exe
D:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - D:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINNT\tppaldr.exe
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\AVASTS~1\aswDisp.exe
O4 - HKLM\..\Run: [!ewido] "D:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [Spamihilator] "D:\Program Files\Spamihilator\spamihilator.exe"
O4 - Startup: GlobalTax Entreprise 1.8 (2).lnk = C:\Program Files\GT2F\GlobalTax Entreprise\GlobalTax.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = SYSCARS
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D817A7D-CBBA-4B14-BD9B-DD365587828D}: NameServer = 80.10.246.130,80.10.246.3
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = SYSCARS
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = SYSCARS
O23 - Service: Active HelpAssistant - Unknown owner - C:\WINNT\IIS\iisset
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\AvastServer\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\AvastServer\aswServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\AvastServer\aswMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\AvastServer\aswWebSv.exe" /service (file missing)
O23 - Service: Systems Management Event Manager (dcevt32) - Dell Inc. - C:\Program Files\Dell\SysMgt\dataeng\bin\dcevt32.exe
O23 - Service: Systems Management Data Manager (dcstor32) - Dell Inc. - C:\Program Files\Dell\SysMgt\dataeng\bin\dcstor32.exe
O23 - Service: DameWare NT Utilities 2.6 (DNTUS26) - DameWare Development LLC - C:\WINNT\SYSTEM32\DNTUS26.EXE
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINNT\SYSTEM32\DWRCS.EXE
O23 - Service: FireDaemon Service: eserv (eserv) - Unknown owner - c:\winnt\system32\spool\FireDaemon.EXE (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - D:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: Indexing Helps (Indexingbox) - Unknown owner - %WINDIR%\system\svchest.exe (file missing)
O23 - Service: InterBase Guardian (InterBaseGuardian) - Inprise Corporation - C:\Program Files\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Inprise Corporation - C:\Program Files\Borland\InterBase\bin\ibserver.exe
O23 - Service: Event Log Watch (LogWatch) - Unknown owner - C:\WINNT\LogWatNT.exe
O23 - Service: mr2kserv - Unknown owner - C:\Program Files\Dell\OpenManage\Array Manager\mr2kserv.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINNT\System32\NMSSvc.exe
O23 - Service: FireDaemon Service: ntfs16 (ntfs16) - Unknown owner - c:\winnt\system32\spool\FireDaemon.EXE (file missing)
O23 - Service: FireDaemon Service: ntfs32 (ntfs32) - Unknown owner - c:\winnt\system32\spool\FireDaemon.EXE (file missing)
O23 - Service: OM Common Services (omsad) - Dell Inc. - C:\Program Files\Dell\SysMgt\oma\bin\omsad32.exe
O23 - Service: PIMphony Central Services (PIMphonyService) - Unknown owner - d:\PIMphony_Central_Services\PimService.exe
O23 - Service: Secure Port Server (Server Administrator) - Unknown owner - C:\Program Files\Dell\SysMgt\iws\bin\win32\omaws32.exe
O23 - Service: TapeWare - Unknown owner - C:\Program Files\TapeWare\TWWINSDR.EXE
O23 - Service: Disk Management Service (VxSvc) - VERITAS Software Corp. - C:\Program Files\Dell\OpenManage\Array Manager\VxSvc.exe
O23 - Service: Regedits Helps (Windows Regedit Helps) - Unknown owner - C:\WINNT\iis\iesetup.exe

Merci encore de prendre le temps de m'aider.
Philippe
Messages postés
21123
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 338
Salut,

Ou en sont tes soucis

a+
Messages postés
6
Date d'inscription
mercredi 6 décembre 2006
Statut
Membre
Dernière intervention
19 décembre 2006

Salut Régis,

Hier soir, j'avais encore une page qui s'affichait.
Mais j'ai supprimé "only23" dans la base de registre et depuis je n'ai plus d'affichage intempestif.

Donc je penses que tu m'as réglé le problème : grand merci.

A+
Philippe
Messages postés
6
Date d'inscription
mercredi 6 décembre 2006
Statut
Membre
Dernière intervention
19 décembre 2006

Récapitulatif :
Problème : Ouverture non controlée de pages publicitaires internet.

=> scanne avec HijackThis pour voir des programmes non connus.
=> scanne du disque avec Ewido, a2 quare, (AdAware et SpyBot se sont montrés inactif sur le sujet) pour supprimer les malwares.
Chez moi j'ai supprimé plusieurs fois C:\WINNT\scvhost.exe qui revenait régulierement.
=> killbox du fichier qui s'autogénére : ici C:\WINNT\scvhost.exe.
=> Suppression de ce même fichier dans la base de registre avec regedit (il indiquait programme "only23").

Depuis mon problème est réglé : grand merci à Regis59.

Philippe
Messages postés
21123
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 338
Salut

Bien joué !

Bonne continuation

A+
Messages postés
6
Date d'inscription
mercredi 6 décembre 2006
Statut
Membre
Dernière intervention
19 décembre 2006

Salut Regis,

J'ai été trop optimiste. Mes fameuses pages non sollicitées sont réapparues.

L'exe : C:\WINNT\Scvhost.exe était de nouveau présent.
J'ai donc refait un passage de Killbox + suppression de "Only23" dans ma base de registre hier soir.

Ce matin, alors que je pensais le pbleme résolu : de nouveau mes 2 pages présentes.

En revanche, plus de C:\WINNT\Scvhost.exe.

A noter qu'Internet Explorer se lance à chaque démarrage et se met en erreur en indiquant qu'il lui manque la dll : wininet.dll.

Je suis preneur de toute suggestion pour éradiquer ce malware.
Je suis en train d'envisager de supprimer Internet Explorer et de le réinstaller mais je ne suis pas sur que cela règle mon problème.

Merci d'avance.
A+
Philippe
Messages postés
21123
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 338
Salut Philippe,

Télécharge ceci: (merci a S!RI pour ce programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.
----------------------------------------------------------------------------
Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
----------------------------------------------------------------------------
Relance le programme Smitfraud,
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum

Ainsi qu'un nouveau HijackThis

A+
Messages postés
6
Date d'inscription
mercredi 6 décembre 2006
Statut
Membre
Dernière intervention
19 décembre 2006

Salut Regis,

Désolé de ne pas avoir répondu plus tôt, j'étais en déplacement.
En fait suite à mon post, j'ai vérifier tous les programmes lancés au demarrage avec cclear.
=> J'ai viré tous ceux qui me disait rien.
=> J'ai fixé avec HijackThis tous les services qui ne paraissaient pas normaux.
=> J'ai desinstallé tous les logiciels qui n'étaient pas important.
=> J'ai arrêté tous les services que je n'utilisais pas.
C'est franchement du bricolage pas très serieux et en aveugle mais apparement, je n'ai pas du faire de grosses conneries car tous marche.

Du coup depuis vendredi 15/12/06 je n'ai plus le phénomène.
Je garde ta solution sous le coude en cas de besoin.

Merci encore de ton aide.
Dommage que je ne sois pas plus performant, j'aurais aimé pouvoir aider moi aussi.
A+

Philippe
Messages postés
21123
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 338
Salut Philippe;

Ok d'accord, si tu as besoin, nous sommes la.

Bien joué amigo

A+
Messages postés
10
Date d'inscription
lundi 19 mars 2007
Statut
Membre
Dernière intervention
18 décembre 2011
8
Bonjour tout le monde

J'ai le meme petit probleme. j'ai essayer de me demerder par moi meme mais la je n'ai rien pu faire

jai ca pour vous

Merci de votre aide


Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 19:50:26, on 11/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\UltraVNC\WinVNC.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrateur\Bureau\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [only23] C:\WINDOWS\SCVHOST.exe
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [XPPro4.0] %systemroot%\REG\run.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [XPPro4.0] %systemroot%\REG\run.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [XPPro4.0] %systemroot%\REG\run.cmd (User 'Default user')
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Indexing Helps (Indexingbox) - Unknown owner - C:\WINDOWS\system\svchest.exe
O23 - Service: Indexing Helper (Indexingboxs) - Unknown owner - c:\temp\svchost.exe (file missing)
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: OESH (Office Source Engine Help) - Unknown owner - C:\Program.exe (file missing)
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: VNC Server (winvnc) - UltraVNC - C:\Program Files\UltraVNC\WinVNC.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe
Messages postés
10
Date d'inscription
lundi 19 mars 2007
Statut
Membre
Dernière intervention
18 décembre 2011
8
un coup de virustotal aussi

STATUS: FINISHEDComplete scanning result of "SCVHOST.EXE", received in VirusTotal at 04.11.2007, 19:54:30 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.4.12.0 04.11.2007 no virus found
AntiVir 7.3.1.50 04.11.2007 TR/Dldr.Delf.BO.3
Authentium 4.93.8 04.11.2007 no virus found
Avast 4.7.936.0 04.11.2007 no virus found
AVG 7.5.0.447 04.11.2007 Generic3.QOT
BitDefender 7.2 04.11.2007 no virus found
CAT-QuickHeal 9.00 04.11.2007 (Suspicious) - DNAScan
ClamAV devel-20070312 04.11.2007 no virus found
DrWeb 4.33 04.11.2007 Trojan.DownLoader.19797
eSafe 7.0.15.0 04.10.2007 Suspicious Trojan/Worm
eTrust-Vet 30.7.3560 04.11.2007 no virus found
Ewido 4.0 04.10.2007 Downloader.Small
FileAdvisor 1 04.11.2007 Low threat detected
Fortinet 2.85.0.0 04.11.2007 W32/Delf.BO!tr.dldr
F-Prot 4.3.1.45 04.11.2007 no virus found
F-Secure 6.70.13030.0 04.11.2007 Trojan-Downloader.Win32.Delf.bo
Ikarus T3.1.1.5 04.11.2007 Trojan-Downloader.Win32.Delf.bo
Kaspersky 4.0.2.24 04.11.2007 Trojan-Downloader.Win32.Delf.bo
McAfee 5006 04.11.2007 no virus found
Microsoft 1.2405 04.11.2007 no virus found
NOD32v2 2181 04.11.2007 no virus found
Norman 5.80.02 04.11.2007 W32/Malware.LZU
Panda 9.0.0.4 04.11.2007 Adware/DriveCleaner
Prevx1 V2 04.11.2007 Malware:Gaobot.B
Sophos 4.16.0 04.06.2007 Mal/Packer
Sunbelt 2.2.907.0 04.07.2007 no virus found
Symantec 10 04.11.2007 no virus found
TheHacker 6.1.6.088 04.09.2007 no virus found
VBA32 3.11.3 04.10.2007 Trojan.DownLoader.19797
VirusBuster 4.3.7:9 04.11.2007 Trojan.DL.Delf.WIA
Webwasher-Gateway 6.0.1 04.11.2007 Trojan.Dldr.Delf.BO.3


Aditional Information
File size: 40448 bytes
MD5: 793af18e1628c45b017f0f137c4584bd
SHA1: 229f6f940c20ad6377fb0e372c26576ced80c9da
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=793af18e1628c45b017f0f137c4584bd
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=87aa82879302
Messages postés
21123
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 338
Bonjour,

Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace
Procèdes comme ceci :
http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm

A bientôt