PC qui rame et processus slserv.exe [Résolu/Fermé]

Signaler
Messages postés
176
Date d'inscription
vendredi 28 septembre 2007
Statut
Membre
Dernière intervention
16 février 2021
-
Messages postés
4892
Date d'inscription
dimanche 27 mai 2007
Statut
Contributeur sécurité
Dernière intervention
24 février 2012
-
Bonjour,
Le processeur de ce PC est constamment saturé à 100% et il rame a fond.
J'ai passé dans l'ordre:
- regcleaner
- ccleaner
- AVG antispyware (mode sans echec, rapport ci-dessous. Tout a été ignoré, mais il a détecté quelques trojans et surtout un problème "heuristic" ???)
- Hijackthis (rapport ci-dessous)
J'ai voulu scanner avec bitdefender en ligne (sous explorer bien sûr) mais ca n'a pas voulu fonctionner.
Je crois avoir detecté un processus louche qui s'appelle slserv.exe, mais mes compétence en informatique s'arrêtent malheureusement là.
Pouvez-vous m'aider?

Merci d'avance pour le temps que vous consacrerez à lire ce message,

Nico

AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------
+ Créé à: 10:04:57 28/09/2007
+ Résultat de l'analyse:

C:\Program Files\180searchassistant -> Adware.180Solutions : Ignoré.
C:\Program Files\180searchassistant\sac_gdf.dat -> Adware.180Solutions : Ignoré.
C:\Program Files\180searchassistant\sac_kyf_update.dat -> Adware.180Solutions : Ignoré.
HKLM\SOFTWARE\sac -> Adware.180Solutions : Ignoré.
HKU\.DEFAULT\Software\BTGrab -> Adware.BetterInternet : Ignoré.
HKU\S-1-5-18\Software\BTGrab -> Adware.BetterInternet : Ignoré.
HKLM\SOFTWARE\Policies\Avenue Media -> Adware.InternetOptimizer : Ignoré.
C:\System Volume Information\_restore{34F924C6-10CC-492E-82CC-9F0FBE5AA013}\RP5\A0104035.ocx -> Adware.MediaMotor : Ignoré.
C:\Documents and Settings\***\Menu Démarrer\Programmes\Power Scan -> Adware.PowerScan : Ignoré.
C:\Documents and Settings\***\Menu Démarrer\Programmes\Power Scan\Power Scan.lnk -> Adware.PowerScan : Ignoré.
C:\Program Files\Power Scan -> Adware.PowerScan : Ignoré.
C:\Program Files\SideFind -> Adware.SideFind : Ignoré.
C:\Program Files\SideFind\sfbho.dll -> Adware.SideFind : Ignoré.
C:\Program Files\SideFind\sfexd001 -> Adware.SideFind : Ignoré.
C:\Program Files\SideFind\sidefind.dll -> Adware.SideFind : Ignoré.
C:\Program Files\SideFind\update -> Adware.SideFind : Ignoré.
C:\WINDOWS\system32\TFTP3332 -> Backdoor.Rbot.bi : Ignoré.
C:\System Volume Information\_restore{34F924C6-10CC-492E-82CC-9F0FBE5AA013}\RP14\A0184846.exe -> Heuristic.Win32.Exploit : Ignoré.
C:\WINDOWS\system32\skzznrert.exe -> Heuristic.Win32.Exploit : Ignoré.
C:\WINDOWS\system32\TFTP3836 -> Heuristic.Win32.Morphine-Crypted : Ignoré.
C:\WINDOWS\system32\ndis.exe -> Heuristic.Win32.Morphine-Crypted : Ignoré.
:mozilla.22:C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\e8y6t6jn.default\cookies.txt -> TrackingCookie.2o7 : Ignoré.
:mozilla.14:C:\Documents and Settings\Invité\Application Data\Mozilla\Firefox\Profiles\e8y6t6jn.default\cookies.txt -> TrackingCookie.Doubleclick : Ignoré.
C:\Documents and Settings\Invité\Cookies\invité@m.webtrends[1].txt -> TrackingCookie.Webtrends : Ignoré.
C:\System Volume Information\_restore{34F924C6-10CC-492E-82CC-9F0FBE5AA013}\RP5\A0104037.exe -> Trojan.Dialer.u : Ignoré.
C:\System Volume Information\_restore{34F924C6-10CC-492E-82CC-9F0FBE5AA013}\RP5\A0104038.exe -> Trojan.Dialer.u : Ignoré.
Fin du rapport

Scan Hijackthis
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 16:04:45, on 28/09/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\sllights.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe


R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie_rsearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Exploreur

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [MSChoEx] suge.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Qbik WinGate Engine (WinGateEngine) - Unknown owner - C:\Program Files\WinGate\WinGateEngine.exe (file missing)
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

69 réponses

Messages postés
4892
Date d'inscription
dimanche 27 mai 2007
Statut
Contributeur sécurité
Dernière intervention
24 février 2012
494
Bonjour Nicobob

Tout d abord pour AVG, il va te falloir recommencer
*Mise à jour :

Lancer AVG Anti-Spyware.
Cliquer sur le menu Mise à jour.
Dans le paragraphe Mise à jour manuelle, cliquer sur le bouton Commencer la mise à jour.
Attendre la fin de cette mise à jour.

Ferme AVG Antispyware

* Reglages :

Cliquer sur le menu Analyse (de la barre d'outils).
Cliquer sur l'onglet Paramètres.
Dans Comment réagir? cliquer sur Actions recommandées et choisir Quarantaine.
Dans Comment faire l'analyse ? et dans Programmes potentiellement dangereux, vérifier que toutes les cases soient cochées.
Dans Rapports cocher "générer un rapport aprés chaque analyse"

* Scan et nettoyage : (a faire en mode sans echec)
Dans l'onglet Analyse
Cliquer sur Analyse complète du système.
Important : Ne pas ouvrir de fenêtre, ne pas lancer de programme pendant l'exécution de AVG Anti-Spyware, car cela pourrait interférer avec le processus de recherche.
Tres important : A la fin de l'analyse, clique sur " Appliquer toutes les actions"
Ensuite.
Cliquer sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.
Puis fermer AVG Anti-Spyware..

Reposte le rapport AVG, pendant ce temps, je regarderai ton log Hjt

@+

Edit ne touches pas a slserv.exe legitime ----> https://www.processlibrary.com/en/directory/a/1/
Messages postés
4892
Date d'inscription
dimanche 27 mai 2007
Statut
Contributeur sécurité
Dernière intervention
24 février 2012
494
Re

C est le faite que tu sois encore en SP1 qui te rends vulnerabla a cette bebete ! tu decrais etre au SP2 depuis longtemps ! il faudra faire cela par la suite apres le nettoyage


Je tiens le responsable Win32/Rbot Family


ici --> suge.exe

1) demarrer/rechercher click sur options avancés et coche recherche dans dossiers systeme,fichiers et dossiers cachés et sous dossiers

et donne moi la localisation de suge.exe

2) Tu as des services a fermer

entre autre

Partage de Bureau à distance NetMeeting
Gestionnaire de session d'aide sur le Bureau à distance
Qbik WinGate Engine
Carte de performance WMI


regarde ici
http://speedweb1.free.fr/frames2.php?page=service4 et http://speedweb1.free.fr/frames2.php?page=service3

@+
Messages postés
176
Date d'inscription
vendredi 28 septembre 2007
Statut
Membre
Dernière intervention
16 février 2021
38
OK, merci.
J'essaye ça demain car c'est pas mon PC mais celui de mon boulot.
Je posterai le résultat dès demain matin normalement.
a+
Messages postés
4892
Date d'inscription
dimanche 27 mai 2007
Statut
Contributeur sécurité
Dernière intervention
24 février 2012
494
Re bonjour Nico

Ok, je verrais cela demain.

Par contre, si c est un pc de travail, je ne sais pas si tu dois toucher aux services dont je t ai parlé.

Je pense que suge.exe se trouve dans C:\windows\system32 quand tu me le confirmeras, on s en occupera en le supprimant et en executant un regfix du meme coup.

@+
Messages postés
176
Date d'inscription
vendredi 28 septembre 2007
Statut
Membre
Dernière intervention
16 février 2021
38
Salut Le sioux,
Tout d'abord, merci pour tes conseils que j'ai suivi dès ce matin. Tu trouveras le scan AVG ci-dessous.
J'ai fait la recherche du fichier suge.exe et voici ce que j'ai trouvé:
- suge.exe-08DE91D9.pf dans C:\WINDOWS\prefetch
- suge.exe-up dans C:\WINDOWS\system32 (comme prévu...)
Quant au processus louche, je me suis gouré, il s'agit en fait de sllights, si je ne m'abuse... Comme quoi, j'ai bien fait de demander conseil!
J'attends tes lumières.
Merci d'avance et à bientôt.
Nicobobo

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 10:37:29 01/10/2007

+ Résultat de l'analyse:



C:\Documents and Settings\***\Menu Démarrer\Programmes\Power Scan -> Adware.PowerScan : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{34F924C6-10CC-492E-82CC-9F0FBE5AA013}\RP14\A0186192.dll -> Adware.SideFind : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{34F924C6-10CC-492E-82CC-9F0FBE5AA013}\RP14\A0186194.exe -> Heuristic.Win32.Exploit : Nettoyé et sauvegardé (mise en quarantaine).
C:\System Volume Information\_restore{34F924C6-10CC-492E-82CC-9F0FBE5AA013}\RP14\A0186195.exe -> Heuristic.Win32.Morphine-Crypted : Nettoyé et sauvegardé (mise en quarantaine).


Fin du rapport

Messages postés
4892
Date d'inscription
dimanche 27 mai 2007
Statut
Contributeur sécurité
Dernière intervention
24 février 2012
494
Bonsoir

Bien joué .

Bon on s attaque a ce suge.exe alias Win32/Rbot Family

1) RegFix


Ouvre le bloc-notes et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait) :

REGEDIT4

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"MSChoEx"=-
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"MSChoEx"=-
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
"MSChoEx"=-


Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

Quitte internet et double clique sur fix.reg
=> tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"
Attention REGEDIT4 doit se trouver sur la toute 1ere ligne sinon, le fix ne fonctionnera pas

2) Télécharge OTMoveIt (de Old_Timer)
sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved


C:\WINDOWS\prefetch\suge.exe-08DE91D9.pf
C:\WINDOWS\system32\suge.exe-up
C:\WINDOWS\system32\suge.exe


Clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

Il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.


3) Rapports


Poste le rapport d OTMoveIt et un nouvel HijackThis en precisant s il y a des ameliorations.

@+
Messages postés
176
Date d'inscription
vendredi 28 septembre 2007
Statut
Membre
Dernière intervention
16 février 2021
38
Salut le sioux,
Je travaille pas demain, donc il va falloir attendre mercredi pour essayer cela, voire jeudi car je risque de pas avoir assez de temps. Ne t'inquiète donc pas si tu n'a pas de réponse d'ici là, c'est pas que j'ai laissé tomber. D'ailleurs, j'ai hâte de faire cette manip pour voir ce que ça donne. Si tu as le temps, est-ce que tu pourra m'en expliquer succintement le principe? Pure curiosité, c'est la meilleure façon d'apprendre.
Merci beaucoup, je reposte dès que j'aurai fait tout ça.
A+
Nicobobo
Messages postés
4892
Date d'inscription
dimanche 27 mai 2007
Statut
Contributeur sécurité
Dernière intervention
24 février 2012
494
Bonsoir Nicobobo

Ok, a tres bientot.

Le 1er le RegFix va aller nettoyer les entrées crées par le malware dans le registre, avec OTMoveIt on va aller supprimer les fichiers responsables, celui que je t ai redigé ne convient que pour ce cas particulier.

Vu qu ils sont dans le system32, leurs suppresssions peux s averer difficile, l utilisation OTMoveIt en mode normal evite qu il ne soit recréés au redemarrage du pc.

Voili, voilou
Messages postés
176
Date d'inscription
vendredi 28 septembre 2007
Statut
Membre
Dernière intervention
16 février 2021
38
Salut Lesioux,
Bon, comme prévu, j'ai fait les manip' sur le PC. Malheureusement, il continu de ramer et il me semble que le rapport hijackthis signale toujours la présence de suge.exe.J'ai refait une recherche et je retrouve effectivement un fichier nommé " suge.exe-up " situé dans C:\Windows\system32. C'est un fichier texte...
Je te poste le rapports hijack et OTMoveit.
J'espère que tu va pouvior trouver une solution...
En tout cas, merci à toi et à bientôt.
Nicobobo

C:\WINDOWS\prefetch\suge.exe-08DE91D9.pf moved successfully.
File/Folder C:\WINDOWS\system32\suge.exe-up not found.
File/Folder C:\WINDOWS\system32\suge.exe not found.

Created on 10/04/2007 13:25:04

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 16:04:45, on 28/09/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\sllights.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Documents and Settings\IME ST GAUDENT\Bureau\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie_rsearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Exploreur
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy-rectorat.ac-poitiers.fr:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [MSChoEx] suge.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Qbik WinGate Engine (WinGateEngine) - Unknown owner - C:\Program Files\WinGate\WinGateEngine.exe (file missing)
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
Salut Lesioux,
Bon, comme prévu, j'ai fait les manip' sur le PC. Malheureusement, il continu de ramer et il me semble que le rapport hijackthis signale toujours la présence de suge.exe.J'ai refait une recherche et je retrouve effectivement un fichier nommé " suge.exe-up " situé dans C:\Windows\system32. C'est un fichier texte...
Je te poste le rapports hijack et OTMoveit.
J'espère que tu va pouvior trouver une solution...
En tout cas, merci à toi et à bientôt.
Nicobobo

C:\WINDOWS\prefetch\suge.exe-08DE91D9.pf moved successfully.
File/Folder C:\WINDOWS\system32\suge.exe-up not found.
File/Folder C:\WINDOWS\system32\suge.exe not found.

Created on 10/04/2007 13:25:04

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 16:04:45, on 28/09/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\sllights.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Documents and Settings\IME ST GAUDENT\Bureau\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie_rsearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Exploreur
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy-rectorat.ac-poitiers.fr:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [MSChoEx] suge.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\netdde.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Prise en charge des cartes à puces (SCardDrv) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Qbik WinGate Engine (WinGateEngine) - Unknown owner - C:\Program Files\WinGate\WinGateEngine.exe (file missing)
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
Messages postés
4892
Date d'inscription
dimanche 27 mai 2007
Statut
Contributeur sécurité
Dernière intervention
24 février 2012
494
Bonsoir Nicobobo

Je regarde cela des que possible et te dis quoi faire.
Je bosse encore cette nuit, a demain matin ;)

@+
Messages postés
176
Date d'inscription
vendredi 28 septembre 2007
Statut
Membre
Dernière intervention
16 février 2021
38
Bonsoir Lesioux,
Pas de pb, c'est déjà cool que tu y regardes. De toute manière, ça peut attendre lundi, l'ordi ne servira pas ce week end ni demain.
Bon courage pour ta nuit.
Ciao
Nicobobo
Messages postés
4892
Date d'inscription
dimanche 27 mai 2007
Statut
Contributeur sécurité
Dernière intervention
24 février 2012
494
Bonjour Nicobobo

* En effet c est comme si l on avait rien fait

File/Folder C:\WINDOWS\system32\suge.exe-up not found.
File/Folder C:\WINDOWS\system32\suge.exe not found.


not found. = pas trouvé donc pas supprimé :(

et rebelote dans Hijackthis --> O4 - HKUS\S-1-5-18\..\Run: [MSChoEx] suge.exe (User 'SYSTEM')

Je ne m attendais pas a cela :(
Je vais reflechir a ce que l on peut faire, cela tombe bien que j ai le weekend devant moi ;) si tu ne t en sers que lundi o taff :))

* Sinon, au faite, pour repondre a ta question du 1er octobre Quant au processus louche, je me suis gouré, il s'agit en fait de sllights, si je ne m'abuse..
Ce processus est legitime lui aussi https://www.processlibrary.com/en/directory/a/1/

@+
Messages postés
176
Date d'inscription
vendredi 28 septembre 2007
Statut
Membre
Dernière intervention
16 février 2021
38
Salut Lesioux,
1ere info pour toi: a priori, on a trouvé ce qui faisait ramer le Pc: c'est une carte fax. Ce qui est étrange, c'est qu'apparement, elle marchait très bien avant. De toute façon, elle ne sert plus a rien alors on l'a purment et simplement virée.
Par contre, ça n'empêche pas que suge.exe nous casse toujours les pieds car il n'a rien a faire sur le PC, on est d'accord. Alors si t'as une solution, je suis prenuer.
J'ai regardé sur les forums, certains utilisateurs ont tout simplement viré le fichier suge.exe manuellement et les clés correspondant dans le registre. Mais j'ai peur que ce soit un peu bourrin.
Quant au processus sllignts, cela mùe prouve qu'il vaut toujours mieux demander un avis quand on est pas sûr de soi!
Bon week end et à bientôt.
Nicobobo
Messages postés
4892
Date d'inscription
dimanche 27 mai 2007
Statut
Contributeur sécurité
Dernière intervention
24 février 2012
494
Salut Nicobobo

1ere info pour toi: a priori, on a trouvé ce qui faisait ramer le Pc: c'est une carte fax. Ce qui est étrange, c'est qu'apparement, elle marchait très bien avant. De toute façon, elle ne sert plus a rien alors on l'a purment et simplement virée.


Cool d avoir deja trouvé une source du probleme !

On peut essayer differemment, afin de connaitre ses entrées dans le registre et le localiser de maniere plus sure

1) RegSearch


Télécharge RegSearch

https://www.bleepingcomputer.com/download/linux/

- dézipper dans un répertoire dédié tel que C:\Program Files\Regsearch
- double clique sur RegSearch.exe
- copie colle ceci :
suge.exe
dans la zone de recherche et clique sur OK
- après recherche, le bloc-notes ouvre une fenêtre avec toutes les instances trouvées
- le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch
- ferme RegSearch par Cancel
- copie-colle le contenu des fenêtres dans un post, ici
- ferme le bloc-notes

2) OAD


Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton bureau

Double clique sur le OAD pour le lancer

- nom de fichier à rechercher tape ou fais un copier coller de : Suge.exe
- Type de recherche : sélectionne l'option 6 puis valide [entree]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.

- Fais un copier / coller de ce rapport dans ton prochain post.

Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient


3) Reflexion --> Action

Sinon, je ne sais pas si tu as le droit si c est un pc de travail, mais je t aurais bien proposer de desinstaller avast au profil d antivir, je doute qu antivir n elimine pas ce suge.exe

A lire et amediter ++ car avec Avast, tu n es pas tres bien protégé:

Comparatif avast VS Antivir :

http://forum.malekal.com/ftopic3528.php

A lire https://forum.pcastuces.com/sujet.asp?f=25&s=31837

Si tu te decides a installer Antivir, desinstalle avast d abord et une fois antivir installé parametre le comme indiqué ici :

http://speedweb1.free.fr/frames2.php?page=tuto5

En ce cas effectue les mises a jours d antivir, passe en mode sans echec , fais un scan et tout ce qu il trouvera en quarantaine, puis poste le rapport d Antivir

4) Rapports

Poste le rapport de regsearch, d AOD
...et celui d antivir si cela t a été possible a faire, comme c est un pc de travail, je ne sais pas si tu as ce droit, a voir...

@+
Messages postés
4399
Date d'inscription
mardi 18 octobre 2005
Statut
Membre
Dernière intervention
2 novembre 2007
88
salut le sioux, garde de nuit ;-)
Messages postés
4892
Date d'inscription
dimanche 27 mai 2007
Statut
Contributeur sécurité
Dernière intervention
24 février 2012
494
Salut Mok's@

Synchro, c est marrant en voyant tes interventions, je viens de t envoyer mp ;) juste en meme temps...communication de pensée..lol

Je bosse de nuit mais la, je suis de repos ;)

Bon surf nocturne l ami.
Messages postés
4399
Date d'inscription
mardi 18 octobre 2005
Statut
Membre
Dernière intervention
2 novembre 2007
88
oui synchro, je t´ai repondu...

;-)
Messages postés
4892
Date d'inscription
dimanche 27 mai 2007
Statut
Contributeur sécurité
Dernière intervention
24 février 2012
494
Yes, bonne fin de nuit

;-)
Messages postés
176
Date d'inscription
vendredi 28 septembre 2007
Statut
Membre
Dernière intervention
16 février 2021
38
Salut Lesioux,
J'essaie dès demain Regsearch et OAD. En ce qui concerne Antivir, ça va pas être possible comme tu t'en doute. J'ai les mains libres, mais dans une certaine mesure et je peux pas prendre la responsabilité de changer l'antivirus. Cependant, je vais lire attentivement les liens que tu m'as posté car j'ai aussi Avast chez moi et je pensais qu'il était performant.
Je te tiens au courant dès demain.
Bonne soirée.
Nicobobo