Virus trojan, poison mp3
Résolu
trep
-
trep -
trep -
Bonjour,
un ami s'est réveillé un matin et tous ses fichiers mp3 avaient été effacés de ses disques durs (embetant, surtout pour les programmes). On a essayé de les récupérer à l'aide d'un logiciels genre "data recovery", mais dès que windows est redémarré, ils redisparaissent (une vague et mauvaise impression que le "truc" est toujours là).
On a scanné le PC avec BitDefender et Spybot, rien trouvé.
Les seuls traces sont le changement de l'utilisateur enregistré qui est devenu "Poison MP3" avec la date du "01 avril 2007", et la désactivation de "regedit" et du "gestionnaire de taches".
N'ayant rien trouvé de précis sur le web, on a utilisé "hijackthis" dont le log suit...
Je m'en remet à celles et ceux qui parcoureront ce message, merci de l'aide que vous pourriez m'apporter.
Logfile of HijackThis v1.99.1
Scan saved at 00:31:36, on 03/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\PROGRA~1\0DRIVE~1\A4Tech\Mouse\Amoumain.exe
C:\Program Files\0 Sécurité\bdmcon.exe
C:\Program Files\0 Sécurité\bdagent.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\0 Outils\Rainlendar\Rainlendar.exe
C:\Program Files\0 Sécurité\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Restore\SVCHOST.EXE
F:\0 Téléchargements\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\0OUTIL~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [WheelMouse] c:\PROGRA~1\0DRIVE~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\0 Sécurité\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\0 Sécurité\bdagent.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SVCHOST] C:\WINDOWS\system32\Restore\SVCHOST.EXE
O4 - Startup: Rainlendar.lnk = C:\Program Files\0 Outils\Rainlendar\Rainlendar.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\0OUTIL~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\0OUTIL~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\0 Sécurité\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
un ami s'est réveillé un matin et tous ses fichiers mp3 avaient été effacés de ses disques durs (embetant, surtout pour les programmes). On a essayé de les récupérer à l'aide d'un logiciels genre "data recovery", mais dès que windows est redémarré, ils redisparaissent (une vague et mauvaise impression que le "truc" est toujours là).
On a scanné le PC avec BitDefender et Spybot, rien trouvé.
Les seuls traces sont le changement de l'utilisateur enregistré qui est devenu "Poison MP3" avec la date du "01 avril 2007", et la désactivation de "regedit" et du "gestionnaire de taches".
N'ayant rien trouvé de précis sur le web, on a utilisé "hijackthis" dont le log suit...
Je m'en remet à celles et ceux qui parcoureront ce message, merci de l'aide que vous pourriez m'apporter.
Logfile of HijackThis v1.99.1
Scan saved at 00:31:36, on 03/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\PROGRA~1\0DRIVE~1\A4Tech\Mouse\Amoumain.exe
C:\Program Files\0 Sécurité\bdmcon.exe
C:\Program Files\0 Sécurité\bdagent.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\0 Outils\Rainlendar\Rainlendar.exe
C:\Program Files\0 Sécurité\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Restore\SVCHOST.EXE
F:\0 Téléchargements\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\0OUTIL~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [WheelMouse] c:\PROGRA~1\0DRIVE~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\0 Sécurité\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\0 Sécurité\bdagent.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SVCHOST] C:\WINDOWS\system32\Restore\SVCHOST.EXE
O4 - Startup: Rainlendar.lnk = C:\Program Files\0 Outils\Rainlendar\Rainlendar.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\0OUTIL~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\0OUTIL~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\0 Sécurité\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
A voir également:
- Virus trojan, poison mp3
- Télécharger musique mp3 gratuitement sur pc - Télécharger - Conversion & Extraction
- Mp3 gain - Télécharger - Édition & Montage
- Virus mcafee - Accueil - Piratage
- Youtube mp3 - Guide
- Telecharger podcast en mp3 - Guide
10 réponses
faudrait supprimer c:\windows\system32\restore\SVCHOST.EXE. mais le probleme que ce fichier n'apparait pas meme so on active l'option des fichiers cacher en plus de sa on ne peut pas le supprimer :s
A+
A+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Je viens de m'apercevoir que j'ai le même problème que toi
Mon nom d'utilisateur est poison mp3 et plus une trace de fichier mp3 sur mon pc.
Surveillez vos ordi.
Mon nom d'utilisateur est poison mp3 et plus une trace de fichier mp3 sur mon pc.
Surveillez vos ordi.
Idem pour moi et un pote.
Il y des fichiers autorun.exe et autorun.inf à la racine de toutes tes partitions Windows, le fichier c:\windows\system32\restore\SVCHOST.EXE (résultat analyse de ce dernier=> http://www.virustotal.com/fr/analisis/4e35469ff22f848b6d64069ed96d3229)
J'ai retrouvé l'accès au gestionnaire des tâches et à la base de registre. Il faut fixer ces clés dans HijackThis :
O4 - HKLM\..\Run: [SVCHOST] C:\WINDOWS\system32\Restore\SVCHOST.EXE
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
J'en suis là pour le moment, mais je n'arrive toujours pas à voir les fichiers systèmes sous C:\ (tl que pagefile.sys, boot.ini, ...)
Si quelqu'un à plis d'information ou une méthode pour résoudre le problème, merci de nous éclairer.
Il y des fichiers autorun.exe et autorun.inf à la racine de toutes tes partitions Windows, le fichier c:\windows\system32\restore\SVCHOST.EXE (résultat analyse de ce dernier=> http://www.virustotal.com/fr/analisis/4e35469ff22f848b6d64069ed96d3229)
J'ai retrouvé l'accès au gestionnaire des tâches et à la base de registre. Il faut fixer ces clés dans HijackThis :
O4 - HKLM\..\Run: [SVCHOST] C:\WINDOWS\system32\Restore\SVCHOST.EXE
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
J'en suis là pour le moment, mais je n'arrive toujours pas à voir les fichiers systèmes sous C:\ (tl que pagefile.sys, boot.ini, ...)
Si quelqu'un à plis d'information ou une méthode pour résoudre le problème, merci de nous éclairer.
Salut hajnag,
Oui, exactement les mêmes symptômes, je répond tardivement, j'étais en déplacement et pas de portable lol. Merci de ce bon récapitulatif.
C'est éradiqué, DD et clés USB vidés de tout mp3! Le pote était pas content mais on a récupéré une partie des fichiers avec recovery data (ou équivalent...).
Une belle daube, content de pas l'avoir choppé, il reste encore quelques programmes qui râlent "muettement" de l'absence de leurs sons.
Oui, exactement les mêmes symptômes, je répond tardivement, j'étais en déplacement et pas de portable lol. Merci de ce bon récapitulatif.
C'est éradiqué, DD et clés USB vidés de tout mp3! Le pote était pas content mais on a récupéré une partie des fichiers avec recovery data (ou équivalent...).
Une belle daube, content de pas l'avoir choppé, il reste encore quelques programmes qui râlent "muettement" de l'absence de leurs sons.
Idem pou moi et 2 de mes PC au boulot dont 1 qui n'était pas connecté à internet ni en réseau.
Restauration du système et j'ai pu récupérer quelques fichier MP3 grace à TUNE UP mais pas la totalité.
Sauvegardé tous vos fichiers important sur CD
Restauration du système et j'ai pu récupérer quelques fichier MP3 grace à TUNE UP mais pas la totalité.
Sauvegardé tous vos fichiers important sur CD
ok, salut trep.. c'est ton post ne l'oubies pas
quant aux autres cela ne sert à rien vos interventions ! créer vos propres topic ! ne parasiter pas les posts des autres internautes, car nous ne pourrons pas lui venir en aide..
Donc pour recentrer le débat trep
C:\Windows\system32\svchost.exe est un fichier légitime Windows
le mauvais est C:\Windows\system32\Restore\svchost.exe
Je vais te demander de changer d'anti-virus et de choisir Antivir qui est plus performant et réactif qu'Avast....
Tu devras installer un pare-feu puissant hormis celui de windows qui laisse tout passer..
j'attends ton avis...
quant aux autres cela ne sert à rien vos interventions ! créer vos propres topic ! ne parasiter pas les posts des autres internautes, car nous ne pourrons pas lui venir en aide..
Donc pour recentrer le débat trep
C:\Windows\system32\svchost.exe est un fichier légitime Windows
le mauvais est C:\Windows\system32\Restore\svchost.exe
Je vais te demander de changer d'anti-virus et de choisir Antivir qui est plus performant et réactif qu'Avast....
Tu devras installer un pare-feu puissant hormis celui de windows qui laisse tout passer..
j'attends ton avis...
