Lsass et svhost infecte par trojan?a l'aide
jonigood
-
jonigood Messages postés 481 Statut Membre -
jonigood Messages postés 481 Statut Membre -
salut a tous ,
mon problème est le suivant ,
je constate garce a tcpview que lsass.exe et svhost.exe son constamment conecte a internet !
il y a deux lsass.exe 876 qui accede aux net , un en UDP et l'autre en TCP et plus de 10 svhost.exe 1084 , 1296 ect...!
il y a aussi 5 autre procesus que je n'arrive pas a identifiées qui ce nome System4 !!
j'ai fait une capture d' écran pour que ca soit plus clair
http://www.web-images.org/cgi-sys/suspendedpage.cgi
j'ai fermer tout programme qui pourrait accéder a internet avant de tester les connexions sortante avec tcpview !
jai donc bloquer avec mon par feux(kerio) lsass.exe en attendant ! pour svhost je peut pas le bloquer car je n'accede plus a msn quand je le bloque , quand a System4 alors la lui il est introuvable ....
avez vous une idée ?
je colle mon log hijackthis si ca peut vous servir !
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:54:41, on 18/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\a-squared Anti-Malware\a2service.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
D:\entretien\TcpView\Tcpview.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://sdlc-esd.sun.com/ESD40/JSCDL/jre/6u5-b19/jinstall-6u5-windows-i586-jc.cab?AuthParam=1208467247_41911cd9687118d6666fb9d9b04d1131&GroupName=JSC&BHost=javadl.sun.com&FilePath=/ESD40/JSCDL/jre/6u5-b19/jinstall-6u5-windows-i586-jc.cab&File=jinstall-6u5-windows-i586-jc.cab
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
mon problème est le suivant ,
je constate garce a tcpview que lsass.exe et svhost.exe son constamment conecte a internet !
il y a deux lsass.exe 876 qui accede aux net , un en UDP et l'autre en TCP et plus de 10 svhost.exe 1084 , 1296 ect...!
il y a aussi 5 autre procesus que je n'arrive pas a identifiées qui ce nome System4 !!
j'ai fait une capture d' écran pour que ca soit plus clair
http://www.web-images.org/cgi-sys/suspendedpage.cgi
j'ai fermer tout programme qui pourrait accéder a internet avant de tester les connexions sortante avec tcpview !
jai donc bloquer avec mon par feux(kerio) lsass.exe en attendant ! pour svhost je peut pas le bloquer car je n'accede plus a msn quand je le bloque , quand a System4 alors la lui il est introuvable ....
avez vous une idée ?
je colle mon log hijackthis si ca peut vous servir !
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:54:41, on 18/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\a-squared Anti-Malware\a2service.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
D:\entretien\TcpView\Tcpview.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://sdlc-esd.sun.com/ESD40/JSCDL/jre/6u5-b19/jinstall-6u5-windows-i586-jc.cab?AuthParam=1208467247_41911cd9687118d6666fb9d9b04d1131&GroupName=JSC&BHost=javadl.sun.com&FilePath=/ESD40/JSCDL/jre/6u5-b19/jinstall-6u5-windows-i586-jc.cab&File=jinstall-6u5-windows-i586-jc.cab
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
A voir également:
- Lsass et svhost infecte par trojan?a l'aide
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Trojan sms-par google - Accueil - Virus
- Google Messages va mieux vous protéger des liens dangereux - Accueil - Messagerie instantanée
- Anti trojan - Télécharger - Antivirus & Antimalwares
- Trojan b901 system32 win config 34 ✓ - Forum Virus
6 réponses
st
a mon avis si tu a des processus ouvert en permanence c'est qu'ils y a soit des trojans ou malaware qui on prit le control de ton pc
j'ai vu que tu a deja fait des scann en lignes avec bit defender,tu peut refaire un scan mais avec f.secure il est beaucoup plus complet que bit defender sur les trojans malaware adware rocktit ect ect ...
la tu choisis scan perso est tu scan tout tes disc loco ainsi que tout tes fichiers si il y a une bebette il te la trouvera
si il ne trouve rien il se peut qu'il y est des clefs qui ne donne a rien et que les processus soit actif a cause de sa mais bon j'en doute .
normalement quand cela arrive cela signifie que le pc et en connection et si tu n'a rien d'ouvert il n'y a pas de raison que sa fasse sa donc il y a une infecction apres le scan suprime ou desinfecte tout ce qu'il y trouve est repasse le meme scan apres pour etre sur que tout est nikel.
je te donne un conseille ,vire avast et installe antivir il est gratuit et sa base de dnner virale est plus a jour que celle d'avast qui a environ 1 a2semaine de retard sur les autre antivirus sur un test en 1 semaine il sort environ 450 virus avast n'en reconner que 18 antivir 350 mcafee430 "payant" idem kapersky voila pour l'infos
pour la configue de antivir va voir ici: http://speedweb1.free.fr/frames2.php?page=tuto5
garde ton par feu qui est tres bon est a squared free exelent
voila j'esperre que tu pourra t'en sortir a bientot
a mon avis si tu a des processus ouvert en permanence c'est qu'ils y a soit des trojans ou malaware qui on prit le control de ton pc
j'ai vu que tu a deja fait des scann en lignes avec bit defender,tu peut refaire un scan mais avec f.secure il est beaucoup plus complet que bit defender sur les trojans malaware adware rocktit ect ect ...
la tu choisis scan perso est tu scan tout tes disc loco ainsi que tout tes fichiers si il y a une bebette il te la trouvera
si il ne trouve rien il se peut qu'il y est des clefs qui ne donne a rien et que les processus soit actif a cause de sa mais bon j'en doute .
normalement quand cela arrive cela signifie que le pc et en connection et si tu n'a rien d'ouvert il n'y a pas de raison que sa fasse sa donc il y a une infecction apres le scan suprime ou desinfecte tout ce qu'il y trouve est repasse le meme scan apres pour etre sur que tout est nikel.
je te donne un conseille ,vire avast et installe antivir il est gratuit et sa base de dnner virale est plus a jour que celle d'avast qui a environ 1 a2semaine de retard sur les autre antivirus sur un test en 1 semaine il sort environ 450 virus avast n'en reconner que 18 antivir 350 mcafee430 "payant" idem kapersky voila pour l'infos
pour la configue de antivir va voir ici: http://speedweb1.free.fr/frames2.php?page=tuto5
garde ton par feu qui est tres bon est a squared free exelent
voila j'esperre que tu pourra t'en sortir a bientot
salut a toi et merci d'avoir pris le temps de me répondre !!
j'ai donc scanner mon pc avec fsecur il ma bien trouver des trojan ... voici le rapport :
Scanning Report
Friday, April 18, 2008 11:20:35 - 12:44:07
Computer name: BENS-6982E08B33
Scanning type: Scan target for malware, rootkits
Target: C:\
Result: 4 malware found
RiskTool.Win32.PsKill (spyware)
* System
Trojan-Downloader.Win32.Calac.at (virus)
* C:\RECYCLER\S-1-5-21-1123561945-2049760794-682003330-1003\Dc70.exe (Renamed & Submitted)
Trojan.Win32.Qhost (virus)
* System
Trojan.Win32.Qhost.aec (virus)
* C:\Documents and Settings\bens\Bureau\bloquer_les_pubs_Microsoft.bat
Statistics
Scanned:
* Files: 83899
* System: 2960
* Not scanned: 58
Actions:
* Disinfected: 0
* Renamed: 1
* Deleted: 0
* None: 3
* Submitted: 1
Files not scanned:
* C:\PAGEFILE.SYS
* C:\WINDOWS\TEMP\PERFLIB_PERFDATA_634.DAT
* C:\WINDOWS\TEMP\_AVAST4_\WEBSHLOCK.TXT
* C:\WINDOWS\SYSTEM32\BIOS1.ROM
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT.LOG
* C:\WINDOWS\SYSTEM32\CONFIG\SAM
* C:\WINDOWS\SYSTEM32\CONFIG\SAM.LOG
* C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
* C:\WINDOWS\SYSTEM32\CONFIG\SECURITY.LOG
* C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
* C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE.LOG
* C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
* C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM.LOG
* C:\WINDOWS\SYSTEM32\CATROOT2\EDB.LOG
* C:\WINDOWS\SYSTEM32\CATROOT2\TMP.EDB
* C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{CEA604C6-5059-4A81-9F9A-BF2DA8093C4C}.BIN
* LiveMessangerPlus3 + Webcam Recorder\MsgPlus3-Setup.exe
* C:\RECYCLER\S-1-5-21-1123561945-2049760794-682003330-1003\Dc77.rar\dummy file name of broken archive
* C:\RECYCLER\S-1-5-21-1123561945-2049760794-682003330-1003\DC24\LIVEMESSANGERPLUS3 + WEBCAM RECORDER\MSGPLUS3-SETUP.EXE
* C:\PROGRAM FILES\EMULE\TEMP\006.PART
* C:\PROGRAM FILES\EMULE\TEMP\009.PART
* C:\PROGRAM FILES\EMULE\TEMP\011.PART
* C:\PROGRAM FILES\EMULE\TEMP\016.PART
* C:\PROGRAM FILES\EMULE\TEMP\018.PART
* C:\PROGRAM FILES\EMULE\TEMP\020.PART
* C:\Program Files\eMule\Temp\021.part\McAfee Internet Security Suite-2008-Esp\es\Acroread\AcroRead.exe\\Data1.cab
* C:\Program Files\eMule\Temp\021.part\McAfee Internet Security Suite-2008-Esp\es\Acroread\AcroRead.exe\\Data1.cab
* C:\Program Files\eMule\Temp\021.part\McAfee Internet Security Suite-2008-Esp\es\Acroread\AcroRead.exe\\instmsiw.exe
* C:\Program Files\eMule\Temp\021.part\McAfee Internet Security Suite-2008-Esp\es\Acroread\AcroRead.exe\\Rdr70.itw
* C:\Program Files\eMule\Temp\021.part\McAfee Internet Security Suite-2008-Esp\es\Acroread\AcroRead.exe\\setup.exe
* C:\Program Files\eMule\Temp\021.part\McAfee Internet Security Suite-2008-Esp\es\Acroread\AcroRead.exe\\Setup.ini
* C:\Program Files\eMule\Temp\023.part\McAfee Total Protection 2008\Acroread\AcroRead.exe\\Data1.cab
* C:\Program Files\eMule\Temp\023.part\McAfee Total Protection 2008\Acroread\AcroRead.exe\\instmsiw.exe
* C:\Program Files\eMule\Temp\023.part\McAfee Total Protection 2008\Acroread\AcroRead.exe\\Rdr70.itw
* C:\Program Files\eMule\Temp\023.part\McAfee Total Protection 2008\Acroread\AcroRead.exe\\setup.exe
* C:\Program Files\eMule\Temp\023.part\McAfee Total Protection 2008\Acroread\AcroRead.exe\\Setup.ini
* C:\PROGRAM FILES\EMULE\TEMP\024.PART
* C:\PROGRAM FILES\EMULE\TEMP\037.PART
* C:\PROGRAM FILES\EMULE\TEMP\038.PART
* C:\PROGRAM FILES\EMULE\TEMP\043.PART
* C:\PROGRAM FILES\EMULE\TEMP\044.PART
* C:\PROGRAM FILES\EMULE\TEMP\047.PART
* C:\DOCUMENTS AND SETTINGS\NETWORKSERVICE\NTUSER.DAT
* C:\DOCUMENTS AND SETTINGS\NETWORKSERVICE\NTUSER.DAT.LOG
* C:\DOCUMENTS AND SETTINGS\NETWORKSERVICE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\USRCLASS.DAT
* C:\DOCUMENTS AND SETTINGS\NETWORKSERVICE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\USRCLASS.DAT.LOG
* C:\DOCUMENTS AND SETTINGS\LOCALSERVICE\NTUSER.DAT
* C:\DOCUMENTS AND SETTINGS\LOCALSERVICE\NTUSER.DAT.LOG
* C:\DOCUMENTS AND SETTINGS\LOCALSERVICE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\USRCLASS.DAT
* C:\DOCUMENTS AND SETTINGS\LOCALSERVICE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\USRCLASS.DAT.LOG
* C:\DOCUMENTS AND SETTINGS\BENS\NTUSER.DAT
* C:\DOCUMENTS AND SETTINGS\BENS\NTUSER.DAT.LOG
* C:\DOCUMENTS AND SETTINGS\BENS\LOCAL SETTINGS\TEMP\~DF2E31.TMP
* C:\DOCUMENTS AND SETTINGS\BENS\LOCAL SETTINGS\TEMP\~DF4C64.TMP
* C:\DOCUMENTS AND SETTINGS\BENS\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\USRCLASS.DAT
* C:\DOCUMENTS AND SETTINGS\BENS\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\USRCLASS.DAT.LOG
* C:\DOCUMENTS AND SETTINGS\BENS\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\WU8LZXZA.DEFAULT\PARENT.LOCK
Options
Scanning engines:
* F-Secure USS: 2.30.0
* F-Secure Hydra: 2.8.8110, 2008-04-18
* F-Secure AVP: 7.0.171, 2008-04-18
* F-Secure Pegasus: 1.20.0, 2008-02-28
* F-Secure Blacklight: 1.0.64
Scanning options:
* Scan all files
* Scan inside archives
* Use Advanced heuristics
apres un redémarrage je constate que les processus son toujours présent ! je suis entrain d effectuer un 2em scan j' attend le résultat .....
pourrait tu approfondir quand tu dit "il se peut qu'il y est des clefs qui ne donne a rien et que les processus soit actif a cause de sa" stp ??
tu parle de clef de regsitre ?
merci a toi !
j'ai donc scanner mon pc avec fsecur il ma bien trouver des trojan ... voici le rapport :
Scanning Report
Friday, April 18, 2008 11:20:35 - 12:44:07
Computer name: BENS-6982E08B33
Scanning type: Scan target for malware, rootkits
Target: C:\
Result: 4 malware found
RiskTool.Win32.PsKill (spyware)
* System
Trojan-Downloader.Win32.Calac.at (virus)
* C:\RECYCLER\S-1-5-21-1123561945-2049760794-682003330-1003\Dc70.exe (Renamed & Submitted)
Trojan.Win32.Qhost (virus)
* System
Trojan.Win32.Qhost.aec (virus)
* C:\Documents and Settings\bens\Bureau\bloquer_les_pubs_Microsoft.bat
Statistics
Scanned:
* Files: 83899
* System: 2960
* Not scanned: 58
Actions:
* Disinfected: 0
* Renamed: 1
* Deleted: 0
* None: 3
* Submitted: 1
Files not scanned:
* C:\PAGEFILE.SYS
* C:\WINDOWS\TEMP\PERFLIB_PERFDATA_634.DAT
* C:\WINDOWS\TEMP\_AVAST4_\WEBSHLOCK.TXT
* C:\WINDOWS\SYSTEM32\BIOS1.ROM
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT.LOG
* C:\WINDOWS\SYSTEM32\CONFIG\SAM
* C:\WINDOWS\SYSTEM32\CONFIG\SAM.LOG
* C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
* C:\WINDOWS\SYSTEM32\CONFIG\SECURITY.LOG
* C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
* C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE.LOG
* C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
* C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM.LOG
* C:\WINDOWS\SYSTEM32\CATROOT2\EDB.LOG
* C:\WINDOWS\SYSTEM32\CATROOT2\TMP.EDB
* C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{CEA604C6-5059-4A81-9F9A-BF2DA8093C4C}.BIN
* LiveMessangerPlus3 + Webcam Recorder\MsgPlus3-Setup.exe
* C:\RECYCLER\S-1-5-21-1123561945-2049760794-682003330-1003\Dc77.rar\dummy file name of broken archive
* C:\RECYCLER\S-1-5-21-1123561945-2049760794-682003330-1003\DC24\LIVEMESSANGERPLUS3 + WEBCAM RECORDER\MSGPLUS3-SETUP.EXE
* C:\PROGRAM FILES\EMULE\TEMP\006.PART
* C:\PROGRAM FILES\EMULE\TEMP\009.PART
* C:\PROGRAM FILES\EMULE\TEMP\011.PART
* C:\PROGRAM FILES\EMULE\TEMP\016.PART
* C:\PROGRAM FILES\EMULE\TEMP\018.PART
* C:\PROGRAM FILES\EMULE\TEMP\020.PART
* C:\Program Files\eMule\Temp\021.part\McAfee Internet Security Suite-2008-Esp\es\Acroread\AcroRead.exe\\Data1.cab
* C:\Program Files\eMule\Temp\021.part\McAfee Internet Security Suite-2008-Esp\es\Acroread\AcroRead.exe\\Data1.cab
* C:\Program Files\eMule\Temp\021.part\McAfee Internet Security Suite-2008-Esp\es\Acroread\AcroRead.exe\\instmsiw.exe
* C:\Program Files\eMule\Temp\021.part\McAfee Internet Security Suite-2008-Esp\es\Acroread\AcroRead.exe\\Rdr70.itw
* C:\Program Files\eMule\Temp\021.part\McAfee Internet Security Suite-2008-Esp\es\Acroread\AcroRead.exe\\setup.exe
* C:\Program Files\eMule\Temp\021.part\McAfee Internet Security Suite-2008-Esp\es\Acroread\AcroRead.exe\\Setup.ini
* C:\Program Files\eMule\Temp\023.part\McAfee Total Protection 2008\Acroread\AcroRead.exe\\Data1.cab
* C:\Program Files\eMule\Temp\023.part\McAfee Total Protection 2008\Acroread\AcroRead.exe\\instmsiw.exe
* C:\Program Files\eMule\Temp\023.part\McAfee Total Protection 2008\Acroread\AcroRead.exe\\Rdr70.itw
* C:\Program Files\eMule\Temp\023.part\McAfee Total Protection 2008\Acroread\AcroRead.exe\\setup.exe
* C:\Program Files\eMule\Temp\023.part\McAfee Total Protection 2008\Acroread\AcroRead.exe\\Setup.ini
* C:\PROGRAM FILES\EMULE\TEMP\024.PART
* C:\PROGRAM FILES\EMULE\TEMP\037.PART
* C:\PROGRAM FILES\EMULE\TEMP\038.PART
* C:\PROGRAM FILES\EMULE\TEMP\043.PART
* C:\PROGRAM FILES\EMULE\TEMP\044.PART
* C:\PROGRAM FILES\EMULE\TEMP\047.PART
* C:\DOCUMENTS AND SETTINGS\NETWORKSERVICE\NTUSER.DAT
* C:\DOCUMENTS AND SETTINGS\NETWORKSERVICE\NTUSER.DAT.LOG
* C:\DOCUMENTS AND SETTINGS\NETWORKSERVICE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\USRCLASS.DAT
* C:\DOCUMENTS AND SETTINGS\NETWORKSERVICE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\USRCLASS.DAT.LOG
* C:\DOCUMENTS AND SETTINGS\LOCALSERVICE\NTUSER.DAT
* C:\DOCUMENTS AND SETTINGS\LOCALSERVICE\NTUSER.DAT.LOG
* C:\DOCUMENTS AND SETTINGS\LOCALSERVICE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\USRCLASS.DAT
* C:\DOCUMENTS AND SETTINGS\LOCALSERVICE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\USRCLASS.DAT.LOG
* C:\DOCUMENTS AND SETTINGS\BENS\NTUSER.DAT
* C:\DOCUMENTS AND SETTINGS\BENS\NTUSER.DAT.LOG
* C:\DOCUMENTS AND SETTINGS\BENS\LOCAL SETTINGS\TEMP\~DF2E31.TMP
* C:\DOCUMENTS AND SETTINGS\BENS\LOCAL SETTINGS\TEMP\~DF4C64.TMP
* C:\DOCUMENTS AND SETTINGS\BENS\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\USRCLASS.DAT
* C:\DOCUMENTS AND SETTINGS\BENS\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\USRCLASS.DAT.LOG
* C:\DOCUMENTS AND SETTINGS\BENS\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\WU8LZXZA.DEFAULT\PARENT.LOCK
Options
Scanning engines:
* F-Secure USS: 2.30.0
* F-Secure Hydra: 2.8.8110, 2008-04-18
* F-Secure AVP: 7.0.171, 2008-04-18
* F-Secure Pegasus: 1.20.0, 2008-02-28
* F-Secure Blacklight: 1.0.64
Scanning options:
* Scan all files
* Scan inside archives
* Use Advanced heuristics
apres un redémarrage je constate que les processus son toujours présent ! je suis entrain d effectuer un 2em scan j' attend le résultat .....
pourrait tu approfondir quand tu dit "il se peut qu'il y est des clefs qui ne donne a rien et que les processus soit actif a cause de sa" stp ??
tu parle de clef de regsitre ?
merci a toi !
deuxième scan effectuer et il ne trouve rien ... toujours mes processus suspect qui tourne sa commence a devenir inquiétant !
en attendant une réponse je vais désactiver la restauration système, démarrer en mode sans échec et lancer avast ,a2 free, adaware , spyboot SmitfraudFix, atf cleaner, SDFix ! et un coup de ccleaner et regseker !
si après sa c'est toujours pareil je ne serais quoi entreprendre d'autre qu'un formatage alors aidez moi svp car j'ai formater mon pc ya une semaine ..............;-( !
merci beaucoup
en attendant une réponse je vais désactiver la restauration système, démarrer en mode sans échec et lancer avast ,a2 free, adaware , spyboot SmitfraudFix, atf cleaner, SDFix ! et un coup de ccleaner et regseker !
si après sa c'est toujours pareil je ne serais quoi entreprendre d'autre qu'un formatage alors aidez moi svp car j'ai formater mon pc ya une semaine ..............;-( !
merci beaucoup
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
bon aparement je parle seul ! lol pas grave si ça peut aider les prochains qui aurons ce problème ...
apres avoir passer l'apres midi a chercher !
j'ai trouver une mini piste ! je voie dans le registre qu'il y a deux clef issas.exe une clef AVSERVE.EXE et une nomé system4 ! dans :
KHEY_USER/ s-1-5-21-1123561945-2049760794-682003330-1003/software/Microsoft/sherch Assistant/ACMru/5603
voici une capture d'écran :
http://www.web-images.org/cgi-sys/suspendedpage.cgi
mon amie google me dit que AVSERVE.EXE est lier aux virus sasser ! je suit la procédure de désinfection trouver sur le net a savoir l'outille f sasser et sassgui en mode sans echec et avec la restauration system desacftivée et les clef son toujour la aux reboot ! et toujours c'est processus qui accède aux net !
franchement la je suis a bou de mes ressources !
ya t 'il quelqu'un pour m'aider svp ? beaucoup de donner impotente a protéger sur ce dd ......
apres avoir passer l'apres midi a chercher !
j'ai trouver une mini piste ! je voie dans le registre qu'il y a deux clef issas.exe une clef AVSERVE.EXE et une nomé system4 ! dans :
KHEY_USER/ s-1-5-21-1123561945-2049760794-682003330-1003/software/Microsoft/sherch Assistant/ACMru/5603
voici une capture d'écran :
http://www.web-images.org/cgi-sys/suspendedpage.cgi
mon amie google me dit que AVSERVE.EXE est lier aux virus sasser ! je suit la procédure de désinfection trouver sur le net a savoir l'outille f sasser et sassgui en mode sans echec et avec la restauration system desacftivée et les clef son toujour la aux reboot ! et toujours c'est processus qui accède aux net !
franchement la je suis a bou de mes ressources !
ya t 'il quelqu'un pour m'aider svp ? beaucoup de donner impotente a protéger sur ce dd ......
