[Résolu] C:\WINDOWS\System\svchost.exe

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

[Résolu] C:\WINDOWS\System\svchost.exe

Messagepar naima » 13 Fév 2009 15:12

Bonjour,

Après avoir effectué une analyse hijack, le résultat a montré un élément éventuellement méchant "C:\WINDOWS\System\svchost.exe" car cette tâche ne se trouve pas dans le répertoire System32 !
Je ne sais pas ce que c'est au juste??? :o
A chaque démarrage du pc, j'ai le lecteur c qui apparait automatiquement comment empêcher cela?
De plus, je crois que mon pc est attaqué par un logiciel espion :x :x ., ou bien quelqu'un s'amuse à me faire peur!!! :crazy:

Je vous envois l'analyse hijack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:09:40, on 13/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\COMODO\Firewall\cmdagent.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\PDF Complete\pdfsty.exe
C:\WINDOWS\system32\DHTray.exe
C:\Program Files\COMODO\Firewall\cfp.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe
C:\WINDOWS\System\svchost.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\naima\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\PDF Complete\pdfsvc.exe
C:\Program Files\Secunia\PSI\psi.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.msn.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [PDF Complete] "C:\Program Files\PDF Complete\pdfsty.exe"
O4 - HKLM\..\Run: [SetRefresh] C:\Program Files\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [DHTray] C:\WINDOWS\system32\DHTray.exe
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System\svchost.exe
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System\dumprep.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\naima\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: Secunia PSI.lnk = C:\Program Files\Secunia\PSI\psi.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Secunia PSI.lnk = C:\Program Files\Secunia\PSI\psi.exe (User 'Default user')
O4 - Startup: Secunia PSI.lnk = C:\Program Files\Secunia\PSI\psi.exe
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan ... stubie.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resour ... se5036.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\Firewall\cmdagent.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Program Files\PDF Complete\pdfsvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 9035 bytes
merci.
Dernière édition par naima le 27 Mar 2009 18:39, édité 3 fois.
Naima only
Avatar de l’utilisateur
naima
Libellulien Junior
Libellulien Junior
 
Messages: 111
Inscription: 04 Oct 2008 13:11

Re: C:\WINDOWS\System\svchost.exe

Messagepar Falkra » 13 Fév 2009 16:46

Bonsoir, la machine est en effet infectée (et a déjà été désinfectée).

Télécharge Malwarebytes' Anti-Malware (MBAM)

  • Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen rapide"
  • Clique sur "Rechercher"
  • L'analyse démarre, le scan est relativement long, c'est normal.
  • A la fin de l'analyse, un message s'affiche :
    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

    Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

NB : Si MBAM te demande à redémarrer, fais-le.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: C:\WINDOWS\System\svchost.exe

Messagepar naima » 14 Fév 2009 14:51

Bonjour Falkra

j'ai effectué l'analyse hier mais par souci de connexion, c'est aujourd'hui que je t'envoies le résultat qui suit:


Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1705
Windows 5.1.2600 Service Pack 3

13/02/2009 19:27:59
mbam-log-2009-02-13 (19-27-59).txt

Type de recherche: Examen rapide
Eléments examinés: 55862
Temps écoulé: 10 minute(s), 12 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
C:\WINDOWS\system\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18ea9-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00a6faf1-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system\svchost.exe (Backdoor.Bot) -> Delete on reboot.

Merci pour ta prise en charge :supers:
ps: la mise à jour est faite, tout est clean.
a+
Naima only
Avatar de l’utilisateur
naima
Libellulien Junior
Libellulien Junior
 
Messages: 111
Inscription: 04 Oct 2008 13:11

Re: C:\WINDOWS\System\svchost.exe

Messagepar Falkra » 14 Fév 2009 15:51

Re.

Merci pour ta prise en charge :supers:
ps: la mise à jour est faite, tout est clean.
a+


Cet extrait donne à penser que c'est terminé, mais en fait pas du tout !
Tu as eu ta machine désinfectée plusieurs fois ici, parce que précisément tu penses qu'une fois le partie visible de l'infection éliminée, il n'y a plus rien à faire.
Pas du tout, il faut réellement sécuriser ta machine, et faire attention à ta façon de surfer, sinon tu vas réinfeter très régulièrement ta machine, comme actuellement.

Poste un nouveau rapport HijackThis stp.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: C:\WINDOWS\System\svchost.exe

Messagepar naima » 14 Fév 2009 15:58

Re

OK, voilà le rapport:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:57:09, on 14/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\PDF Complete\pdfsty.exe
C:\WINDOWS\system32\DHTray.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Secunia\PSI\psi.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\COMODO\Firewall\cmdagent.exe
C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\PDF Complete\pdfsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Documents and Settings\naima\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\System32\TuneUpDefragService.exe
C:\Program Files\PDF Complete\pdfvista.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.msn.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [PDF Complete] "C:\Program Files\PDF Complete\pdfsty.exe"
O4 - HKLM\..\Run: [SetRefresh] C:\Program Files\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [DHTray] C:\WINDOWS\system32\DHTray.exe
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISUSPM] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: Secunia PSI.lnk = C:\Program Files\Secunia\PSI\psi.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Secunia PSI.lnk = C:\Program Files\Secunia\PSI\psi.exe (User 'Default user')
O4 - Startup: Secunia PSI.lnk = C:\Program Files\Secunia\PSI\psi.exe
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan ... stubie.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resour ... se5036.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\Firewall\cmdagent.exe
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Program Files\PDF Complete\pdfsvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 8913 bytes


un souci? :idea:
Pourtant j'essaye d'éviter les sites dangereux grâce a WOT, j'ai le nécessaire grâce au topic "sécuriser Firefox", un pare-feu/ antivirus/MBAM, Que dois-je faire pour éviter ces infections stp?
Naima only
Avatar de l’utilisateur
naima
Libellulien Junior
Libellulien Junior
 
Messages: 111
Inscription: 04 Oct 2008 13:11

Re: C:\WINDOWS\System\svchost.exe

Messagepar Falkra » 14 Fév 2009 16:09

Là ton rapport est clean.

Pourtant j'essaye d'éviter les sites dangereux grâce a WOT, j'ai le nécessaire grâce au topic "sécuriser Firefox", un pare-feu/ antivirus/MBAM, Que dois-je faire pour éviter ces infections stp?


Ta bestiole, c'est ça :
http://www.sophos.com/security/analyses ... ressb.html

Ca se propage par des clés USB et autres supports amovibles.

Il y a ici des explications sur comment ça se propage, et des méthodes pour désinfecter et protéger surtout des clés USB, avec une sorte de vaccin :
http://forum.zebulon.fr/index.php?autoc ... wentry=540

Après, il n'y a pas que les sites dangereux, il y a de faux programmes, tout ce qu'on télécharge soi-même, ce qu'on reçoit par mail, etc... ;)
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: C:\WINDOWS\System\svchost.exe

Messagepar naima » 14 Fév 2009 16:23

merci pour le tuyau Falkra.
a bientôt (enfin...j'espère pas :king: )
Naima only
Avatar de l’utilisateur
naima
Libellulien Junior
Libellulien Junior
 
Messages: 111
Inscription: 04 Oct 2008 13:11

Re: [Résolu] C:\WINDOWS\System\svchost.exe

Messagepar Falkra » 14 Fév 2009 16:25

Mais c'est fou ça, là pareil tu marques résolu. :ptdr:

Tu as vérifié tes supports amovibles ?
Tu les as sécurisés ? Tu as eu le temps ?
Je n'en suis pas certain...

Après, tu réinfectes x machines avec une clé pourrie, si ça se trouve...

MBAM scanne les clés amovibles, à vérifier avec aussi.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: [Résolu] C:\WINDOWS\System\svchost.exe

Messagepar naima » 14 Fév 2009 16:42

Ok ne t'énerve pas stp :cry: , moi je ne suis qu'une novice dans tout ça. :roll: :roll:
Que ce que je dois faire? Rescanner mes lecteurs?
Naima only
Avatar de l’utilisateur
naima
Libellulien Junior
Libellulien Junior
 
Messages: 111
Inscription: 04 Oct 2008 13:11

Re: [Résolu] C:\WINDOWS\System\svchost.exe

Messagepar Falkra » 14 Fév 2009 16:48

Je ne suis pas énervé (lol il en faut plus), mon seul souci est que ta machine soit ok, et que tu sois moins embêtée par la suite, côté infections. :wink:

Le premier truc à faire, c'est de lire l'article de Gof sur les infections par supports amovibles, ça explique aussi comment se propage ce type d'infections :
comprendre, c'est déjà presque agir. :-D
Après, il faudra brancher tes clés USB, et autres disques durs externes, sur la machine, sans forcément aller dans les fichiers, et faire un scan avec MBAM, après l'avoir mis à jour. S'il détecte des éléments, fais supprimer, comme précédemment, et poste le rapport. S'il ne trouve rien, ne t'embête pas à poster le rapport.

Prends ton temps, le plus gros est fait, si tu trouves ça un peu long (c'est compréhensible), fais en plusieurs fois si besoin.

@ toute :-D
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: C:\WINDOWS\System\svchost.exe

Messagepar naima » 14 Fév 2009 17:09

C clean.
merciiiiiiiiiiiii & dsl pour le dérangement.lol
c'est vraiment résolu maintenant? :crazy:
Naima only
Avatar de l’utilisateur
naima
Libellulien Junior
Libellulien Junior
 
Messages: 111
Inscription: 04 Oct 2008 13:11

Re: C:\WINDOWS\System\svchost.exe

Messagepar Falkra » 14 Fév 2009 17:12

Impec, pour la clé USB.
Tu peux la vacciner avec le programme fourni par Gof dans l'article.

Voici un peu de lecture (encore, he oui), une compilation de conseils pour éviter une réinfection et sécuriser la machine.

Plus d'infos dans la FAQ sécurité du site.

N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection.

Tu peux garder MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer la machine.
Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande.
Scanne une fois par semaine (recherche rapide), ou en cas de "truc bizarre" genre infection.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: C:\WINDOWS\System\svchost.exe

Messagepar naima » 14 Fév 2009 17:21

Flakra le lien donné pour flash disinfector n'est pas valide.
En aurais-tu un qui me permettrais de le télécharger stp?
Naima only
Avatar de l’utilisateur
naima
Libellulien Junior
Libellulien Junior
 
Messages: 111
Inscription: 04 Oct 2008 13:11

Re: C:\WINDOWS\System\svchost.exe

Messagepar Falkra » 14 Fév 2009 17:26

Flash Disinfector n'est plus nécessaire, d'autant que ta clé n'est pas infectée, tu peux passer à l'étape suivante de vaccination/protection. :-D
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: C:\WINDOWS\System\svchost.exe

Messagepar naima » 15 Fév 2009 16:45

vraiment dsl Falkra pour ma réponse tardive.
Je suivrai à la lettre toutes les étapes.
merci et passe une bonne fin de journée. :-D
Naima only
Avatar de l’utilisateur
naima
Libellulien Junior
Libellulien Junior
 
Messages: 111
Inscription: 04 Oct 2008 13:11

Re: C:\WINDOWS\System\svchost.exe

Messagepar Falkra » 15 Fév 2009 16:49

vraiment dsl Falkra pour ma réponse tardive.
Pas de problème, on a tous une vie à côté, et c'est normal de prendre son temps, dans ces cas là, où l'infectin est déjà terminée.
Lis à ton rythme, et n'hésite pas à poser des questions.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: C:\WINDOWS\System\svchost.exe

Messagepar naima » 15 Fév 2009 16:53

c'est vraiment sympa de ta part.
a plus tard
Naima only
Avatar de l’utilisateur
naima
Libellulien Junior
Libellulien Junior
 
Messages: 111
Inscription: 04 Oct 2008 13:11

Re: [Résolu] C:\WINDOWS\System\svchost.exe

Messagepar Alek666 » 02 Juin 2013 18:38

Bonjour, j'ai effectué toutes les opérations précédements citées, voici mon rapport:

Malwarebytes Anti-Malware (Essai) 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.06.01.05

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 10.0.9200.16576
Alex :: ALEX-PC [administrateur]

Protection: Activé

01/06/2013 19:04:46
mbam-log-2013-06-01 (19-04-46).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 209195
Temps écoulé: 6 minute(s), 31 seconde(s)

Processus mémoire détecté(s): 1
C:\Program Files\Boxore\BoxoreClient\boxore.exe (Adware.Boxore) -> 3520 -> Suppression au redémarrage.

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 10
HKLM\SYSTEM\CurrentControlSet\Services\supdate (Adware.Boxore) -> Mis en quarantaine et supprimé avec succès.
HKCR\CLSID\{67BD9EEB-AA06-4329-A940-D250019300C9} (PUP.Software.Updater) -> Mis en quarantaine et supprimé avec succès.
HKCR\TypeLib\{A0EE0278-2986-4E5A-884E-A3BF0357E476} (PUP.Software.Updater) -> Mis en quarantaine et supprimé avec succès.
HKCR\Interface\{9EDC0C90-2B5B-4512-953E-35767BAD5C67} (PUP.Software.Updater) -> Mis en quarantaine et supprimé avec succès.
HKCR\Updater.AmiUpd.1 (PUP.Software.Updater) -> Mis en quarantaine et supprimé avec succès.
HKCR\Updater.AmiUpd (PUP.Software.Updater) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Boxore (Adware.Boxore) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{99C91FC5-DB5B-4AA0-BB70-5D89C5A4DF96} (PUP.Software.Updater) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\{006E6A46-8D55-4F10-BBA8-2C9653B4278B} (Adware.Boxore) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\SOFTWARE\UPDATE\CLIENTS\{5B54E9B6-D6C4-11E0-8E9D-92FB4824019B} (Adware.Boxore) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 3
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Boxore Client (Adware.Boxore) -> Données: C:\Program Files\Boxore\BoxoreClient\boxore.exe -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{006E6A46-8D55-4F10-BBA8-2C9653B4278B}|Publisher (Adware.Boxore) -> Données: Boxore OU. -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Software\Update\Clients\{5B54E9B6-D6C4-11E0-8E9D-92FB4824019B}|name (Adware.Boxore) -> Données: BoxoreClient -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 1
C:\Program Files\Boxore\BoxoreClient (Adware.Boxore) -> Suppression au redémarrage.

Fichier(s) détecté(s): 12
C:\Program Files\Boxore\BoxoreClient\boxore.exe (Adware.Boxore) -> Suppression au redémarrage.
C:\Program Files\Software\Update\SoftwareUpdate.exe (Adware.Boxore) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3276801223-3029584148-3284922004-1000\$R802432C0 (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3276801223-3029584148-3284922004-1000\$RBF8RJ9.zip (PUP.RiskwareTool.CK) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Alex\AppData\Local\Temp\is1988980107\BoxoreInstaller.exe (Adware.Boxore) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\Installer\a358c.msi (Adware.Boxore) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Boxore\BoxoreClient\rules.dat (Adware.Boxore) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Boxore\BoxoreClient\COPYING (Adware.Boxore) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Boxore\BoxoreClient\index.dat (Adware.Boxore) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Boxore\BoxoreClient\LICENSE.txt (Adware.Boxore) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Boxore\BoxoreClient\PRIVACY.txt (Adware.Boxore) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\Boxore\BoxoreClient\README.txt (Adware.Boxore) -> Mis en quarantaine et supprimé avec succès.

(fin)

Cela dit le probleme n'est toujours pas reglé, je reste infécté, quelqu'un peut il m'aider ?
Cdt
Alek666
 
Messages: 2
Inscription: 02 Juin 2013 18:32

Re: [Résolu] C:\WINDOWS\System\svchost.exe

Messagepar Dell » 02 Juin 2013 20:11

Bonjour Alek666


:arrow: :arrow: Ne pas déterrer, merci

Attention à la date du post auquel vous répondez
Je te conseil d'ouvrir un nouveau sujet
Image
Windows 10/ 64 Bits, FireFox, F-Secure,
Internet InOne M , SwisscomTv InOne M, Téléphonie IP InOne M, Mobile InOne S
Avatar de l’utilisateur
Dell
Modérateur
Modérateur
 
Messages: 9469
Inscription: 16 Oct 2002 16:57
Localisation: Aigle (Suisse)

Re: [Résolu] C:\WINDOWS\System\svchost.exe

Messagepar Falkra » 02 Juin 2013 20:23

Oui, créé ton propre sujet stp et lis les procédure indiquées dans la partie en rouge en haut de page. ;)
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1


Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 1 invité