PC infecté Svchost.exe system32\WinDir [Fermé]

Signaler
Messages postés
267
Date d'inscription
mardi 20 janvier 2009
Statut
Membre
Dernière intervention
27 mars 2020
-
Destrio5
Messages postés
87154
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
-
Bonjour,

J'ai un problème, Avast! m'annonce en permanence qu'un cheval de troie a été bloqué, et vu que c'est Svchost.exe et que ce processus est toujours actif bah j'ai toujours une alerte donc j'ai mis avast! en silencieux mais je suis toujours infecté.

Ce processus étant impératif, j'aimerais savoir comment je peux supprimer le Trojan ?

Merci

37 réponses

Messages postés
5602
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
11 novembre 2019
672
Bonjour,

Je peux t'aider à résoudre ton problème si tu le souhaites.

Quelques précisions :
- N'ouvre pas d'autre sujet sur ce forum ou sur un autre sur la même affaire.
- La désinfection ne sera terminée que lorsque je te le dirai même s'il te semble que ta machine est "clean" sinon il te faudra sûrement tout recommencer.
- Tu auras des rapports à me transmettre par l'intermédiaire d'un dépôt de fichier, note la procédure à suivre, je ne te la rappellerai pas ultérieurement et ne colle pas tes rapports directement dans ta réponse par copier/coller (sauf s'ils sont très courts!)
Dépôt de fichiers :
- Pour me transmettre les rapports que tu obtiendras à la suite du passage d'outils tu cliqueras sur un de ces liens :
cijoint ou pjoint
- Tu cliqueras ensuite sur Parcourir et chercheras le fichier du rapport, je t'indiquerai ou il est.
- Tu cliqueras sur Ouvrir puis sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme: https://www.cjoint.com/index.php?file=cjge368/cijSKAP5fU.txt
sera ajouté dans la page.
- C'est ce lien que tu auras à me transmettre et uniquement cela.


Commence par utiliser ce logiciel de diagnostic :
Celui-ci est plus complet que Hijackthis.

- Télécharge ZHPDiag (de Nicolas Coolman)
- Lance le (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
- Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau)
- Il se lancera automatiquement à la fin de l'installation
- Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
- Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
- Rends toi sur ce site, clique sur "Parcourir", sélectionne le rapport de ZHPDiag et clique sur Envoyer le fichier. Patiente pendant l'envoi du fichier, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

A+
Messages postés
267
Date d'inscription
mardi 20 janvier 2009
Statut
Membre
Dernière intervention
27 mars 2020
3
Bonjour,

Je n'ai aucune icône représentant une loupe sur le programme que vous m'avez demandé de télécharger, du coup je bloque.
Destrio5
Messages postés
87154
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
9 368
Bonjour,

Tu as dû lancer ZHPFix à la place de ZHPDiag.
Messages postés
267
Date d'inscription
mardi 20 janvier 2009
Statut
Membre
Dernière intervention
27 mars 2020
3
Ah oui effectivement merci, ZHPDiag était caché derrière Météo Fusion, un programme qui passe prioritaire sur l'interface windows par rapport aux icônes.
Messages postés
267
Date d'inscription
mardi 20 janvier 2009
Statut
Membre
Dernière intervention
27 mars 2020
3
Messages postés
87154
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
9 368
En attendant le retour de cabrier,

Tu te sers de Hotspot Shield ?

Si non, désinstalle-le.

--> Désinstalle Spybot qui ne sert pas à grand chose.

--> Télécharge et lance AdwCleaner, choisis l'option "Suppression" et poste le rapport :
https://toolslib.net
Messages postés
267
Date d'inscription
mardi 20 janvier 2009
Statut
Membre
Dernière intervention
27 mars 2020
3
Oui je me sers de Hotspot Shield c'est le seul VPN dont je dispose. J'ai désinstallé Spybot et voici le rapport AdwC :

# AdwCleaner v1.604 - Rapport créé le 28/04/2012 à 20:09:00
# Mis à jour le 23/04/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : sifeddine - PERCTANCE
# Exécuté depuis : C:\Documents and Settings\sifeddine\Mes documents\Téléchargements\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Documents and Settings\sifeddine\Application Data\cacaoweb
Dossier Supprimé : C:\Documents and Settings\sifeddine\Application Data\GetRightToGo
Dossier Supprimé : C:\Documents and Settings\sifeddine\Application Data\OpenCandy
Dossier Supprimé : C:\Documents and Settings\sifeddine\Application Data\Mozilla\Firefox\Profiles\w5iawvbu.default\extensions\cacaoweb@cacaoweb.org
Dossier Supprimé : C:\Program Files\cacaoweb
Dossier Supprimé : C:\Program Files\Mozilla Firefox\Extensions\quickstores@quickstores.de
Dossier Supprimé : C:\WINDOWS\assembly\GAC_MSIL\QuickStoresToolbar
Fichier Supprimé : C:\Documents and Settings\sifeddine\Application Data\Microsoft\Internet Explorer\Quick Launch\QuickStores.url
Fichier Supprimé : C:\Documents and Settings\sifeddine\Menu Démarrer\QuickStores.url
Fichier Supprimé : C:\Documents and Settings\sifeddine\Application Data\Mozilla\Firefox\Profiles\w5iawvbu.default\searchplugins\Askcom.xml
Fichier Supprimé : C:\Documents and Settings\sifeddine\Application Data\Mozilla\Firefox\Profiles\w5iawvbu.default\searchplugins\Startsear.xml
Fichier Supprimé : C:\Program Files\Mozilla Firefox\Plugins\npvsharetvplg.dll

***** [Registre] *****

Clé Supprimée : HKCU\Software\cacaoweb
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKCU\Software\StartSearch
Clé Supprimée : HKLM\SOFTWARE\Boxore
Clé Supprimée : HKLM\SOFTWARE\Software
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43

***** [Registre - GUID] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A1B48071-416D-474E-A13B-BE5456E7FC31}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{79D60450-56C5-4A8C-9321-6D5BC2A81E5A}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{99C22A61-21BA-4F81-85FF-CDC9EB5DB10B}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40B7-AC73-056A5EBA4A7E}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A1B48071-416D-474E-A13B-BE5456E7FC31}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v12.0 (fr)

Nom du profil : default
Fichier : C:\Documents and Settings\sifeddine\Application Data\Mozilla\Firefox\Profiles\w5iawvbu.default\prefs.js

C:\Documents and Settings\sifeddine\Application Data\Mozilla\Firefox\Profiles\w5iawvbu.default\user.js ... Supprimé !

Supprimée : user_pref("browser.search.order.1", "Ask.com");
Supprimée : user_pref("keyword.URL", "hxxp://startsear.ch/?aff=1&src=sp&cf=5f073236-1935-11e1-82d2-0008d380d6b2&[...]
Supprimée : user_pref("quickstores.toolbar.affid", "2017");
Supprimée : user_pref("quickstores.toolbar.guid", "{9DD9791E-D2AD-BA27-2365-3C644186BB3B}");

*************************

AdwCleaner[R1].txt - [4139 octets] - [28/04/2012 20:08:07]
AdwCleaner[S1].txt - [4228 octets] - [28/04/2012 20:09:00]

########## EOF - C:\AdwCleaner[S1].txt - [4356 octets] ##########
Messages postés
87154
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
9 368
--> Relance AdwCleaner et choisis "Désinstallation".

Où est situé le fichier svchost.exe détecté par Avast ?
Messages postés
267
Date d'inscription
mardi 20 janvier 2009
Statut
Membre
Dernière intervention
27 mars 2020
3
Je sais plus du tout, dans systeme32 il me semble, mais c'est fort possible que je dise n'importe quoi... parce que j'ai plus les alertes mais je sais que je suis encore infecté.
Messages postés
87154
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
9 368
J'y vais, à demain.

Ouvre Avast et regarde dans la partie Protection résidente ou encore Maintenance > Zone de quarantaine, tu trouveras peut-être des infos.

Mets à jour Malwarebytes Anti-Malware et fais un examen rapide.

Poste un nouveau rapport ZHPDiag.
Messages postés
267
Date d'inscription
mardi 20 janvier 2009
Statut
Membre
Dernière intervention
27 mars 2020
3
Oui alors ça se trouve dans system32\WinDir

Je vais faire ce que tu m'as demandé, merci de ton aide.
Voici le lien :
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120429_v7x1513z14d15
Bye à demain
Messages postés
87154
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
9 368
Malwarebytes Anti-Malware a trouvé des infections ?

Si oui, poste-moi le rapport.
Messages postés
267
Date d'inscription
mardi 20 janvier 2009
Statut
Membre
Dernière intervention
27 mars 2020
3
Non aucune, même en examen complet.

On m'a dit qu'on pouvait se désinfecter via Regedit mais je sais pas où chercher, et je sais pas si c'est vrai surtout...
Messages postés
87154
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
9 368
--> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").


SysRestore
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} Clé orpheline
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe
O42 - Logiciel: vShare.tv plugin 1.3 - (.vShare.tv, Inc..) [HKLM] -- vShare.tv plugin
[HKCU\Software\vShare.tv]
O43 - CFD: 13/04/2012 - 00:29:22 - [0] ----D C:\Program Files\Software
O43 - CFD: 28/04/2012 - 20:07:00 - [1,651] ----D C:\Program Files\Spybot - Search & Destroy
O43 - CFD: 27/11/2011 - 22:21:43 - [0,396] ----D C:\Program Files\vShare.tv plugin
O43 - CFD: 13/04/2012 - 00:29:21 - [0] ----D C:\Documents and Settings\sifeddine\Local Settings\Application Data\Software
O47 - AAKE:Key Export SP - "C:\Program Files\cacaoweb\cacaoweb.exe" [Enabled] .(...) -- C:\Program Files\cacaoweb\cacaoweb.exe (.not file.)
O47 - AAKE:Key Export SP - "C:\Documents and Settings\sifeddine\Mes documents\Téléchargements\cyberghost_vpn_keygen_rar_downloader_352b.exe" [Enabled] .(...) -- C:\Documents and Settings\sifeddine\Mes documents\Téléchargements\cyberghost_vpn_keygen_rar_d
O47 - AAKE:Key Export SP - "C:\Documents and Settings\sifeddine\Bureau\spynet\Desktop\SpyNet.exe" [Enabled] .(...) -- C:\Documents and Settings\sifeddine\Bureau\spynet\Desktop\SpyNet.exe (.not file.)
O47 - AAKE:Key Export SP - "C:\Documents and Settings\sifeddine\Bureau\spynet\SpyNet.exe" [Enabled] .(...) -- C:\Documents and Settings\sifeddine\Bureau\spynet\SpyNet.exe (.not file.)
O53 - SMSR:HKLM\...\startupreg\cacaoweb [Key] . (...) -- C:\Program Files\cacaoweb\cacaoweb.exe (.not file.)
[HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\cacaoweb]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\vShare.tv plugin]
[HKCU\Software\vShare.tv]
C:\Windows\system32\WinDir\Svchost.exe
EmptyFlash
EmptyTemp



--> Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.
(Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPFix et choisir Exécuter en tant qu'administrateur)

--> Une fois ZHPFix ouvert, clique sur le bouton "H" (Coller les lignes Helper).

--> Dans l'encadré principal, tu verras donc les lignes que tu as copié précédemment apparaître. Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

--> Clique sur "GO" pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.

--> Une fois terminé, copie-colle le rapport dans ton prochain message.
Messages postés
267
Date d'inscription
mardi 20 janvier 2009
Statut
Membre
Dernière intervention
27 mars 2020
3
Voilà le rapport :

Rapport de ZHPFix 1.12.3372 par Nicolas Coolman, Update du 22/11/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-29-04-2012-17-48-55.txt
Run by sifeddine at 29/04/2012 17:48:55
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Logiciel(s) ==========
ABSENT Uninstall Process: c:\program files\vshare.tv plugin\uninst.exe

========== Clé(s) du Registre ==========
SUPPRIME [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\vShare.tv plugin]
SUPPRIME Key: CLSID BHO: {5C255C8A-E604-49b4-9D64-90988571CECB}
SUPPRIME Key: HKCU\Software\vShare.tv
SUPPRIME Key: StartupReg: cacaoweb
ABSENT Key: HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\cacaoweb
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\vShare.tv plugin

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: QuickTime Task
SUPPRIME AAKE KeyValue: C:\Program Files\cacaoweb\cacaoweb.exe
SUPPRIME AAKE KeyValue: C:\Documents and Settings\sifeddine\Mes documents\Téléchargements\cyberghost_vpn_keygen_rar_downloader_352b.exe
SUPPRIME AAKE KeyValue: C:\Documents and Settings\sifeddine\Bureau\spynet\Desktop\SpyNet.exe
SUPPRIME AAKE KeyValue: C:\Documents and Settings\sifeddine\Bureau\spynet\SpyNet.exe

========== Dossier(s) ==========
SUPPRIME Folder: C:\Program Files\Software
SUPPRIME Folder: C:\Program Files\Spybot - Search & Destroy
ABSENT C:\Program Files\vShare.tv plugin
SUPPRIME Folder: C:\Documents and Settings\sifeddine\Local Settings\Application Data\Software
SUPPRIME Flash Cookies: 73
SUPPRIME Temporaires Windows: : 18

========== Fichier(s) ==========
ABSENT File: c:\program files\cacaoweb\cacaoweb.exe
ABSENT File: c:\documents and settings\sifeddine\mes documents\téléchargements\cyberghost_vpn_keygen_rar_d
ABSENT File: c:\documents and settings\sifeddine\bureau\spynet\desktop\spynet.exe
ABSENT File: c:\documents and settings\sifeddine\bureau\spynet\spynet.exe
ABSENT Folder/File: c:\windows\system32\windir\svchost.exe
SUPPRIME Flash Cookies: 43
SUPPRIME Temporaires Windows: : 22

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
6 : Clé(s) du Registre
5 : Valeur(s) du Registre
6 : Dossier(s)
7 : Fichier(s)
1 : Logiciel(s)
1 : Restauration Système


End of clean in 00mn 18s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 29/04/2012 17:48:55 [2440]
Messages postés
87154
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
9 368
--> Télécharge SEAF (de C_XX) sur ton Bureau.
--> Lance SEAF.
--> Dans le cadre, copie-colle ceci : svchost
--> Clique sur Lancer la recherche.
--> Un rapport va apparaître, poste-le.
Messages postés
267
Date d'inscription
mardi 20 janvier 2009
Statut
Membre
Dernière intervention
27 mars 2020
3
1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 18:05:57 le 29/04/2012
4.
5. Valeur(s) recherchée(s):
6. svchost
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10.
11. ====== Fichier(s) ======
12.
13.
14. "C:\Program Files\Malwarebytes' Anti-Malware\Chameleon\svchost.exe" [ ARCHIVE | 199 Ko ]
15. TC: 01/04/2012,17:31:05 | TM: 04/04/2012,15:56:38 | DA: 22/04/2012,03:39:41
16.
17.
18. =========================
19.
20.
21. "C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\SMSvcHost\4dcff3b0e79fc27e31549bb2af00efb5\SMSvcHost.ni.exe" [ ARCHIVE | 366 Ko ]
22. TC: 16/02/2012,23:07:55 | TM: 16/02/2012,23:07:55 | DA: 22/04/2012,04:17:01
23.
24.
25. =========================
26.
27.
28. "C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe" [ ARCHIVE | 132 Ko ]
29. TC: 29/07/2008,19:16:38 | TM: 29/07/2008,19:16:38 | DA: 29/04/2012,00:05:16
30.
31.
32. =========================
33.
34.
35. "C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe.config" [ ARCHIVE | 2 Ko ]
36. TC: 09/05/2008,16:49:48 | TM: 09/05/2008,16:49:48 | DA: 29/04/2012,00:10:43
37.
38.
39. =========================
40.
41.
42. "C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\_SMSvcHostPerfCounters.h" [ ARCHIVE | 702 o ]
43. TC: 29/07/2008,04:25:24 | TM: 29/07/2008,04:25:24 | DA: 29/04/2012,00:10:43
44.
45.
46. =========================
47.
48.
49. "C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\_SMSvcHostPerfCounters.ini" [ ARCHIVE | 132 Ko ]
50. TC: 09/05/2008,16:49:44 | TM: 09/05/2008,16:49:44 | DA: 29/04/2012,00:10:43
51.
52.
53. =========================
54.
55.
56. "C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\_SMSvcHostPerfCounters.reg" [ ARCHIVE | 4 Ko ]
57. TC: 29/07/2008,04:25:24 | TM: 29/07/2008,04:25:24 | DA: 29/04/2012,00:10:43
58.
59.
60. =========================
61.
62.
63. "C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\_SMSvcHostPerfCounters.vrg" [ ARCHIVE | 4 Ko ]
64. TC: 29/07/2008,04:25:24 | TM: 29/07/2008,04:25:24 | DA: 29/04/2012,00:10:43
65.
66.
67. =========================
68.
69.
70. "C:\WINDOWS\Prefetch\SVCHOST.EXE-3530F672.pf" [ NOT_CONTENT_INDEXED|ARCHIVE | 19 Ko ]
71. TC: 22/04/2012,22:06:22 | TM: 29/04/2012,13:04:22 | DA: 29/04/2012,13:04:22
72.
73.
74. =========================
75.
76.
77. "C:\WINDOWS\system32\dllcache\svchost.exe" [ COMPRESSED|ARCHIVE | 14 Ko ]
78. TC: 14/04/2008,14:00:00 | TM: 14/04/2008,14:00:00 | DA: 22/04/2012,04:07:12
79.
80.
81. =========================
82.
83.
84. "C:\WINDOWS\system32\svchost.exe" [ ARCHIVE | 14 Ko ]
85. TC: 14/04/2008,14:00:00 | TM: 14/04/2008,14:00:00 | DA: 29/04/2012,13:02:57
86.
87.
88. =========================
89.
90.
91. =========================
92.
93. Fin à: 18:07:16 le 29/04/2012
94. 77863 Éléments analysés
95.
96. =========================
97. E.O.F

[15:14:58] <Destrio5> Tu demanderais ........... ?

bien sur ^^
Messages postés
87154
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
9 368
Merci gen-hackman ^^

Pour cassoss :

--> Télécharge et lance UsbFix, choisis l'option "Recherche" et poste le rapport :
http://general-changelog-team.fr/fr/downloads/viewdownload/15-outils-de-el-desaparecido/19-usbfix
Messages postés
267
Date d'inscription
mardi 20 janvier 2009
Statut
Membre
Dernière intervention
27 mars 2020
3
############################## | UsbFix V 7.084 | [Recherche]

Utilisateur: sifeddine (Administrateur) # PERCTANCE
Mis à jour le 13/03/2012 par El Desaparecido
Lancé à 14:07:50 | 30/04/2012

Site Web: https://www.sosvirus.net/
Fichier suspect ? : http://eldesaparecido.com/upload.html
Contact: contact@eldesaparecido.com

PC: Acer (Aspire M1100) (X86-based PC) # Desktop Computer
CPU: AMD Athlon(tm) 64 X2 Dual Core Processor 4200+ (2194)
RAM -> [ Total : 2303 | Free : 1134 ]
BIOS: Phoenix - AwardBIOS v6.00PG
BOOT: Normal boot

OS: Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
WB: Windows Internet Explorer 8.0.6001.18702

SC: Security Center Service [ Enabled ]
WU: Windows Update Service [ Enabled ]
FW: Windows FireWall Service [ Enabled ]

C:\ (%systemdrive%) -> Disque fixe # 226 Go (152 Go libre(s) - 67%) [] # NTFS
H:\ -> CD-ROM

################## | Processus Actif |

C:\WINDOWS\System32\smss.exe (1520)
C:\WINDOWS\system32\winlogon.exe (2004)
C:\WINDOWS\system32\services.exe (120)
C:\WINDOWS\system32\lsass.exe (136)
C:\WINDOWS\system32\Ati2evxx.exe (332)
C:\WINDOWS\system32\svchost.exe (352)
C:\WINDOWS\System32\svchost.exe (452)
C:\Program Files\AVAST Software\Avast\AvastSvc.exe (820)
C:\WINDOWS\system32\Ati2evxx.exe (852)
C:\WINDOWS\system32\spoolsv.exe (952)
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe (616)
C:\Program Files\Bonjour\mDNSResponder.exe (1104)
C:\Program Files\Hotspot Shield\bin\openvpnas.exe (1664)
C:\WINDOWS\Explorer.EXE (1064)
C:\Program Files\Hotspot Shield\HssWPR\hsssrv.exe (1060)
C:\Program Files\Hotspot Shield\bin\hsswd.exe (2148)
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe (2276)
C:\WINDOWS\system32\svchost.exe (2588)
C:\Program Files\AVAST Software\Avast\avastUI.exe (3444)
C:\Program Files\Real\RealPlayer\update\realsched.exe (3644)
C:\Program Files\Adobe\Acrobat 10.0\Acrobat\Acrotray.exe (3744)
C:\Program Files\Unlocker\UnlockerAssistant.exe (3856)
C:\Program Files\AMT Media Manager\AMTDeviceService.exe (3924)
C:\Program Files\iTunes\iTunesHelper.exe (3944)
C:\WINDOWS\PixArt\PAC207\Monitor.exe (544)
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (880)
C:\WINDOWS\system32\ctfmon.exe (904)
C:\Program Files\iPod\bin\iPodService.exe (1476)
C:\Program Files\RocketDock\RocketDock.exe (1960)
C:\Program Files\Eggiz\Meteo Fusion\Meteo Fusion.exe (2116)
C:\Program Files\ManyCam\Bin\ManyCam.exe (2236)
C:\Program Files\Windows Live\Messenger\msnmsgr.exe (2244)
C:\Program Files\Skype\Phone\Skype.exe (2368)
C:\Program Files\Rainmeter\Rainmeter.exe (1500)
C:\Program Files\REALTEK RTL8185 Wireless LAN Driver and Utility\RtWLan.exe (2076)
C:\Program Files\Hercules\WiFiStationN\WiFiN.exe (344)
C:\Program Files\Hotspot Shield\bin\openvpntray.exe (3728)
C:\Documents and Settings\sifeddine\Application Data\Dropbox\bin\Dropbox.exe (3164)
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe (3860)
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe (1684)
C:\Program Files\Mozilla Firefox\firefox.exe (3220)
C:\Program Files\Mozilla Firefox\plugin-container.exe (1648)
C:\UsbFix\Go.exe (3676)

################## | Éléments infectieux |

Présent! C:\WINDOWS\system32\install
Présent! C:\WINDOWS\system32\WinDir

################## | Registre |


################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{f5b5572a-04a0-11e1-82a4-0008d380d6b2}
Shell\AutoRun\Command = I:\MediaManager.exe



################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |
Messages postés
87154
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
9 368
--> Relance UsbFix, choisis l'option "Suppression" et poste le rapport.

UsbFix a repéré le dossier où il y a le faux svchost.exe (ne pas confondre avec le svchost.exe de Windows qui se trouve à un autre emplacement) donc ton problème va être réglé avec l'option "Suppression" d'UsbFix.
1 2