besoin d aide Virus svchost.exe[UPX]

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Laure 42
newbie
newbie
Messages : 26
Inscription : 25 janv. 2010 20:49

besoin d aide Virus svchost.exe[UPX]

Message par Laure 42 » 25 janv. 2010 20:55

Bonjours j'aura vraiment besoin d'aide depuis quelque temps Avast! m envoi une alerte toute les 10 min environ concernant un fichier svchost.exe[UPX] situé dans WINDOWS/Temp et le sous doussier change a chaque alerte. Je ne suis pas du tout calée en informatique ... J espère que quelqu'un pourra m'aider Merci d avance !




Malekal_morte
Site Admin
Site Admin
Messages : 98100
Inscription : 10 sept. 2005 13:57
Contact :

Re: besoin d aide Virus svchost.exe[UPX]

Message par Malekal_morte » 25 janv. 2010 21:16

Bonjour,



Désactive les logiciels de protection (Antivirus, Antispywares) puis :

Télécharge Combofix sUBs : combofix.exe et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

Eventuellement, installe la console de récupération comme cela est conseillé

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

Tu as le tutorial sur ce lien pour t'aider : http://www.bleepingcomputer.com/combofi ... r-combofix

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.


puis :

Télécharge GMER à partir de ce lien : http://www.gmer.net/files.php - clic sur "Download EXE" et télécharge le fichier sur ton bureau.
Voir le tutorial GMER, ça peut peut-être t'aider : https://www.malekal.com/tutorial_GMER.php

Désactive tes logiciels de protection (antivirus, antispyware etc) et ferme tous les programmes ouverts.
Double-clic sur le fichier GMER téléchargé.
IMPORTANT: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
Clic sur l'onglet "rootkit"
Laisse tout coché.
Clic sur Scan
Lorsque le scan est terminé, clic sur "Copy"

Ouvre le bloc-note et clic sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle le contenu ici.

puis :
- Télécharge HiJackThis de Merijnsur ton bureau.
- Double-clic sur HijackThis
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Colle le rapport ici, pour cela :
- Menu Edition / Selectionner Tout
- Menu Edition / copier
- Ici dans un nouveau message : clic droit / coller
Aide : N'hésite pas à consulter l'aide HiJackThis -
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Laure 42
newbie
newbie
Messages : 26
Inscription : 25 janv. 2010 20:49

Re: besoin d aide Virus svchost.exe[UPX]

Message par Laure 42 » 26 janv. 2010 17:37

Bonjour, voici les 3 rapports

Combo Fix:

ComboFix 10-01-25.04 - hp 26/01/2010 7:25.4.2 - x86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3069.2072 [GMT 1:00]
Lancé depuis: c:\users\hp\Desktop\ComboFix.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-565813091-1899417564-1436109416-500

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-12-26 au 2010-01-26 ))))))))))))))))))))))))))))))))))))
.

2010-01-26 06:38 . 2010-01-26 06:38 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-01-26 06:38 . 2010-01-26 06:38 -------- d-----w- c:\users\Administrateur\AppData\Local\temp
2010-01-25 17:31 . 2010-01-25 17:38 -------- d-----w- c:\program files\TLK Games
2010-01-14 19:13 . 2010-01-17 14:37 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2010-01-14 19:13 . 2010-01-14 19:18 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-01-11 17:30 . 2010-01-11 17:30 653560 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2010-01-11 17:23 . 2010-01-25 17:53 -------- d-----w- c:\program files\Winsudate

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-26 06:29 . 2008-05-27 12:37 669566 ----a-w- c:\windows\system32\perfh00C.dat
2010-01-26 06:29 . 2008-05-27 12:37 123556 ----a-w- c:\windows\system32\perfc00C.dat
2010-01-26 05:58 . 2009-11-03 19:45 -------- d-----w- c:\program files\Microsoft Silverlight
2010-01-26 05:51 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-01-25 20:21 . 2008-04-14 22:56 170000 ----a-w- c:\windows\system32\drivers\ahcix86s.sys
2010-01-25 17:53 . 2009-06-23 10:49 -------- d-----w- c:\users\hp\AppData\Roaming\Icones
2010-01-25 17:53 . 2009-04-10 14:29 -------- d-----w- c:\users\hp\AppData\Roaming\Azureus
2010-01-25 17:53 . 2009-04-10 14:28 -------- d-----w- c:\program files\Vuze
2010-01-25 17:53 . 2009-12-04 09:21 -------- d-----w- c:\program files\Open Office
2010-01-25 17:53 . 2009-12-04 09:25 -------- d-----w- c:\program files\JRE
2010-01-20 11:53 . 2009-07-21 20:46 7620 ----a-w- c:\users\hp\AppData\Local\d3d9caps.dat
2010-01-17 16:48 . 2009-04-09 10:39 79048 ----a-w- c:\users\hp\AppData\Local\GDIPFONTCACHEV1.DAT
2010-01-17 14:47 . 2010-01-17 14:47 -------- d-----w- c:\users\Administrateur\AppData\Roaming\ATI
2010-01-17 14:47 . 2010-01-17 14:47 8224 ----a-w- c:\users\Administrateur\AppData\Local\GDIPFONTCACHEV1.DAT
2010-01-13 17:22 . 2008-05-27 04:28 -------- d-----w- c:\programdata\Microsoft Help
2010-01-12 20:38 . 2009-12-22 15:38 -------- d-----w- c:\program files\SC
2010-01-04 19:09 . 2009-05-02 12:51 -------- d-----w- c:\users\hp\AppData\Roaming\LimeWire
2010-01-02 06:38 . 2010-01-25 18:12 916480 ----a-w- c:\windows\system32\wininet.dll
2010-01-02 06:32 . 2010-01-25 18:12 109056 ----a-w- c:\windows\system32\iesysprep.dll
2010-01-02 06:32 . 2010-01-25 18:12 71680 ----a-w- c:\windows\system32\iesetup.dll
2010-01-02 04:57 . 2010-01-25 18:12 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2009-12-20 12:24 . 2009-12-04 09:56 1 ----a-w- c:\users\hp\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-12-19 18:11 . 2009-04-11 10:19 172 ----a-w- c:\users\hp\AppData\Roaming\Azureus\restart.bat
2009-12-05 11:20 . 2009-12-05 11:20 -------- d-----w- c:\users\hp\AppData\Roaming\Sports Interactive
2009-12-05 11:20 . 2009-12-05 11:20 -------- d-----w- c:\programdata\Sports Interactive
2009-12-05 10:57 . 2009-12-05 10:56 -------- d--h--w- c:\program files\Zero G Registry
2009-12-05 10:56 . 2009-12-05 10:56 -------- d-----w- c:\program files\Sports Interactive
2009-12-04 09:55 . 2009-12-04 09:55 -------- d-----w- c:\users\hp\AppData\Roaming\OpenOffice.org
2009-12-04 09:25 . 2009-12-04 09:25 -------- d-----w- c:\program files\OpenOffice.org 3
2009-12-04 09:24 . 2009-04-25 17:43 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-11-24 23:54 . 2009-04-10 14:17 1280480 ----a-w- c:\windows\system32\aswBoot.exe
2009-11-24 23:50 . 2009-04-10 14:17 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-11-24 23:50 . 2009-04-10 14:17 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2009-11-24 23:49 . 2009-04-10 14:17 53328 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2009-11-24 23:49 . 2009-04-10 14:18 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-11-24 23:48 . 2009-04-10 14:18 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-11-24 23:47 . 2009-04-10 14:17 97480 ----a-w- c:\windows\system32\AvastSS.scr
2009-11-18 15:40 . 2006-11-02 10:25 665600 ----a-w- c:\windows\inf\drvindex.dat
2009-11-09 12:31 . 2009-12-12 09:45 24064 ----a-w- c:\windows\system32\nshhttp.dll
2009-11-09 12:30 . 2009-12-12 09:45 30720 ----a-w- c:\windows\system32\httpapi.dll
2009-11-09 10:36 . 2009-12-12 09:45 411648 ----a-w- c:\windows\system32\drivers\http.sys
2009-11-02 19:42 . 2009-10-03 08:13 195456 ----a-w- c:\windows\system32\MpSigStub.exe
2009-10-29 09:17 . 2009-11-24 21:50 2048 ----a-w- c:\windows\system32\tzres.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2008-02-26 2289664]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"WinUsr"="c:\program files\Winsudate\gibusr.exe" [2010-01-11 88304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-17 1033512]
"UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2007-12-24 222504]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2008-05-14 468264]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-03-14 202032]
"OnScreenDisplay"="c:\program files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe" [2007-11-01 554288]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-04-15 70912]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-11-20 488752]
"avast!"="c:\progra~1\Avast\Avast4\ashDisp.exe" [2009-11-24 81000]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792]
"SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2008-04-16 442433]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2008-02-26 2289664]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):4b,87,11,3c,f2,38,ca,01

R0 Amddfltr;Amd Disk Lower Filter Driver;c:\windows\System32\drivers\Amddfltr.sys [09/04/2009 10:24 15416]
R1 aswSP;avast! Self Protection;c:\windows\System32\drivers\aswSP.sys [10/04/2009 15:17 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\System32\drivers\aswFsBlk.sys [10/04/2009 15:17 20560]
R2 aswMonFlt;aswMonFlt;c:\windows\System32\drivers\aswMonFlt.sys [10/04/2009 15:17 53328]
R3 enecir;ENE CIR Receiver;c:\windows\System32\drivers\enecir.sys [23/01/2008 22:23 52736]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\System32\FsUsbExDisk.Sys [08/08/2009 13:38 36608]
S3 JMCR;JMCR;c:\windows\System32\drivers\jmcr.sys [01/04/2008 12:13 120720]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
cbdovosy
ezSharedSvc

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2008-02-26 12:06 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=83&bd=Pavilion&pf=cnnb
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
DPF: {9DF1C00D-8426-4337-972C-DC042D19A916} - hxxp://webtv.guidetv.orange.fr/resources/OCS_8971.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-26 07:38
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys hpdskflt.sys hal.dll Amddfltr.sys >>UNKNOWN [0x85872618]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0x8079bd24
\Driver\ACPI -> acpi.sys @ 0x80609d68
\Driver\atapi -> ataport.SYS @ 0x8a4b2a2c
IoDeviceObjectType ->\Device\Harddisk0\DR0 ->user & kernel MBR OK

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-565813091-1899417564-1436109416-1000\Software\SecuROM\License information*]
"datasecu"=hex:22,ac,24,4d,3f,94,d8,e7,f5,e1,e4,27,39,b2,1a,c9,07,6b,0c,30,df,
1f,3c,a0,6a,16,10,1f,f1,53,fe,c4,15,0b,95,a0,58,95,76,70,a6,e9,bb,f2,10,cc,\
"rkeysecu"=hex:3a,73,29,9a,7c,63,78,8f,36,a7,93,c4,44,bd,d3,c0
.
Heure de fin: 2010-01-26 07:42:57
ComboFix-quarantined-files.txt 2010-01-26 06:42

Avant-CF: 90 646 941 696 octets libres
Après-CF: 90 775 322 624 octets libres

- - End Of File - - B82F3C644B2EB1F0737C156144AEA9C4

GMER

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-26 17:30:09
Windows 6.0.6002 Service Pack 2
Running: wlcblmh3.exe; Driver: C:\Users\hp\AppData\Local\Temp\ugryapob.sys


---- Kernel code sections - GMER 1.0.15 ----

.text C:\Windows\system32\DRIVERS\atikmdag.sys section is writeable [0x9E80A000, 0x1FA4DA, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text C:\Windows\system32\svchost.exe[852] ole32.dll!CoCreateInstance 76D79EA6 5 Bytes JMP 0075000A
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1852] kernel32.dll!FindResourceExA 763A2575 7 Bytes JMP 28001D90 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1852] kernel32.dll!FindResourceA 763A2653 5 Bytes JMP 28001D00 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1852] kernel32.dll!CreateEventA 763C44C0 5 Bytes JMP 28001850 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1852] kernel32.dll!LockResource 763C68DF 5 Bytes JMP 28001F60 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1852] kernel32.dll!FindResourceExW 763C69FD 7 Bytes JMP 28001C70 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1852] kernel32.dll!LoadResource 763C6ADB 7 Bytes JMP 28001E30 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1852] kernel32.dll!FindResourceW 763C7FA1 5 Bytes JMP 28001BF0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1852] kernel32.dll!SizeofResource 763C7FBF 7 Bytes JMP 28001EF0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1852] ADVAPI32.dll!CryptDeriveKey 76BCFCAE 7 Bytes JMP 28001000 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1852] ADVAPI32.dll!CryptDecrypt 76BCFE91 7 Bytes JMP 28001060 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1852] USER32.dll!CreateDialogParamW 764672A2 5 Bytes JMP 28006110 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1852] USER32.dll!SetWindowPlacement 76467963 5 Bytes JMP 28005E90 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1852] USER32.dll!SetWindowRgn 7646A221 7 Bytes JMP 28005FD0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1852] USER32.dll!LoadImageW 7646C9E5 5 Bytes JMP 28006760 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1852] USER32.dll!LoadIconW 7646DA9F 5 Bytes JMP 28006950 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1852] USER32.dll!CreateWindowExW 76471305 5 Bytes JMP 28003CE0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1852] USER32.dll!GetWindowLongW 7647F8BF 7 Bytes JMP 28006AF0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1852] USER32.dll!PeekMessageW 7648045A 5 Bytes JMP 280046B0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1852] USER32.dll!TrackPopupMenuEx 76490CE7 5 Bytes JMP 28004F90 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1852] USER32.dll!MessageBoxIndirectW 764BD5D3 5 Bytes JMP 28006300 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1852] SHELL32.dll!Shell_NotifyIconW 76EC8626 5 Bytes JMP 28003430 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1852] ole32.dll!CoRegisterClassObject 76D37DB6 5 Bytes JMP 28002370 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1852] ole32.dll!CoCreateInstance 76D79EA6 5 Bytes JMP 28002610 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1852] ole32.dll!CoInitializeEx 76D7AD63 5 Bytes JMP 28002270 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1852] WININET.dll!InternetReadFile 7799654B 5 Bytes JMP 2800A0E0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1852] WININET.dll!InternetCloseHandle 77999088 5 Bytes JMP 2800A290 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1852] WININET.dll!HttpOpenRequestA 7799D508 5 Bytes JMP 28009F50 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1852] WININET.dll!HttpSendRequestA 779AEE89 5 Bytes JMP 2800A1C0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\Windows\system32\services.exe[648] @ C:\Windows\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00020002
IAT C:\Windows\system32\services.exe[648] @ C:\Windows\system32\services.exe [KERNEL32.dll!CreateProcessW] 00020000

---- EOF - GMER 1.0.15 ----

Et Hijackthis/

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:31:55, on 26/01/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18882)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Avast\Avast4\ashDisp.exe
C:\Program Files\IDT\WDM\sttray.exe
C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Hewlett-Packard\HP wireless Assistant\WiFiMsg.EXE
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE= ... on&pf=cnnb
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" update "Software\CyberLink\YouCam\2.0"
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [OnScreenDisplay] C:\Program Files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe
O4 - HKLM\..\Run: [HP Health Check Scheduler] c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-18\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [cbssreg] C:\Windows\TEMP\mbox.tmp\svchost.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden (User 'Default user')
O4 - Startup: RollerCoaster Tycoon 3 Registration.lnk = C:\Users\hp\AppData\Local\Temp\{38B109A2-B353-419D-A215-3947E7D3D434}\{907B4640-266B-4A21-92FB-CD1A86CD0F63}\ATR1.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O16 - DPF: {9DF1C00D-8426-4337-972C-DC042D19A916} (FTMediaPlayer Class) - http://webtv.guidetv.orange.fr/resources/OCS_8971.cab
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_f691e717\aestsrv.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast\Avast4\aswUpdSv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Avast\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Avast\Avast4\ashWebSv.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: HP Service (hpsrv) - Hewlett-Packard Corporation - C:\Windows\system32\Hpservice.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: QuickPlay Background Capture Service (QBCS) (QPCapSvc) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\QPCapSvc.exe
O23 - Service: QuickPlay Task Scheduler (QTS) (QPSched) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\QPSched.exe
O23 - Service: Recovery Service for Windows - Unknown owner - C:\Windows\SMINST\BLService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_f691e717\STacSV.exe

--
End of file - 8011 bytes

Malekal_morte
Site Admin
Site Admin
Messages : 98100
Inscription : 10 sept. 2005 13:57
Contact :

Re: besoin d aide Virus svchost.exe[UPX]

Message par Malekal_morte » 26 janv. 2010 17:45

Relance HijackThis par un clic droit / exécuter en tant qu'administrateur et coche ces lignes :

O4 - HKUS\S-1-5-18\..\Run: [cbssreg] C:\Windows\TEMP\mbox.tmp\svchost.exe (User 'SYSTEM')

--> clic sur fix checked

Redémarre l'ordinateur

Surf un peu et regarde si tu as tjrs des alertes.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malekal_morte
Site Admin
Site Admin
Messages : 98100
Inscription : 10 sept. 2005 13:57
Contact :

Re: besoin d aide Virus svchost.exe[UPX]

Message par Malekal_morte » 26 janv. 2010 17:54

Au passage, c'est à supprimer ça : 2010-01-11 17:23 . 2010-01-25 17:53 -------- d-----w- c:\program files\Winsudate
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Laure 42
newbie
newbie
Messages : 26
Inscription : 25 janv. 2010 20:49

Re: besoin d aide Virus svchost.exe[UPX]

Message par Laure 42 » 26 janv. 2010 18:30

J'ai supprimé ce qu'il fallait, pour l'instant toujours pas d'alerte. Je vous tient au courant au cas ou. En tout cas merci beaucoup pour votre aide.

Malekal_morte
Site Admin
Site Admin
Messages : 98100
Inscription : 10 sept. 2005 13:57
Contact :

Re: besoin d aide Virus svchost.exe[UPX]

Message par Malekal_morte » 26 janv. 2010 18:31

Question, qui n'a rien à voir.
Quand tu fais des recherches Google, tu n'as pas des redirections ?
Ca tombe bien sur le site sur lequel tu as cliqué ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Laure 42
newbie
newbie
Messages : 26
Inscription : 25 janv. 2010 20:49

Re: besoin d aide Virus svchost.exe[UPX]

Message par Laure 42 » 26 janv. 2010 19:50

euh non je tombe souvent sur d autres sites ... Pourquoi ?

Malekal_morte
Site Admin
Site Admin
Messages : 98100
Inscription : 10 sept. 2005 13:57
Contact :

Re: besoin d aide Virus svchost.exe[UPX]

Message par Malekal_morte » 26 janv. 2010 20:46

Je soupçonne un autre infection au vu des rapports mais je suis pas sûr à 100% et les symptômes sont des redirections lors des recherches Google.
Genre tu fais une recherche, tu clics sur un lien et pouf t'attéris sur un autre truc (soit des pubs, soit des trucs d'antispywares)
Voir cette page : redirections-lors-des-recherches-google ... t2250.html

Donc tu confirmes avoir ça ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Laure 42
newbie
newbie
Messages : 26
Inscription : 25 janv. 2010 20:49

Re: besoin d aide Virus svchost.exe[UPX]

Message par Laure 42 » 26 janv. 2010 21:05

J'ai eu ça durant quelques jours lorsque j'ai eu les première alertes du virus, les site me redirigeait vers d'autres moteurs de recherche mais jamais de pornographie ni d'alertes virus. Après ça rien de significatif c'est arrivé quelques fois mais sans plus.

Malekal_morte
Site Admin
Site Admin
Messages : 98100
Inscription : 10 sept. 2005 13:57
Contact :

Re: besoin d aide Virus svchost.exe[UPX]

Message par Malekal_morte » 26 janv. 2010 21:11

oki alors si tu n'as plus, on va dire que c'est résolu.


C'est OK, tu n'es plus infecté en suivant les dernières manipulations ci-dessous et lire ATTENTIVEMENT ce qui suit :)


Finir le nettoyage :
- Menu Démarrer / exécuter et tape : Combofix /uninstall puis OK (attention il y a pas d'espace entre le / et le uninstall)

- Nettoye ton ordinateur avec CCleaner : https://www.malekal.com/tutorial_CCleaner.html
- Désactive puis réactive la restauration du système :
- Mode d'emploi Windows XP - Mode d'emploi pour désactiver/réactiver la restauration système pour Windows Vista
- Tu peux ensuite désinstaller tous les programmes que l'on a utilisé.

Quelques points essentiels sur la sécurité de ton PC :

- La sécurité, c'est toi qui l'a fait et non les programmes que tu installes, si tu ne connais pas un minimum sur la manière dont les infections se propagent, tu seras réinfecté car ce sera facile de te piéger.
- On ouvre pas n'importe quel fichier quelque soit le prétexte. Derrière n'importe quel fichier un malware peut se cacher, on réfléchit quand on te propose un fichier sur un site, on bannit les cracks et P2P.
- On maintient son système à jour et TOUS ses logiciels à jour pour combler les vulnérabilités : Scan de vulnérabilités.

Pour aller plus loin : Sécuriser son ordinateur (version courte)

___________________________________


je t'invite à lire ce PDF (cliquer sur la bannière si dessous), ce PDF explique comment les infections se propagent, les bonnes habitudes à avoir pour ne plus se faire infecter et comment sécuriser ton ordinateur, lis tout attentivement, n'hésite surtout pas à l'envoyer à tous tes amis par mail pour les sensibiliser :

Image

Tout pour sécuriser ton PC est résumé dans la page Sécuriser son ordinateur (version courte)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Laure 42
newbie
newbie
Messages : 26
Inscription : 25 janv. 2010 20:49

Re: besoin d aide Virus svchost.exe[UPX]

Message par Laure 42 » 26 janv. 2010 21:41

D'accord. Merci beaucoup pour ton aide !

Bonne soirée

Laure 42
newbie
newbie
Messages : 26
Inscription : 25 janv. 2010 20:49

Re: besoin d aide Virus svchost.exe[UPX]

Message par Laure 42 » 07 févr. 2010 21:29

Bonsoir, j'ai encore besoin d'aide mon virus est revenu :s ...

Malekal_morte
Site Admin
Site Admin
Messages : 98100
Inscription : 10 sept. 2005 13:57
Contact :

Re: besoin d aide Virus svchost.exe[UPX]

Message par Malekal_morte » 08 févr. 2010 08:50

Salut,

Bha refais un Combofix.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Laure 42
newbie
newbie
Messages : 26
Inscription : 25 janv. 2010 20:49

Re: besoin d aide Virus svchost.exe[UPX]

Message par Laure 42 » 11 févr. 2010 21:08

Desolé pour le retard voici le rapport de combofix.

ComboFix 10-02-10.05 - hp 11/02/2010 20:08:29.6.2 - x86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3069.2093 [GMT 1:00]
Lancé depuis: c:\users\hp\Desktop\ComboFix.exe
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((( Fichiers créés du 2010-01-11 au 2010-02-11 ))))))))))))))))))))))))))))))))))))
.

2010-02-11 19:22 . 2010-02-11 19:22 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-02-11 19:22 . 2010-02-11 19:22 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-02-11 19:22 . 2010-02-11 19:22 -------- d-----w- c:\users\Administrateur\AppData\Local\temp
2010-02-11 19:22 . 2010-02-11 19:22 -------- d-----w- c:\windows\system32\config\systemprofile\AppData\Local\temp
2010-02-11 15:30 . 2010-02-11 16:44 -------- d-----w- c:\programdata\Messenger Plus!
2010-02-11 15:08 . 2009-12-04 18:28 31744 ----a-w- c:\windows\system32\msvidc32.dll
2010-02-11 15:08 . 2009-12-04 18:28 123904 ----a-w- c:\windows\system32\msvfw32.dll
2010-02-11 15:08 . 2009-12-04 18:28 13312 ----a-w- c:\windows\system32\msrle32.dll
2010-02-11 15:08 . 2009-12-04 18:28 82944 ----a-w- c:\windows\system32\mciavi32.dll
2010-02-11 15:08 . 2009-12-04 18:30 12288 ----a-w- c:\windows\system32\tsbyuv.dll
2010-02-11 15:08 . 2009-12-04 18:29 1314816 ----a-w- c:\windows\system32\quartz.dll
2010-02-11 15:08 . 2009-12-04 18:28 22528 ----a-w- c:\windows\system32\msyuv.dll
2010-02-11 15:08 . 2009-12-04 18:28 50176 ----a-w- c:\windows\system32\iyuv_32.dll
2010-02-11 15:08 . 2009-12-04 18:27 91136 ----a-w- c:\windows\system32\avifil32.dll
2010-02-10 15:52 . 2010-02-10 15:52 -------- d-----w- c:\program files\Microsoft Sync Framework
2010-02-10 15:50 . 2010-02-10 15:50 -------- d-----w- c:\program files\Microsoft SQL Server Compact Edition(43)
2010-02-09 18:01 . 2010-02-09 18:01 -------- d-----w- c:\program files\AskBarDis
2010-02-09 17:52 . 2010-02-09 17:52 -------- d-----w- c:\program files\Common Files\Java
2010-02-09 17:51 . 2010-02-09 17:51 -------- d-----w- c:\program files\Java
2010-02-09 17:12 . 2010-02-10 11:49 -------- d-sh--w- c:\users\hp\AppData\Roaming\lowsec
2010-01-26 20:25 . 2010-01-26 20:25 -------- d-----w- c:\program files\CCleaner
2010-01-26 18:57 . 2010-01-26 18:57 -------- d-----w- c:\users\hp\AppData\Local\Mozilla
2010-01-26 16:31 . 2010-01-26 16:31 -------- d-----w- c:\program files\Trend Micro
2010-01-25 17:31 . 2010-01-25 17:38 -------- d-----w- c:\program files\TLK Games
2010-01-14 19:13 . 2010-01-17 14:37 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2010-01-14 19:13 . 2010-01-14 19:18 -------- d-----w- c:\program files\Spybot - Search & Destroy

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-11 19:10 . 2008-05-27 12:37 669566 ----a-w- c:\windows\system32\perfh00C.dat
2010-02-11 19:10 . 2008-05-27 12:37 123556 ----a-w- c:\windows\system32\perfc00C.dat
2010-02-11 15:32 . 2009-04-10 15:46 -------- d-----w- c:\program files\Messenger Plus! Live
2010-02-11 15:27 . 2008-04-14 22:56 170000 ----a-w- c:\windows\system32\drivers\ahcix86s.sys
2010-02-11 15:25 . 2009-05-18 13:48 -------- d-----w- c:\users\hp\AppData\Roaming\vlc
2010-02-11 15:25 . 2009-05-02 12:51 -------- d-----w- c:\users\hp\AppData\Roaming\LimeWire
2010-02-11 15:25 . 2009-04-10 14:29 -------- d-----w- c:\users\hp\AppData\Roaming\Azureus
2010-02-11 15:25 . 2009-04-10 14:55 -------- d-----w- c:\program files\Windows Live
2010-02-11 15:25 . 2009-04-10 14:28 -------- d-----w- c:\program files\Vuze
2010-02-11 15:25 . 2009-05-02 12:47 -------- d-----w- c:\program files\LimeWire
2010-02-11 15:25 . 2009-04-10 14:59 -------- d-----w- c:\program files\Microsoft SQL Server Compact Edition
2010-02-11 14:43 . 2009-10-12 18:58 -------- d-----w- c:\users\hp\AppData\Roaming\dvdcss
2010-02-10 17:58 . 2009-07-21 20:46 7620 ----a-w- c:\users\hp\AppData\Local\d3d9caps.dat
2010-01-26 05:58 . 2009-11-03 19:45 -------- d-----w- c:\program files\Microsoft Silverlight
2010-01-26 05:51 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-01-25 17:53 . 2009-06-23 10:49 -------- d-----w- c:\users\hp\AppData\Roaming\Icones
2010-01-25 17:53 . 2009-12-04 09:21 -------- d-----w- c:\program files\Open Office
2010-01-25 17:53 . 2009-12-04 09:25 -------- d-----w- c:\program files\JRE
2010-01-17 16:48 . 2009-04-09 10:39 79048 ----a-w- c:\users\hp\AppData\Local\GDIPFONTCACHEV1.DAT
2010-01-17 14:47 . 2010-01-17 14:47 -------- d-----w- c:\users\Administrateur\AppData\Roaming\ATI
2010-01-17 14:47 . 2010-01-17 14:47 8224 ----a-w- c:\users\Administrateur\AppData\Local\GDIPFONTCACHEV1.DAT
2010-01-14 10:12 . 2009-10-03 08:13 181120 ------w- c:\windows\system32\MpSigStub.exe
2010-01-13 17:22 . 2008-05-27 04:28 -------- d-----w- c:\programdata\Microsoft Help
2010-01-12 20:38 . 2009-12-22 15:38 -------- d-----w- c:\program files\SC
2010-01-11 17:30 . 2010-01-11 17:30 653560 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2010-01-02 06:38 . 2010-01-25 18:12 916480 ----a-w- c:\windows\system32\wininet.dll
2010-01-02 06:32 . 2010-01-25 18:12 109056 ----a-w- c:\windows\system32\iesysprep.dll
2010-01-02 06:32 . 2010-01-25 18:12 71680 ----a-w- c:\windows\system32\iesetup.dll
2010-01-02 04:57 . 2010-01-25 18:12 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2009-12-20 12:24 . 2009-12-04 09:56 1 ----a-w- c:\users\hp\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-12-19 18:11 . 2009-04-11 10:19 172 ----a-w- c:\users\hp\AppData\Roaming\Azureus\restart.bat
2009-12-04 09:24 . 2009-04-25 17:43 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-11-24 23:54 . 2009-04-10 14:17 1280480 ----a-w- c:\windows\system32\aswBoot.exe
2009-11-24 23:50 . 2009-04-10 14:17 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-11-24 23:50 . 2009-04-10 14:17 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2009-11-24 23:49 . 2009-04-10 14:17 53328 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2009-11-24 23:49 . 2009-04-10 14:18 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-11-24 23:48 . 2009-04-10 14:18 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-11-24 23:47 . 2009-04-10 14:17 97480 ----a-w- c:\windows\system32\AvastSS.scr
2009-11-18 15:40 . 2006-11-02 10:25 665600 ----a-w- c:\windows\inf\drvindex.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2008-02-26 2289664]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-17 1033512]
"UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2007-12-24 222504]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2008-05-14 468264]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-03-14 202032]
"OnScreenDisplay"="c:\program files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe" [2007-11-01 554288]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-04-15 70912]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-11-20 488752]
"avast!"="c:\progra~1\Avast\Avast4\ashDisp.exe" [2009-11-24 81000]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792]
"SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2008-04-16 442433]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2008-02-26 2289664]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):4b,87,11,3c,f2,38,ca,01

R0 Amddfltr;Amd Disk Lower Filter Driver;c:\windows\System32\drivers\Amddfltr.sys [09/04/2009 10:24 15416]
R1 aswSP;avast! Self Protection;c:\windows\System32\drivers\aswSP.sys [10/04/2009 15:17 114768]
R2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt.inf_f691e717\AEstSrv.exe [09/04/2009 10:20 73728]
R2 aswFsBlk;aswFsBlk;c:\windows\System32\drivers\aswFsBlk.sys [10/04/2009 15:17 20560]
R2 aswMonFlt;aswMonFlt;c:\windows\System32\drivers\aswMonFlt.sys [10/04/2009 15:17 53328]
R2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe -k netsvcs [21/01/2008 03:23 21504]
R2 hpsrv;HP Service;c:\windows\System32\hpservice.exe [18/03/2008 15:24 19456]
R2 Recovery Service for Windows;Recovery Service for Windows;c:\windows\SMINST\BLService.exe [27/05/2008 05:52 341328]
R3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [27/05/2008 04:34 193840]
R3 enecir;ENE CIR Receiver;c:\windows\System32\drivers\enecir.sys [23/01/2008 22:23 52736]
S3 FontCache;Service de cache de police Windows;c:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [21/01/2008 03:23 21504]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\System32\FsUsbExDisk.Sys [08/08/2009 13:38 36608]
S3 JMCR;JMCR;c:\windows\System32\drivers\jmcr.sys [01/04/2008 12:13 120720]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
cbdovosy
ezSharedSvc

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2008-02-26 12:06 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=83&bd=Pavilion&pf=cnnb
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
DPF: {9DF1C00D-8426-4337-972C-DC042D19A916} - hxxp://webtv.guidetv.orange.fr/resources/OCS_8971.cab
FF - ProfilePath - c:\users\hp\AppData\Roaming\Mozilla\Firefox\Profiles\5nll71tc.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://www.yougoo.fr/meteo?search&q=
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-11 20:22
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys hpdskflt.sys hal.dll Amddfltr.sys >>UNKNOWN [0x85872618]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0x807a7d24
\Driver\ACPI -> acpi.sys @ 0x80615d68
\Driver\atapi -> ataport.SYS @ 0x8a4b0a2c
IoDeviceObjectType ->\Device\Harddisk0\DR0 ->user & kernel MBR OK

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-565813091-1899417564-1436109416-1000\Software\SecuROM\License information*]
"datasecu"=hex:22,ac,24,4d,3f,94,d8,e7,f5,e1,e4,27,39,b2,1a,c9,07,6b,0c,30,df,
1f,3c,a0,6a,16,10,1f,f1,53,fe,c4,15,0b,95,a0,58,95,76,70,a6,e9,bb,f2,10,cc,\
"rkeysecu"=hex:3a,73,29,9a,7c,63,78,8f,36,a7,93,c4,44,bd,d3,c0
.
Heure de fin: 2010-02-11 20:28:10
ComboFix-quarantined-files.txt 2010-02-11 19:28
ComboFix2.txt 2010-02-11 18:48
ComboFix3.txt 2010-01-26 06:43

Avant-CF: 103 644 745 728 octets libres
Après-CF: 103 618 519 040 octets libres

- - End Of File - - F34415EBDDFD9D018AA59508FA8204FA


Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »