_Iam-Nap_ Posté(e) le 15 janvier 2008 Partager Posté(e) le 15 janvier 2008 Voilà un collègue s'est choppé une belle merde sur son pc. Au démarrage dans les processus il se retrouve avec les svchost.exe classiques jusque là pas de problème jusqu'à l'apparition d'un svczhost.exe (notez le "z" en trop) je lui ai fait passé Clean v2.0 (qui s'est emballé avec les pilotes de l'imprimante au passage...) Qu'esce que ce processus ? je ne doute pas d'un virus/worm... Tant qu'à faire voici son rapport hijackthis : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:05:17, on 15/01/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Alwil Software\Avast4\aswUpdSv.exe C:\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\CDBurnerXP\NMSAccessU.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\CursorXP\CursorXP.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\WINDOWS\system32\devldr32.exe C:\Alwil Software\Avast4\ashMaiSv.exe C:\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\msiexec.exe C:\WINDOWS\notepad.exe C:\Program Files\Programmes\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O4 - HKLM\..\Run: [avast!] C:\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [bootSkin Startup Jobs] "C:\Program Files\Utilitaire\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs O4 - HKLM\..\Run: [RegistryMechanic] C:\Program Files\Programmes\Registry Mechanic\RegMech.exe /S O4 - HKLM\..\RunServices: [MSN Updating] msnupdate.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe -s O4 - HKCU\..\Run: [startCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Programmes\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Registration IL-2 Sturmovik 1946.LNK = E:\Program files\Ubisoft\IL-2 Sturmovik 1946\RegistrationReminder.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1197220744798 O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe O23 - Service: PDAgent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDAgent.exe O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Windows Registry Service - Unknown owner - C:\WINDOWS\Svzhost.exe -- End of file - 6371 bytes Je ne suis pas un crack en Hijack this, j'arrive à interpreter certains trucs mais pas tout, je vois que c'est un joyeux bordel sur son pc. Des explications sur comment bien comprendre son rapport....? Lien vers le commentaire Partager sur d’autres sites More sharing options...
snooky Posté(e) le 15 janvier 2008 Partager Posté(e) le 15 janvier 2008 Salut , Désinstalle Spybot , Avast et autres Ad-Aware ...etc ... Supprime ces fichiers avec Unlocker ( vise ma signature ) Svzhost msnupdate lance SDFix en mode sans échec : http://mickael.barroux.free.fr/securite/sdfix.php Poste le rapport créé. Lance Navilog1 , procédure 1 en mode normal et poste le rapport créé : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe Lien vers le commentaire Partager sur d’autres sites More sharing options...
_Iam-Nap_ Posté(e) le 15 janvier 2008 Auteur Partager Posté(e) le 15 janvier 2008 Pourquoi faut désinstaller l'antivirus et autres antispy ? les couper ne suffit pas ? Bon je lui fait suivre le lien du topic qu'il le fasse... Merci de ton aide et précisions. Lien vers le commentaire Partager sur d’autres sites More sharing options...
snooky Posté(e) le 15 janvier 2008 Partager Posté(e) le 15 janvier 2008 ... Servent à quoi ces protections ... ... si elles ne détectent pas de simples worms ??? Lien vers le commentaire Partager sur d’autres sites More sharing options...
_Iam-Nap_ Posté(e) le 15 janvier 2008 Auteur Partager Posté(e) le 15 janvier 2008 ... Servent à quoi ces protections ... ... si elles ne détectent pas de simples worms ??? Lol ok... Mais il n'est pas le seul à utiliser le pc... donc ca lui fait une "barrière" de protection contre les conneries que peuvent installer frêres et soeurs... déjà que j'ai réussi à le convaincre d'abandonner Norton pour avast/kaspersky... puis il est connecté constamment à internet avec sa neufbox, c'est pas imprudent de se balader sans protection sur le net...? Il y à quoi de plus efficace pour detecter les intrusions virus/worm ? Perso Avast m'a toujours bloqué les vers et virus quand il les a dans sa base de données virale bien entendu. Fin bon je lui ait fait suivre le topic en mail, m'a dit qu'il s'y penchera demain, pas le temps pour ce soir. Merci bien. Lien vers le commentaire Partager sur d’autres sites More sharing options...
snooky Posté(e) le 15 janvier 2008 Partager Posté(e) le 15 janvier 2008 Lien vers le commentaire Partager sur d’autres sites More sharing options...
_Iam-Nap_ Posté(e) le 15 janvier 2008 Auteur Partager Posté(e) le 15 janvier 2008 Bon à mon tour d'avoir une coquille.... J'ai passé Clean v2.0 sur mon pc pour le coup... et au reboot ça m'a fait des joyeusetés comme la disparition de mon fond d'écran (pas grave) mais aussi ça sous firefox (plus génant) : les exemples en images seront plus parlants... Pour la page d'accueil Pcinpact... Que faire ? Problème java ? j'ai désinstallé et réinstallé firefox, sans succès...Par contre sous Internet Explorer 7.0 tout roule... Je créée un nouveau topic ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
snooky Posté(e) le 15 janvier 2008 Partager Posté(e) le 15 janvier 2008 Ctrl + F5 sur la page web ... Sinon , pour une réinstallation propre de Firefox , il faut supprimer le dosseir Mozilla présent ici : ( dossier caché ) C:\Documents and Settings\TonNomDeSession\Application Data\ Lien vers le commentaire Partager sur d’autres sites More sharing options...
_Iam-Nap_ Posté(e) le 15 janvier 2008 Auteur Partager Posté(e) le 15 janvier 2008 Ctrl + F5 sur la page web ...Sinon , pour une réinstallation propre de Firefox , il faut supprimer le dosseir Mozilla présent ici : ( dossier caché ) C:\Documents and Settings\TonNomDeSession\Application Data\ Le dossier mozilla je l'avais déjà récupérer pour les favoris. Niquel le Ctrl+F5 fonctionne je ne connaissais pas merci encore snooky, je n'ai plus à t'enquiquiner... = ) Bonne soirée Lien vers le commentaire Partager sur d’autres sites More sharing options...
snooky Posté(e) le 15 janvier 2008 Partager Posté(e) le 15 janvier 2008 Pour les favoris , inutile de garder le dossier Mozilla ... surtout pour une réinstalle propre . Suffit d'exporter les marques pages , puis de les ré-importer dans la nouvelle installation . ++ Lien vers le commentaire Partager sur d’autres sites More sharing options...
Krapace Posté(e) le 15 janvier 2008 Partager Posté(e) le 15 janvier 2008 Ça ne garde pas les password enregistrés :( Lien vers le commentaire Partager sur d’autres sites More sharing options...
snooky Posté(e) le 17 janvier 2008 Partager Posté(e) le 17 janvier 2008 Ca ne rends pas le café meilleur non plus ... Lien vers le commentaire Partager sur d’autres sites More sharing options...
_Iam-Nap_ Posté(e) le 20 janvier 2008 Auteur Partager Posté(e) le 20 janvier 2008 Bon alors problème résolu, non sans mal... On à suivi tes conseils snooky mais ca n'a rien fait dans le sens où rien ne (semblait ?) marchait correctement, Unlocker installé aucune réactions, l'icone dans les system tray ne réagissait pas, Navilog à bien marché mais impossible de retrouver le rapport créé (ni dans le dossier d'instal, ni après une recherche globale) Reboot, direct essayé de couper le processus avec le gestionnaire, stupéfaction, il se multipliait jusqu'à 4, 7 processus consommant énormement de mémoire... Je l'ai donc viré à l'ancienne, recherche dans le registre de svzhost et suppression de toutes les clés liées en reperant les chemins d'accès. Puis suppression dans le disque, controle avec hijackthis. Et depuis vendredi tout roule à nouveau comme sur des roulettes. Thx malgrès tout pour ton aide snooky ! Lien vers le commentaire Partager sur d’autres sites More sharing options...
snooky Posté(e) le 21 janvier 2008 Partager Posté(e) le 21 janvier 2008 Unlocker , une fois installé , se retrouve dans le menu contextuel ( clic droit sur le fichier à supprimer > Unlocker ) ... il débloque les processus qui empêchent la suppression . Lance SDFix en mode sans échec quand même ! et poste le rapport créé . Si SDFix bloque , touche Enter pour continuer l'analyse Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.