J'ai 8 svchost.exe dans mon gestionnaire dont a 99% UC + exmudole.exe

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : J'ai 8 svchost.exe dans mon gestionnaire dont a 99% UC + exmudole.exe

gaymer's

Modayrateur

:hello:

j'ai un souci en ce moment mon PC rame grave et dans le gestionnaire de tache je me rends compte que svchost.exe prends 99% de l'UC proc. :sweat:
Voici mon gestionnaire de taches, je suis sûr qu'il y a pas mal de .exe qui servent a rien vous en pensez quoi ? (comme le cli.exe, y en a 3 parfois)

Je le retire et tout va mieux mais pourquoi j'en ai 8 et d'où peux venir le problème svp
J'ai aussi souvent cette page d'erreur qui concerne encore svchost :??:

J'ai aussi au moment ou le svchost a 99% des .exe exmudole avec differents chiffres qui se lancent :??:
qq1 peut m'aider svp :jap:

j'ai WindowsXp pro sp2

Voici mon hijackthis.log:
http://membres.lycos.fr/gaymers/hijackthis.log

Publicité

gaymer's

Modayrateur

kaman

T'as fait un scan AV et Spyware histoire de?

Message cité 2 fois

chercheurbis

Bonjour

Avoir plusieurs svchost n'est pas toujours un signe d'infection.
Mais les fichiers exmudole oui.

Commence par faire ceci.

1 Télécharge
CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.

Ewido
http://www.ewido.net/en/download/
Lance Ewido et clique sur le bouton Update (barre d'outils - au haut).
Sous Manual Update clique Start update. Patiente jusqu'à l'affichage "Update successful".

2 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.

3 Lance le nettoyage avec CCleaner.

4 Lance Ewido.
Clique sur le bouton Scanner (de la barre d'outils)
Puis sur l'onglets Settings, pour How to Act. Clique sur Recommanded Actions. Sélectionne Quarantine.
Reviens a l'onglet Scan. Clique Complete system Scan
A la fin du scan, choisis l'option " Apply All Actions " en bas.
Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit facile à retrouver.

5 Redémarre normalement et poste (sur le forum) le rapport d'Ewido avec un nouveau HijackThis.

gaymer's

Modayrateur

Oki, je vais faire ça

Merci

gaymer's

Modayrateur

kaman a écrit :

T'as fait un scan AV et Spyware histoire de?

j'ai fait en mode sans echec un Spybot et adware plu santi virus bitdefender

Badze

Aime les frites

en ligne de commande, tu peux voir les services qui tournent derriere tes svchost.exe

"tasklist /svc"

gaymer's

Modayrateur

J'ai fait dans le mode sans echec un cccleaner et j'ai lancé un scan complete ewido.

La 1ere fois j'ai oublié de faire un rapport mais j'ai vu 2 virus/trojan proxy.horst.av et backdoor.cradoor.13 , j'ai aussi remarqué que quand le svchost monte a 99% y a des exmudole.exe avec des numeros qui se lancent et quan dje ferme le svchost ils partent.

J'ai refait un ewido et il a trouvé que C:\WINDOWS\system32\XjSVgjl124.ini -> Backdoor.Ciadoor.13 : No action taken.
Il a du mettre l'autre en quarantaine.

Donc ça viens de backdoor alors mon souci
bizarre j'ai windows a jour et un anti-virus plus kerio :??:

gaymer's

Modayrateur

J'ai fait un scan du dossier system 32 ou le virus a été detecté Bitdefendre a trouvé ça mais ne le supprime pas

C:\WINDOWS\system32\XjSVgjl124.ini Infecté avec: DeepScan:Generic.Malware.SLMDBCbg.EF7C6526

Y a un patch ou logiciel pour s'en debarasser svp :jap:

C'est donc ce truc qui est lié a tous mes soucis de svchost a 99%?

chercheurbis

Bonjour

Télécharge le logiciel HijackThis v1.99.1
http://pchelpbordeaux.free.fr/logiciels.html
Tutorial
http://pchelpbordeaux.free.fr/tuto.html
Démo en image
http://pageperso.aol.fr/balltrap34/demohijack.htm

Fais un scan et poste l'analyse.

Publicité

gaymer's

Modayrateur

je l'ai mis dans la 1ere page voila:
http://membres.lycos.fr/gaymers/hijackthis.log

Mais c'était avant que je passe le ccleaner et exido donc voici le nouveau sachant que le probleme n'est pas résolu:
http://membres.lycos.fr/gaymers/hijackthis2.log

je vais essayer d'en faire un quand le svchost.exe monte a 99%

Y a un truc bizarre aussi, j'ai qu'une seule session quand j'ai installé WindowsXP mais quand je fais un mode sans echec j'ai une session admin qui est proposé en plus de la mienne :??:

Message édité par gaymer's le 09-09-2006 à 17:01:04

chercheurbis

Les deux liens ne fonctionnent pas.
Poste le nouveau rapport sur le forum.

Edit : Pour la session supplémentaire en mode sans échec, c'est normal.

Message cité 1 fois
Message édité par chercheurbis le 09-09-2006 à 17:18:23

kaman

chercheurbis a écrit :

Les deux liens ne fonctionnent pas.
Poste le nouveau rapport sur le forum.

Edit : Pour la session supplémentaire en mode sans échec, c'est normal.

Ben moi les liens fonctionnent

Message cité 1 fois

gaymer's

Modayrateur

Citation :

Logfile of HijackThis v1.99.1

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Softwin\BitDefender9\bdoesrv.exe
C:\program files\softwin\bitdefender9\bdnagent.exe
C:\WINDOWS\system32\svchost.exe
C:\program files\softwin\bitdefender9\bdswitch.exe
C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Kerio\Personal Firewall\persfw.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
c:\program files\softwin\bitdefender9\bdmcon.exe
C:\Program Files\Softwin\BitDefender9\vsserv.exe
D:\Animes\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender9\bdmcon.exe"
O4 - HKLM\..\Run: [BDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "c:\program files\softwin\bitdefender9\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "c:\program files\softwin\bitdefender9\bdswitch.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [ChrisTV Agent] "C:\Program Files\ChrisTV Lite\ChrisTV_Agent.exe"
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: Interface Chat Voila - http://chat4.x-echo.com/version7/Applet/vchatsign.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: DirectX Service (DirectHyfb) - Unknown owner - c:\windows\system32\directx.exe (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

chercheurbis

kaman a écrit :

Ben moi les liens fonctionnent

Je viens de réessayer, "Impossible de trouver ..."

Edit : Je viens de voir le rapport sur le forum.
Des lignes infectieuses.

Je reviens.

Message édité par chercheurbis le 09-09-2006 à 17:36:20

gaymer's

Modayrateur

j'ai fait un scan online kaspersky et il a trouvé
Nombre de virus trouvés : 8
Nombre d'objets infectés : 12

et il en est qu'a 92% :??:

chercheurbis

Poste le rapport de Kaspersky sur le forum, je ferais alors une manip plus complète.

gaymer's

Modayrateur

:jap:

Je peux faire a la place un scan complet avec bitdefender en mode sans echec?

Ou alors kaspersky detecte plus de virus

Message cité 1 fois
Message édité par gaymer's le 09-09-2006 à 17:54:10

kaman

gaymer's a écrit :

:jap:

Je peux faire a la place un scan complet avec bitdefender en mode sans echec?

Ou alors kaspersky detecte plus de virus

Kaspersky en détecte + mais bon la différence est pas immense non plus.

gaymer's

Modayrateur

Voici le rapport de ma partition C ou y a tous les programmes, y a effectivement les trojan detectés par ewido

Citation :

Saturday, September 09, 2006 5:57:50 PM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 9/09/2006
Enregistrements dans la base antivirus Kaspersky : 209101

Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie vrai

Cible de l'analyse Dossiers
C:\

Statistiques de l'analyse
Total d'objets analysés 42070
Nombre de virus trouvés 9
Nombre d'objets infectés 16 / 0
Nombre d'objets suspects 0
Durée de l'analyse 00:41:37

Nom de l'objet infecté Nom du virus Dernière action
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Documents\setup.exe Infecté : Trojan-Proxy.Win32.Horst.hr ignoré

C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\**\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\**\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\**o\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\**\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\**\Local Settings\Temp\32exssd32.3.exe Infecté : Trojan-Downloader.Win32.Horst.b ignoré

C:\Documents and Settings\**\Local Settings\Temp\51exhdd.5.exe Infecté : Trojan-Downloader.Win32.Horst.a ignoré

C:\Documents and Settings\**\Local Settings\Temp\75exmodul32s.6.exe Infecté : Trojan-Proxy.Win32.Horst.hq ignoré

C:\Documents and Settings\**\Local Settings\Temp\Perflib_Perfdata_768.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Mo\Local Settings\Temp\setup.exe Infecté : Trojan-Proxy.Win32.Horst.hr ignoré

C:\Documents and Settings\**\Local Settings\Temp\tmp1.tmp Infecté : Trojan-Proxy.Win32.Horst.av ignoré

C:\Documents and Settings\**\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\**\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\**\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Program Files\Softwin\BitDefender9\asdict.dat L'objet est verrouillé ignoré

C:\Program Files\Softwin\BitDefender9\aspdict.dat L'objet est verrouillé ignoré

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\System Volume Information\_restore{C2A370B8-2A44-420D-A777-A2B76B7943B2}\RP13\A0008196.exe Infecté : Trojan-Downloader.Win32.Small.dme ignoré

C:\System Volume Information\_restore{C2A370B8-2A44-420D-A777-A2B76B7943B2}\RP13\A0008197.exe Infecté : Trojan-Proxy.Win32.Horst.eq ignoré

C:\System Volume Information\_restore{C2A370B8-2A44-420D-A777-A2B76B7943B2}\RP15\A0009249.exe Infecté : Trojan-Proxy.Win32.Horst.av ignoré

C:\System Volume Information\_restore{C2A370B8-2A44-420D-A777-A2B76B7943B2}\RP38\A0017128.exe Infecté : Trojan-Proxy.Win32.Horst.gx ignoré

C:\System Volume Information\_restore{C2A370B8-2A44-420D-A777-A2B76B7943B2}\RP38\A0017129.exe Infecté : Trojan-Proxy.Win32.Horst.gx ignoré

C:\System Volume Information\_restore{C2A370B8-2A44-420D-A777-A2B76B7943B2}\RP38\A0017130.exe Infecté : Trojan-Proxy.Win32.Horst.gx ignoré

C:\System Volume Information\_restore{C2A370B8-2A44-420D-A777-A2B76B7943B2}\RP49\change.log L'objet est verrouillé ignoré

C:\System Volume Information\_restore{C2A370B8-2A44-420D-A777-A2B76B7943B2}\RP9\A0003815.exe Infecté : Backdoor.Win32.Ciadoor.13 ignoré

C:\System Volume Information\_restore{C2A370B8-2A44-420D-A777-A2B76B7943B2}\RP9\A0003820.sys Infecté : Backdoor.Win32.Ciadoor.13 ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\system\smss.exe Infecté : Trojan-Proxy.Win32.Horst.av ignoré

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\ACEEvent.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\XjSVgjl124.ini Infecté : Backdoor.Win32.Ciadoor.13 ignoré

C:\WINDOWS\Temp\tmp00000284\tmp00000000 L'objet est verrouillé ignoré

Je vais faire un scan bitdefender (après mise a jour) complet en mode sans echec
je dois choisir ma session principale ou l'admin bizarre qui apparait seulement en mode sans echec?

Message édité par gaymer's le 09-09-2006 à 18:08:15

gaymer's

Modayrateur

Bitdefender en a trouvé 4 mais bizarrement il les detruit pas :??:

C:\Documents and Settings\**\Local Settings\Temp\32exssd32.3.exe Infecté avec: Trojan.Proxy.Horst.AN
C:\Documents and Settings\**\Local Settings\Temp\51exhdd.5.exe Infecté avec: Trojan.Zlob.Gen
C:\Documents and Settings\**\Local Settings\Temp\75exmodul32s.6.exe Infecté avec: Trojan.Proxy.Horst.HQ
C:\WINDOWS\system32\XjSVgjl124.ini Infecté avec: DeepScan:Generic.Malware.SLMDBCbg.EF7C6526

chercheurbis

Re

Une partie de la procédure se déroulera sans avoir accès à internet, prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant cette désinfection.
Les manipulations sont à faire sans interruption et dans l'ordre.
Si tu ne comprends pas quelque chose, demande des explications avant de commencer.

1 Télécharge Killbox.
http://www.downloads.subratam.org/KillBox.zip
Place le programme dans le répertoire qui te plaît.

2 Clique sur Démarrer
Clic droit sur le Poste de Travail - Propriétés - Restauration du systéme - Cocher la case Désactiver la restauration du systéme et cliquer sur Appliquer.

3 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.

4 Relance un scan HijackThis et coche les lignes ci-dessous :

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O23 - Service: DirectX Service (DirectHyfb) - Unknown owner - c:\windows\system32\directx.exe (file missing)

Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »

5 Tu clique sur Démarrer puis Exécuter, tu tapes services.msc et tu cliques sur OK.

Dans la liste des services, cherche et sélectionne
"DirectX Service" / double clique sur la ligne
/ vérifie dans Chemin d'accès des fichiers exécutables qu'il
s'agit bien de "c:\windows\system32\directx.exe" / dans Type de démarrage,
sélectionne Désactiver / valide la modification.

6 Lance le nettoyage avec CCleaner.

7 Lance Pocket Killbox.
--- choisis l'option Delete on Reboot
--- copie la liste ci-dessous, des fichiers à supprimer (Ctrl-C) et File / Paste from Clipboard

C:\WINDOWS\system\smss.exe
C:\WINDOWS\system32\XjSVgjl124.ini
c:\windows\system32\directx.exe
C:\Documents and Settings\All Users\Documents\setup.exe

* les boutons "Single File" et "All Files" deviennent actifs mais "Single File" est activé par défaut.
Il faut alors impérativement activer (cliquer sur) "All Files", impérativement, sinon seul le premier de la liste sera supprimé.
--- vérifie que tous les fichiers sont enregistrés, par la liste déroulante "Full Path of File to Delete"
--- clique sur la croix blanche sur fond rouge (Delete File) :

- "File will be Removed on Reboot, Do you want to reboot now?", réponds OUI si tu es prêt à procéder

8 Redémarre normalement

9 Clique sur Démarrer
Clic droit sur le Poste de Travail - Propriétés - Restauration du systéme - Décocher la case Désactiver la restauration du systéme et cliquer sur Appliquer.

10 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :

C:\Documents and Settings\All Users\Documents

Poste un nouveau log HijackThis.

gaymer's

Modayrateur

Oki thanks je vais copier ça et essayer, merci :jap:

gaymer's

Modayrateur

:hello:
J'ai tout suivi a la lettre et donc voici mon nouveau hijackhis

Citation :

Logfile of HijackThis v1.99.1
Scan saved at 11:14:04, on 10/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Softwin\BitDefender9\bdmcon.exe
C:\Program Files\Softwin\BitDefender9\bdoesrv.exe
C:\Program Files\Softwin\BitDefender9\bdnagent.exe
C:\Program Files\Softwin\BitDefender9\bdswitch.exe
C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\Program Files\Kerio\Personal Firewall\persfw.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Softwin\BitDefender9\vsserv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
D:\Animes\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Program Files\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender9\bdmcon.exe"
O4 - HKLM\..\Run: [BDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Program Files\Softwin\BitDefender9\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\Program Files\Softwin\BitDefender9\bdswitch.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [ChrisTV Agent] "C:\Program Files\ChrisTV Lite\ChrisTV_Agent.exe"
O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: Interface Chat Voila - http://chat4.x-echo.com/version7/Applet/vchatsign.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

chercheurbis

Bien, HijackThis est propre.

Refais un scan avec Kaspersky pour voir s'il trouve encore quelque chose.

gaymer's

Modayrateur

Oki je vais scanner, je peux faire un scan bitdefender a la place?
En tout cas merci beaucoup pour ton aide, c'est dingue ce genre de soucis je pensais que l'anti virus pouvait s'en charger mais finalement non.

Tu penses que l'infection a pu venir d'ou? En général je fais très attention aux mail et j'ai kerio qui bloque tout.

gaymer's

Modayrateur

bah mine kaspersky me sort ça:

C:\!KillBox\smss.exe Infecté : Trojan-Proxy.Win32.Horst.av ignoré
C:\!KillBox\smss.exe( 3) Infecté : Trojan-Proxy.Win32.Horst.av ignoré
C:\!KillBox\XjSVgjl124.ini Infecté : Backdoor.Win32.Ciadoor.13 ignoré
C:\!KillBox\XjSVgjl124.ini( 2) Infecté : Backdoor.Win32.Ciadoor.13 ignoré

Pourtant j'ai tout suivi a la lettre :cry: :cry:

chercheurbis

Supprime C:\!KillBox
C'est la sauvegarde de KillBox.
Donc plus d'infection.

As tu encore des dysfonctionnements ?

gaymer's

Modayrateur

Non plus de soucis apparemment, merci infiniment chercheurbis :jap:

C'est la demache a suivre pour chaque virus ou trojan que j'arrive pas a effacer?
Detecter l'emplacement des problemes et les resouvre comme indiqué pour mon ancien probleme

Message édité par gaymer's le 10-09-2006 à 15:52:10

chercheurbis

Oui, tu peux les retrouver avec les scans en ligne et les supprimer manuellement.

Mais pour certaines infections, il faut des outils spécifiques.

gaymer's

Modayrateur

Oki encore merci pour tout :jap:

kOrt3zZz

www.cyberlife.fr.cc

kaman a écrit :

T'as fait un scan AV et Spyware histoire de?

Je pense que ça peut etre pas mal, car tu as pas mal de processus bizarre.

Message cité 1 fois

chercheurbis

kOrt3zZz a écrit :

Je pense que ça peut etre pas mal, car tu as pas mal de processus bizarre.

Lesquels ?

Publicité

FORUM HardWare.fr

Windows & Software

Sécurité

J'ai 8 svchost.exe dans mon gestionnaire dont a 99% UC + exmudole.exe

Sujets relatifs
solution svchost.exe et win2K	Probleme d'affichage: poste de travail, gestionnaire de peripherique
help svchost	Regardez mon gestionnaire de taches ... ? ?
svchost.exe...	Gestionnaire d'absence du bureau [Exchange]
gestionnaire de périphériques	Erreur svchost -> plus de son - étrange
[PB] - Svchost 100% cpu démarage	plantage avec svchost.exe
Plus de sujets relatifs à : J'ai 8 svchost.exe dans mon gestionnaire dont a 99% UC + exmudole.exe

Page générée en 0.093 secondes