infection malware

[MGM]

Salut,

 

Oui j'ai mis a jour JAVA!!!, ou je ne sais pas comment le faire alors.. que dois je faire?

 

AVG AS je ne l'ai plus, la licence est fini.. par quoi je le remplace? ou je le reinstalle? est ou?

 

Ok pour les afifchages, ok pour suivre le reste

 

j'attend simplemet que tu me dise que faire avec AVG AS

 

Merci

[MGM]

j'oubliai..oui svchost.exe (il y en a plusieurs) prend pratiquement 100% de l'UC

 

j'ai change de dossier les prog, je les remets sur le bureau? je l'ai est mis sur un dossier nome infections..

[Gof]

ReBonsoir MGM,

 

Donc, pour AVG AS, pour rappel :

• Télécharge AVG AS - Mets le à jour.
  Ferme AVG AS. Ne pas le lancer tout de suite.
  Un tuto si tu n'y arrives pas => http://www.malekal.com/tutorial_AVG_AntiSpyware.php
  

 

Si tu as les autres outils, peu importe que tu les ai déplacés, ils doivent toujours fonctionner.

 

Oui j'ai mis a jour JAVA!!!, ou je ne sais pas comment le faire alors.. que dois je faire?

Oups, en effet, autant pour moi.

 

Pour ton svchost à 100%, rends toi dans ton menu démarrer, exécuter et tape : services.msc.

Trouve le service : Client DNS.

Fais un clic droit dessus, sélectionne propriétés et sélectionne en type de démarrage : désactivé.

Ferme la fenêtre et redémarre (en sans échec, comme ça tu enchaines sur la procédure que je t'ai indiquée précédemment).

 

Tu indiqueras en postant les rapports générés par la manipulation s'il y a eu du mieux suite à cela.

[MGM]

j'ai remarque que quand je termine le processus de svchost, je perd au bout de quelques minutes ma conexion reseau (internet).

[MGM]

impossible d'executer services.msc je tape cela mais rien ne se passe

[MGM]

1) j'ai pu enfin realiser la procedure pour le svchost.exe et rien ne se passe ca continue d'utiliser 100% du processus a chaque demarage et de dois le terminer manuellement, ou ca me bloque l'ordinateur au bout d'un moment.

C'es t ce qu'il y de plus genant

 

Le clint DNS est toujours desactive.

 

Mode sans echec

 

2) ok pour Otmoveit, je poste a la fin le rapport

 

3) je fais un hijacck et je fixe.. je trouve seul le 016 DPF chatspace.. et je le fixe, les autres n'apparaissent pas

 

4) ATF ok

 

5) je lance AVG je trouve le backdoor. je le suprrime comme action et je poste le rapport

 

6) j'ai eliminer TEMP, ce qu'il yavais dedans

 

voici les rapports:

 

 

 

File/Folder C:\WINDOWS\Downloaded Program Files\sponsoradulto.dllsponsoradulto.dll not found.

 

Created on 05/15/2007 18:07:45

 

-----------------

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 19:41:31 15/05/2007

 

+ Résultat de l'analyse:

 

 

 

C:\System Volume Information\_restore{F46864D2-90F4-48C3-AAE0-B0AFB8A80D04}\RP482\A0092371.dll -> Backdoor.Sivuxa.a : Aucune action entreprise.

C:\System Volume Information\_restore{F46864D2-90F4-48C3-AAE0-B0AFB8A80D04}\RP482\A0092373.dll -> Backdoor.Sivuxa.a : Aucune action entreprise.

C:\System Volume Information\_restore{F46864D2-90F4-48C3-AAE0-B0AFB8A80D04}\RP482\A0092397.dll -> Backdoor.Sivuxa.a : Aucune action entreprise.

C:\System Volume Information\_restore{F46864D2-90F4-48C3-AAE0-B0AFB8A80D04}\RP482\A0092398.dll -> Backdoor.Sivuxa.a : Aucune action entreprise.

C:\System Volume Information\_restore{F46864D2-90F4-48C3-AAE0-B0AFB8A80D04}\RP483\A0092448.dll -> Backdoor.Sivuxa.a : Aucune action entreprise.

C:\System Volume Information\_restore{F46864D2-90F4-48C3-AAE0-B0AFB8A80D04}\RP483\A0092449.dll -> Backdoor.Sivuxa.a : Aucune action entreprise.

C:\System Volume Information\_restore{F46864D2-90F4-48C3-AAE0-B0AFB8A80D04}\RP483\A0092495.exe -> Backdoor.Sivuxa.a : Aucune action entreprise.

C:\System Volume Information\_restore{F46864D2-90F4-48C3-AAE0-B0AFB8A80D04}\RP486\A0094060.dll -> Backdoor.Sivuxa.a : Aucune action entreprise.

C:\System Volume Information\_restore{F46864D2-90F4-48C3-AAE0-B0AFB8A80D04}\RP486\A0094061.dll -> Backdoor.Sivuxa.a : Aucune action entreprise.

 

 

Fin du rapport

 

-----------

 

Logfile of HijackThis v1.99.1

Scan saved at 20:05:15, on 15/05/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Microsoft Hardware\Mouse\point32.exe

C:\WINDOWS\system32\pctspk.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Program Files\Logitech\Video\LogiTray.exe

C:\Program Files\Google\Gmail Notifier\gnotify.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Logitech\Video\FxSvr2.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaul...rch/search.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaul...rch/search.html

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaul...//www.yahoo.com

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn3\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn3\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST1.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar1.02.5000.1021\en-us\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar1.02.5000.1021\en-us\msntb.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn3\yt.dll

O4 - HKLM\..\Run: [POINTER] point32.exe

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [pccguide.exe] "D:\Programmes\pccguide.exe"

O4 - HKLM\..\Run: [PCCClient.exe] "D:\Programmes\PCCClient.exe"

O4 - HKLM\..\Run: [Pop3trap.exe] "D:\Programmes\Pop3trap.exe"

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe" -quiet

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Monitor de conexión del teléfono.lnk.disabled

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htm

O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Program Files\Yahoo!\Common/ycmap.htm

O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Program Files\Yahoo!\Common/ycsms.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll

O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) -

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1121095280696

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1176309662250

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://paris.tourismeville.wanadoo.fr/acti...sCamControl.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

 

 

a++ merci

[MGM]

quand je termine le processus de svchost.exe je perd la liste de mes reseaux, ma carte wifi ne les detecte plus et au bout d'un momnet je perd la conexion...etrange?? mais si je ne le fais pas je ne peut rien faire..

 

merci

[Gof]

Bonjour Mgm

 

Pour ton processus svchost qui t'ennuie, il est normal lorsque tu le coupes que tu perdes ta connexion. Consulte cet article de Tesgaz pour comprendre à quoi il sert et réaliser qu'il s'agit de processus divers windows imbriqués les uns dans les autres. Ce symptôme est souvent lié à un souci de service windows. A titre d'essai pour vérifier, stoppe et désactive le service de mise à jour automatiques pour vérifier que cela ne vient pas de la.

 

Bon, bien bossé ; rien d'apparent sur le log hijackthis ; AVG AS ne détecte que les points de restauration. As-tu encore une fois des alertes virales ?

 

Je souhaiterais que tu me rapportes un rapport généré par Diaghelp (si tu as encore l'outil sur ton pc, supprime le et télécharge le à nouveau comme indiqué par la suite) :

 

Télécharge DiagHelp.zip de Malekal_morte sur ton bureau.

• Décompresse le, sur ton bureau par exemple.
  
• Un nouveau dossier chercher va être créé DiagHelp.
  
• Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître)
  
• Une fenêtre va s'ouvrir, choisis l'option 1
  
• L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
  
• Copie/colle le contenu du bloc-note qui s'ouvre et joins le à ta prochaine réponse.
  

A bientôt.

[MGM]

Maintenant que tu le comente c'est peut etre ca les mises a jour automtique de windows, a peine hier je les ai mis en automatique et depuis ce moment j'ai les problemes.. je vais les enlever.

 

Je fais le diag et je poste

 

a===

 

merci

 

Ps: dans la nuit j'ai lance un avast complet et j'ai encore trouve 12 files infectes, je les ai elimine.. un trojan c'ete..win je ne sais pas combien..

 

qu' est que c'est mieux eliminer, quarantaine? move to chest?

[MGM]

Probleme resolu du svchost.exe, c'ete bien les mises a jour automatique..merci.