Trojan. Inject. IA sur Svchost

Danyspeed · le 23 septembre 2009

Salut

De mémoire (car je ne suis pas sur mon pc) il me semble en effet qu'il fait 0octet, mais qui occupe 14 octets sur le disque.

Falkra · le 23 septembre 2009

Ok, c'est aussi ce qu'indique le rapport CF, mais j'aime mieux demander une confirmation.

Comment se comporte la machine, actuellement ?

Poste un nouveau rapport HijackThis stp.

Danyspeed · le 23 septembre 2009

Je pense pas que ça aille mieux. Hier soir, à l'allumage, j'ai dû réactivé Bitdefender... Ya donc encore des intrus sur mon PC.

J'attends (enfin je ne pourrais faire que ce soir) tes instructions pour la suite (scan MBAM ou autres)

A 20h, je devrais pouvoir te donner un rapport hijack.

Merci

Falkra · le 23 septembre 2009

Pourtant ton fichier semblait ok, pour les autres antivirus.

Peux-tu me faire une copie de svchost.exe ? (se trouve dans c:\windows\system32), je te ferai parvenir par MP la procédure pour me l'envoyer : aucune donnée personnelle ne se trouve dans ce fichier, bien sûr.

Danyspeed · le 23 septembre 2009

Re,

J'ai lancé démarré le PC tranquillement, et Bit défender s'est activé tout seul. ça semble plutôt positif.

Voici le rapport Hijack:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:23:42, on 23/09/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16876)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\windows\system\hpsysdrv.exe

C:\Program Files\USB Storage RW\shwicon.exe

C:\HP\KBD\KBD.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe

C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Hercules\Deluxe Optical Glass\Camservice.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\WINDOWS\RaUI.exe

C:\Program Files\FolderSize\FolderSizeSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\wanmpsvc.exe

C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe

C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll

O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [KYE_Showicon] "C:\Program Files\USB Storage RW\shwicon.exe" -t"KYE\USB Storage RW"

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [storageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [bDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [CamserviceDeluxe2] C:\Program Files\Hercules\Deluxe Optical Glass\Camservice.exe /startup

O4 - HKLM\..\Run: [hpqSRMon] C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe

O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'Default user')

O4 - .DEFAULT User Startup: Registration-Studio 8 LE.lnk = C:\Program Files\Pinnacle\Studio 8\Register\RegTool.exe (User 'Default user')

O4 - .DEFAULT User Startup: UltimateZip Quick Start.lnk = C:\Program Files\UltimateZip 2.7\uzqkst.exe (User 'Default user')

O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart17.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Icône AOL.lnk = C:\Program Files\AOL 7.0\aoltray.exe

O4 - Global Startup: SMCWPCI-GM MIMO Wireless Utility.lnk = C:\WINDOWS\RaUI.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?ba10c2d7da5845e1bcf037b54a64dc50

O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?ba10c2d7da5845e1bcf037b54a64dc50

O9 - Extra button: Sélection intelligente HP - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Folder Size (FolderSize) - Brio - C:\Program Files\FolderSize\FolderSizeSvc.exe

O23 - Service: Google Update Service (gupdate1c98c83df21c40a) (gupdate1c98c83df21c40a) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe

O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe

--

End of file - 8723 bytes

Dans l'attente ton MP pour l'envoi de svchost.

Merci

Falkra · le 23 septembre 2009

Ok, bien pour l'antivirus. Ton rapport est ok. Je t'ai envoyé un MP.

Danyspeed · le 23 septembre 2009

MP receptionné, Fichier envoyé.

(par curoisité peux tu me dire pourquoi il y a 12 svchost actif dans la liste des processus; cela dit j'en avait 16, donc 4de moins tiens, 4 comme 4 fichiers infectés, humhum!)

Falkra · le 24 septembre 2009

12 svchosts ? Regarde ici :

http://speedweb1.free.fr/frames2.php?page=service10

Ton fichier est sain, mais n'est pas à jour, ça sent le faux positif de l'antivirus ça.

Désactive Bitdefender, et passe au SP3.

Il faut de toute façon passer au SP3 de windows XP. (lien)

Danyspeed · le 24 septembre 2009

Désactive Bitdefender, et passe au SP3.

Pourquoi désactiver Bit?

En tout cas les grands esprits se rencontrent. Avant de voir si tu m'avais répondu, j'avais mis SP3 en télécharger, puisque le PC me le demandait depuis un moment, et donc bloque l'arrivées des autres MAJ.

SP3 Installé.

Oui oui bien 12 svchost. Pouvant aller de 2900ko à 63000ko.

La normal est à 8 max. Je sais pas si yen a qui s'active pour rien... Mon pc ne reconnais pas la commande tasklist!

Je lance un scan Bitdéf et MBAM?

Modifié le 24 septembre 2009 par Danyspeed

Danyspeed · le 24 septembre 2009

Probl^me résolu avec un peu de recherche, voici le tasklist:

Microsoft Windows XP [version 5.1.2600]

C:\Documents and Settings\Propriétaire>tasklist/svc

Image Name PID Services

========================= ====== =============================================

System Idle Process 0 N/A

System 4 N/A

smss.exe 792 N/A

csrss.exe 840 N/A

winlogon.exe 864 N/A

services.exe 908 Eventlog, PlugPlay

lsass.exe 920 PolicyAgent, ProtectedStorage, SamSs

svchost.exe 1072 DcomLaunch, TermService

svchost.exe 1128 RpcSs

svchost.exe 1224 6to4, AudioSrv, BITS, Browser, CryptSvc,

Dhcp, ERSvc, EventSystem,

FastUserSwitchingCompatibility, helpsvc,

HidServ, lanmanserver, lanmanworkstation,

Netman, Nla, RasMan, Schedule, seclogon,

SENS, SharedAccess, ShellHWDetection,

srservice, TapiSrv, Themes, TrkWks, W32Time,

winmgmt, wscsvc, wuauserv

svchost.exe 1256 WudfSvc

svchost.exe 1408 Dnscache

svchost.exe 1480 LmHosts, SSDPSRV

explorer.exe 1728 N/A

spoolsv.exe 1756 Spooler

hpsysdrv.exe 1940 N/A

shwicon.exe 1956 N/A

kbd.exe 1968 N/A

rundll32.exe 160 N/A

bdagent.exe 168 N/A

LaunchApplication.exe 180 N/A

jusched.exe 188 N/A

CamService.exe 148 N/A

hpqtra08.exe 312 N/A

RaUI.exe 640 N/A

svchost.exe 700 WebClient

FolderSizeSvc.exe 756 FolderSize

svchost.exe 956 hpqcxs08, hpqddsvc

mdm.exe 1204 MDM

svchost.exe 952 Net Driver HPZ12

nvsvc32.exe 1448 NVSvc

svchost.exe 1528 Pml Driver HPZ12

svchost.exe 1712 stisvc

wanmpsvc.exe 1888 WANMiniportService

xcommsvr.exe 320 XCOMM

livesrv.exe 656 LIVESRV

vsserv.exe 708 VSSERV

ServiceLayer.exe 2420 ServiceLayer

svchost.exe 2812 scan

alg.exe 2928 ALG

hpqste08.exe 3624 N/A

hpqbam08.exe 3656 N/A

hpqgpc01.exe 3692 N/A

firefox.exe 300 N/A

wuauclt.exe 1472 N/A

cmd.exe 3036 N/A

tasklist.exe 540 N/A

wmiprvse.exe 3240 N/A

C:\Documents and Settings\Propriétaire>

Connexion

Pas encore inscrit ?

Trojan. Inject. IA sur Svchost

Messages recommandés

Danyspeed

Falkra

Danyspeed

Falkra

Danyspeed

Falkra

Danyspeed

Falkra

Danyspeed

Danyspeed

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer