Trop de processus au démarrage

[toubib32]

Bonsoir Jude et Tibonhomme,

 

à Jude: Bonne chance avec ton PC

 

à Tibonhomme:

Il me paraît toujours préférable d'opérer les modifications manuellement, cela permet en outre d'apprendre à mieux connaître et maîtriser le système d'exploitation.

 

Merci pour le conseil

 

Quelques vérification de sécurité et des mises à jour :

 

J'en profite aussi

[jude18]

Désolé Tibonhomme....

Modifié le 28 mai 2010 par jude18

[Tibonhomme]

Bonjour jude18,

 

Désolé Tibonhomme....

Non, non, ne sois pas désolé, c'était une boutade

C'est moi qui te l'ai demandé ce rapport complet, et si je te l'ai demandé, c'est bien pour le lire et l'analyser n'est-ce pas (au mieux de ce que je peux faire, s'entend... ), sinon cela ne sert à rien.

 

Houla que c'était long... mais très intéressant.

 

Je n'ai pas assez de temps maintenant, je te poste tous les commentaires et les instructions ce soir.

En tout cas, tu as bien bossé pour faire de la place.

 

@+

 

@toubib32,

J'en profite aussi plus1.gif

Ravi que cela te serve également.

 

[jude18]

Merci ................

Oui question place , maintenant j'en ai ...

 

Je t'attends et merci du tps que tu as passé dessus

[Tibonhomme]

Bonjour jude18,

 

Désolé pour le retard.

 

Félicitations pour le grand nettoyage :

---\\ DOS/Devices

C:\ Hard drive, Flash drive, Thumb drive (Free 23 Go of 50 Go)

D:\ Hard drive, Flash drive, Thumb drive (Free 23 Go of 67 Go)

E:\ Floppy drive, Flash card reader, USB Key (Not Inserted)

F:\ Hard drive, Flash drive, Thumb drive (Free 24 Go of 24 Go)

G:\ CD-ROM drive (Not Inserted)

H:\ CD-ROM drive (Not Inserted)

Avec en plus le luxe d'une partition totalement vide!

 

On commence par quelques suppressions :

* Désinstalle McAfee Security Scan Plus par Ajout / Suppression de programmes (tu as dû l'installer par mégarde en même temps qu'une mise à jour)

Supprime le dossier C:\Program Files\McAfee Security Scan\

* Si les dossiers suivants correspondent à des logiciels ou toolbars désinstallés, tu peux les supprimer (vérifie auparavant ce qu'ils contiennent) :

C:\Program Files\AVS4YOU

C:\Program Files\Conduit

C:\Program Files\RegCleaner

C:\Program Files\SpeedFan

C:\Program Files\WinRAR

C:\Program Files\Yahoo!

C:\Program Files\Fichiers Communs\AVSMedia

* Effectue une recherche sur le nom Office 14 et supprime tous les dossiers s'y rapportant. Attention, ne supprime pas les dossiers et fichiers concernant la version de Microsoft Office installée sur ta machine.

 

Des logiciels ne sont pas à jour :

---\\ Logiciels installés (O42)

------

O42 - Logiciel: MyDefrag v4.2.8 - (.J.C. Kessels.) [HKLM]

-----

O42 - Logiciel: VLC media player 1.0.3 - (.VideoLAN Team.) [HKLM]

Désinstalle-les par Ajout / Suppression de programmes

Supprime les dossiers :

C:\Program Files\MyDefrag v4.2.8

C:\Program Files\VideoLAN

Liens de téléchargement des dernières versions si tu désires les installer :

* MyDefrag-v4.3.1 : http://www.mydefrag.com/Manual-DownloadAndInstall.html

* VLC 1.0.5 : http://www.videolan.org/vlc/

 

Je vois que tu as finalement conservé PowerCinema, pas très grave si ce n'est pas la toute dernière version :

O42 - Logiciel: PowerCinema - (.CyberLink Corp..) [HKLM]

Et dans un domaine plus malheureux (alors que tu m'avais affirmé les supprimer) :

---\\ Logiciels installés (O42)

------

O42 - Logiciel: Vuze - (.Vuze Inc..) [HKLM]

------

O42 - Logiciel: eMule - (.Pas de propriétaire.) [HKLM]

Je t'ai fait quelques recommandations de sécurité à ce sujet. Après, libre à toi bien sûr de suivre ou non les conseils. Sache quand même que près de 9 cracks sur 10 sont infectés aujourd'hui, et pas par des bestioles anodines, hein. Un tour en spectateur dans les sections de désinfection de quelques forums réputés (dont celui de Zebulon) te permettra de constater les dommages provoqués par l'usage du P2P. Certaines infections actuelles sont monstrueuses et particulièrement difficiles à éradiquer, et les dégâts redoutables : vol des mots de passe et identifiants, piratage des adresses de messagerie, contacts et carnets d'adresse, transformation de l'ordinateur en PC zombie (contrôlé à distance avec les droits administrateurs grâce à des connexions par portes dérobées) au sein d'un botnet... Et cela de façon insidieuse et pratiquement transparente pour l'utilisateur! Sans compter le risque de tomber sur une méchante cochonnerie comme Virut qui neutralise tous les outils de sécurité et infecte tous les fichiers système (et une partie des données personnelles) à très grande vitesse, avec souvent comme seule solution : le formatage, et à la clé, la perte d'un partie des travaux personnels.

Est-ce que le jeu en vaut la chandelle? A toi de voir...

 

Un mot sur Glary Utilities :

---\\ Tâches planifiées en automatique (O39)

O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\GlaryInitialize.job

Sois prudent avec ce genre de programme (que personnellement je n'apprécie pas, mais bon...). Fais en sorte qu'il ne tourne pas en tâche de fond, c'est préférable, et n'utilise pas la fonction de nettoyage de registre, cela peut causer de sérieux problèmes.

Concernant la base de registre, lire cet article (dernier paragraphe) : http://www.libellules.ch/idees_recues_logiciels.php

 

Quelques corrections sur les services :

• Menu Démarrer / Exécuter ou par les touches [Windows] (avec le logo) + [R]
  
• Dans la fenêtre qui s'ouvre tape directement services.msc puis valide par OK ou la touche [Entrée]
  
• Agrandis la fenêtre des Services et élargis la 1ère colonne Nom.
  
• Si les services suivants sont en démarrage Manuel ou Automatique, les Désactiver :
  Recherche s'il reste des services liés à Symantec :
  Symantec Eraser Control driver (eeCtrl)
  SymSnap (SymSnap)
  V2IMount (V2IMount)
  
• Pour ce faire, double-clique sur le service concerné, puis à Type de démarrage, sélectionne Désactivé, puis clique sur Arrêter, puis sur Appliquer puis OK
  
• Si les services suivants sont en démarrage Automatique, les passer en démarrage Manuel :
  .NET Runtime Optimization Service
  VAIO Entertainment Database Service (VzCdbSvc)
  VAIO Entertainment File Import Service (VzFw)
  
• Pour ce faire, double-clique sur le service concerné, puis à Type de démarrage, sélectionne Manuel, puis clique sur Appliquer puis OK
  
• Ferme cette fenêtre.
  

 

J'en viens à ce curieux KMService :

je connais pas KMService, j'avais pas fais attention mais je connais pas

J'ai trouvé ce que c'est . Je t'ai parlé des cracks un peu plus haut, eh bien je crois que nous y sommes en plein :

KMService = KeyManagementService. C'est le générateur de clés aléatoires (keygen) pour l'activation d'Office 2010 (tu sais...Microsoft Office Professionnel Plus 2010 qui était installé sur ta machine ). Il s'est installé en même temps que le programme.

Il y a bien une version Beta officielle d'Office 2010, mais dans ton cas je crois plutôt à un vilain crack (vu la recherche sur la somme MD5 de KMService.exe), que tu as désinstallé du reste. Je me trompe?

 

J'ai repéré la localisation des processus mais nous allons tenter d'en savoir un peu plus.

Télécharge SystemLook de jpshortstuff :

Miroir de téléchargement #1 : http://jpshortstuff.247fixes.com/SystemLook.exe

Miroir de téléchargement #2 : http://images.malwareremoval.com/jpshortstuff/SystemLook.exe

SystemLook est un exécutable. Il ne nécessite pas d'installation.

• Enregistre-le sur le bureau
  
• Double-clique sur SystemLook.exe
  
• Copie tout le texte contenu à l'intérieur de la fenêtre Code ci-dessous :
  

  :filefind
  KMService.*
  srvany.*
  
  :regfind
  KMService
  srvany

  
  

• Colle ce texte dans la fenêtre texte principale de SystemLook
  
• Clique sur Look et laisse l'outil travailler
  
• A la fin de la recherche, le Bloc-notes s'ouvre avec le rapport de recherche
  
• Copie-colle le contenu de ce rapport en entier dans ton prochain message.
  
• Le rapport se trouve également sur le bureau, nommé SystemLook.txt.
  

Rends-toi sur la page de Virus Total : http://www.virustotal.com/fr/

• Clique sur Parcourir...
   
  
• Recherche ce fichier :
  C:\WINDOWS\KMService.exe
   
  
• Clique sur Envoyer le fichier
  
• Si tes outils de sécurité réagissent à l'envoi du fichier, ignore les alertes
  
• Si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant (Reanalyse file now)
  
• Un message va s'afficher (n'interromps pas l'analyse en cours) :

  Situation actuelle : en cours d'analyse

• Si le fichier est mis en file d'attente en raison d'un grand nombre de demandes d'analyses, patiente. Ne réactualise pas la page
  
• Lorsque l'analyse est terminée un message s'affiche :

  Situation actuelle: terminé

• Clique sur Formaté (en haut à gauche)
  
• Une nouvelle fenêtre apparaît. Clique sur l'image bleue avec les 2 flèches
  
• Clic droit sur la page / Sélectionner tout / Copier
  
• Colle le rapport d'analyse dans ta prochaine réponse, quel que soit le résultat du rapport.
  

 

Effectue une analyse en ligne avec Kaspersky Online Scanner :

L'analyse peut être longue (plusieurs heures), donc effectue-la lorsque tu n'a pas l'utilisation de l'ordinateur.

L'analyse devra être effectuée avec Internet Explorer.

Désactive auparavant ton antivirus par clic droit sur l'icône d'Antivir dans la zone de notification / Activer Antivir Guard (pour décocher la ligne). Le parapluie devra être fermé.

Suis ce tutoriel de Marie pour la réalisation de l'analyse et la génération du rapport : http://www.vista-xp.fr/forum/topic109.html

 

Nous nous occuperons des entrées de démarrage plus tard.

J'attends donc tes confirmations ou commentaires sur chaque point évoqué + les rapports de SystemLook, Virus Total et Kaspersky.

 

A ton tour de travailler.

A te lire

[jude18]

Bonjour Tibonhomme et merci pour toute ces explications, alors oui effectivement j'ai installé office 2010 la semaine dernière mais je l'ai désinstallé et remis mon 2003 qui fonctionne beaucoup mieux

Pour le p2p , j'avais juste oublié de les enlever , maintenant c'est fait ... j'ai désinstallé McAfee qui c'était installé tout seul !

 

alors pour SystemLook:

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KMSERVICE\0000]

"Service"="KMService"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KMSERVICE\0000]

"Service"="KMService"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KMSERVICE\0000\Control]

"ActiveService"="KMService"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KMService]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KMService\Parameters]

"Application"="C:\WINDOWS\KMService.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KMService\Enum]

"0"="Root\LEGACY_KMSERVICE\0000"

 

Searching for "srvany"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]

"a"="C:\WINDOWS\system32\srvany.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]

"a"="C:\WINDOWS\system32\srvany.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]

"a"="C:\WINDOWS\system32\srvany.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\KMService]

"ImagePath"="C:\WINDOWS\system32\srvany.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\KMService]

"ImagePath"="C:\WINDOWS\system32\srvany.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\KMService]

"ImagePath"="C:\WINDOWS\system32\srvany.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\KMService]

"ImagePath"="C:\WINDOWS\system32\srvany.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\KMService]

"ImagePath"="C:\WINDOWS\system32\srvany.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\KMService]

"ImagePath"="C:\WINDOWS\system32\srvany.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\KMService]

"ImagePath"="C:\WINDOWS\system32\srvany.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\KMService]

"ImagePath"="C:\WINDOWS\system32\srvany.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KMService]

"ImagePath"="C:\WINDOWS\system32\srvany.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KMService]

"ImagePath"="C:\WINDOWS\system32\srvany.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KMService]

"ImagePath"="C:\WINDOWS\system32\srvany.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KMService]

"ImagePath"="C:\WINDOWS\system32\srvany.exe"

[HKEY_USERS\S-1-5-21-2278988384-656786289-2577159010-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]

"a"="C:\WINDOWS\system32\srvany.exe"

[HKEY_USERS\S-1-5-21-2278988384-656786289-2577159010-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]

"a"="C:\WINDOWS\system32\srvany.exe"

[HKEY_USERS\S-1-5-21-2278988384-656786289-2577159010-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]

"a"="C:\WINDOWS\system32\srvany.exe"

 

-=End Of File=-

 

 

 

 

 

 

Pour VirusTotal:

 

Fichier KMService.exe reçu le 2010.05.29 15:37:35 (UTC)

Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.50 2010.05.10 -

AhnLab-V3 2010.05.30.00 2010.05.29 -

AntiVir 8.2.1.242 2010.05.28 SPR/Tool.Keygen.BG

Antiy-AVL 2.0.3.7 2010.05.26 -

Authentium 5.2.0.5 2010.05.29 -

Avast 4.8.1351.0 2010.05.29 -

Avast5 5.0.332.0 2010.05.29 -

AVG 9.0.0.787 2010.05.29 -

BitDefender 7.2 2010.05.29 Application.Keygen.BG

CAT-QuickHeal 10.00 2010.05.29 -

ClamAV 0.96.0.3-git 2010.05.29 -

Comodo 4943 2010.05.29 -

DrWeb 5.0.2.03300 2010.05.29 -

eSafe 7.0.17.0 2010.05.27 -

eTrust-Vet 35.2.7519 2010.05.29 -

F-Prot 4.6.0.103 2010.05.29 -

F-Secure 9.0.15370.0 2010.05.29 Application.Keygen.BG

Fortinet 4.1.133.0 2010.05.29 -

GData 21 2010.05.29 Application.Keygen.BG

Ikarus T3.1.1.84.0 2010.05.29 not-a-virus.Keygen.Windows7

Jiangmin 13.0.900 2010.05.28 -

Kaspersky 7.0.0.125 2010.05.29 -

McAfee 5.400.0.1158 2010.05.29 -

McAfee-GW-Edition 2010.1 2010.05.29 Artemis!82865FF17BC6

Microsoft 1.5802 2010.05.29 HackTool:Win32/Keygen

NOD32 5154 2010.05.28 -

Norman 6.04.12 2010.05.29 W32/DLoader.AJJRI

nProtect 2010-05-29.01 2010.05.29 Application.Keygen.BG

Panda 10.0.2.7 2010.05.29 Suspicious file

PCTools 7.0.3.5 2010.05.29 -

Prevx 3.0 2010.05.29 -

Rising 22.49.05.04 2010.05.29 -

Sophos 4.53.0 2010.05.29 -

Sunbelt 6373 2010.05.29 -

Symantec 20101.1.0.89 2010.05.29 -

TheHacker 6.5.2.0.288 2010.05.27 -

TrendMicro 9.120.0.1004 2010.05.29 PAK_Generic.001

TrendMicro-HouseCall 9.120.0.1004 2010.05.29 -

VBA32 3.12.12.5 2010.05.29 -

ViRobot 2010.5.20.2326 2010.05.28 -

VirusBuster 5.0.27.0 2010.05.29 -

Information additionnelle

File size: 77824 bytes

MD5...: 82865ff17bc664c711efa674759f9991

SHA1..: 1603f72897cbd81f473a906c328a83c0413c5fb5

SHA256: f85cd6f93ba18e642d50bec7fc6aeb9d8751cc49b3be5650dd5c556628545524

ssdeep: 1536:4mO/4COvFDqw2MQfGVnRWvi/jl4gXDtywJIA2aiH:4BtqFKMNcOjl71JI+Y<br>

PEiD..: -

PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x276b0<br>timedatestamp.....: 0x4b612e24 (Thu Jan 28 06:26:44 2010)<br>machinetype.......: 0x14c (I386)<br><br>( 3 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>UPX0 0x1000 0x14000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>UPX1 0x15000 0x13000 0x12a00 7.88 aff7f465b2bdc4992c56311d33d0f7ac<br>UPX2 0x28000 0x1000 0x200 2.61 e8034afb2a404382b8b2b880044c2b6f<br><br>( 3 imports ) <br>> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess<br>> RPCRT4.dll: NdrServerCall2<br>> USER32.dll: wsprintfA<br><br>( 0 exports ) <br>

RDS...: NSRL Reference Data Set<br>-

pdfid.: -

trid..: UPX compressed Win32 Executable (39.5%)<br>Win32 EXE Yoda's Crypter (34.3%)<br>Win32 Executable Generic (11.0%)<br>Win32 Dynamic Link Library (generic) (9.8%)<br>Generic Win/DOS Executable (2.5%)

packers (Kaspersky): PE_Patch.UPX, UPX

sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>

packers (F-Prot): UPX

 

 

 

 

 

 

Pour Kapersky :

 

KASPERSKY ONLINE SCANNER 7.0: scan report

Saturday, May 29, 2010

Operating system: Microsoft Windows XP Professional Service Pack 3 (build 2600)

Kaspersky Online Scanner version: 7.0.26.13

Last database update: Saturday, May 29, 2010 11:34:51

Records in database: 4196408

--------------------------------------------------------------------------------

 

Scan settings:

scan using the following database: extended

Scan archives: yes

Scan e-mail databases: yes

 

Scan area - My Computer:

C:\

D:\

E:\

F:\

G:\

H:\

I:\

 

Scan statistics:

Objects scanned: 94735

Threats found: 1

Infected objects found: 1

Suspicious objects found: 1

Scan duration: 03:26:36

 

 

File name / Threat / Threats count

KMService.exe\KMService.exe/KMService.exe\KMService.exe Infected: Trojan-Downloader.Win32.Calac.lh 1

 

 

Selected area has been scanned.

[Tibonhomme]

Bonsoir jude 18,

 

Tout d'abord, tu n'as pas répondu à chaque point comme je te le demandais. Fais-le s'il te plaît.

D'autre part le rapport SystemLook n'est pas complet, peux-tu poster le rapport complet qui se trouve sur le bureau s'il te plaît : SystemLook.txt.

 

Les rapports Virus Total et Kaspersky sont d'accord et démontrent une infection, ce que je m'attendais à voir. Je t'indiquerai ensuite comment procéder (nous allons passer par la section de désinfection sur ce forum).

Pourquoi par la section de désinfection ?:

* Tout d'abord, et ce n'est pas le plus important (même si c'est impératif), parce que c'est la règle de fonctionnement de ce forum, particulièrement concernant la sécurité.

* En second lieu, et c'est là le plus important, parce qu'il y a trace d'infection et que nous ne savons pas ce que cela cache. Seuls les membres de l'Equipe Sécurité sont formés et dotés des compétences et de l'expérience nécessaire pour procéder au nettoyage et voir ce qui peut se trouver derrière cette infection éventuellement.

Je t'indiquerai comment procéder exactement.

 

Tu vois maintenant ce que c'est que de télécharger un crack?

 

A te lire

[jude18]

Oops , désolé j'ai mal cliqué .....

 

SystemLook v1.0 by jpshortstuff (11.01.10)

Log created at 17:35 on 29/05/2010 by Julien (Administrator - Elevation successful)

 

========== filefind ==========

 

Searching for "KMService.*"

C:\WINDOWS\KMService.exe --a--- 77824 bytes [06:57 20/05/2010] [07:03 10/04/2010] 82865FF17BC664C711EFA674759F9991

 

Searching for "srvany.*"

C:\WINDOWS\system32\srvany.exe --a--- 8192 bytes [06:57 20/05/2010] [17:06 18/04/2003] 4635935FC972C582632BF45C26BFCB0E

 

========== regfind ==========

 

Searching for "KMService"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_KMSERVICE]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_KMSERVICE\0000]

"Service"="KMService"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_KMSERVICE\0000]

"Service"="KMService"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_KMSERVICE\0000]

"Service"="KMService"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_KMSERVICE\0000]

"Service"="KMService"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_KMSERVICE\0000\Control]

"ActiveService"="KMService"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\KMService]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\KMService\Parameters]

"Application"="C:\WINDOWS\KMService.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\KMService\Enum]

"0"="Root\LEGACY_KMSERVICE\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_KMSERVICE]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_KMSERVICE\0000]

"Service"="KMService"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_KMSERVICE\0000]

"Service"="KMService"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_KMSERVICE\0000]

"Service"="KMService"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_KMSERVICE\0000]

"Service"="KMService"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\KMService]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\KMService\Parameters]

"Application"="C:\WINDOWS\KMService.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KMSERVICE]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KMSERVICE\0000]

"Service"="KMService"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KMSERVICE\0000]

"Service"="KMService"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KMSERVICE\0000]

"Service"="KMService"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KMSERVICE\0000]

"Service"="KMService"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KMSERVICE\0000\Control]

"ActiveService"="KMService"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KMService]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KMService\Parameters]

"Application"="C:\WINDOWS\KMService.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KMService\Enum]

"0"="Root\LEGACY_KMSERVICE\0000"

 

Searching for "srvany"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]

"a"="C:\WINDOWS\system32\srvany.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]

"a"="C:\WINDOWS\system32\srvany.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]

"a"="C:\WINDOWS\system32\srvany.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\KMService]

"ImagePath"="C:\WINDOWS\system32\srvany.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\KMService]

"ImagePath"="C:\WINDOWS\system32\srvany.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\KMService]

"ImagePath"="C:\WINDOWS\system32\srvany.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\KMService]

"ImagePath"="C:\WINDOWS\system32\srvany.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\KMService]

"ImagePath"="C:\WINDOWS\system32\srvany.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\KMService]

"ImagePath"="C:\WINDOWS\system32\srvany.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\KMService]

"ImagePath"="C:\WINDOWS\system32\srvany.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\KMService]

"ImagePath"="C:\WINDOWS\system32\srvany.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KMService]

"ImagePath"="C:\WINDOWS\system32\srvany.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KMService]

"ImagePath"="C:\WINDOWS\system32\srvany.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KMService]

"ImagePath"="C:\WINDOWS\system32\srvany.exe"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KMService]

"ImagePath"="C:\WINDOWS\system32\srvany.exe"

[HKEY_USERS\S-1-5-21-2278988384-656786289-2577159010-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]

"a"="C:\WINDOWS\system32\srvany.exe"

[HKEY_USERS\S-1-5-21-2278988384-656786289-2577159010-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]

"a"="C:\WINDOWS\system32\srvany.exe"

[HKEY_USERS\S-1-5-21-2278988384-656786289-2577159010-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]

"a"="C:\WINDOWS\system32\srvany.exe"

 

-=End Of File=-

 

 

 

Pour office 2010 oui effectivement je l'ai installé mais pour le tester , chose que j'achète après si ça me convient .

 

Pour les services je n'ai rien de symantec, j'ai mis les services VAIO en manuel

[Tibonhomme]

OK pour les explications jude18, merci.

 

Procède de la façon suivante, s'il te plaît :

Crée un nouveau message en section de désinfection (je te mets une lien direct vers une nouveau message en section de Sécurité / Analyses et éradication malwares) : http://forum.zebulon.fr/start-new-topic-f51.html

 

Titre de ton nouveau sujet : Infection Trojan-Downloader.Win32.Calac.lh 1

 

Copie-colle les rapports suivants dans l'ordre :

* Le rapport Virus total

* Le rapport Kaspersky

* Le rapport SystemLook

 

Indique le lien vers ce sujet.

Tu, seras pris en charge. Sois patient, il y a pas mal de sujets en cours.

Bonne continuation, nous nous retrouverons pour l'optimisation après la prise en charge en désinfection.

 

A bientôt

[jude18]

Merci beaucoup .... c'est effectué à bientôt