[Résolu] Infection par virus svchost

[kmio]

bonjour a tous

 

j'ai deja posté un message, mais je créer ici avec plus de précision et des rapports d'analyse.

 

j'ai eu un message svchost a arretté de fonctionner, suite à ca wuaultc à cessé de fonctionner..

 

je n'ai pas accès aux maj windows ni par security center, ni par ie.

 

j'ai suivi certaines directives du net, a savoir :

 

ccleaner, malwares bytes, modif bdr HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer

(premier occurence binaire modifié de 91 a 00), antivir

 

antivir me trouve :

 

Avira AntiVir Personal

Date de création du fichier de rapport : Thursday, April 21, 2011 04:13

 

La recherche porte sur 2585605 souches de virus.

 

Le programme fonctionne en version intégrale illimitée.

Les services en ligne sont disponibles.

 

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus

Numéro de série : 0000149996-ADJIE-0000001

Plateforme : Windows XP

Version de Windows : (Service Pack 3) [5.1.2600]

Mode Boot : Démarré normalement

 

 

Informations de version :

BUILD.DAT : 10.0.0.122 31822 Bytes 07/03/2011 14:32:00

AVSCAN.EXE : 10.0.3.5 435368 Bytes 04/02/2011 10:08:49

AVSCAN.DLL : 10.0.3.0 56168 Bytes 04/02/2011 10:09:07

LUKE.DLL : 10.0.3.2 104296 Bytes 04/02/2011 10:08:56

LUKERES.DLL : 10.0.0.0 13672 Bytes 04/02/2011 10:09:08

VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 07:05:36

VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 10:09:03

VBASE002.VDF : 7.11.3.0 1950720 Bytes 09/02/2011 14:37:41

VBASE003.VDF : 7.11.5.225 1980416 Bytes 07/04/2011 14:37:45

VBASE004.VDF : 7.11.5.226 2048 Bytes 07/04/2011 14:37:45

VBASE005.VDF : 7.11.5.227 2048 Bytes 07/04/2011 14:37:45

VBASE006.VDF : 7.11.5.228 2048 Bytes 07/04/2011 14:37:45

VBASE007.VDF : 7.11.5.229 2048 Bytes 07/04/2011 14:37:45

VBASE008.VDF : 7.11.5.230 2048 Bytes 07/04/2011 14:37:45

VBASE009.VDF : 7.11.5.231 2048 Bytes 07/04/2011 14:37:46

VBASE010.VDF : 7.11.5.232 2048 Bytes 07/04/2011 14:37:46

VBASE011.VDF : 7.11.5.233 2048 Bytes 07/04/2011 14:37:46

VBASE012.VDF : 7.11.5.234 2048 Bytes 07/04/2011 14:37:46

VBASE013.VDF : 7.11.6.28 158208 Bytes 11/04/2011 14:37:46

VBASE014.VDF : 7.11.6.74 116224 Bytes 13/04/2011 14:37:46

VBASE015.VDF : 7.11.6.113 137728 Bytes 14/04/2011 14:37:46

VBASE016.VDF : 7.11.6.150 146944 Bytes 18/04/2011 14:37:47

VBASE017.VDF : 7.11.6.192 138240 Bytes 20/04/2011 02:12:39

VBASE018.VDF : 7.11.6.193 2048 Bytes 20/04/2011 02:12:39

VBASE019.VDF : 7.11.6.194 2048 Bytes 20/04/2011 02:12:39

VBASE020.VDF : 7.11.6.195 2048 Bytes 20/04/2011 02:12:39

VBASE021.VDF : 7.11.6.196 2048 Bytes 20/04/2011 02:12:39

VBASE022.VDF : 7.11.6.197 2048 Bytes 20/04/2011 02:12:39

VBASE023.VDF : 7.11.6.198 2048 Bytes 20/04/2011 02:12:39

VBASE024.VDF : 7.11.6.199 2048 Bytes 20/04/2011 02:12:39

VBASE025.VDF : 7.11.6.200 2048 Bytes 20/04/2011 02:12:39

VBASE026.VDF : 7.11.6.201 2048 Bytes 20/04/2011 02:12:39

VBASE027.VDF : 7.11.6.202 2048 Bytes 20/04/2011 02:12:39

VBASE028.VDF : 7.11.6.203 2048 Bytes 20/04/2011 02:12:39

VBASE029.VDF : 7.11.6.204 2048 Bytes 20/04/2011 02:12:39

VBASE030.VDF : 7.11.6.205 2048 Bytes 20/04/2011 02:12:39

VBASE031.VDF : 7.11.6.215 44032 Bytes 20/04/2011 02:12:39

Version du moteur : 8.2.4.214

AEVDF.DLL : 8.1.2.1 106868 Bytes 04/02/2011 10:08:46

AESCRIPT.DLL : 8.1.3.59 1261947 Bytes 21/04/2011 02:12:41

AESCN.DLL : 8.1.7.2 127349 Bytes 04/02/2011 10:08:45

AESBX.DLL : 8.1.3.2 254324 Bytes 04/02/2011 10:08:45

AERDL.DLL : 8.1.9.9 639347 Bytes 19/04/2011 14:37:51

AEPACK.DLL : 8.2.6.0 549237 Bytes 19/04/2011 14:37:50

AEOFFICE.DLL : 8.1.1.20 205177 Bytes 19/04/2011 14:37:50

AEHEUR.DLL : 8.1.2.105 3453303 Bytes 21/04/2011 02:12:41

AEHELP.DLL : 8.1.16.1 246134 Bytes 03/02/2011 18:54:42

AEGEN.DLL : 8.1.5.4 397684 Bytes 19/04/2011 14:37:48

AEEMU.DLL : 8.1.3.0 393589 Bytes 04/02/2011 10:08:38

AECORE.DLL : 8.1.20.2 196982 Bytes 19/04/2011 14:37:48

AEBB.DLL : 8.1.1.0 53618 Bytes 04/02/2011 10:08:37

AVWINLL.DLL : 10.0.0.0 19304 Bytes 04/02/2011 10:08:50

AVPREF.DLL : 10.0.0.0 44904 Bytes 04/02/2011 10:08:49

AVREP.DLL : 10.0.0.8 62209 Bytes 17/06/2010 12:27:52

AVREG.DLL : 10.0.3.2 53096 Bytes 04/02/2011 10:08:49

AVSCPLR.DLL : 10.0.3.2 84328 Bytes 04/02/2011 10:08:49

AVARKT.DLL : 10.0.22.6 231784 Bytes 04/02/2011 10:08:46

AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 04/02/2011 10:08:48

SQLITE3.DLL : 3.6.19.0 355688 Bytes 17/06/2010 12:28:02

AVSMTP.DLL : 10.0.0.17 63848 Bytes 04/02/2011 10:08:49

NETNT.DLL : 10.0.0.0 11624 Bytes 17/06/2010 12:28:01

RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 10/02/2010 22:23:03

RCTEXT.DLL : 10.0.58.0 99688 Bytes 04/02/2011 10:09:08

 

Configuration pour la recherche actuelle :

Nom de la tâche...............................: Lecteurs locaux

Fichier de configuration......................: C:\Program Files\Avira\AntiVir Desktop\alldrives.avp

Documentation.................................: bas

Action principale.............................: interactif

Action secondaire.............................: ignorer

Recherche sur les secteurs d'amorçage maître..: marche

Recherche sur les secteurs d'amorçage.........: marche

Secteurs d'amorçage...........................: C:, E:, D:, F:, G:, H:, I:, J:,

Recherche dans les programmes actifs..........: marche

Recherche en cours sur l'enregistrement.......: marche

Recherche de Rootkits.........................: arrêt

Contrôle d'intégrité de fichiers système......: arrêt

Fichier mode de recherche.....................: Tous les fichiers

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: moyen

 

Début de la recherche : Thursday, April 21, 2011 04:13

 

La recherche sur les processus démarrés commence :

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avshadow.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés

Processus de recherche 'IEXPLORE.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'AdobeUpdater.exe' - '1' module(s) sont contrôlés

Processus de recherche 'AcroRd32.exe' - '1' module(s) sont contrôlés

Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wscntfy.exe' - '1' module(s) sont contrôlés

Processus de recherche 'VC9SecS.exe' - '1' module(s) sont contrôlés

Processus de recherche 'VC9Tray.exe' - '1' module(s) sont contrôlés

Processus de recherche 'TeaTimer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés

Processus de recherche 'msmsgs.exe' - '1' module(s) sont contrôlés

Processus de recherche 'daemon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'RUNDLL32.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'VC9Play.exe' - '1' module(s) sont contrôlés

Processus de recherche 'SixEngine.exe' - '1' module(s) sont contrôlés

Processus de recherche 'RTHDCPL.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'Explorer.EXE' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés

Processus de recherche 'services.exe' - '1' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

 

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD1

[iNFO] Aucun virus trouvé !

 

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'E:\'

[iNFO] Aucun virus trouvé !

 

La recherche sur les renvois aux fichiers exécutables (registre) commence :

Le registre a été contrôlé ( '347' fichiers).

 

 

La recherche sur les fichiers sélectionnés commence :

 

Recherche débutant dans 'C:\'

Recherche débutant dans 'E:\' <KINGSTON>

E:\Virtual.CD.v9.3.0.1.Bilingual.Retail-NOY\Setup\xsetup.exe

[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen

Recherche débutant dans 'D:\'

Impossible d'ouvrir le chemin à scanner D:\ !

Erreur système [21]: Le périphérique n'est pas prêt.

Recherche débutant dans 'F:\'

Impossible d'ouvrir le chemin à scanner F:\ !

Erreur système [21]: Le périphérique n'est pas prêt.

Recherche débutant dans 'G:\' <KAAMELOTT_DVD1>

Recherche débutant dans 'H:\'

Impossible d'ouvrir le chemin à scanner H:\ !

Erreur système [21]: Le périphérique n'est pas prêt.

Recherche débutant dans 'I:\'

Impossible d'ouvrir le chemin à scanner I:\ !

Erreur système [21]: Le périphérique n'est pas prêt.

Recherche débutant dans 'J:\'

Impossible d'ouvrir le chemin à scanner J:\ !

Erreur système [21]: Le périphérique n'est pas prêt.

 

Début de la désinfection :

E:\Virtual.CD.v9.3.0.1.Bilingual.Retail-NOY\Setup\xsetup.exe

[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ccc3ccf.qua' !

 

 

Fin de la recherche : Thursday, April 21, 2011 04:35

Temps nécessaire: 21:11 Minute(s)

 

La recherche a été effectuée intégralement

 

8121 Les répertoires ont été contrôlés

155578 Des fichiers ont été contrôlés

1 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

1 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

0 Impossible de scanner des fichiers

155577 Fichiers non infectés

968 Les archives ont été contrôlées

0 Avertissements

1 Consignes

 

quarentaine

 

MBAB me trouve :

 

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

 

Version de la base de données: 6410

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

4/21/2011 12:49:31 PM

mbam-log-2011-04-21 (12-49-31).txt

 

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)

Elément(s) analysé(s): 201165

Temps écoulé: 22 minute(s), 13 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 1

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 2

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\vsfocemtkdgrrs (Rootkit.TDSS) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

c:\documents and settings\user\application data\file1.exe (Trojan.Agent) -> Quarantined and deleted successfully.

c:\WINDOWS\system32\vsfoceywfkxeol.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.

 

quanrentaine

 

hijackthis :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 1:23:36 PM, on 4/21/2011

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\ASUS\Six Engine\SixEngine.exe

C:\Program Files\Virtual CD v9\System\VC9Play.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\DAEMON Tools Lite\daemon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Virtual CD v9\System\VC9Tray.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\Virtual CD v9\System\VC9SecS.exe

C:\Program Files\Avira\AntiVir Desktop\avshadow.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Program Files\Avira\AntiVir Desktop\avcenter.exe

C:\Documents and Settings\user\Bureau\HiJackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN : Hotmail, Messenger, Bing, Actualité et Sport

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN : Hotmail, Messenger, Bing, Actualité et Sport

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - (no file)

O2 - BHO: (no name) - {4daac69c-cba7-45e2-9bc8-1044483d3352} - (no file)

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [six Engine] "C:\Program Files\ASUS\Six Engine\SixEngine.exe" -r

O4 - HKLM\..\Run: [VC9Player] C:\Program Files\Virtual CD v9\System\VC9Play.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] C:\Program Files\NVIDIA Corporation\nView\nwiz.exe /installquiet

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1297086076312

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Google Update Service (gupdate) (gupdate) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Virtual CD v9 Management Service (VC9SecS) - H+H Software GmbH - C:\Program Files\Virtual CD v9\System\VC9SecS.exe

 

--

End of file - 5314 bytes

 

j'ai un avertissement (bas a droite barre du bureau qui me dit memoire virtuelle insufisante (uc utilisé 0%...) je viens de reboot le pc

 

apres avoir isolé avec malwares byte et redemarré, j'ai ete obligé de redemarer une derniere sauvegarde car le mode demarer windows normalement rebootait le pc a chaque fois avec un mini ecran bleu entre deux redemarage...

 

je suis perdu, c'est apparu d'un coup, sans raison apparente.

 

merci de bien vouloir m'aider

Modifié le 3 mai 2011 par kmio

[Apollo]

Bonsoir,

 

De quelle marque est ton pc? Est-ce une de ces marques qui ont une partiton "Recovery" et des cd bien spécifiques à la marque?

 

Ou est-ce un pc avec un Windows XP installé tout simplement avec le cd original de Microsoft?

 

Hijackthis est muet.

ZHPDiag :

 

• Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
   
   
  
• Double-clique sur ZHPDiag.exe pour lancer l'installation
  
  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

 

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

 

[*]Double-clique sur ZHPDiag pour lancer l'exécution

• Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

[*]Clique sur le tournevis.

[*]Clique sur la loupe pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%

Tu refermes ZHPDiag

 

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau.

Ce rapport étant trop long pour le forum, héberge le :

• soit directement sur le forum en pièce jointe dans ta réponse : Ajouter un fichier en pièce jointe sur le forum <<< Seulement pour le forum Vista-XP.fr!
  
• soit sur Cijoint.fr et copie-colle le lien fourni dans ta réponse

 

@++

[kmio]

bonjour,

 

c'est un pc monté en magasin avec windows cd

 

le rapport zhp (j'ai du utiliser un autre hebergeur que cijoint ayant eu un problème lors de l'inscription)

 

zhp

 

 

je vous remercie de votre aide

[Apollo]

Bonjour,

 

Télécharge TDSSKiller de Kaspersky sur ton bureau.

 

Ou: http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip ; décompresse le zip.

 

Double-clique sur TDSSKiller.exe

L'écran de TDSSKiller s'affiche:

 

 

Cliquer sur Start scan pour lancer l'analyse.

 

NB: TDSSKiller proposera des options: Delete, Skip ou Cure, il ne faut pas modifier ces options! (Supprimer, ignorer, "réparer")

 

Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés,

cliquer sur le bouton Continue puis sur le bouton Reboot now.

 

Envoyer en réponse:

*- Le rapport de TDSSKiller (contenu du fichier SystemDrive \TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:] .

 

 

@++

[kmio]

bonjour,

 

voici le rapport tdss :

 

tdss

[Apollo]

Re,

 

Poste les rapports en clair quand on ne demande pas l'hébergement

 

ZHPFix :

 

• Ferme toutes les applications ouvertes
   
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
   
  
• Clique sur H .
   
  
• Copie-colle les lignes ci-dessous dans la fenêtre

 

O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe    
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe       

 

• Clique sur l'icone représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le.
   
  Clique sur le bouton GO pour lancer le nettoyage

 

• Valide par Oui la désinstallation des programmes si demandé
   
  
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
   
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
  Le rapport ZHPFixReport.txt est enregistré sous C:\Program files\ZHPFix\ZHPFixReport.txt

 

@++

[kmio]

re bonjour,

 

désolé pour l'hebergement, je ne savais pas.

 

le rapport zhpfix ;

 

Rapport de ZHPFix 1.12.3279 par Nicolas Coolman, Update du 27/04/2011

Fichier d'export Registre :

Run by user at 4/30/2011 2:43:18 PM

Windows XP Home Edition Service Pack 3 (Build 2600)

Web site : ZHPFix Fix de rapport

 

========== Valeur(s) du Registre ==========

O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès

O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente

 

 

========== Récapitulatif ==========

2 : Valeur(s) du Registre

 

 

End of the scan

[Apollo]

Re,

 

Pas grave

 

Sur ton bureau, tu as un raccourci MBR check.

 

Lance l'outil et poste son rapport stp.

 

@++

[kmio]

Re,

 

MBRCheck, version 1.2.3

© 2010, AD

 

Command-line:

Windows Version: Windows XP Home Edition

Windows Information: Service Pack 3 (build 2600)

Logical Drives Mask: 0x000003fc

 

Kernel Drivers (total 123):

0x804D7000 \WINDOWS\system32\ntkrnlpa.exe

0x806E5000 \WINDOWS\system32\hal.dll

0x8A0F0000 \WINDOWS\system32\KDCOM.DLL

0xB84BC000 \WINDOWS\system32\BOOTVID.dll

0xB7EA6000 spqn.sys

0xB85A8000 \WINDOWS\System32\Drivers\WMILIB.SYS

0xB7E8E000 \WINDOWS\System32\Drivers\SCSIPORT.SYS

0xB7E5F000 ACPI.sys

0xB7E4E000 pci.sys

0xB80A8000 ohci1394.sys

0xB80B8000 \WINDOWS\system32\DRIVERS\1394BUS.SYS

0xB80C8000 isapnp.sys

0xB8670000 pciide.sys

0xB8328000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS

0xB80D8000 MountMgr.sys

0xB7E2F000 ftdisk.sys

0xB8330000 PartMgr.sys

0xB80E8000 VolSnap.sys

0xB7E17000 atapi.sys

0xB7DD7000 mv61xx.sys

0xB80F8000 disk.sys

0xB8108000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS

0xB7DB7000 fltMgr.sys

0xB7DA5000 sr.sys

0xB7D8E000 KSecDD.sys

0xB7D01000 Ntfs.sys

0xB7CD4000 NDIS.sys

0xB7CBA000 Mup.sys

0xB82E8000 \SystemRoot\system32\DRIVERS\intelppm.sys

0xB6239000 \SystemRoot\system32\DRIVERS\nv4_mini.sys

0xB6225000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS

0xB83F8000 \SystemRoot\system32\DRIVERS\usbuhci.sys

0xB6201000 \SystemRoot\system32\DRIVERS\USBPORT.SYS

0xB8400000 \SystemRoot\system32\DRIVERS\usbehci.sys

0xB61D9000 \SystemRoot\system32\DRIVERS\HDAudBus.sys

0xB82F8000 \SystemRoot\system32\DRIVERS\l1e51x86.sys

0xB8308000 \SystemRoot\system32\DRIVERS\nic1394.sys

0xB85DA000 \SystemRoot\system32\DRIVERS\ASACPI.sys

0xB61C8000 \SystemRoot\system32\DRIVERS\serial.sys

0xB85A0000 \SystemRoot\system32\DRIVERS\serenum.sys

0xB8318000 \SystemRoot\system32\DRIVERS\imapi.sys

0xB8158000 \SystemRoot\system32\DRIVERS\cdrom.sys

0xB8168000 \SystemRoot\system32\DRIVERS\redbook.sys

0xB61A5000 \SystemRoot\system32\DRIVERS\ks.sys

0xB616D000 \SystemRoot\System32\Drivers\ax8jo4nn.SYS

0xB87E8000 \SystemRoot\system32\DRIVERS\audstub.sys

0xB7135000 \SystemRoot\system32\DRIVERS\rasl2tp.sys

0xB7C76000 \SystemRoot\system32\DRIVERS\ndistapi.sys

0xB5BD9000 \SystemRoot\system32\DRIVERS\ndiswan.sys

0xB7125000 \SystemRoot\system32\DRIVERS\raspppoe.sys

0xB7115000 \SystemRoot\system32\DRIVERS\raspptp.sys

0xB8340000 \SystemRoot\system32\DRIVERS\TDI.SYS

0xB5BC8000 \SystemRoot\system32\DRIVERS\psched.sys

0xB7105000 \SystemRoot\system32\DRIVERS\msgpc.sys

0xB3D5D000 \SystemRoot\system32\DRIVERS\ptilink.sys

0xB31EF000 \SystemRoot\system32\DRIVERS\raspti.sys

0xB3694000 \SystemRoot\system32\DRIVERS\termdd.sys

0xB31E7000 \SystemRoot\system32\DRIVERS\kbdclass.sys

0xB31DF000 \SystemRoot\system32\DRIVERS\mouclass.sys

0xB22F0000 \SystemRoot\system32\DRIVERS\vdrv9000.sys

0xB866A000 \SystemRoot\system32\DRIVERS\swenum.sys

0xB2292000 \SystemRoot\system32\DRIVERS\update.sys

0xB7C92000 \SystemRoot\system32\DRIVERS\mssmbios.sys

0xB3684000 \SystemRoot\System32\Drivers\NDProxy.SYS

0xB3045000 \SystemRoot\system32\DRIVERS\usbhub.sys

0xB85BA000 \SystemRoot\system32\DRIVERS\USBD.SYS

0xA6DDA000 \SystemRoot\system32\drivers\RtkHDAud.sys

0xA6DB6000 \SystemRoot\system32\drivers\portcls.sys

0xA8422000 \SystemRoot\system32\drivers\drmk.sys

0xB861C000 \SystemRoot\System32\Drivers\Fs_Rec.SYS

0xA7C3D000 \SystemRoot\System32\Drivers\Null.SYS

0xB861E000 \SystemRoot\System32\Drivers\Beep.SYS

0xA8324000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS

0xA831C000 \SystemRoot\System32\drivers\vga.sys

0xB8620000 \SystemRoot\System32\Drivers\mnmdd.SYS

0xB8622000 \SystemRoot\System32\DRIVERS\RDPCDD.sys

0xA8314000 \SystemRoot\System32\Drivers\Msfs.SYS

0xA830C000 \SystemRoot\System32\Drivers\Npfs.SYS

0xA7860000 \SystemRoot\system32\DRIVERS\rasacd.sys

0xA6D43000 \SystemRoot\system32\DRIVERS\ipsec.sys

0xA6CEA000 \SystemRoot\system32\DRIVERS\tcpip.sys

0xA6CC2000 \SystemRoot\system32\DRIVERS\netbt.sys

0xA6C9C000 \SystemRoot\system32\DRIVERS\ipnat.sys

0xA8402000 \SystemRoot\system32\DRIVERS\wanarp.sys

0xA6C7A000 \SystemRoot\System32\drivers\afd.sys

0xA83F2000 \SystemRoot\system32\DRIVERS\netbios.sys

0xA8304000 \SystemRoot\system32\DRIVERS\ssmdrv.sys

0xA83E2000 \SystemRoot\system32\DRIVERS\arp1394.sys

0xA6C4F000 \SystemRoot\system32\DRIVERS\rdbss.sys

0xA6BB7000 \SystemRoot\system32\DRIVERS\mrxsmb.sys

0xA83D2000 \SystemRoot\System32\Drivers\Fips.SYS

0xA6B91000 \SystemRoot\system32\DRIVERS\avipbb.sys

0xB8626000 \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys

0xB8628000 \SystemRoot\system32\drivers\AsIO.sys

0xA7B03000 \SystemRoot\System32\Drivers\Cdfs.SYS

0xA7C7F000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS

0xA7C77000 \SystemRoot\system32\DRIVERS\usbccgp.sys

0xB238B000 \SystemRoot\system32\DRIVERS\hidusb.sys

0xA7AF3000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS

0xB2383000 \SystemRoot\system32\DRIVERS\kbdhid.sys

0xB237F000 \SystemRoot\system32\DRIVERS\mouhid.sys

0xA6B79000 \SystemRoot\System32\Drivers\dump_atapi.sys

0xB8636000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS

0xBF800000 \SystemRoot\System32\win32k.sys

0xB8594000 \SystemRoot\System32\drivers\Dxapi.sys

0xA7C67000 \SystemRoot\System32\watchdog.sys

0xBD000000 \SystemRoot\System32\drivers\dxg.sys

0xAE04B000 \SystemRoot\System32\drivers\dxgthk.sys

0xBD012000 \SystemRoot\System32\nv4_disp.dll

0xBD62C000 \SystemRoot\System32\ATMFD.DLL

0xA600E000 \SystemRoot\system32\DRIVERS\avgntflt.sys

0xA923C000 \SystemRoot\system32\DRIVERS\ndisuio.sys

0xA5F19000 \SystemRoot\system32\DRIVERS\mrxdav.sys

0xA5F04000 \SystemRoot\system32\drivers\wdmaud.sys

0xB3035000 \SystemRoot\system32\drivers\sysaudio.sys

0xA5D13000 \SystemRoot\System32\Drivers\Udfs.SYS

0xA5CA8000 \SystemRoot\system32\DRIVERS\atksgt.sys

0xA5C58000 \SystemRoot\system32\DRIVERS\ithsgt.sys

0xA5D0F000 \SystemRoot\system32\DRIVERS\lilsgt.sys

0xB8380000 \SystemRoot\system32\DRIVERS\lirsgt.sys

0xA5BD8000 \SystemRoot\system32\DRIVERS\srv.sys

0xA57D7000 \SystemRoot\System32\Drivers\HTTP.sys

0x7C910000 \WINDOWS\system32\ntdll.dll

 

Processes (total 40):

0 System Idle Process

4 System

672 C:\WINDOWS\system32\smss.exe

732 csrss.exe

756 C:\WINDOWS\system32\winlogon.exe

808 C:\WINDOWS\system32\services.exe

820 C:\WINDOWS\system32\lsass.exe

1016 C:\WINDOWS\system32\nvsvc32.exe

1088 C:\WINDOWS\system32\svchost.exe

1160 svchost.exe

1260 C:\WINDOWS\system32\svchost.exe

1324 svchost.exe

1540 svchost.exe

1664 C:\WINDOWS\system32\spoolsv.exe

1712 C:\Program Files\Avira\AntiVir Desktop\sched.exe

1820 svchost.exe

1976 C:\WINDOWS\explorer.exe

180 C:\WINDOWS\RTHDCPL.exe

192 C:\Program Files\ASUS\Six Engine\SixEngine.exe

200 C:\Program Files\Virtual CD v9\System\vc9play.exe

228 C:\WINDOWS\system32\rundll32.exe

252 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

260 C:\WINDOWS\system32\ctfmon.exe

268 C:\Program Files\DAEMON Tools Lite\daemon.exe

368 C:\Program Files\Messenger\msmsgs.exe

628 C:\Program Files\Virtual CD v9\System\vc9tray.exe

1400 C:\Program Files\Avira\AntiVir Desktop\avguard.exe

1840 C:\Program Files\Virtual CD v9\System\VC9SecS.exe

708 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe

2164 C:\WINDOWS\system32\wscntfy.exe

2564 alg.exe

2796 C:\WINDOWS\system32\wuauclt.exe

3240 C:\WINDOWS\system32\wuauclt.exe

3856 C:\WINDOWS\system32\wuauclt.exe

920 C:\WINDOWS\system32\wuauclt.exe

2544 C:\WINDOWS\system32\wuauclt.exe

1192 C:\WINDOWS\system32\wuauclt.exe

4064 C:\WINDOWS\system32\wuauclt.exe

2736 C:\WINDOWS\system32\taskmgr.exe

3060 C:\Program Files\ZHPDiag\mbrcheck.exe

 

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

 

PhysicalDrive0 Model Number: ST3500320AS, Rev: SD1A

 

Size Device Name MBR Status

--------------------------------------------

465 GB \\.\PhysicalDrive0 Windows XP MBR code detected

SHA1: 8637A6CD1F8DC55758E12C0B860CDE1133CA5719

 

 

Done!

[Apollo]

Tu as toujours les mêmes problèmes qu'au début du sujet?

 

+++