svchost.exe et avertissements

[Bacter]

lance-yian, il y a un problème que je ne m'explique pas ! C'est sans fin, la quatrième partie ne passe toujours pas !

Le serveur Zebulon serait-il trop chargé ? Bacter

[lance_yien]

Re,

Aller sur le site :Ci-Joint

Appuyez sur Parcourir, chercher le fichier et cliquer dessus.

Cliquer sur Créer le lien CJoint,

Dans la page suivante --> , une adresse (http//...) sera créée. La copier /coller dans la prochaine réponse.

[Bacter]

Voilà, c'est fait.

© CJoint.com, 2010

Bacter

P.S. : la "notification immédiate" fonctionne maintenant.

[lance_yien]

Toujours pas de traces d'infection!

 

Lancer OTL et copier la liste suivante (commençant par :OTL) et la coller dans l'espace sous "Personnalisation" (les : au début et le ] à la fin sont très important, merci de vérifier).

 

:OTL

IE - HKCU\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Reg Error: Key error. File not found

FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.8.0.99999

[2011/03/27 21:38:37 | 000,000,000 | ---D | M] ("Foxit Toolbar") -- C:\Users\Alain\AppData\Roaming\mozilla\Firefox\Profiles\rk3qiajc.default\extensions\toolbar@ask.com

O2 - BHO: (Foxit PDF Creator Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)

O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (Safer Networking Limited)

O3 - HKLM\..\Toolbar: (Foxit PDF Creator Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)

O4 - HKLM..\Run: [] File not found

O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)

O4 - HKCU..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)

O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (Safer Networking Limited)

 

:Services

 

:Reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = -

 

:Files

C:\WINDOWS\tasks\*.job

C:\*.sqm

C:\Program Files\Ask.com

C:\Users\Alain\AppData\Roaming\OfferBox

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\PROGRA~1\SPYBOT~1\SDHelper.dll

 

:Commands

[EMPTYTEMP]

[EMPTYFLASH]

[RESETHOSTS]

Cliquer sur le bouton rouge Correction et laisser faire.

Si un ou plusieurs fichiers ne peuvent pas être supprimés normalement, le programme demandera de redémarrer la machine pour finir le processus, cliquer sur Oui.

A la fin un rapport s'ouvre dans le bloc-note. Copier son contenu et le coller dans une nouvelle réponse (il doit passer largement celui-ci ). Fermer le rapport et OTL.

 

 

>>> Mises à jour: Toute ancienne version d'un programme quel qu'il soit peut comporter des vulnérabilités susceptibles d'être exploitées pour infecter un PC:

Ta version de Adobe Acrobat Reader n'est pas à jour. La désinstaller et télécharger la dernière version ici (Décocher la case Inclure dans votre téléchargement).

 

 

Rapports demandés:

• OTL.txt

As-tu encore des soucis avec ta machine? Si oui, description complète stp!

[Bacter]

Voici la "correction" de

==================

All processes killed

========== OTL ==========

Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{EF99BD32-C1FB-11D2-892F-0090271D4F88} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}\ deleted successfully.

Prefs.js: toolbar@ask.com:3.8.0.99999 removed from extensions.enabledItems

C:\Users\Alain\AppData\Roaming\mozilla\Firefox\Profiles\rk3qiajc.default\extensions\toolbar@ask.com\searchplugins folder moved successfully.

C:\Users\Alain\AppData\Roaming\mozilla\Firefox\Profiles\rk3qiajc.default\extensions\toolbar@ask.com\logs folder moved successfully.

C:\Users\Alain\AppData\Roaming\mozilla\Firefox\Profiles\rk3qiajc.default\extensions\toolbar@ask.com\defaults\preferences folder moved successfully.

C:\Users\Alain\AppData\Roaming\mozilla\Firefox\Profiles\rk3qiajc.default\extensions\toolbar@ask.com\defaults folder moved successfully.

C:\Users\Alain\AppData\Roaming\mozilla\Firefox\Profiles\rk3qiajc.default\extensions\toolbar@ask.com\datastore folder moved successfully.

C:\Users\Alain\AppData\Roaming\mozilla\Firefox\Profiles\rk3qiajc.default\extensions\toolbar@ask.com\chrome\temp\ff-config.Sat-26-Mar-2011-17-49-28-GMT folder moved successfully.

C:\Users\Alain\AppData\Roaming\mozilla\Firefox\Profiles\rk3qiajc.default\extensions\toolbar@ask.com\chrome\temp\ff-config.Fri-20-Aug-2010-20-44-00-GMT folder moved successfully.

C:\Users\Alain\AppData\Roaming\mozilla\Firefox\Profiles\rk3qiajc.default\extensions\toolbar@ask.com\chrome\temp folder moved successfully.

C:\Users\Alain\AppData\Roaming\mozilla\Firefox\Profiles\rk3qiajc.default\extensions\toolbar@ask.com\chrome folder moved successfully.

C:\Users\Alain\AppData\Roaming\mozilla\Firefox\Profiles\rk3qiajc.default\extensions\toolbar@ask.com folder moved successfully.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ deleted successfully.

C:\Program Files\Ask.com\GenericAskToolbar.dll moved successfully.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53707962-6F74-2D53-2644-206D7942484F}\ deleted successfully.

C:\PROGRA~1\SPYBOT~1\SDHelper.dll moved successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.

File C:\Program Files\Ask.com\GenericAskToolbar.dll not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Windows Defender deleted successfully.

File move failed. C:\Program Files\Windows Defender\MSASCui.exe scheduled to be moved on reboot.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\SpybotSD TeaTimer deleted successfully.

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe moved successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\ not found.

File C:\PROGRA~1\SPYBOT~1\SDHelper.dll not found.

========== SERVICES/DRIVERS ==========

========== REGISTRY ==========

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\\{86D4B82A-ABED-442A-BE86-96357B70F4FE} not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{86D4B82A-ABED-442A-BE86-96357B70F4FE}\ not found.

========== FILES ==========

C:\WINDOWS\tasks\DMEPeriodicTask.job moved successfully.

C:\WINDOWS\tasks\GlaryInitialize.job moved successfully.

File\Folder C:\*.sqm not found.

C:\Program Files\Ask.com\assets\oobe folder moved successfully.

C:\Program Files\Ask.com\assets folder moved successfully.

C:\Program Files\Ask.com folder moved successfully.

C:\Users\Alain\AppData\Roaming\OfferBox folder moved successfully.

File\Folder C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe not found.

File\Folder C:\PROGRA~1\SPYBOT~1\SDHelper.dll not found.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Alain

->Temp folder emptied: 2654309 bytes

->Temporary Internet Files folder emptied: 149219201 bytes

->Java cache emptied: 12426137 bytes

->FireFox cache emptied: 92980994 bytes

->Flash cache emptied: 11464 bytes

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Public

 

User: UpdatusUser

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 1804027 bytes

RecycleBin emptied: 428564019 bytes

 

Total Files Cleaned = 656,00 mb

 

 

[EMPTYFLASH]

 

User: Alain

->Flash cache emptied: 0 bytes

 

User: All Users

 

User: Default

 

User: Default User

 

User: Public

 

User: UpdatusUser

 

Total Flash Files Cleaned = 0,00 mb

 

HOSTS file reset successfully

 

OTL by OldTimer - Version 3.2.22.3 log created on 04262011_130826

 

Files\Folders moved on Reboot...

File move failed. C:\Program Files\Windows Defender\MSASCui.exe scheduled to be moved on reboot.

 

Registry entries deleted on Reboot...

=========================

Je désinstalle l'ancienne version Adobe Acrobat Reader et réinstalle la dernière version.

Enfin, je te redonne dans quelques minutes des nouvelles de mon PC.

Bacter

[Bacter]

Désinstallation d'Adobe Acrobate Reader et réinstallation avec la nouvelle version.

Arrête et redémarrage de mon PC...

Désolé, lance-yian, j'ai toujours les mêmes écrans "bleus" d'avertissement signalés en début de ce sujet. La description doit-elle plus détaillée ?

Pour le moment, aucun changement, Bacter

Modifié le 26 avril 2011 par Bacter

[lance_yien]

Voyons voir si ComboFix trouve quelque chose!

 

Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment et télécharger, sur le Bureau ComboFix© (par sUBs) depuis ici ou ici

Fermer toutes les applications et fenêtres ouvertes, désactiver antivirus/ pare-feu/ antispyware et cliquer ComboFix.exe. Suivre les instructions.

Accepter l'Agrément de la licence et l'installation de la Console de Récupération (proposée sous XP si pas installée).

NE PAS TOUCHER la machine avant la fin (même si les choses semblent ne pas avancer).

 

Quand c'est fini, un rapport (ComboFix.txt) s'affiche. Il est sauvegardé, automatiquement, à la racine de la partition système (généralement C:\)

Poster son contenu.

[Bacter]

IMPOSSIBLE de lancer ComboFix !

Après fermeture des applications et fenêtres, désactiver antivirus/ pare-feu/ antispyware.

Après avoir cliqué sur ComboFix.exe (sur le bureau) le curseur apparait sur l'écran, se rempli presque jusqu'au bout puis se bloque et au bout d'un certain temps fermeture du programme qui redémarre tout seul avec "écran bleu"... et ouverture de la session comme d'habitude.

Le démarrage en "mode normal" ou "mode sans échec" donne le même résultat.

Essai en arrêtant tous les services (sauf ceux de Microsoft)et tous les programmes dans l'onglet Démarrage de Configuration du système. Même résultat avec ComboFix.

Que faire ? Bacter

Modifié le 26 avril 2011 par Bacter

[lance_yien]

... Après avoir cliqué sur ComboFix.exe (sur le bureau)...

Si c'était un clic-droit => "Exécuter en tant qu'administrateur", on fait une pause côté infection,

--

 

Faire dans l'ordre ces vérifications en contrôlant à chaque fois après redémarrage de la machine:

 

• >>> Vérifier les fichiers système:
   
  1- Copier cette commande: sfc /scannow
  2- Cliquer sur "Démarrer" => "Tous les programmes" => "Accessoires" et cliquer-droit sur "Invite de commandes" => "Exécuter en tant qu'administrateur". Cliquer-droit dans l'angle haut à gauche => "Modifier" => "Coller" et presser la touche "Entrer" . Laisser faire (ça peut être assez long). Le CD/DVD d'installation Windows peut être demandé selon les cas.
  Quand c'est fini saisir exit et presser la touche "Entrée" pour fermer la fenêtre. Redémarrer la machine et contrôler.
   
  
• >>> Vérifier le disque dur: Si toujours pas résolu,
   
  1- Copier cette commande: chkdsk /f /r
  2- Cliquer sur "Démarrer" => "Tous les programmes" => "Accessoires" et cliquer-droit sur "Invite de commandes" => "Exécuter en tant qu'administrateur". Cliquer-droit dans l'angle haut à gauche => "Modifier" => "Coller" et presser la touche "Entrer" .
  Saisir la lettre o et presser la touche "Entrée" pour confirmer la volonté d'exécuter la commande.
  Saisir exit et presser la touche "Entrée" pour fermer la fenêtre. Redémarrer la machine et patienter que la vérification se fasse avant l'affichage du Bureau de Windows. Redémarrer la machine et contrôler.
   
  
• >>> Vérifier la(les) barrette(s) mémoires: Si toujours pas résolu,
   
  Contrôler la (les) barrette(s) mémoire avec Memtest: téléchargement et tutoriel. Choisis l'option avec un CD.

N'hésite pas à poser des questions si nécessaire (et me tenir au courant) à chacune de ces manipulations.

[Bacter]

Après avoir cliqué sur ComboFix.exe (sur le bureau)

>Si c'était un clic-droit => "Exécuter en tant qu'administrateur" ==> OUI

1) Vérifier les fichiers système: FAIT

Vérification 100% est terminée

Le programme de protection des ressources Windows n'a trouvé aucune violation d'intégrité.

 

2) Vérifier la(les) barrette(s) mémoires: PAS FAIT

Là je cale car je n'arrive pas à "booter" sur le lecteur de CD/DVD. J'ai pourtant vérifié que c'était paramétré dans le bios. Donc je n'ai pas pu faire cette vérification.

Désolé lance-yian... une autre idée ?

Bacter, bien ennuyé