[Résolu] Infection de svchost

[Gunthard26]

Bonjour,

 

Suite à l'apparition d'une page web mardi alors que personne ne touchait au PC, j'ai lancé des scans. Dans un premier temps de mon ant-virus ESET32, spybot et MBAM ( tous à jour ). Il apparait que j'ai un fichier svchost.exe dans le rép c:\user\[name]\AppData\Roaming. Depuis j'ai coupé la connexion internet et j'ai essayé de m'en débarrasser sans succès.

 

ESET, après plusieurs redemarrage me dit "Analyseur au démarrage fichier Mémoire vive » C:\Windows\install\server.exe une variante de Win32/Spatet.T cheval de troie impossible de nettoyer LaBase\Lin's"

 

MBMA me suprime ne me supprime que les clés de registre concernées et n'arrive pas à supprimer svchost. j'ai arrêté le processus pour le supprimer mais il revient au démarrage suivant.

 

Je joint les rapport de ZHPDiag et mbma:

Rapport MBAM

Rapport ZHPDiag

 

pour infos je suis sous win7 x64

 

Merci de m'aider à me débarraser de cette ....

Modifié le 10 novembre 2011 par Gunthard26

[pear]

Bonjour,

 

Avant d'aller plus loin, supprimez cracks et Keygen:

 

D:\Image CD\Adobe Master Collection CS5\Adobe CS5_5\Adobe CS5 Medicine\adobe-prodprem-cs5-keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

D:\Image CD\Adobe Master Collection CS5\Pluggins\AutoFX\AutoFX Dreamsuite Bundle - Series 1 & 2\Keygen\keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

D:\Image CD\Adobe Master Collection CS5\Pluggins\AutoFX\AutoFX Mystical Lighting v1.0\keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

D:\Image CD\Adobe Master Collection CS5\Pluggins\AutoFX\AutoFX Mystical Tint Tone and Color v1.0\keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

D:\Image CD\Adobe Master Collection CS5\Pluggins\AutoFX\DreamSuite Series 1,2 & Gel\keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

D:\Image CD\Adobe Master Collection CS5\Pluggins\PictureCode.Noise.Ninja.v2.2.0.for.Adobe.Photoshop.Incl.Keygen-SSG\keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

D:\Image CD\CoreAVC Professional Edition 1.9.5\Keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

D:\Image CD\Pack Uniblue + Keygen\keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

D:\Image CD\Pack Uniblue + Keygen\Uniblue Driverscanner 2009.exe => Crack, KeyGen, Keymaker - Possible Malware

D:\Image CD\Pack Uniblue + Keygen\Uniblue RegistryBooster 2009.exe => Crack, KeyGen, Keymaker - Possible Malware

D:\Image CD\Pack Uniblue + Keygen\Uniblue Speedupmypc 2009.exe => Crack, KeyGen, Keymaker - Possible Malware

D:\Image CD\XP Pro\Windows XP Professional Keygen by CaFo.exe => Crack, KeyGen, Keymaker - Possible Malware

D:\Upload\Torrent\Adobe Photoshop Plugins - EZ Mask Plugin For Adobe Photoshop [h33t] [mahasonaz]\OnOne Software Mask Pro v4.1.9{h33t}[mad dog}\Pack de plugins pros pour Photoshop CS5\Imagenomic\Keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

D:\Upload\Torrent\Adobe Photoshop Plugins - EZ Mask Plugin For Adobe Photoshop [h33t] [mahasonaz]\OnOne Software Mask Pro v4.1.9{h33t}[mad dog}\Pack de plugins pros pour Photoshop CS5\NikSoftware\Dfine\keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

D:\Upload\Torrent\Adobe Photoshop Plugins - EZ Mask Plugin For Adobe Photoshop [h33t] [mahasonaz]\OnOne Software Mask Pro v4.1.9{h33t}[mad dog}\Pack de plugins pros pour Photoshop CS5\NikSoftware\HDR Efex Pro\Keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

D:\Upload\Torrent\Adobe Photoshop Plugins - EZ Mask Plugin For Adobe Photoshop [h33t] [mahasonaz]\OnOne Software Mask Pro v4.1.9{h33t}[mad dog}\Pack de plugins pros pour Photoshop CS5\NikSoftware\Sharpener Pro\Keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

D:\Upload\Torrent\Adobe Photoshop Plugins - EZ Mask Plugin For Adobe Photoshop [h33t] [mahasonaz]\OnOne Software Mask Pro v4.1.9{h33t}[mad dog}\Pack de plugins pros pour Photoshop CS5\OnOne\Keygen\KeyGen.exe => Crack, KeyGen, Keymaker - Possible Malware

D:\Upload\Torrent\Winamp.Pro.v5.621.3173.Multilangual.Incl.Keygen-FFF\Winamp.5.50_KEYGEN-FFF.exe => Crack, KeyGen, Keymaker - Possible Malware

D:\Upload\Torrent\Winamp.Pro.v5.621.3173.Multilangual.Incl.Keygen-FFF\winamp5621_pro_all.exe => Crack, KeyGen, Keymaker - Possible Malware

D:\Image CD\Adobe Master Collection CS5\Adobe CS5_5\Adobe CS5 Medicine\adobe-prodprem-cs5-keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

D:\Image CD\Adobe Master Collection CS5\Pluggins\AutoFX\AutoFX Dreamsuite Bundle - Series 1 & 2\Keygen\keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

D:\Image CD\Adobe Master Collection CS5\Pluggins\AutoFX\AutoFX Mystical Lighting v1.0\keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

D:\Image CD\Adobe Master Collection CS5\Pluggins\AutoFX\AutoFX Mystical Tint Tone and Color v1.0\keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

D:\Image CD\Adobe Master Collection CS5\Pluggins\AutoFX\DreamSuite Series 1,2 & Gel\keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

D:\Image CD\Adobe Master Collection CS5\Pluggins\PictureCode.Noise.Ninja.v2.2.0.for.Adobe.Photoshop.Incl.Keygen-SSG\keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

D:\Image CD\CoreAVC Professional Edition 1.9.5\Keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

D:\Image CD\Pack Uniblue + Keygen\keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

D:\Image CD\Pack Uniblue + Keygen\Uniblue Driverscanner 2009.exe => Crack, KeyGen, Keymaker - Possible Malware

D:\Image CD\Pack Uniblue + Keygen\Uniblue RegistryBooster 2009.exe => Crack, KeyGen, Keymaker - Possible Malware

D:\Image CD\Pack Uniblue + Keygen\Uniblue Speedupmypc 2009.exe => Crack, KeyGen, Keymaker - Possible Malware

D:\Image CD\XP Pro\Windows XP Professional Keygen by CaFo.exe => Crack, KeyGen, Keymaker - Possible Malware

D:\Upload\Torrent\Adobe Photoshop Plugins - EZ Mask Plugin For Adobe Photoshop [h33t] [mahasonaz]\OnOne Software Mask Pro v4.1.9{h33t}[mad dog}\Pack de plugins pros pour Photoshop CS5\Imagenomic\Keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

D:\Upload\Torrent\Adobe Photoshop Plugins - EZ Mask Plugin For Adobe Photoshop [h33t] [mahasonaz]\OnOne Software Mask Pro v4.1.9{h33t}[mad dog}\Pack de plugins pros pour Photoshop CS5\NikSoftware\Dfine\keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

D:\Upload\Torrent\Adobe Photoshop Plugins - EZ Mask Plugin For Adobe Photoshop [h33t] [mahasonaz]\OnOne Software Mask Pro v4.1.9{h33t}[mad dog}\Pack de plugins pros pour Photoshop CS5\NikSoftware\HDR Efex Pro\Keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

D:\Upload\Torrent\Adobe Photoshop Plugins - EZ Mask Plugin For Adobe Photoshop [h33t] [mahasonaz]\OnOne Software Mask Pro v4.1.9{h33t}[mad dog}\Pack de plugins pros pour Photoshop CS5\NikSoftware\Sharpener Pro\Keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

D:\Upload\Torrent\Adobe Photoshop Plugins - EZ Mask Plugin For Adobe Photoshop [h33t] [mahasonaz]\OnOne Software Mask Pro v4.1.9{h33t}[mad dog}\Pack de plugins pros pour Photoshop CS5\OnOne\Keygen\KeyGen.exe => Crack, KeyGen, Keymaker - Possible Malware

D:\Upload\Torrent\Winamp.Pro.v5.621.3173.Multilangual.Incl.Keygen-FFF\Winamp.5.50_KEYGEN-FFF.exe => Crack, KeyGen, Keymaker - Possible Malware

D:\Upload\Torrent\Winamp.Pro.v5.621.3173.Multilangual.Incl.Keygen-FFF\winamp5621_pro_all.exe => Crack, KeyGen, Keymaker - Possible Malware

SS - | Disabled 57344 | (oiwtq) . (...) - C:\Program Files (x86)\ophcrack\pwdump\servpw.exe

[Gunthard26]

C'est fait. Ce n’était que des keygen que j'avais lancé sous VirtualBox. Ils sont présent sur mes disque depuis longtemps et je ne les ai pas lancé depuis des mois voir plus. Je me suis enfin résolut à baisser mes droits d'utilisateur (honte à moi).

 

J'ai lancé un scan de MBMA aprés avoir redemarré il ne m'a rien trouvé. C'est bon docteur?

 

ZHPDiag]Cijoint.fr - Service gratuit de dépôt de fichiers[/url]

MBMA

 

Merci

[pear]

Je veux bien vous croire, mais j'ai un doute en voyant ceci:

 

[MD5.B6C6DF3D320D931038C9EE8B12E87D5D] - (.BitTorrent, Inc. - µTorrent.) -- C:\Program Files\uTorrent\uTorrent.exe [639864] [PID.2716]

Ludvig Strigeus®uTorrent

NewsLeecher PeerToPeer

µTorrent PeerToPeer

Bittorent PeerToPeer

Ipulp PeerToPeer

O87 - FAEL: "{7B74AED5-E399-43A8-94AF-898FDCD55ED7}" | In - None - P6 - TRUE | .(.BitTorrent, Inc. - µTorrent.) -- C:\Program Files\uTorrent\uTorrent.exe

O87 - FAEL: "{B9584136-150A-4A67-B60F-61492C74CBE5}" | In - None - P17 - TRUE | .(.BitTorrent, Inc. - µTorrent.) -- C:\Program Files\uTorrent\uTorrent.exe

 

Vous avez là les meilleures sources d'infection.

 

Téléchargez AD-Remover sur le bureau

 

Déconnectez-vous et fermez toutes les applications en cours

Cliquer sur "Ad-R.exe" pour lancer l'installation et laisser les paramètres par défaut .

Une fenêtre s'affichera Vous prévenant des risques de l'utilisation de ce logiciel

Cliquez sur "OUI"

Double cliquer sur l'icône Ad-remover sur le bureau

Au menu principal choisir l'optionScanner et Validez

 

Patientez pendant le travail de l'outil.

Poster le rapport qui apparait à la fin .

Il est sauvegardé aussi sous C:\Ad-report.log

 

Ensuite

 

Relancer Ad- remover , choisir l'option Nettoyer

 

Il y aura 2 rapports à poster après :Scanner et Nettoyer

 

Pour les rapports qui sont courts (ex. Malwarebytes, AD-R, USBFix, etc.), copiez/collez sur votre sujet

Une fois la désinfection terminée, mais pas avant:

désinstaller AD-Remover, lancez avec l'option D puis supprimer l'icône du bureau.

 

 

Télécharger AdwCleaner

Sous Vista et Windows 7-> Exécuter en tant qu'administrateur

 

Cliquez sur Recherche et postez le rapport généré C:\AdwCleaner[R1].txt

 

Nettoyage

Relancez AdwCleaner avec droits administrateur

Cliquez sur Suppression et postez le rapport C:\AdwCleaner[s1].txt

 

Téléchargez MBAM

ICI

ou LA

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

 

Nettoyage

Relancez Mbam(Malewares'Bytes)

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

[Gunthard26]

Voici les rapports:

 

 

Ad-report scan:

======= REPORT FROM AD-REMOVER 2.0.0.2,G | ONLY XP/VISTA/7 =======

 

Updated by TeamXscript on 12/04/11

Contact: AdRemover[DOT]contact[AT]gmail[DOT]com

website: TeamXscript : AD-Remover - FindyKill - UsbFix - SEAF

 

C:\Program Files (x86)\Ad-Remover\main.exe (SCAN [1]) -> Launched at 16:44:03 on 05/11/2011, Normal boot

 

Microsoft Windows 7 Ultimate Service Pack 1 (X64)

SuperUser@LABASE (Gigabyte Technology Co., Ltd. EX58-UD3R)

 

============== SEARCH ==============

 

 

Folder found: C:\Users\Lin's\AppData\Roaming\Mozilla\FireFox\Profiles\24icbl6b.default\conduit

 

-- File opened: C:\Users\Lin's\AppData\Roaming\Mozilla\FireFox\Profiles\24icbl6b.default\Prefs.js --

Line found: user_pref("CT1460988.CT1670222.SearchEngine", "Recherche||hxxp://search.conduit.com/Results.aspx?q=U...

Line found: user_pref("CT1460988.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER...

Line found: user_pref("CT1460988.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT146...

Line found: user_pref("CT1460988.ct1460988.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_...

Line found: user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "chrome://browser-region/locale/region.pr...

Line found: user_pref("CommunityToolbar.ToolbarsList", "CT1460988");

Line found: user_pref("CommunityToolbar.ToolbarsList2", "CT1460988");

Line found: user_pref("CommunityToolbar.facebook.settingsLastCheckTime", "Wed Jul 21 2010 00:07:36 GMT+0200");

Line found: user_pref("extensions.snipit.askTbInstalled", true);

-- File closed --

 

 

 

 

============== ADDITIONNAL SCAN ==============

 

**** Mozilla Firefox Version [8.0 (fr)] ****

 

Plugins\npwachk.dll (Nullsoft, Inc.)

Searchplugins\bing.xml ( hxxp://www.bing.com/search)

Components\browsercomps.dll (Mozilla Foundation)

 

-- C:\Users\Lin's\AppData\Roaming\Mozilla\FireFox\Profiles\24icbl6b.default --

Searchplugins\01netcom.xml (?)

Searchplugins\allocin.xml (?)

Searchplugins\clubic.xml (?)

Searchplugins\dailymotion.xml (?)

Searchplugins\deezercom.xml (?)

Searchplugins\yopmail.xml (?)

Searchplugins\youtube.xml (?)

Prefs.js - browser.download.dir, D:\\Downloads

Prefs.js - browser.search.defaultenginename, Search the web (Babylon)

Prefs.js - browser.search.defaulturl, hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch

Prefs.js - browser.search.selectedEngine, allocin

Prefs.js - browser.startup.homepage, hxxp://www.google.fr/

Prefs.js - browser.startup.homepage_override.buildID, 20111026191032

Prefs.js - browser.startup.homepage_override.mstone, rv:8.0

 

========================================

 

**** Internet Explorer Version [9.0.8112.16421] ****

 

HKCU_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896

HKCU_Main|Start Page - hxxp://go.microsoft.com/fwlink/?LinkId=69157

HKLM_Main|Default_Page_URL - hxxp://www.google.fr

HKLM_Main|Default_Search_URL - hxxp://www.google.fr

HKLM_Main|Search Page - hxxp://www.google.fr

HKLM_Main|Start Page - hxxp://www.google.fr

HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x)

HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\SysWOW64\winfxdocobj.exe (x)

HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)

HKLM_ElevationPolicy\{B43A0C1E-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.exe (x)

HKLM_ElevationPolicy\{C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Program Files (x86)\Xi\NetXfer\NetTransport.exe (Xi)

HKLM_Extensions\{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - "@C:\Windows\WindowsMobile\INetRepl.dll,-222" (C:\Windows\WindowsMobile\INetRepl.dll,210)

HKLM_Extensions\{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - "?" (?)

 

========================================

 

C:\Program Files (x86)\Ad-Remover\Quarantine: 0 File(s)

C:\Program Files (x86)\Ad-Remover\Backup: 0 File(s)

 

C:\Ad-Report-SCAN[1].txt - 05/11/2011 16:44:08 (4338 Byte(s))

 

End at: 16:44:42, 05/11/2011

 

============== E.O.F ==============

 

 

Ad-report clean:

======= REPORT FROM AD-REMOVER 2.0.0.2,G | ONLY XP/VISTA/7 =======

 

Updated by TeamXscript on 12/04/11

Contact: AdRemover[DOT]contact[AT]gmail[DOT]com

website: TeamXscript : AD-Remover - FindyKill - UsbFix - SEAF

 

C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Launched at 16:53:55 on 05/11/2011, Normal boot

 

Microsoft Windows 7 Ultimate Service Pack 1 (X64)

SuperUser@LABASE (Gigabyte Technology Co., Ltd. EX58-UD3R)

 

============== ACTION(S) ==============

 

 

Folder deleted: C:\Users\Lin's\AppData\Roaming\Mozilla\FireFox\Profiles\24icbl6b.default\conduit

 

(!) -- Temporary files deleted.

 

 

-- File opened: C:\Users\Lin's\AppData\Roaming\Mozilla\FireFox\Profiles\24icbl6b.default\Prefs.js --

Line deleted: user_pref("CT1460988.CT1670222.SearchEngine", "Recherche||hxxp://search.conduit.com/Results.aspx?q=U...

Line deleted: user_pref("CT1460988.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER...

Line deleted: user_pref("CT1460988.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT146...

Line deleted: user_pref("CT1460988.ct1460988.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_...

Line deleted: user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "chrome://browser-region/locale/region.pr...

Line deleted: user_pref("CommunityToolbar.ToolbarsList", "CT1460988");

Line deleted: user_pref("CommunityToolbar.ToolbarsList2", "CT1460988");

Line deleted: user_pref("CommunityToolbar.facebook.settingsLastCheckTime", "Wed Jul 21 2010 00:07:36 GMT+0200");

Line deleted: user_pref("extensions.snipit.askTbInstalled", true);

-- File closed --

 

 

 

 

============== ADDITIONNAL SCAN ==============

 

**** Mozilla Firefox Version [8.0 (fr)] ****

 

Plugins\npwachk.dll (Nullsoft, Inc.)

Searchplugins\bing.xml ( hxxp://www.bing.com/search)

Components\browsercomps.dll (Mozilla Foundation)

 

-- C:\Users\Lin's\AppData\Roaming\Mozilla\FireFox\Profiles\24icbl6b.default --

Searchplugins\01netcom.xml (?)

Searchplugins\allocin.xml (?)

Searchplugins\clubic.xml (?)

Searchplugins\dailymotion.xml (?)

Searchplugins\deezercom.xml (?)

Searchplugins\yopmail.xml (?)

Searchplugins\youtube.xml (?)

Prefs.js - browser.download.dir, D:\\Downloads

Prefs.js - browser.search.defaultenginename, Search the web (Babylon)

Prefs.js - browser.search.defaulturl, hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch

Prefs.js - browser.startup.homepage, hxxp://www.google.fr/

Prefs.js - browser.startup.homepage_override.buildID, 20111026191032

Prefs.js - browser.startup.homepage_override.mstone, rv:8.0

 

========================================

 

**** Internet Explorer Version [9.0.8112.16421] ****

 

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896

HKCU_Main|Start Page - hxxp://fr.msn.com/

HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896

HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm

HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKLM_Main|Start Page - hxxp://fr.msn.com/

HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x)

HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\SysWOW64\winfxdocobj.exe (x)

HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)

HKLM_ElevationPolicy\{B43A0C1E-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.exe (x)

HKLM_ElevationPolicy\{C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Program Files (x86)\Xi\NetXfer\NetTransport.exe (Xi)

HKLM_Extensions\{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - "@C:\Windows\WindowsMobile\INetRepl.dll,-222" (C:\Windows\WindowsMobile\INetRepl.dll,210)

HKLM_Extensions\{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - "?" (?)

 

========================================

 

C:\Program Files (x86)\Ad-Remover\Quarantine: 12 File(s)

C:\Program Files (x86)\Ad-Remover\Backup: 15 File(s)

 

C:\Ad-Report-CLEAN[1].txt - 05/11/2011 16:53:59 (4602 Byte(s))

C:\Ad-Report-SCAN[1].txt - 05/11/2011 16:44:08 (4097 Byte(s))

 

End at: 16:54:44, 05/11/2011

 

============== E.O.F ==============

 

 

AdwClean recherche:

# AdwCleaner v1.316 - Logfile created 11/05/2011 at 17:15:13

# Updated 10/31/11 at 10:00p.m by Xplode

# Operating system : Windows 7 Ultimate Service Pack 1 (64 bits)

# User : SuperUser - LABASE (Limited Rights)

# Running from : C:\Users\SuperUser\Desktop\adwcleaner0.exe

# Option [search]

 

 

***** [Processes] *****

 

 

***** [services] *****

 

 

***** [Files / Folders] *****

 

 

***** [Registry] *****

 

Key Found : HKLM\SOFTWARE\Classes\pdfforge.DllInfo

Key Found : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDF

Key Found : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFEncryptor

Key Found : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFLine

Key Found : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFText

Key Found : HKLM\SOFTWARE\Classes\pdfforge.Tools

Key Found : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4

Key Found : HKLM\SOFTWARE\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}

 

***** [internet Browsers] *****

 

-\\ Internet Explorer v9.0.8112.16421

 

Registry is OK.

 

*************************

 

AdwCleaner[R1].txt - [1088 octets] - [05/11/2011 17:15:13]

 

########## EOF - C:\AdwCleaner[R1].txt - [1216 octets] ##########

# AdwCleaner v1.316 - Logfile created 11/05/2011 at 17:15:13

# Updated 10/31/11 at 10:00p.m by Xplode

# Operating system : Windows 7 Ultimate Service Pack 1 (64 bits)

# User : SuperUser - LABASE (Limited Rights)

# Running from : C:\Users\SuperUser\Desktop\adwcleaner0.exe

# Option [search]

 

 

***** [Processes] *****

 

 

***** [services] *****

 

 

***** [Files / Folders] *****

 

 

***** [Registry] *****

 

Key Found : HKLM\SOFTWARE\Classes\pdfforge.DllInfo

Key Found : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDF

Key Found : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFEncryptor

Key Found : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFLine

Key Found : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFText

Key Found : HKLM\SOFTWARE\Classes\pdfforge.Tools

Key Found : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4

Key Found : HKLM\SOFTWARE\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}

 

***** [internet Browsers] *****

 

-\\ Internet Explorer v9.0.8112.16421

 

Registry is OK.

 

*************************

 

AdwCleaner[R1].txt - [1088 octets] - [05/11/2011 17:15:13]

 

########## EOF - C:\AdwCleaner[R1].txt - [1216 octets] ##########

 

 

Adw Clean nettoyage:

# AdwCleaner v1.316 - Logfile created 11/05/2011 at 17:15:29

# Updated 10/31/11 at 10:00p.m by Xplode

# Operating system : Windows 7 Ultimate Service Pack 1 (64 bits)

# User : SuperUser - LABASE (Limited Rights)

# Running from : C:\Users\SuperUser\Desktop\adwcleaner0.exe

# Option [Delete]

 

 

***** [KillNav] *****

 

No browsers was running.

 

***** [Processes] *****

 

 

***** [services] *****

 

 

***** [Files / Folders] *****

 

 

***** [Registry] *****

 

Key Deleted : HKLM\SOFTWARE\Classes\pdfforge.DllInfo

Key Deleted : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDF

Key Deleted : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFEncryptor

Key Deleted : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFLine

Key Deleted : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFText

Key Deleted : HKLM\SOFTWARE\Classes\pdfforge.Tools

Key Deleted : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4

Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}

 

***** [internet Browsers] *****

 

-\\ Internet Explorer v9.0.8112.16421

 

Registry is OK.

 

*************************

 

AdwCleaner[R1].txt - [1201 octets] - [05/11/2011 17:15:13]

AdwCleaner[s1].txt - [1217 octets] - [05/11/2011 17:15:29]

 

*************************

 

Temporary folder : : 0 folder(s)et 0 file(s) deleted

 

########## EOF - C:\AdwCleaner[s1].txt - [1431 octets] ##########

 

MBAM:

Malwarebytes' Anti-Malware 1.51.2.1300

www.malwarebytes.org

 

Version de la base de données: 8079

 

Windows 6.1.7601 Service Pack 1

Internet Explorer 9.0.8112.16421

 

05/11/2011 14:06:46

mbam-log-2011-11-05 (14-06-46).txt

 

Type d'examen: Examen rapide

Elément(s) analysé(s): 150712

Temps écoulé: 31 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

 

 

Merci pour votre aide

[pear]

Bonsoir,

 

et maintenant, comment va la machine ?

[Gunthard26]

MBAM me le trouve encore quand je démarre une session avec les droit administrateur. J'ai laissé MBAM au démarrage de windows, et là, il bloque un fichier (wuhost.exe) qui essaye de se connecter à internet.

 

a+

Modifié le 5 novembre 2011 par Gunthard26

[pear]

Bonsoir,

 

Télécharger SEAF de C_XX

Double-cliquer sur le fichier SEAF.exe

Suivre les instructions à cocher sur cette fenêtre:

Occurences à rechercher, séparées par une virgules ->

Taper

wuhost.exe

Cocher"Chercher également dans le régistre"

Calculer le cheksum:Md5 .

Cocher Informations suppémentaires

la recherche dure quelques minutes et produit un rapport C:\SEAFlog.txt à poster

[Gunthard26]

Le voila:

1. ========================= SEAF 1.0.1.0 - C_XX

2.

3. Commencé à: 21:54:10 le 05/11/2011

4.

5. Valeur(s) recherchée(s):

6. wudhost.exe

7.

8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès

9.

10. (!) --- Calcul du Hash "MD5"

11. (!) --- Informations supplémentaires

12. (!) --- Recherche registre

13.

14. ====== Fichier(s) ======

15.

16.

17. "C:\Users\Lin's\AppData\Local\wudhost.exe" [ HIDDEN | 21 Ko ]

18. TC: 30/10/2011,12:50:08 | TM: 30/10/2011,12:50:08 | DA: 30/10/2011,12:50:08

19.

20. Hash MD5: 4CC666EB77D401E06761FAE6279F6E91

21.

22. InternalName: SteelBot.exe

23. OriginalFileName: SteelBot.exe

24. LegalCopyright:

25.

26. =========================

27.

28.

29. "C:\Users\SuperUser\AppData\Local\wudhost.exe" [ HIDDEN | 21 Ko ]

30. TC: 05/11/2011,16:43:14 | TM: 05/11/2011,16:43:14 | DA: 05/11/2011,16:43:14

31.

32. Hash MD5: 4CC666EB77D401E06761FAE6279F6E91

33.

34. InternalName: SteelBot.exe

35. OriginalFileName: SteelBot.exe

36. LegalCopyright:

37.

38. =========================

39.

40.

41. "C:\Windows\Prefetch\WUDHOST.EXE-611C151E.pf" [ NOT_CONTENT_INDEXED|ARCHIVE | 68 Ko ]

42. TC: 05/11/2011,16:43:14 | TM: 05/11/2011,21:47:26 | DA: 05/11/2011,16:43:14

43.

44. Hash MD5: FA3D41C1890DF4505D4A3FA15D267BAE

45.

46.

47. =========================

48.

49.

[pear]

Ce n'est pas wuhost.exe mais wudhost.exe qui est un trojan.

 

Curieux que mbam ne le trouve pas.Peut- être parce qu'il est Hidden(caché)

 

Sous Windows 7 et Vista

Cliquer sur Explorateur ->Organiser-> Options des dossiers et de recherche->’onglet Affichage :

ou,

Sous Windows Seven et Vista, la barre des menus n'étant pas présente par défaut, il faut d'abord la faire apparaitre.

Pressez la touche ALT du clavier. La barre des menus apparait.

Dans le menu Outils, choisissez Options des dossiers.

 

Choisissez l'onglet Affichage.

Cochez Afficher les fichiers et dossiers cachés.

Décochez Cachez les fichiers système.

Décochez Cacher les extensions dont le type est connu.

 

 

Relancez Mbam