virus exploitant svchost.exe

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

virus exploitant svchost.exe

Messagede juliendangers » 08 Mar 2009, 12:13

Bonjour à tous!!

voilà j'ai de gros problème! Dès le lancement de ma connexion internet (c'est à dire au démarrage), j'ai un message du genre "svchost.exe
0x755cd27e ... la memoire ne peut pas etre read"
suivit de :
"svchost.exe
0x75586e6a ... "
Le tout en boucle pendant 3 fois! La même chose lorsque je tente de lancer firefox3 ou IE8. J'ai commencé par dépoussiéré mon PC au cas ou, meme si je n'avais pas beaucoup d'espoir! Je ne peux pas accéeder au répertoire C:\ directement car un message d'erreur "recycleur..." s'affiche! Je dois passer par un dossier et taper C: dans la barre d'adresse. Puis j'ai débranché ma connexion internet pour éviter l'expansion du virus(un truc dans le genre on me la fait pas, ca peut pas etre autre chose^^)! J'ai voulu lancer norton internet security! Impossible! De meme pour antibytes malwares, sanns succès meme en mode sans echec... Mais j'ai réussi a faire un log hijackthis que voilà, il y a deux lignes qui me plaisent pas :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:29:51, on 08/03/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18372)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\WINDOWS\RTHDCPL.EXE
C:\apps\ABoard\ABoard.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\HP\HP Software Update\HPWuSchd.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\TGTSoft\StyleXP\StyleXP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\documents and settings\utilisateur\local settings\application data\oaeoius.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Norton Internet Security\Engine\16.2.0.7\ccSvcHst.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology\ELService.exe
C:\Program Files\Norton Internet Security\Engine\16.2.0.7\ccSvcHst.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Norton Internet Security\Engine\16.2.0.7\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files\Norton Internet Security\Engine\16.2.0.7\IPSBHO.DLL
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton Internet Security\Engine\16.2.0.7\coIEPlg.dll
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [oaeoius] "c:\documents and settings\utilisateur\local settings\application data\oaeoius.exe" oaeoius
O4 - HKCU\..\Run: [DLD.EXE] C:\Program Files\Download Direct\DLD.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDow ... eqlab3.cab
O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - http://catalog.update.microsoft.com/v7/ ... 3512516406
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-U ... E_UNO1.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 3505855921
O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} (GMNRev Class) - http://h20270.www2.hp.com/ediags/gmn2/i ... ection.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.142,85.255.112.187
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.142,85.255.112.187

O18 - Protocol: symres - {AA1061FE-6C41-421F-9344-69640C9732AB} - C:\Program Files\Norton Internet Security\Engine\16.2.0.7\coIEPlg.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: Intel® Quick Resume Technology Drivers (ELService) - Intel Corporation - C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology\ELService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Norton Internet Security - Symantec Corporation - C:\Program Files\Norton Internet Security\Engine\16.2.0.7\ccSvcHst.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Service CANALPLAY - Canal+ Active - C:\Program Files\Lecteur CANALPLAY\CanalPlayService.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: USBDeviceService - Unknown owner - C:\Program Files\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.11\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.30\bin\mysqld.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 9588 bytes


C'est gros comme une maison le virus mais je sais pas comment le supprimer! J'attends avant d'utiliser fix cheked comme on me l'a appris^^
Merci de vous penchez sur mon cas.


PS : J'ai accès a internet via mon second PC! Je peux donc télécharger tous les outils nécessaires! Mais bon il tourne sous millenium et est super lent! D'habitude je ne m'en sers pas mais pas le choix...
juliendangers
 
Messages: 43
Inscription: 25 Aoû 2008, 11:19

Messagede juliendangers » 08 Mar 2009, 18:43

du nouveau :
j'ai fait un rapport OTListIt car il va surement m'être demandé donc je prends le devant! J'ai coché "use safe liste" pour "extra registry".
Avant cela je place l'autorun du repertoire C: qui est tout sauf normal :

[autorun]
;qmoskscvhuyfweiqxwd
shellexecute="RECYCLER\S-7-6-96-100030458-100028208-100021800-4432.com c:\"
;iwlbgkklrnhordmfn
shell\Open\command="RECYCLER\S-7-6-96-100030458-100028208-100021800-4432.com c:\"
;wnzxfrz
shell=Open

J'attends avant de mettre les rapports OTListIt car ca ne sert à rien de surcharger visuellement le post pour rien.
juliendangers
 
Messages: 43
Inscription: 25 Aoû 2008, 11:19

Messagede juliendangers » 11 Mar 2009, 13:58

up si possible.
juliendangers
 
Messages: 43
Inscription: 25 Aoû 2008, 11:19

Messagede Félix le Chat » 11 Mar 2009, 17:31

Bonsoir,

Un lien pour pour identifier l'adresse IP http://www.domaintools.com/reverse-ip/explorer.html

dans ton cas

IP Address: 85.255.112.%
Block C Owner: UKRTELEGROUP LTD
Number of Domains: 2 domains
Reverse IP: View the list of domains


... pour le reste faut attendre la réponse d'un expert, mais on peut peut-être penser à confiker ce truc oaeoius.exe dans cette ligne C:\documents and settings\utilisateur\local settings\application data\oaeoius.exe ne donne aucune réponse de Google... en attendant un coup d'oeil ici http://assiste.forum.free.fr/viewtopic. ... highlight= ne mange pas de pain... la dernière adresse donne des liens pour l'éradication, à titre d'exemple, j'ai suivi celui d'Eset download.eset.com/special/EConfickerRemover.exe
Félix le Chat
Avatar de l’utilisateur
Félix le Chat
 
Messages: 824
Inscription: 20 Aoû 2004, 08:29

Messagede juliendangers » 11 Mar 2009, 20:33

merci j'ai deja utiliser le WHOIS et ce serveur appartient à un ukrainien!

pour ce qui est de l'éradiquer le virus désactive tout logiciel suceptible de l'éradiquer! J'ai téléchargé 4 antimalware impossible à lancer... La commande MRT de windows ne fonctionne pas nn plus... Rien à faire! J'ai moi-même examiné tous les processus! Tous les svchosts qui tournent sont légitimes, et je n'ai moi-même pas trouvé d'info sur oaeoius!
Je te remercie de ta réponse qui me fait espérer que je ne suis pas tout seul^^
juliendangers
 
Messages: 43
Inscription: 25 Aoû 2008, 11:19

Messagede Félix le Chat » 12 Mar 2009, 09:05

Bonjour et merci pour l'intérêt,

... et celui-ci http://www.bitdefender.com/VIRUS-100046 ... p.Gen.html ?

Edité :

SYMPTOMS:
Connection times out while trying to access various antivirus related websites.
Windows Update has been disabled.
Presence of autorun.inf files in the root of mapped drives pointing to a .dll file inside the RECYCLER folder of the drive.


La méthode manuelle est ici

http://blogs.technet.com/mathieum/archi ... icker.aspx
Félix le Chat
Avatar de l’utilisateur
Félix le Chat
 
Messages: 824
Inscription: 20 Aoû 2004, 08:29

Messagede juliendangers » 12 Mar 2009, 19:10

toujours pas Mouaaarrrrffffffff! Les symptomes sont presque identiques! Mais moi je ne peux pas accéder à internet... C'est l'une des seules différences! Même ma page d'accueil ne se lance pas!
Mais merci de m'aider à chercher!
juliendangers
 
Messages: 43
Inscription: 25 Aoû 2008, 11:19

Messagede Félix le Chat » 12 Mar 2009, 19:44

Bonsoir,


Je ne comprends à quelle question correspond ta réponse
toujours pas Mouaaarrrrffffffff!
?

Et je comprends pas ton problème car je ne suis qu'un pauvre chat pas très malin :

... d'un coté
Mais moi je ne peux pas accéder à internet


... de l'autre
J'ai accès a internet via mon second PC! Je peux donc télécharger tous les outils nécessaires!


... donc avec le second PC as-tu téléchargé :

1) la page http://blogs.technet.com/mathieum/archi ... icker.aspx et vérifié sans toucher à rien que l'un ou l'autre des symptômes de l'infection est présent ? service suspect, comme indiqué en 6 ? clé de registre comme indiqué en 17 etc...

2) l'un des éradiqueurs spécialisés de conficker ? notamment celui-ci http://www.bitdefender.com/VIRUS-100046 ... p.Gen.html ?
Félix le Chat
Avatar de l’utilisateur
Félix le Chat
 
Messages: 824
Inscription: 20 Aoû 2004, 08:29

Messagede juliendangers » 12 Mar 2009, 20:00

le toujours pas était pour le virus, ce n'est pas le bon! J'ai vérifier les clés et le reste! Ca ne correspond pas, et l'utilitaire de désinfection ne trouve pas le virus!

Pour ce qui est d'internet je voulais dire sur le PC infecté! Or le virus que tu décris, enfin l'article, annonce que seule la connexion vers les sites d'antivirus ou dans le même genre! Or pour moi c'est pour n'importe quelle page. C'est tout
juliendangers
 
Messages: 43
Inscription: 25 Aoû 2008, 11:19

Messagede Félix le Chat » 13 Mar 2009, 08:43

Bonjour et merci pour la réponse,

Je voulais être sûr que j'ai bien atteint mon seuil d'incompétence... c'est le cas... il faut donc maintenant attendre la réponse d'un expert...
Félix le Chat
Avatar de l’utilisateur
Félix le Chat
 
Messages: 824
Inscription: 20 Aoû 2004, 08:29

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 44 invités