15.4.2010 06:42 Faux virus ? #1373
Réponse avec citation | Réponse rapide | Haut
muriadan

Avatar

Novice
Date d'adhésion: 15.4.2010
Messages: 1
Depuis deux jours, AVG (version9) me détecte un virus (cheval de troie) à l'emplacement suivant :
C:\WINDOWS\System32\svchost.exe(3892)
Comme le fichier "svchost.exe" gère des protocoles indispensable au bon fonctionnement de Windows XP, je me suis donc bien gardé de le supprimer.
J'ai tenté de solutionner le problème avec AVG bien entendu mais aussi :

a-squared Free
Malwarebytes' Anti-Malware
Spybot - Search & Destroy
SUPERAntiSpyware Free Edition

Seul AVG considère que le fichier est infecté et j'en viens à me demander si le soucis ne provient pas tout simplement d'AVG qui considère ce fichier svchost.exe comme un virus alors qu'il n'est pas infecté. Par ailleurs, lorsque je fais un scan contextuelle du fichier soit disant infecté avec AVG, ce dernier considère qu'il est sain...
J'ai également demandé à HijackThis de me faire un diagnostic que voici :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:38:08, on 15/04/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\Sécurité\AVG\AVG9\avgchsvx.exe
D:\Sécurité\AVG\AVG9\avgrsx.exe
D:\Sécurité\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Sécurité\a-squared Free\a2service.exe
D:\Sécurité\AVG\AVG9\avgwdsvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Documents and Settings\Laurent\Local Settings\Temp\YouUpService\YouupService.exe
D:\Sécurité\AVG\AVG9\avgnsx.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe
D:\SCURIT~1\AVG\AVG9\avgtray.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Sécurité\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Documents and Settings\Laurent\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\Program Files\DNA\btdna.exe
C:\Program Files\Pando Networks\Media Booster\PMB.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
D:\Internet\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Laurent\Local Settings\Application Data\Google\Google Talk Plugin\googletalkplugin.exe
D:\Sécurité\AVG\AVG9\avgui.exe
D:\Sécurité\AVG\AVG9\avgscanx.exe
D:\Sécurité\AVG\AVG9\avgcsrvx.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS02
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sfr.fr/kit/adsl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - D:\Sécurité\AVG\AVG9\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Program Files\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [nwiz] C:\Program Files\NVIDIA Corporation
View
wiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVG9_TRAY] D:\SCURIT~1\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Sécurité\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Laurent\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - HKCU\..\Run: [Pando Media Booster] C:\Program Files\Pando Networks\Media Booster\PMB.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: ChkDisk.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: FreshDownload - {5D68E775-CA04-4507-8C0A-ED42F5E7802C} - D:\Internet\FreshDevices\FreshDownload\fd.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.6.108.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://laurentlukaszewski.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {50DC58D0-C870-4BE6-BC41-971ED2D5F022} (HookWlmEx Control) - http://www.super-messenger.fr/tab/HookWlmEx.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140559222183
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_fr_dl.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F71CCCC7-3D57-41A2-AAEA-8924E32AB448}: NameServer = 80.118.192.100,192.168.1.1
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - D:\Sécurité\AVG\AVG9\avgpp.dll
O20 - AppInit_DLLs: C:\WINDOWS\system32\ c:\windows\system32\ c:\windows\system32\beyezuki.dll C:\WINDOWS\system32\kizevati.dll c:\windows\system32\,C:\WINDOWS\system32\zulahigu.dll
O20 - Winlogon Notify: !SASWinLogon - D:\Sécurité\SUPERAntiSpyware\SASWINLO.DLL
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - D:\Sécurité\a-squared Free\a2service.exe
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - D:\Sécurité\AVG\AVG9\avgwdsvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Turbine Message Service - Live (LiveTurbineMessageService) - Unknown owner - D:\Jeux\Turbine\Turbine Download Manager\TurbineMessageService.exe (file missing)
O23 - Service: Turbine Network Service - Live (LiveTurbineNetworkService) - Unknown owner - D:\Jeux\Turbine\Turbine Download Manager\TurbineNetworkService.exe (file missing)
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: YouupServiceWinService - Unknown owner - C:\Documents and Settings\Laurent\Local Settings\Temp\YouUpService\YouupService.exe

--
End of file - 10541 bytes



Si quelqu'un peu m'apporter une réponse je lui en serais très reconnaissant.
15.4.2010 15:05 Re: Faux virus ? #1377
Réponse avec citation | Réponse rapide | Haut
EmilieD

Avatar

Novice
Date d'adhésion: 15.4.2010
Messages: 2
Bonjour,
Je n'ai pas de solution mais j'ai le même symptôme.
Courage! En espérant que l'on pourra nous aider. Emilie
16.4.2010 07:29 Re: Faux virus ? #1379
Réponse avec citation | Réponse rapide | Haut
leurtan37

Avatar

Novice
Date d'adhésion: 16.4.2010
Messages: 1
Bonjour à tous !
Sur l'un de mes deux PC (XP3) j'ai exactement le même problème depuis le 12/04/2010 ... et les mêmes conséquences c'est à dire déclenchement du bouclier à intervalles à peu près régulier de 5 minutes qui me signale le bloquage d'un cheval de troie PSW.Agent.AFCI !
A noter la création à chaque bloquage de (3) fichiers dans C:\WINDOWS\Temp ?

Seul le bouclier me détecte cette tentative d'intrusion ?!

Amicalement

Leurtan37
18.4.2010 20:44 Re: Faux virus ? #1385
Réponse avec citation | Réponse rapide | Haut
brulax

Avatar

Novice
Date d'adhésion: 18.4.2010
Messages: 1
Bonjour à tous,

J'ai exactement le même problème. Pour moi c'est Google Chrome qui ne souvre pas. Cela doit venir de ce cheval de troie PSW.Agent.AFCI. Que faire, c'est AVG qui paire les pédales.

Amicalement.

brulax
21.4.2010 10:04 Solution problème #1401
Réponse avec citation | Réponse rapide | Haut
Sorana

Avatar

Modérateur
Date d'adhésion: 22.3.2010
Messages: 26
Bonjour.

Je vous prie d'essayer réinstaller votre AVG et contactez moi si le problème persiste

Une bonne journée!
21.4.2010 23:41 Re: Faux virus ? #1405
Réponse avec citation | Réponse rapide | Haut
SgGolan

Avatar

Novice
Date d'adhésion: 21.4.2010
Messages: 2
Bonsoir,

Depuis cet après-midi, j'ai également les mêmes soucis avec AVG et le cheval de Troie "PSW.Agent.AFCI" ...

Après de maintes tentatives d'éradication, avec divers logiciels, je ne trouve toujours pas de solution.
Chrome était également devenu non-fonctionnel, j'ai dû repasser sur FireFox.
À noter qu'une notification apparaît toutes les 6 minutes.

Je tenterai demain de réinstaller AVG et vous tiendrai au courant :smile:
22.4.2010 15:23 Re: Faux virus ? #1407
Réponse avec citation | Réponse rapide | Haut
SgGolan

Avatar

Novice
Date d'adhésion: 21.4.2010
Messages: 2
Bonjour,

Une réinstallation complète d'AVG m'a permis de retrouver l'usage de Chrome et l'arrêt des notifications incessantes. Toutefois, les dossiers ****.tmp (vides) présents dans Windows/Temp/ ne cessent de se multiplier. Je ne sais pas s'il représentent une menace, mais toujours est-il que je peux à nouveau profiter pleinement de mon ordinateur.

En espérant que vous réglerez vos problèmes,

Golan.