Sujet Précédent Sujet Suivant

Virus svchost.exe ?

Fermé
milkouz Messages postés 105 Date d'inscription dimanche 3 août 2008 Statut Membre Dernière intervention 13 février 2013 - 12 févr. 2013 à 16:32
Tigzy Messages postés 7498 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 - 13 févr. 2013 à 19:01
Bonjour,
Donc voila je viens demander de l'aide ici car je pense avoir un virus ou cheval de troie depuis quelque jours car mon pc est devenu lent puis avast me fait des alertes pour bloquer un logiciel malveillant svchost.exe.Je ne suis pas un débutant ni un pro j'ai fais un nettoyage de la base de registre scan avast,spybot et malware mais il demeure toujours.
Puis avast me signale toute les 5 mn qu'il bloque une adresse url malveillante bloqué, rapport hijackthis a disposition

Merci d'avance

ps:j'ai vista et Firefox

9 réponses

Réponse 1 / 9
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 636
12 févr. 2013 à 16:32
Salut,

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT

1
Réponse 2 / 9
milkouz Messages postés 105 Date d'inscription dimanche 3 août 2008 Statut Membre Dernière intervention 13 février 2013 11
12 févr. 2013 à 17:17
c'est très long comme analyse je posterais les résultats demain merci de ton aide
0
Réponse 3 / 9
milkouz Messages postés 105 Date d'inscription dimanche 3 août 2008 Statut Membre Dernière intervention 13 février 2013 11
13 févr. 2013 à 10:43
Salut,
tiens voici les liens

https://pjjoint.malekal.com/files.php?id=20130213_r6u15137u5

https://pjjoint.malekal.com/files.php?id=20130213_q7i13s8u11y6

merci de ton aide
0
Réponse 4 / 9
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 636
Modifié par Malekal_morte- le 13/02/2013 à 11:36
Désinstalle Spybot, il est complètement inefficace.

Relance OTL.
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2186548
IE - HKU\S-1-5-21-207046934-1250167255-3786613922-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2186548
[2013/02/11 14:17:07 | 000,000,000 | ---D | C] -- C:\Program Files\Vittalia
[2012/01/24 13:58:09 | 000,000,296 | -H-- | C] () -- C:\ProgramData\~LRvHf0680kX2gb
[2012/01/24 13:58:09 | 000,000,184 | -H-- | C] () -- C:\ProgramData\~LRvHf0680kX2gbr
[2012/01/24 13:57:35 | 000,000,440 | -H-- | C] () -- C:\ProgramData\LRvHf0680kX2gb
[2013/02/10 15:48:50 | 000,001,832 | ---- | M] () -- C:\Users\eric\Application Data\Microsoft\Internet Explorer\Quick Launch\Antivirus Protection.lnk
IE - HKU\S-1-5-21-207046934-1250167255-3786613922-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: URL = http://www.search.ask.com/?l=dis{searchTerms}&locale=fr_FR&apn_ptnrs=FN&apn_dtid=TES002YYFR&apn_uid=C1136D95-620A-482F-83B5-FED3D32FCCAC&apn_sauid=0ED5E970-DC7F-4DB3-8324-0EC15AD54A13

* redemarre le pc sous windows et poste le rapport ici

~~


[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!


~~

Télécharge et installe Malwarebyte MBAR : https://www.malekal.com/malwarebytes-anti-rootkit-mbar-beta/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
Enregistre le rapport sur http://pjjoint.malekal.com
Donne le lien pjjoint ici.



Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 9
milkouz Messages postés 105 Date d'inscription dimanche 3 août 2008 Statut Membre Dernière intervention 13 février 2013 11
13 févr. 2013 à 14:24
Re,

Donc voici les rapports

https://pjjoint.malekal.com/files.php?id=20130213_e5y8o613i15

>>>
le raport de RK peut pas s'enregistrer sur le site

RogueKiller V8.5.1 [Feb 12 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : eric [Droits d'admin]
Mode : Suppression -- Date : 13/02/2013 12:57:37
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : \SystemRoot\System32\drivers\mountmgr.sys -> HOOKED ([MAJOR] Unknown @ 0x86947FA9)

¤¤¤ Infection : Root.MBR ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost
::1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST9160827AS ATA Device +++++
--- User ---
[MBR] 293176d6b56795e13a67f5e273ee0c2d
[BSP] 5c11c6be435017a188f295e986e5df02 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 12291 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 25173855 | Size: 140334 Mo
User = LL1 ... OK!
User != LL2 ... KO!
--- LL2 ---
[MBR] ffadd27a7f95b341085cc6d6ca1ce1a2
[BSP] 5c11c6be435017a188f295e986e5df02 : Windows Vista MBR Code [possible maxSST in 2!]
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 12291 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 25173855 | Size: 140334 Mo
2 - [ACTIVE] NTFS (0x17) [HIDDEN!] Offset (sectors): 312579760 | Size: 0 Mo

Termine : << RKreport[2]_D_13022013_125737.txt >>
RKreport[1]_S_13022013_125600.txt ; RKreport[2]_D_13022013_125737.txt

>>>>>>


https://pjjoint.malekal.com/files.php?id=20130213_y9x15n9z6t14
0
Réponse 6 / 9
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 636
13 févr. 2013 à 14:30
Sur RogueKiller, vas dans l'onglet MBR
clic sur MBR RAZ.

Redémarre le PC, refais un scan RogueKiller et donne le rapport.
0
Réponse 7 / 9
milkouz Messages postés 105 Date d'inscription dimanche 3 août 2008 Statut Membre Dernière intervention 13 février 2013 11
13 févr. 2013 à 14:51
la case MBR RAZ est grisée peut pas cliquer dessus
0
Réponse 8 / 9
Tigzy Messages postés 7498 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 582
Modifié par Tigzy le 13/02/2013 à 15:02
Hello
La réparation des partitions SS.t n'a pas été testée et est désactivée.
Faut essayer avec un autre outil (AvstMBR, TDSSKiller)
Si tu as un dropper Mak je pourrais tester et l'activer (le code est prêt) si ça marche bien

Contributeur SECURITE *** Développeur de RogueKiller ***
Pas de rapports par MP, hébergez les sur www.cijoint.fr. Pas de désinfection par MP, merci d'ouvrir un fil
0
Réponse 9 / 9
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 636
13 févr. 2013 à 16:24
okay.
En espérant que TDSSKiller tourne.

Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Lire ce qui est écrit au niveau des suppressions/réparation (delete et cure), ne pas supprimer n'importe quoi.
Poste le rapport ici.

0
Tigzy Messages postés 7498 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 582
13 févr. 2013 à 16:53
Et mon dropper? :)
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 636
13 févr. 2013 à 18:02
J'ai pas de dropper pour Alueron ou si j'en ai, chuis pas au courant \o
0
Tigzy Messages postés 7498 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 582
13 févr. 2013 à 19:01
Okay. Personne n'en a on dirait :/
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
Comment savoir si j'ai attrapé un virus sur mon téléphone ?
Infolock -
bell -

66 réponses
Virus Altruistic
Mael03250 -
MisteryBean -

11 réponses
problême Opéra est ce un virus??
sand2504 -
sand2504 -

85 réponses