Virus svchost dans windows temp
Résolu
-scap-
-
-scap- -
-scap- -
Bonjour,
Ca fait 2 jours que je bataille pour essayer de supprimer un virus sur mon pc.
J'ai suivi quelques procedures comme celle-ci: https://forums.commentcamarche.net/forum/affich-16632765-virus-svchost-exe-dans-windows-temp
J'ai essayer quelques antispyware comme Malwarebyte et Superantispyware, mais rien n'y fait. J'ai toujours l'antivirus(avast) qui detecte une menace toute les 5 minutes du type: C:/WINDOWS/TEMP/.../svchost.exe
En effet le dossier C:/WINDOWS/TEMP/... se rempli de nouveaux dossiers.
J'ai le rapport Hijackthis http://www.cijoint.fr/cjlink.php?file=cj201004/cijt7vDUkE.txt
Si quelqu'un pouvait m'aider ca serait super.
Merci d'avance.
Ca fait 2 jours que je bataille pour essayer de supprimer un virus sur mon pc.
J'ai suivi quelques procedures comme celle-ci: https://forums.commentcamarche.net/forum/affich-16632765-virus-svchost-exe-dans-windows-temp
J'ai essayer quelques antispyware comme Malwarebyte et Superantispyware, mais rien n'y fait. J'ai toujours l'antivirus(avast) qui detecte une menace toute les 5 minutes du type: C:/WINDOWS/TEMP/.../svchost.exe
En effet le dossier C:/WINDOWS/TEMP/... se rempli de nouveaux dossiers.
J'ai le rapport Hijackthis http://www.cijoint.fr/cjlink.php?file=cj201004/cijt7vDUkE.txt
Si quelqu'un pouvait m'aider ca serait super.
Merci d'avance.
A voir également:
- Virus svchost dans windows temp
- Clé d'activation windows 10 - Guide
- Montage video windows - Guide
- Windows ne démarre pas - Guide
- Windows movie maker - Télécharger - Montage & Édition
- Virus mcafee - Accueil - Piratage
51 réponses
scap,
On a fait un grand pas en nettoyant cette infection des rootkits.
la suite devrait mieux se passer en principe.
As-tu toujours des soucis d'instabilité ?
-----------------------------------------------------------------------------------------
Peux-tu vérifier pour la clé que je t'avais indiqué hier soir ?
Tu ouvres la base de registre ( en tapant regedit dans exécuter )
Si tu trouves la valeur OTL dans la partie droite, supprime la.
je ne voudrais que cela interfère avec la manipulation suivante.
-------------------------------------------------------------------------------------
1/ Télécharge The Avenger sur ton Bureau.
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
# Extraire le fichier sur ton bureau.
# Tu obtiendras un fichier avenger.exe
2/ Copie le texte ci-dessous :
Note: Le code ci-dessus a été crée spécialement pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE SUIVEZ pas ces directives : elles pourraient endommager votre système.
3/ Maintenant, lance The Avenger en double-cliquant sur Avenger.exe.
* Clique sur OK au message qui va s'ouvrir
* Dans le rectangle blanc, sous "Input script here", colle-le texte .
* Cliquer "Execute" comme ceci :
http://img100.imageshack.us/img100/7672/avengerve6pq1.jpg
* Une boîte de dialogue indique que le pc va redémarrer. Il faut accepter.
4/ The Avenger va automatiquement faire ce qui suit:
* Il va Re-démarrer le système.
Dans les cas où le script contient un/des "Drivers to disable", The Avenger re-démarrera votre système 2 fois
* Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
* The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.
5/ Pour finir copier/coller le contenu du ficher c:\avenger.txt dans votre réponse
A+
On a fait un grand pas en nettoyant cette infection des rootkits.
la suite devrait mieux se passer en principe.
As-tu toujours des soucis d'instabilité ?
-----------------------------------------------------------------------------------------
Peux-tu vérifier pour la clé que je t'avais indiqué hier soir ?
Tu ouvres la base de registre ( en tapant regedit dans exécuter )
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Si tu trouves la valeur OTL dans la partie droite, supprime la.
je ne voudrais que cela interfère avec la manipulation suivante.
-------------------------------------------------------------------------------------
1/ Télécharge The Avenger sur ton Bureau.
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
# Extraire le fichier sur ton bureau.
# Tu obtiendras un fichier avenger.exe
2/ Copie le texte ci-dessous :
Drivers to disable: xkgvuusd Drivers to delete: xkgvuusd Files to delete: C:\WINDOWS\system32\iyhbchb.dll C:\WINDOWS\System32\hrqjjhda.dll
Note: Le code ci-dessus a été crée spécialement pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE SUIVEZ pas ces directives : elles pourraient endommager votre système.
3/ Maintenant, lance The Avenger en double-cliquant sur Avenger.exe.
* Clique sur OK au message qui va s'ouvrir
* Dans le rectangle blanc, sous "Input script here", colle-le texte .
* Cliquer "Execute" comme ceci :
http://img100.imageshack.us/img100/7672/avengerve6pq1.jpg
* Une boîte de dialogue indique que le pc va redémarrer. Il faut accepter.
4/ The Avenger va automatiquement faire ce qui suit:
* Il va Re-démarrer le système.
Dans les cas où le script contient un/des "Drivers to disable", The Avenger re-démarrera votre système 2 fois
* Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
* The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.
5/ Pour finir copier/coller le contenu du ficher c:\avenger.txt dans votre réponse
A+
Le systeme est beaucoup plus stable.
J'ai la valeur OTL dans la clé de registre indiquée. Je la supprime et je suis la procédure suivante.
A+
J'ai la valeur OTL dans la clé de registre indiquée. Je la supprime et je suis la procédure suivante.
A+
OK,
Tu peux me supprimer les deux fichiers suivants ( ce sont des traces de Combofix ).
--------------------------------------------------------------------------------------------
Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( important pour la suite )
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.
# Lance Combofix.exe et suis les invites.
Il est possible que ComBoFix redémarre l'ordinateur pour supprimer certains fichiers.
# Une fois le scan fini, un rapport va apparaitre.
Copie/colle ce rapport dans ta prochaine réponse.
Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.
A+
Tu peux me supprimer les deux fichiers suivants ( ce sont des traces de Combofix ).
C:\WINDOWS\MBR.exe C:\WINDOWS\PEV.exe
--------------------------------------------------------------------------------------------
Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( important pour la suite )
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.
# Lance Combofix.exe et suis les invites.
Il est possible que ComBoFix redémarre l'ordinateur pour supprimer certains fichiers.
# Une fois le scan fini, un rapport va apparaitre.
Copie/colle ce rapport dans ta prochaine réponse.
Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.
A+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
scap,
Je l'avais remarqué dans le dernier rapport OTL sans te poser la question.
On remarque ceci dans le rapport de ComboFix :
C'est généralement le cas lors de versions exotiques. :-(
dans ces versions modifiées ou illégales, il est courant de voir des fichiers manquants ( car optimisées ) :
Ou des fichiers qui semblent corrompus :
C'est bien souvent un casse-tête à nettoyer.
Aussi, soyons francs.
Ta version est légale ?
A+
PS : Sinon, ComboFix a correctement nettoyé l'infection.
Je l'avais remarqué dans le dernier rapport OTL sans te poser la question.
On remarque ceci dans le rapport de ComboFix :
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "_nltide_2"="shell32" [X] "_nltide_3"="advpack.dll" [2008-06-23 124928]
C'est généralement le cas lors de versions exotiques. :-(
dans ces versions modifiées ou illégales, il est courant de voir des fichiers manquants ( car optimisées ) :
c:\windows\System32\wscntfy.exe ... is missing !!
Ou des fichiers qui semblent corrompus :
c:\windows\system32\midimap.dll . . . is infected!!
C'est bien souvent un casse-tête à nettoyer.
Aussi, soyons francs.
Ta version est légale ?
A+
PS : Sinon, ComboFix a correctement nettoyé l'infection.
C'est le pc de ma copine, il a été acheté en Hollande avec windows. Apparemment elle a eut un problème lorsqu'elle est rentrée chez elle en Bolivie et elle l'a donné a réparé a un technicien. Alors je sais pas trop ce qu'ils y ont changé, c'est fort possible qu'ils aient réinstallé une version "exotique".
On ne s'est pas posé la question jusqu'à présent.
Désolé si ca pose des problèmes supplémentaires.
En tout cas je te remercie infiniment pour ton aide sur ce coup!
Tu penses que c'est tout bon? Il n'y a plus d'infection?
On ne s'est pas posé la question jusqu'à présent.
Désolé si ca pose des problèmes supplémentaires.
En tout cas je te remercie infiniment pour ton aide sur ce coup!
Tu penses que c'est tout bon? Il n'y a plus d'infection?
Re,
Merci pour ta réponse.
Je me demandais pourquoi il y avait une version espagnole sur le PC ??
Oui, cela ne m'étonnerait pas qu'une version piratée/modifiée ait été installée par ce technicien.
Du coup, j'imagine que tu n'as pas de CD de Windows.
Cela a son importance pour la suite.
Comment se comporte le PC ?
----------------------------------------------------------------------------------
On va essayer de faire au mieux.
Comme je te le disais, ComboFix a bien nettoyé les services, fichiers qui résistaient.
Pour une autre vérification, tu vas réutiliser malwarebytes.
Ouvre le logiciel
# Onglet mise à jour --> fais la mise à jour.
# Dans l'onglet Recherche, sélectionne Exécuter un examen complet.
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l'ordinateur.
# Clique sur lancer l'examen.
# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection.
Tu postes le rapport dans ton prochain message.
Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l'onglet Rapport/logs. Il y est. Clique dessus et choisir ouvrir.
L'analyse prend généralement 50 mn en moyenne.
On verra ensuite pour ces fichiers.
A+
Allez jusqu'au bout de la procédure de désinfection.
Merci pour ta réponse.
Je me demandais pourquoi il y avait une version espagnole sur le PC ??
Oui, cela ne m'étonnerait pas qu'une version piratée/modifiée ait été installée par ce technicien.
Du coup, j'imagine que tu n'as pas de CD de Windows.
Cela a son importance pour la suite.
Comment se comporte le PC ?
----------------------------------------------------------------------------------
On va essayer de faire au mieux.
Comme je te le disais, ComboFix a bien nettoyé les services, fichiers qui résistaient.
Pour une autre vérification, tu vas réutiliser malwarebytes.
Ouvre le logiciel
# Onglet mise à jour --> fais la mise à jour.
# Dans l'onglet Recherche, sélectionne Exécuter un examen complet.
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l'ordinateur.
# Clique sur lancer l'examen.
# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection.
Tu postes le rapport dans ton prochain message.
Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l'onglet Rapport/logs. Il y est. Clique dessus et choisir ouvrir.
L'analyse prend généralement 50 mn en moyenne.
On verra ensuite pour ces fichiers.
A+
Allez jusqu'au bout de la procédure de désinfection.
Le pc marche super bien. On lui a reduit un max le nombre de procesus actifs, l'utilisation du CPU et de la memoire... Il est carrement booste.
Et suivant le derneir rapport de Malwarebyte il n'y a plus de fichier infectes:
http://www.cijoint.fr/cjlink.php?file=cj201004/cijpkgziWW.txt
Donc tout semble OK. Qu'en penses tu?
Et suivant le derneir rapport de Malwarebyte il n'y a plus de fichier infectes:
http://www.cijoint.fr/cjlink.php?file=cj201004/cijpkgziWW.txt
Donc tout semble OK. Qu'en penses tu?
Re,
Oui, c'est nickel.
Comme je te le disais, avec ces versions modifiées, c'est un casse-tête à nettoyer.
Et bien souvent, c'est peine perdue.
-----------------------------------------------------------------------------------------
1/ Supprime les outils utilisés.
Ouvre OTL et clique sur Purge Outils.
2/ utilise CCleaner.
http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner
utilise les fonctions nettoyeur et registre.
3/ Il est préférable maintenant que ton PC est propre de nettoyer la restauration système et de créer un point propre pour une utilisation ultérieure.
Les points de restauration :
- Panneau de configuration --> Système --> Restauration du système
cocher " Désactiver la restauration .... " ( si elle est cochée sinon la décocher -- > valider -- > cocher )
Une fenêtre va s'ouvrir pour t'avertir que les poins de restauration existants seront supprimés.
Accepte.
Décoche ensuite « Désactiver la restauration .... » pour réactiver la restauration système
- Tu vas recréer un point de restauration propre.
Pour recréer un point de restauration :
Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système
Choisis "Créer un point de restauration". Suis les invites.
---------------------------------------------------------------------------------------
Un peu de lecture : projet antimalwares : https://www.malekal.com/projet-antimalware-2/
--------------------------------------------------------------------------------------
/!\ Tu peux aussi dénoncer ton infection /!\
http://www.malwarecomplaints.info/phpBB3/viewforum.php?f=10
Lis l'article suivant pour t'aider dans la démarche : http://www.malekal.com/malwarecomplaints.html
Pour ton cas, choisis l'infection Autres infections et indique dans ton message que tu as été infecté par le trojan Alueron-TDSS
--------------------------------------------------------------------------------------
En te souhaitant bonne lecture et bonne continuation.
Salut.
@+
Oui, c'est nickel.
Comme je te le disais, avec ces versions modifiées, c'est un casse-tête à nettoyer.
Et bien souvent, c'est peine perdue.
-----------------------------------------------------------------------------------------
1/ Supprime les outils utilisés.
Ouvre OTL et clique sur Purge Outils.
2/ utilise CCleaner.
http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner
utilise les fonctions nettoyeur et registre.
3/ Il est préférable maintenant que ton PC est propre de nettoyer la restauration système et de créer un point propre pour une utilisation ultérieure.
Les points de restauration :
- Panneau de configuration --> Système --> Restauration du système
cocher " Désactiver la restauration .... " ( si elle est cochée sinon la décocher -- > valider -- > cocher )
Une fenêtre va s'ouvrir pour t'avertir que les poins de restauration existants seront supprimés.
Accepte.
Décoche ensuite « Désactiver la restauration .... » pour réactiver la restauration système
- Tu vas recréer un point de restauration propre.
Pour recréer un point de restauration :
Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système
Choisis "Créer un point de restauration". Suis les invites.
---------------------------------------------------------------------------------------
Un peu de lecture : projet antimalwares : https://www.malekal.com/projet-antimalware-2/
--------------------------------------------------------------------------------------
/!\ Tu peux aussi dénoncer ton infection /!\
http://www.malwarecomplaints.info/phpBB3/viewforum.php?f=10
Lis l'article suivant pour t'aider dans la démarche : http://www.malekal.com/malwarecomplaints.html
Pour ton cas, choisis l'infection Autres infections et indique dans ton message que tu as été infecté par le trojan Alueron-TDSS
--------------------------------------------------------------------------------------
En te souhaitant bonne lecture et bonne continuation.
Salut.
@+
ET bien merci pour ton aide precieuse, ma copine te dit aussi muchisimas gracias .
Je vais suivre tes indications du dernier post et informer aussi sur cette infection sur malwarecomplaints.
C'est vraiment super ce genre d'assistance en ligne.
Donc merci encore a toi Verni29.
Et merci au forum.
Salut.
@+
@
Je vais suivre tes indications du dernier post et informer aussi sur cette infection sur malwarecomplaints.
C'est vraiment super ce genre d'assistance en ligne.
Donc merci encore a toi Verni29.
Et merci au forum.
Salut.
@+
@
