Svchost 100%

bahmoi -  
 bahmoi -
Bonjour,

j'ai mon pc qui rame a fond et j'ai svchost à 100%, j'ai désactivé la mise a jour auto mais ça fait toujours pareil donc pour pouvoir à peu près faire quelque chose j'ai diminuer la priorité de ce svchost.
Comment régler ce probleme ? merci.

20 réponses

  1. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Bonsoir,

    Anormal en effet.

    Commence par ceci :

    Télécharge OTL (de OldTimer) sur ton Bureau.
    http://oldtimer.geekstogo.com/OTL.scr

    Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.

    * Double-clique sur OTL.scr pour le lancer.
    Si Sous Vista , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur.
    * Dans la partie Personnalisation, copie/colle la liste suivante.

     netsvcs 
    Drivers32
    %SYSTEMDRIVE%\*.exe 
    /md5start 
    eventlog.dll 
    scecli.dll 
    netlogon.dll 
    cngaudit.dll 
    sceclt.dll 
    ntelogon.dll 
    logevent.dll 
    iaStor.sys 
    nvstor.sys 
    atapi.sys 
    IdeChnDr.sys 
    viasraid.sys 
    AGP440.sys 
    vaxscsi.sys 
    nvatabus.sys 
    viamraid.sys 
    nvata.sys 
    nvgts.sys 
    iastorv.sys 
    ViPrt.sys 
    eNetHook.dll 
    ahcix86.sys 
    KR10N.sys 
    nvstor32.sys 
    ahcix86s.sys 
    nvrd32.sys 
    /md5stop 
    %systemroot%\*. /mp /s 
    CREATERESTOREPOINT 


    * Enfin, clique sur le bouton Analyse rapide.

    * Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)

    Utilise un site comme http://cijoint.fr pour les déposer.
    indique ensuite les deux liens crées.

    A+
    0
  2. bahmoi
     
    Ok merci.
    Voici les liens :
    http://www.cijoint.fr/cjlink.php?file=cj201004/cijkrgQMCb.txt
    http://www.cijoint.fr/cjlink.php?file=cj201004/cijxVk5RDF.txt
    0
  3. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    bahmoi,

    Je vois que tu as utilisé ComboFix. Tu as du le lancer.
    Poste le rapport.
    Il se trouve en C:\ComboFix.txt

    A+
    0
  4. bahmoi
     
    le voila :
    http://www.cijoint.fr/cjlink.php?file=cj201004/cijW8oNjgN.txt
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    bahmoi,

    Il y a bien une infection par un rootkit.
    on va creuser un peu avant de s'y attaquer.
    Trois manips à faire.

    1/ Tu vas sur le site de VirusTotal et tu vas pouvoir analyser un fichier.
    https://www.virustotal.com/gui/

    # Copiez le chemin indiqué ci-dessous et le coller dans la zone à analyser :

    Chemin :
    C:\Documents and Settings\LocalService\Application Data\kcmdte.dat


    # Tu cliques ensuite sur envoyer le fichier.
    # Tu postes le rapport de l'analyse ( pour cela, tu sélectionnes la zone de résultat --> click droit --> copier )

    Recommence la même manip avec monxga32.exe .
    EDIT : le chemin pour ce fichier :
    c:\documents and settings\Lulu\Menu Démarrer\Programmes\Démarrage\monxga32.exe


    2/ Télécharge gmer sur ton bureau ( IMPORTANT )
    http://www.gmer.net/#files

    Précautions d'usage :
    - Durant l'utilisation du logiciel, désactive tes protections actives ( antivirus, parefeu ). IMPORTANT.
    - Ferme également toutes les applications actives dont ton navigateur.

    # Double-clique sur l'exécutable téléchargé .
    Si sous Vista , click droit sur l'exécutable et choisir exécuter en tant qu'administrateur.
    # Le scan va se lancer de lui-même.

    Si tu reçois un message t'indiquant la présence de rootkits sur le cliquer, choisis oui pour effectuer une analyse complète du PC mais ne supprime rien.


    # A la fin de l'analyse, clique sur save pour enregistrer le rapport
    # Enregistre-le sur le bureau ( fichier .log )

    Édite ce rapport dans ta prochaine réponse.

    A+
    Allez jusqu'au bout de la procédure de désinfection.
    0
  7. bahmoi
     
    Pour kcmdte.dat :
    MD5: 7269e577434a90edc97adec52154d659
    First received: 2010.04.18 08:59:16 UTC
    Date 2010.04.19 10:04:29 UTC [+1D]
    Résultats 0/40
    Permalink: analisis/88d8e895c8221d4422ac3ee10462f4ba1bc0244f8a67221377add53fa9b3c766-1271671469

    Pour monxga32.exe impossible de l'uploader ça me dit : 0 bytes size received / Se ha recibido un archivo vacio

    GMER a été super long, il vient de finir voila le log :
    http://www.cijoint.fr/cjlink.php?file=cj201004/cijxDpiNVS.txt

    Gmer
    0
  8. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    bahmoi,

    1/ Télécharge le fichier suivant et enregistre-le sur ton bureau.
    http://senduit.com/77aca0

    2) Glisse/dépose le script sur ComBoFix comme indiqué sur ce lien
    http://img399.imageshack.us/img399/7183/img210914jjufmoj0.gif

    Suis les invites.

    # Ton bureau va disparaître à plusieurs reprises. Normal.
    # L'ordinateur va redémarrer et un rapport sera crée.
    # Poste le contenu dans ton prochain message.

    Note : Si tu ne le trouves pas, il est en C:\Combofix.txt

    A+

    Allez jusqu'au bout de la procédure de désinfection.
    0
  9. bahmoi
     
    Bonjour,

    je n'ai plus svchost à 99% :)
    Voila le rapport :
    http://www.cijoint.fr/cjlink.php?file=cj201004/cijuinsSO8.txt
    0
  10. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Re,

    je n'ai plus svchost à 99% :) 

    Le PC tourne correctement ?

    ------------------------------------------------------------------------------

    1/ Désactive Alcohol Soft ( émulateur de CD ) ainsi que les protections antivirus et parefeu.

    Relance gmer et poste le rapport.

    2/ réactive tes protections et lance OTL.
    Clique sur analyse rapide et poste le rapport.

    A+
    0
  11. bahmoi
     
    Le pc tourne bien oui.
    Par contre tout à l'heure, combofix m'a demandé de désactivé antivir et norton internet security. J'avais donc bien désactivé antivir mais norton je l'ai pas...
    Voici le rapport gmer : http://www.cijoint.fr/cjlink.php?file=cj201004/cijB26ftKE.txt
    et le rapport OTL : http://www.cijoint.fr/cjlink.php?file=cj201004/cijMbRKqms.txt
    0
  12. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Re,

    Pour Norton, il doit rester des traces.
    Utilise l'outil suivant pour nettoyer cela.

    http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924

    -------------------------------------------------------------------------------

    1/ Télécharge AD-Remover de C_XX sur ton bureau.
    http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

    Tu te déconnectes du net et ferme toutes les applications en cours.

    * Double-clique sur AD-R.exe .
    * Au menu principal, choisis l'option "Nettoyer" .
    * Le PC va redémarrer pour procéder au nettoyage.

    Après redémarrage, un rapport va apparaitre. Poste le contenu dans ton prochain message.

    Note : Il se trouve en C:\AD-Report-SCAN.log

    2/ Je remarque que Malwarebytes est installé sur le PC.

    Mets-le à jour ( onglet mise à jour )

    # Dans l'onglet Recherche, sélectionne Exécuter un examen complet.
    # Clique sur recherche. Tu ne sélectionnes que les disques durs de l'ordinateur.
    # Clique sur lancer l'examen.

    # A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
    # Si des infections sont trouvées, clique sur Supprimer la sélection.
    Tu postes le rapport dans ton prochain message.

    Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l'onglet Rapport/logs. Il y est. Clique dessus et choisir ouvrir.

    A+
    0
  13. bahmoi
     
    Voici AD-R : http://www.cijoint.fr/cjlink.php?file=cj201004/cijGl2Q2QB.txt
    Et malwarebyte : http://www.cijoint.fr/cjlink.php?file=cj201004/cijccCcfg8.txt
    0
  14. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    bahmoi,

    As-tu bien supprimé les infections avec malwarebytes ?
    Il y a marqué No Action Taken.

    Fichier(s) infecté(s):
    C:\Program Files\Navilog1\gnc.exe (Trojan.Dropper) -> No action taken.
    C:\Program Files\Navilog1\reg.exe (Backdoor.VB) -> No action taken.
    C:\WINDOWS\system32\VB5FR.DLL (Backdoor.VB) -> No action taken.

    Vérifie que dans l'onglet quarantaine de malwarebytes tu as bien ces trois fichiers.
    Sinon, relance l'analyse et n'oublie pas de supprimer les fichiers.

    Vide la quarantaine en choisissant tout supprimer.

    ----------------------------------------------

    1/ Désintalle ComboFix. Pour cela :
    Démarrer --> exécuter --> tape :

    ComboFix /uninstall


    2/ Une chose à vérifier.

    Télécharge mbr.exe sur le Bureau
    http://www2.gmer.net/mbr/mbr.exe

    Désactive toutes tes protections résidentes à l'exception du pare-feu (Antivirus, protection du registre etc...)

    Double-clique sur mbr.exe et édite le rapport mbr.log généré.

    A+
    0
  15. bahmoi
     
    J'attendais ton feu vert, je viens de faire la suppression.
    Voici le rapport mbr :
    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK
    0
  16. bahmoi
     
    Voila le résultat :
    Infects Fichiers
    4
    Virus Dtects
    Gen:Rootkit.Nixoa.1
    4
    0
  17. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    bahmoi,

    Tu n'as pas plus d'infos que cela.
    As-tu sauvegardé le résultat de l'analyse ?

    A+
    0
  18. bahmoi
     
    non j'ai juste vu qu'il avait supprimé les fichiers qui posaient problème
    0
  19. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    OK,

    Oui, le scan avec BitDefender supprime bien les fichiers.

    -------------------------------------------------------------------

    Mets à jour le PC. Important vu la multiplication des infections via le web actuellement.

    1/ Mets à jour Acrobat Reader. Il est la cible d'attaques et il est important d'avoir la dernière version sur son PC.
    https://get2.adobe.com/fr/reader/otherversions/

    2/ Télécharge JavaRa de PaulMcLain et Fred De Vries.
    https://javara.fr.malavida.com/

    * Click droit sur l'archive JavaRa.zip et extraire sur le bureau.
    * Un dossier sera crée. L'ouvrir et double-cliquer sur JavaRa.exe pour le lancer
    * Choisis la langue ( français )

    Une fenêtre va s'ouvrir ou tu auras le choix entre mettre à jour et supprimer les anciennes versions de Java.

    - Mise à jour :

    * clique sur Recherche de mise à jour et choisis l'option Mettre à jour via jucheck.exe .
    * Il te sera précisé si il existe ou pas de nouvelle version à installer sur ton PC.
    * Si oui, clique sur Installer puis suis les invites.

    Note : Si tu n'y arrives pas avec cette option, choisis l'autre Mettre à jour via le site Internet de Sun ou alors sur le site suivant https://www.java.com/fr/download/manual.jsp

    - Suppression des anciennes versions :

    * Relance JavaRa.exe s'il le faut et choisis Effacer les anciennes versions
    * Suis les invites.
    * Il te sera précisé de la suppression les versions trouvées et supprimées

    Un rapport sera crée. Poste-le.

    ----------------------------------------------------------------------------

    3/ Enlève les outils.

    Ouvre OTL et clique sur Purge Outils.
    Ouvre Ad-Remover et choisis désintaller.

    Vérifie que ComboFix est bien supprimé ainsi que C:\Qoobox.

    4/ Il est préférable maintenant que ton PC est propre de nettoyer la restauration système et de créer un point propre pour une utilisation ultérieure.

    Les points de restauration :


    - Panneau de configuration --> Système --> Restauration du système

    cocher " Désactiver la restauration .... " ( si elle est cochée sinon la décocher -- > valider -- > cocher )
    Une fenêtre va s'ouvrir pour t'avertir que les poins de restauration existants seront supprimés.
    Accepte.

    Décoche ensuite « Désactiver la restauration .... » pour réactiver la restauration système

    - Tu vas recréer un point de restauration propre.

    Pour recréer un point de restauration :
    Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système
    Choisis "Créer un point de restauration". Suis les invites.

    ----------------------------------------------------------------------------

    Un peu de lecture : projet antimalwares : https://www.malekal.com/projet-antimalware-2/

    ----------------------------------------------------------------------------

    En te souhaitant bonne lecture et bon surf.

    Salut.
    0
  20. bahmoi
     
    Merci beaucoup pour toute ton aide et tes réponses super rapides.
    Voici le rapport JavaRa : http://www.cijoint.fr/cjlink.php?file=cj201004/cijMy64Lp0.txt
    0