svchost 100% Fermé

Question

Bonjour,

j'ai mon pc qui rame a fond et j'ai svchost à 100%, j'ai désactivé la mise a jour auto mais ça fait toujours pareil donc pour pouvoir à peu près faire quelque chose j'ai diminuer la priorité de ce svchost.
Comment régler ce probleme ? merci.

Configuration: Windows xp / Firefox 3.6.3

verni29 · Answer

Bonsoir, 

Anormal en effet.

Commence par ceci :

Télécharge OTL (de OldTimer) sur ton Bureau. 
http://oldtimer.geekstogo.com/OTL.scr

Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan. 

* Double-clique sur  OTL.scr  pour le lancer. 
Si Sous Vista , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur. 
* Dans la partie  Personnalisation, copie/colle la liste suivante.

 netsvcs 
Drivers32
%SYSTEMDRIVE%\*.exe 
/md5start 
eventlog.dll 
scecli.dll 
netlogon.dll 
cngaudit.dll 
sceclt.dll 
ntelogon.dll 
logevent.dll 
iaStor.sys 
nvstor.sys 
atapi.sys 
IdeChnDr.sys 
viasraid.sys 
AGP440.sys 
vaxscsi.sys 
nvatabus.sys 
viamraid.sys 
nvata.sys 
nvgts.sys 
iastorv.sys 
ViPrt.sys 
eNetHook.dll 
ahcix86.sys 
KR10N.sys 
nvstor32.sys 
ahcix86s.sys 
nvrd32.sys 
/md5stop 
%systemroot%\*. /mp /s 
CREATERESTOREPOINT 

* Enfin, clique sur le bouton  Analyse rapide. 

* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes :  OTL.txt  et  Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau) 

Utilise un site comme http://cijoint.fr pour les déposer. 
indique ensuite les deux liens crées.

A+

bahmoi · Answer

Ok merci.
Voici les liens :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijkrgQMCb.txt
http://www.cijoint.fr/cjlink.php?file=cj201004/cijxVk5RDF.txt

verni29 · Answer

bahmoi, 

Je vois que tu as utilisé ComboFix. Tu as du le lancer.
Poste le rapport.
Il se trouve en C:\ComboFix.txt

A+

bahmoi · Answer

le voila :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijW8oNjgN.txt

verni29 · Answer

bahmoi,  


Il y a bien une infection par un rootkit. 
on va creuser un peu avant de s'y attaquer. 
Trois manips à faire. 

1/  Tu vas sur le site de VirusTotal et tu vas pouvoir analyser un fichier. 
https://www.virustotal.com/gui/ 

# Copiez le chemin indiqué ci-dessous et le coller dans la zone à analyser : 

Chemin :  
C:\Documents and Settings\LocalService\Application Data\kcmdte.dat 

# Tu cliques ensuite sur envoyer le fichier. 
# Tu postes le rapport de l'analyse ( pour cela, tu sélectionnes la zone de résultat --> click droit --> copier ) 


Recommence la même manip avec monxga32.exe . 
EDIT : le chemin pour ce fichier :
c:\documents and settings\Lulu\Menu Démarrer\Programmes\Démarrage\monxga32.exe


2/ Télécharge gmer  sur ton bureau ( IMPORTANT ) 
http://www.gmer.net/#files 

Précautions d'usage : 
- Durant l'utilisation du logiciel, désactive tes protections actives ( antivirus, parefeu ). IMPORTANT. 
- Ferme également toutes les applications actives dont ton navigateur. 

# Double-clique sur l'exécutable téléchargé . 
Si sous Vista , click droit sur l'exécutable et choisir exécuter en tant qu'administrateur.  
# Le scan va se lancer de lui-même. 
 
Si tu reçois un message t'indiquant la présence de rootkits sur le cliquer, choisis oui pour effectuer une analyse complète du PC mais ne supprime rien. 

# A la fin de l'analyse, clique sur save pour enregistrer le rapport 
# Enregistre-le sur le bureau ( fichier .log ) 

Édite ce rapport dans ta prochaine réponse. 

A+ 
Allez jusqu'au bout de la procédure de désinfection.

bahmoi · Answer

Pour kcmdte.dat  :
MD5:  	7269e577434a90edc97adec52154d659
First received: 	2010.04.18 08:59:16 UTC
Date 	2010.04.19 10:04:29 UTC [+1D]
Résultats 	0/40
Permalink: 	analisis/88d8e895c8221d4422ac3ee10462f4ba1bc0244f8a67221377add53fa9b3c766-1271671469

Pour monxga32.exe impossible de l'uploader ça me dit : 0 bytes size received / Se ha recibido un archivo vacio


GMER a été super long, il vient de finir voila le log :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijxDpiNVS.txt

Gmer

verni29 · Answer

bahmoi, 

1/ Télécharge le fichier suivant et enregistre-le sur ton bureau. 
http://senduit.com/77aca0

2) Glisse/dépose le script sur ComBoFix comme indiqué sur ce lien  
http://img399.imageshack.us/img399/7183/img210914jjufmoj0.gif 

Suis les invites. 

# Ton bureau va disparaître à plusieurs reprises. Normal. 
# L'ordinateur va redémarrer et un rapport sera crée. 
# Poste le contenu dans ton prochain message. 

Note : Si tu ne le trouves pas, il est en C:\Combofix.txt 

A+ 

Allez jusqu'au bout de la procédure de désinfection.

bahmoi · Answer

Bonjour,

je n'ai plus svchost à 99% :)
Voila le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijuinsSO8.txt

verni29 · Answer

Re, 

je n'ai plus svchost à 99% :) 
Le PC tourne correctement ?

------------------------------------------------------------------------------

1/ Désactive Alcohol Soft ( émulateur de CD ) ainsi que les protections antivirus et parefeu.

Relance gmer et poste le rapport.

2/ réactive tes protections et lance OTL.
Clique sur analyse rapide et poste le rapport.

A+

bahmoi · Answer

Le pc tourne bien oui.
Par contre tout à l'heure, combofix m'a demandé de désactivé antivir et norton internet security. J'avais donc bien désactivé antivir mais norton je l'ai pas...
Voici le rapport gmer : http://www.cijoint.fr/cjlink.php?file=cj201004/cijB26ftKE.txt
et le rapport OTL : http://www.cijoint.fr/cjlink.php?file=cj201004/cijMbRKqms.txt

verni29 · Answer

Re, 

Pour Norton, il doit rester des traces.
Utilise l'outil suivant pour nettoyer cela.

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924

-------------------------------------------------------------------------------

1/ Télécharge AD-Remover  de C_XX sur ton bureau.
http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

Tu te déconnectes du net et ferme toutes les applications en cours.

    * Double-clique sur AD-R.exe .
    *  Au menu principal, choisis l'option "Nettoyer" .
    * Le PC va redémarrer pour procéder au nettoyage.

Après redémarrage, un rapport va apparaitre. Poste le contenu dans ton prochain message.

Note : Il se trouve en C:\AD-Report-SCAN.log

2/ Je remarque que Malwarebytes est installé sur le PC.

Mets-le à jour ( onglet mise à jour )

# Dans l'onglet Recherche, sélectionne Exécuter un examen complet. 
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l'ordinateur. 
# Clique sur lancer l'examen. 

# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection. 
Tu postes le rapport dans ton prochain message.

Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l'onglet  Rapport/logs. Il y est. Clique dessus et choisir ouvrir. 

A+

bahmoi · Answer

Voici AD-R : http://www.cijoint.fr/cjlink.php?file=cj201004/cijGl2Q2QB.txt
Et malwarebyte : http://www.cijoint.fr/cjlink.php?file=cj201004/cijccCcfg8.txt

verni29 · Answer

bahmoi, 

As-tu bien supprimé les infections avec malwarebytes ?
Il y a marqué No Action Taken.

Fichier(s) infecté(s):
C:\Program Files\Navilog1\gnc.exe (Trojan.Dropper) -> No action taken.
C:\Program Files\Navilog1\reg.exe (Backdoor.VB) -> No action taken.
C:\WINDOWS\system32\VB5FR.DLL (Backdoor.VB) -> No action taken.
Vérifie que dans l'onglet quarantaine de malwarebytes tu as bien ces trois fichiers.
Sinon, relance l'analyse et n'oublie pas de supprimer les fichiers.

Vide la quarantaine en choisissant tout supprimer.

----------------------------------------------

1/ Désintalle ComboFix. Pour cela :
Démarrer --> exécuter --> tape :

ComboFix /uninstall

2/ Une chose à vérifier.

Télécharge mbr.exe sur le Bureau 
http://www2.gmer.net/mbr/mbr.exe 

Désactive toutes tes protections résidentes à l'exception du pare-feu (Antivirus, protection du registre etc...) 

Double-clique sur mbr.exe et édite le rapport mbr.log généré.

A+

bahmoi · Answer

J'attendais ton feu vert, je viens de faire la suppression.
Voici le rapport mbr : 
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

verni29 · Answer

bahmoi, 

Une dernière vérification en faisant un scan en ligne.
Suis le tuto : https://forum.pcastuces.com/default.asp

On termine ensuite.

A+

bahmoi · Answer

Voila le résultat :
Infects Fichiers
 4
Virus Dtects
Gen:Rootkit.Nixoa.1
 4

verni29 · Answer

bahmoi, 

Tu n'as pas plus d'infos que cela.
As-tu sauvegardé le résultat de l'analyse ?

A+

bahmoi · Answer

non j'ai juste vu qu'il avait supprimé les fichiers qui posaient problème

verni29 · Answer

OK, 

Oui, le scan avec BitDefender supprime bien les fichiers.

-------------------------------------------------------------------

Mets à jour le PC. Important vu la multiplication des infections via le web actuellement.

1/ Mets à jour Acrobat Reader. Il est la cible d'attaques et il est important d'avoir la dernière version sur son PC.
https://get2.adobe.com/fr/reader/otherversions/

2/ Télécharge JavaRa de PaulMcLain et Fred De Vries.
https://javara.fr.malavida.com/

    * Click droit sur l'archive JavaRa.zip et extraire sur le bureau.
    *  Un dossier sera crée. L'ouvrir et double-cliquer sur JavaRa.exe pour le lancer
    * Choisis la langue ( français )

Une fenêtre va s'ouvrir ou tu auras le choix entre mettre à jour et supprimer les anciennes versions de Java.

- Mise à jour :

    * clique sur Recherche de mise à jour et choisis l'option Mettre à jour via jucheck.exe .
    * Il te sera précisé si il existe ou pas de nouvelle version à installer sur ton PC.
    * Si oui, clique sur Installer puis suis les invites.

Note : Si  tu n'y arrives pas avec cette option, choisis l'autre Mettre à jour via le site Internet de Sun  ou alors sur le site suivant https://www.java.com/fr/download/manual.jsp

- Suppression des anciennes versions :

    * Relance JavaRa.exe s'il le faut et choisis Effacer les anciennes versions
    * Suis les invites.
    * Il te sera précisé de la suppression les versions trouvées et supprimées

Un rapport sera crée. Poste-le.

----------------------------------------------------------------------------

3/ Enlève les outils.

Ouvre OTL et clique sur Purge Outils.
Ouvre Ad-Remover et choisis désintaller.

Vérifie que ComboFix est bien supprimé ainsi que C:\Qoobox.

4/ Il est préférable maintenant que ton PC est propre de nettoyer la restauration système  et de créer un point propre pour une utilisation ultérieure.

Les points de restauration : 

-  Panneau de configuration --> Système --> Restauration du système 

cocher " Désactiver la restauration .... " ( si elle est cochée sinon la décocher -- >  valider -- > cocher )
Une fenêtre va s'ouvrir pour t'avertir que les poins de restauration existants seront supprimés.
Accepte.

Décoche ensuite « Désactiver la restauration .... » pour réactiver la restauration système

- Tu vas recréer un point de restauration propre.

Pour recréer un point de restauration :
Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système
Choisis "Créer un point de restauration". Suis les invites.

----------------------------------------------------------------------------


Un peu de lecture : projet antimalwares : https://www.malekal.com/projet-antimalware-2/

----------------------------------------------------------------------------


En te souhaitant bonne lecture et bon surf.

Salut.

bahmoi · Answer

Merci beaucoup pour toute ton aide et tes réponses super rapides.
Voici le rapport JavaRa : http://www.cijoint.fr/cjlink.php?file=cj201004/cijMy64Lp0.txt

Svchost 100%

20 réponses

Discussions similaires