Virus svchost.exe
jerem49
Messages postés
6
Date d'inscription
Statut
Membre
Dernière intervention
-
verni29 Messages postés 6805 Statut Contributeur sécurité -
verni29 Messages postés 6805 Statut Contributeur sécurité -
Bonjour à tous,
Voila j'ai un problème avec un virus que je n'arrive pas détruire. mon antivirus avg me dit que j'ai un cheval de troie sous c:\windows\temp\*.tmp
j'ai passé malwarebyte ainsi que ccleaner qui m'ont supprimé des choses mais le virus est toujours présent.
Pouvez-vous m'aider s'il vous plait.
merci d'avance
Voila j'ai un problème avec un virus que je n'arrive pas détruire. mon antivirus avg me dit que j'ai un cheval de troie sous c:\windows\temp\*.tmp
j'ai passé malwarebyte ainsi que ccleaner qui m'ont supprimé des choses mais le virus est toujours présent.
Pouvez-vous m'aider s'il vous plait.
merci d'avance
A voir également:
- Virus svchost.exe
- Svchost.exe - Guide
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
14 réponses
Bonsoir,
Commence par ceci :
Télécharge OTL (de OldTimer) sur ton Bureau.
http://oldtimer.geekstogo.com/OTL.scr
Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.
* Double-clique sur OTL.scr pour le lancer.
Si Sous Vista , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur.
* Dans la partie Personnalisation, copie/colle la liste suivante.
* Enfin, clique sur le bouton Analyse rapide.
* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)
Utilise un site comme http://cijoint.fr pour les déposer.
indique ensuite les deux liens crées.
A+
Commence par ceci :
Télécharge OTL (de OldTimer) sur ton Bureau.
http://oldtimer.geekstogo.com/OTL.scr
Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.
* Double-clique sur OTL.scr pour le lancer.
Si Sous Vista , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur.
* Dans la partie Personnalisation, copie/colle la liste suivante.
netsvcs Drivers32 %SYSTEMDRIVE%\*.exe /md5start eventlog.dll scecli.dll netlogon.dll cngaudit.dll sceclt.dll ntelogon.dll logevent.dll iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys nvrd32.sys /md5stop %systemroot%\*. /mp /s CREATERESTOREPOINT
* Enfin, clique sur le bouton Analyse rapide.
* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)
Utilise un site comme http://cijoint.fr pour les déposer.
indique ensuite les deux liens crées.
A+
merci pour la réponse.
voici les deux fichiers :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijpfrUwX1.txt
http://www.cijoint.fr/cjlink.php?file=cj201004/cijX8KTePF.txt
voici les deux fichiers :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijpfrUwX1.txt
http://www.cijoint.fr/cjlink.php?file=cj201004/cijX8KTePF.txt
jerem49,
Télécharge gmer sur ton bureau ( IMPORTANT )
http://www.gmer.net/#files
Précautions d'usage :
- Durant l'utilisation du logiciel, désactive tes protections actives ( antivirus, parefeu ). IMPORTANT.
- Ferme également toutes les applications actives dont ton navigateur.
# Double-clique sur l'exécutable téléchargé .
Si sous Vista , click droit sur l'exécutable et choisir exécuter en tant qu'administrateur.
# Le scan va se lancer de lui-même.
Si tu reçois un message t'indiquant la présence de rootkits, choisis oui pour effectuer une analyse complète du PC mais ne supprime rien.
# A la fin de l'analyse, clique sur save pour enregistrer le rapport
# Enregistre-le sur le bureau ( fichier .log )
Édite ce rapport dans ta prochaine réponse.
A+
Télécharge gmer sur ton bureau ( IMPORTANT )
http://www.gmer.net/#files
Précautions d'usage :
- Durant l'utilisation du logiciel, désactive tes protections actives ( antivirus, parefeu ). IMPORTANT.
- Ferme également toutes les applications actives dont ton navigateur.
# Double-clique sur l'exécutable téléchargé .
Si sous Vista , click droit sur l'exécutable et choisir exécuter en tant qu'administrateur.
# Le scan va se lancer de lui-même.
Si tu reçois un message t'indiquant la présence de rootkits, choisis oui pour effectuer une analyse complète du PC mais ne supprime rien.
# A la fin de l'analyse, clique sur save pour enregistrer le rapport
# Enregistre-le sur le bureau ( fichier .log )
Édite ce rapport dans ta prochaine réponse.
A+
voici le rapport (scan super rapide et pas de message)
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-04-21 19:36:01
Windows 5.1.2600 Service Pack 2
Running: 9nl2jduv.exe; Driver: C:\DOCUME~1\HP\LOCALS~1\Temp\pxtdapog.sys
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs InCDrec.SYS (InCD File System Recognizer/Nero AG)
AttachedDevice \Driver\Tcpip \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
Device -> \Driver\atapi \Device\Harddisk0\DR0 862F2AC8
---- Files - GMER 1.0.15 ----
File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification
---- EOF - GMER 1.0.15 ----
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-04-21 19:36:01
Windows 5.1.2600 Service Pack 2
Running: 9nl2jduv.exe; Driver: C:\DOCUME~1\HP\LOCALS~1\Temp\pxtdapog.sys
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs InCDrec.SYS (InCD File System Recognizer/Nero AG)
AttachedDevice \Driver\Tcpip \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
Device -> \Driver\atapi \Device\Harddisk0\DR0 862F2AC8
---- Files - GMER 1.0.15 ----
File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification
---- EOF - GMER 1.0.15 ----
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Merci jeremy,
C'est cela que je voulais vérifier :
infection vicieuse car difficilement détectable par le commun des mortels.
Et l'autre infection avec svchost.exe est sans doute liée.
---------------------------------------------------------------------------
On va le faire en deux étapes.
Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( IMPORTANT )
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.
# Lance Combofix.exe et suis les invites.
# Il te sera demandé d'installer la console de récupération.
Important. Fais le absolument.
Il est possible que ComBoFix redémarre l'ordinateur pour supprimer certains fichiers.
# Une fois le scan fini, un rapport va apparaitre.
Copie/colle ce rapport dans ta prochaine réponse.
Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.
A+
C'est cela que je voulais vérifier :
File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification
infection vicieuse car difficilement détectable par le commun des mortels.
Et l'autre infection avec svchost.exe est sans doute liée.
---------------------------------------------------------------------------
On va le faire en deux étapes.
Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( IMPORTANT )
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.
# Lance Combofix.exe et suis les invites.
# Il te sera demandé d'installer la console de récupération.
Important. Fais le absolument.
Il est possible que ComBoFix redémarre l'ordinateur pour supprimer certains fichiers.
# Une fois le scan fini, un rapport va apparaitre.
Copie/colle ce rapport dans ta prochaine réponse.
Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.
A+
voici le rapport de combofix
http://www.cijoint.fr/cjlink.php?file=cj201004/cijCdNUDt1.txt
merci beaucoup pour le suivi, t'es un chef !
http://www.cijoint.fr/cjlink.php?file=cj201004/cijCdNUDt1.txt
merci beaucoup pour le suivi, t'es un chef !
Re,
1/ Télécharge le fichier suivant et enregistre-le sur ton bureau.
http://senduit.com/109db1
2) Glisse/dépose le script sur ComBoFix comme indiqué sur ce lien
http://img399.imageshack.us/img399/7183/img210914jjufmoj0.gif
Suis les invites.
# Ton bureau va disparaître à plusieurs reprises. Normal.
# L'ordinateur va redémarrer et un rapport sera crée.
# Poste le contenu dans ton prochain message.
Note : Si tu ne le trouves pas, il est en C:\Combofix.txt
A+
EDIT : je suis absent ce soir. A demain.
Allez jusqu'au bout de la procédure de désinfection.
1/ Télécharge le fichier suivant et enregistre-le sur ton bureau.
http://senduit.com/109db1
2) Glisse/dépose le script sur ComBoFix comme indiqué sur ce lien
http://img399.imageshack.us/img399/7183/img210914jjufmoj0.gif
Suis les invites.
# Ton bureau va disparaître à plusieurs reprises. Normal.
# L'ordinateur va redémarrer et un rapport sera crée.
# Poste le contenu dans ton prochain message.
Note : Si tu ne le trouves pas, il est en C:\Combofix.txt
A+
EDIT : je suis absent ce soir. A demain.
Allez jusqu'au bout de la procédure de désinfection.
voila le rapport
http://www.cijoint.fr/cjlink.php?file=cj201004/cijVQ9yKtR.txt
merci pour tout et bonne soirée
http://www.cijoint.fr/cjlink.php?file=cj201004/cijVQ9yKtR.txt
merci pour tout et bonne soirée
jerem49,
On va vérifier.
Relance gmer comme la dernière fois ( désactivation émulateurs, antivirus, parefeu ).
Poste le rapport.
A+
On va vérifier.
Relance gmer comme la dernière fois ( désactivation émulateurs, antivirus, parefeu ).
Poste le rapport.
A+
verni49,
je ferais la manip dès que je rentre du taf, mais tout à l'air d'être clean. merci du coup de main.
il va falloir que je prenne des cours sur les désinfections car d'habitude j'arrive à m'en sortir tout seul.
je ferais la manip dès que je rentre du taf, mais tout à l'air d'être clean. merci du coup de main.
il va falloir que je prenne des cours sur les désinfections car d'habitude j'arrive à m'en sortir tout seul.
voici le rapport de GMER qui a l'air d'être bon
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-04-22 17:38:12
Windows 5.1.2600 Service Pack 2
Running: 9nl2jduv.exe; Driver: C:\DOCUME~1\HP\LOCALS~1\Temp\pxtdapog.sys
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs InCDrec.SYS (InCD File System Recognizer/Nero AG)
AttachedDevice \Driver\Tcpip \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
---- EOF - GMER 1.0.15 ----
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-04-22 17:38:12
Windows 5.1.2600 Service Pack 2
Running: 9nl2jduv.exe; Driver: C:\DOCUME~1\HP\LOCALS~1\Temp\pxtdapog.sys
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs InCDrec.SYS (InCD File System Recognizer/Nero AG)
AttachedDevice \Driver\Tcpip \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
---- EOF - GMER 1.0.15 ----
jeremy49,
C'est pas mal du tout.
des alertes avec le fichier svchost.exe ?
----------------------------------------------------------------------
1/ Relance OTL comme sur le message 1 :
https://forums.commentcamarche.net/forum/affich-17464954-virus-svchost-exe#1
2/ Mets Malwarebytes à jour ( onglet mise à jour )
# Dans l'onglet Recherche, sélectionne Exécuter un examen complet.
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l'ordinateur.
# Clique sur lancer l'examen.
# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection.
Tu postes le rapport dans ton prochain message.
Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l'onglet Rapport/logs. Il y est. Clique dessus et choisir ouvrir.
A+
C'est pas mal du tout.
des alertes avec le fichier svchost.exe ?
----------------------------------------------------------------------
1/ Relance OTL comme sur le message 1 :
https://forums.commentcamarche.net/forum/affich-17464954-virus-svchost-exe#1
2/ Mets Malwarebytes à jour ( onglet mise à jour )
# Dans l'onglet Recherche, sélectionne Exécuter un examen complet.
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l'ordinateur.
# Clique sur lancer l'examen.
# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection.
Tu postes le rapport dans ton prochain message.
Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l'onglet Rapport/logs. Il y est. Clique dessus et choisir ouvrir.
A+
