Pc vérolé avec syssvc(Antivirus Action)Résolu Fermé

Question

Bonjour,  
En surfant hier NOD 32 s'est excité d'un coup en me disant que j'étais infecté et qu'il mettait en quarantaine une demi-douzaine de fichiers (tous syssvc.exe venant de AppData/syssvc.exe) 
Je commence donc une investigation pour savoir sur quel site j'ai pu chopper ça quand chrome ne répond plus et se ferme, une fenêtre d'annonce apparait en bas a droite me disant que pour nettoyer la menace qui pèse sur mon pc, je dois installer un antivirus. Fake on ne peux plus gros, je ne clique pas dessus et essaye de retourner sur le net afin de trouver une solution pour nettoyer ça. Impossible de me connecter, le virus a bloqué mes pages en imposant un proxy que je ne peux supprimer vu qu'il n'est nulle part dans chrome ou firefox. 
Je suis donc actuellement sur un autre pc afin de pouvoir poster, j'ai lu quelques solutions ou on passe par des logiciels de diagnostique et ai donc fait les analyses mais ne comprenant pas vraiment comment cela fonctionne et ou sont les erreurs dans le log, je m'en réfère a vous pour m'aider.  

Voici les analyses OTL: 
OTL.txt: http://www.cijoint.fr/cjlink.php?file=cj201011/cijE1AnFLG.txt 
extra.txt: http://www.cijoint.fr/cjlink.php?file=cj201011/cijKnGnn2Y.txt 

Je vous remercie d'avance, en espérant avoir une réponse rapide. 



Configuration: Windows 7 / Firefox 3.6.12

benurrr · Answer

salut

télécharge

[https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

a l'installation vérifie que mise a jour et lancer programme et scan complet sont bien cocher

Une fois a jour, le programme va se lancer; clic sur l'onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression".

A la fin du scan clique sur Afficher les résultats

Vérifier si tout est coché et clic Supprimer la sélection

S'il t'es demandé de redémarrer >>> clique sur "Yes"

Et tu poste le rapport générer

vincenth69 · Answer

Aucune menace detectée, mais voila quand meme le log:
Malwarebytes log:
http://www.cijoint.fr/cjlink.php?file=cj201011/cijxBj2vLz.txt
Je peux me connecter au net avec Firefox mais chrome a été supprimé et après reinstallation, ne veut pas se connecter sur quelque site que ce soit.

benurrr · Answer

tu la pas mit a jour la il te manque au moins 1 mois et demi de mise a jour

vincenth69 · Answer

Effectivement, il semblerait que j'ai oublié de la faire, voila le nouveau log:
http://www.cijoint.fr/cjlink.php?file=cj201011/cijgFTvx38.txt

benurrr · Answer

No action taken. tu n'a pas suprimer se qu'il a trouver relance le et vide la quarantaine

clemtheboss413 · Answer

Salut 
Juste pour l'anectode: 
C:\Users\user\Desktop\mini-KMS_Activator_v1.052\mini-KMS_Activator_v1.052.exe (Riskware.Keygen) -> No action taken. 

Donc stop les cracks et keygens et pour t'aider regarde ici: 

https://forum.malekal.com/viewtopic.php?t=893&start= 

Mon Proverbe:99% des virus ont une solution, Un Win PIRATE ou être sans antivirus, Bah, BIEN FAIT !!!

vincenth69 · Answer

Relancé, j'attends la fin du scan pour poster le log. Sinon j'ai plus d'annonces mais Chrome refuse toujours de faire quoi que ce soit...

benurrr · Answer

A la fin du scan clique sur Afficher les résultats

Vérifier si tout est coché et clic Supprimer la sélection

vincenth69 · Answer

Voila, analyse terminée, en trifouillant un peu, j'ai trouvé que c'est le proxy de base de windows qui faisait buguer chrome (entre autres)
et sinon voici le log:
http://www.cijoint.fr/cjlink.php?file=cj201011/cijHHVNJwK.txt

benurrr · Answer

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!! (car l'outil est detecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions) 

? Télécharge ici : 

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe 

et enregistre le sur ton bureau 

si tu as XP => double clique 
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur le raccourci sur ton bureau pour lancer l'installation 

Laisse coché : 

? Executer List_Kill'em 

une fois terminée , clic sur "terminer" et le programme se lancera seul 

Il commencera par telecharger et installer ses mises à jour , puis te donnera son menu 

choisis l'option Search 

? laisse travailler l'outil 

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree" 

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué. 

? Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED" 

??? NE LE POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 

? Clique sur Parcourir et cherche le fichier C:\List'em.txt 

? Clique sur Ouvrir. 

? Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt 

est ajouté dans la page. 

? Copie ce lien dans ta réponse. 

? Fais de même avec more.txt qui se trouve sur ton bureau 
Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C.., 
Mais C.. de penser que ­tu es libre...Merci a australe13

benurrr · Answer

windows 7 => clic droit "exécuter en tant que...."

 Relance List_Kill'em,avec le raccourci sur ton bureau. 

mais cette fois-ci : 

? choisis l'Option Clean 

 Ne clique qu'une seule fois sur le bouton !! 

laisse travailler l'outil. 

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau , 

colle le contenu dans ta réponse

vincenth69 · Answer

¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.2.0 ¤¤¤¤¤¤¤¤¤¤ 
 
User : user (Administrateurs) 
Update on 23/11/2010 by g3n-h@ckm@n ::::: 12.00
Start at: 11:09:01 | 24/11/2010

Intel(R) Core(TM)2 Duo CPU     P7450  @ 2.13GHz
Microsoft Windows 7 Édition Familiale Premium  (6.1.7600 64-bit) # 
Internet Explorer 8.0.7600.16385
Windows Firewall Status : Enabled

C:\ -> Disque fixe local | 116,99 Go (25,62 Go free) [OS] | NTFS
D:\ -> Disque fixe local | 270,64 Go (70,86 Go free) [Data] | NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque fixe local | 48,83 Go (46,71 Go free) [Sauvegardes] | NTFS
G:\ -> Disque fixe local | 29,3 Go (29,21 Go free) [Linux] | NTFS
I:\ -> Disque CD-ROM
 

¤¤¤¤¤¤¤¤¤¤ Files/folders : 

Quarantined & Deleted !! : C:\Users\user\AppData\Local\GDIPFONTCACHEV1.DAT   
Quarantined & Deleted !! : C:\Windows\Temp\DMI19B7.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\DMIA83F.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\HTT1215.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\HTT1216.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\HTT1217.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\HTT2347.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\HTT2639.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\HTT3224.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\HTT3552.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\HTT530D.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\HTT5457.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\HTT5539.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\HTT6D83.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\HTT6FD2.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\HTT753E.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\HTT7B4A.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\HTT8630.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\HTT8A24.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\HTT8D83.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\HTT8FF4.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\HTT97D1.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\HTT97D2.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\HTT98C7.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\HTTA324.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\HTTA554.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\HTTA566.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\HTTAB13.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\HTTB149.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\HTTBAD.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\HTTBFAB.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\HTTD426.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\HTTE7A7.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\HTTEE9.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\HTTF856.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\HTTFE92.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\NOD9CA6.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\NOD9CA7.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\NOD9CA9.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\NOD9CAA.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\NOD9CAB.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\NOD9CAC.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\NOD9CAD.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\NODE1F1.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\NSFF002.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\RGI52D6.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\RGI52D6.tmp-tmp   
Quarantined & Deleted !! : C:\Windows\Temp\TS_45A7.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\TS_4EEC.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\TS_59D5.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\TS_5C75.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\TS_680A.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\TS_68DB.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\TS_6A2D.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\TS_7E3A.tmp   
Quarantined & Deleted !! : C:\Windows\Temp\TS_84B1.tmp   
 
¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

127.0.0.1       localhost   

¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤

Deleted : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run : Setwallpaper  
Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoActiveDesktop   
Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoActiveDesktopChanges   

¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	https://www.msn.com/fr-fr/?ocid=iehp
Local Page	=         	C:\WINDOWS\system32\blank.htm
Default_Search_URL	=         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL	=         	https://www.msn.com/fr-fr/?ocid=iehp
Search Page	=         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	https://www.google.com/?gws_rd=ssl
Local Page	=         	C:\WINDOWS\system32\blank.htm
Search Page	=         	http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] 
FirstRunDisabled	=      	1 (0x1) 
AntiVirusDisableNotify	=      	0 (0x0) 
FirewallDisableNotify	=      	0 (0x0) 
UpdatesDisableNotify	=      	0 (0x0) 
AntiVirusOverride	=      	0 (0x0) 
FirewallOverride	=      	0 (0x0) 
 
¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

 Ndisuio : Start = 3   
 EapHost : Start = 2   
 Wlansvc : Start = 2   
 SharedAccess : Start = 2   
 windefend : Start = 2   
 wuauserv : Start = 2   
 wscsvc : Start = 2   
 
 ¤¤¤¤¤¤¤¤¤¤ Winlogon
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 
 Shell	=         	explorer.exe 
 Userinit	=         	C:\Windows\SysWow64\userinit.exe, 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
anti-ver blaster : OK  
Prefetch cleaned 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

FEATURE_BROWSER_EMULATION | svchost : 
====================================
 

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.1.7600 

device: opened successfully
user: error reading MBR 

Disk trace:
error: Read  Descripteur non valide
kernel: error reading MBR 
 


End of Scan : 11:09:37,95

 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

benurrr · Answer

Bonjour

Pour de plus amples informations, fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »


Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur ce lien :

http://www.cijoint.fr/index.php
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

vincenth69 · Answer

Voila le log ZHPDiag:
http://www.cijoint.fr/cjlink.php?file=cj201011/cijf04lPY9.txt

benurrr · Answer

Télécharge DelFix sur ton bureau.  

http://sd-1.archive-host.com/membres/up/17959594961240255/DelFix.exe  

      Option Recherche  

Téléchargez DelFix sur votre bureau.  
Lancez le, tapez 1 et validez en appuyant sur [Entrée]  
Patientez quelques secondes puis copiez/collez le contenu du rapport qui s'ouvrira sur le forum qui vous prend en charge.  

Note : Le rapport est sauvegardé sous C:\DelFixSearch.txt  

-------------------------  

3        Option Suppression  

Téléchargez DelFix sur votre bureau  
Lancez le, tapez 2 et validez en appuyant sur [Entrée]  
Patientez quelques secondes puis copiez/collez le contenu du rapport qui s'ouvrira sur le forum qui vous prend en charge.  

Note : Le rapport est sauvegardé sous C:\DelFixSuppr.txt  


--------------Après------------------  

tu va télécharger Ccleaner http://dl.commentcamarche.net/...  

ouvre "Ccleaner" vas dans l'onglet "Option" puis "Avancé" puis décoches "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures."  

. Puis vas dans l'onglet "Nettoyeur" fais "Analyse" puis "Lancer le nettoyage".  
Puis vas dans l'onglet "Registre" puis fait "Chercher des erreurs" puis "Réparer les erreurs sélectionnée"  
. Tu refais tous ca 4-5 fois (le nettoyage et le registre).  

Puis reste dans "Ccleaner" puis va dans "Option" puis "Propriété" puis coches "Nettoyer automatiquement l'ordinateur au démarrage".

Pc vérolé avec syssvc(Antivirus Action)Résolu

15 réponses

Discussions similaires