Pc vérolé avec syssvc(Antivirus Action)Résolu

vincenth69 Messages postés 7 Statut Membre -  
benurrr Messages postés 9766 Statut Contributeur sécurité -
Bonjour,
En surfant hier NOD 32 s'est excité d'un coup en me disant que j'étais infecté et qu'il mettait en quarantaine une demi-douzaine de fichiers (tous syssvc.exe venant de AppData/syssvc.exe)
Je commence donc une investigation pour savoir sur quel site j'ai pu chopper ça quand chrome ne répond plus et se ferme, une fenêtre d'annonce apparait en bas a droite me disant que pour nettoyer la menace qui pèse sur mon pc, je dois installer un antivirus. Fake on ne peux plus gros, je ne clique pas dessus et essaye de retourner sur le net afin de trouver une solution pour nettoyer ça. Impossible de me connecter, le virus a bloqué mes pages en imposant un proxy que je ne peux supprimer vu qu'il n'est nulle part dans chrome ou firefox.
Je suis donc actuellement sur un autre pc afin de pouvoir poster, j'ai lu quelques solutions ou on passe par des logiciels de diagnostique et ai donc fait les analyses mais ne comprenant pas vraiment comment cela fonctionne et ou sont les erreurs dans le log, je m'en réfère a vous pour m'aider.

Voici les analyses OTL:
OTL.txt: http://www.cijoint.fr/cjlink.php?file=cj201011/cijE1AnFLG.txt
extra.txt: http://www.cijoint.fr/cjlink.php?file=cj201011/cijKnGnn2Y.txt

Je vous remercie d'avance, en espérant avoir une réponse rapide.

15 réponses

  1. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    salut

    télécharge

    [https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

    a l'installation vérifie que mise a jour et lancer programme et scan complet sont bien cocher

    Une fois a jour, le programme va se lancer; clic sur l'onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression".

    A la fin du scan clique sur Afficher les résultats

    Vérifier si tout est coché et clic Supprimer la sélection

    S'il t'es demandé de redémarrer >>> clique sur "Yes"

    Et tu poste le rapport générer
    0
  2. vincenth69 Messages postés 7 Statut Membre
     
    Aucune menace detectée, mais voila quand meme le log:
    Malwarebytes log:
    http://www.cijoint.fr/cjlink.php?file=cj201011/cijxBj2vLz.txt
    Je peux me connecter au net avec Firefox mais chrome a été supprimé et après reinstallation, ne veut pas se connecter sur quelque site que ce soit.
    0
  3. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    tu la pas mit a jour la il te manque au moins 1 mois et demi de mise a jour
    0
  4. vincenth69 Messages postés 7 Statut Membre
     
    Effectivement, il semblerait que j'ai oublié de la faire, voila le nouveau log:
    http://www.cijoint.fr/cjlink.php?file=cj201011/cijgFTvx38.txt
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    No action taken. tu n'a pas suprimer se qu'il a trouver relance le et vide la quarantaine
    0
  7. clemtheboss413 Messages postés 782 Statut Membre 7
     
    Salut
    Juste pour l'anectode:
    C:\Users\user\Desktop\mini-KMS_Activator_v1.052\mini-KMS_Activator_v1.052.exe (Riskware.Keygen) -> No action taken.

    Donc stop les cracks et keygens et pour t'aider regarde ici:

    https://forum.malekal.com/viewtopic.php?t=893&start=

    Mon Proverbe:99% des virus ont une solution, Un Win PIRATE ou être sans antivirus, Bah, BIEN FAIT !!!
    0
  8. vincenth69 Messages postés 7 Statut Membre
     
    Relancé, j'attends la fin du scan pour poster le log. Sinon j'ai plus d'annonces mais Chrome refuse toujours de faire quoi que ce soit...
    0
  9. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    A la fin du scan clique sur Afficher les résultats

    Vérifier si tout est coché et clic Supprimer la sélection
    0
  10. vincenth69 Messages postés 7 Statut Membre
     
    Voila, analyse terminée, en trifouillant un peu, j'ai trouvé que c'est le proxy de base de windows qui faisait buguer chrome (entre autres)
    et sinon voici le log:
    http://www.cijoint.fr/cjlink.php?file=cj201011/cijHHVNJwK.txt
    0
  11. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!! (car l'outil est detecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

    ? Télécharge ici :

    http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe

    et enregistre le sur ton bureau

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."

    sur le raccourci sur ton bureau pour lancer l'installation

    Laisse coché :

    ? Executer List_Kill'em

    une fois terminée , clic sur "terminer" et le programme se lancera seul

    Il commencera par telecharger et installer ses mises à jour , puis te donnera son menu

    choisis l'option Search

    ? laisse travailler l'outil

    il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

    à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

    ? Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

    ??? NE LE POSTE PAS SUR LE FORUM

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ? Clique sur Parcourir et cherche le fichier C:\List'em.txt

    ? Clique sur Ouvrir.

    ? Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

    est ajouté dans la page.

    ? Copie ce lien dans ta réponse.

    ? Fais de même avec more.txt qui se trouve sur ton bureau
    Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C..,
    Mais C.. de penser que ­tu es libre...Merci a australe13
    0
  12. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    windows 7 => clic droit "exécuter en tant que...."

    Relance List_Kill'em,avec le raccourci sur ton bureau.

    mais cette fois-ci :

    ? choisis l'Option Clean

    Ne clique qu'une seule fois sur le bouton !!

    laisse travailler l'outil.

    en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

    colle le contenu dans ta réponse
    0
  13. vincenth69 Messages postés 7 Statut Membre
     
    ¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.2.0 ¤¤¤¤¤¤¤¤¤¤

    User : user (Administrateurs)
    Update on 23/11/2010 by g3n-h@ckm@n ::::: 12.00
    Start at: 11:09:01 | 24/11/2010

    Intel(R) Core(TM)2 Duo CPU P7450 @ 2.13GHz
    Microsoft Windows 7 Édition Familiale Premium (6.1.7600 64-bit) #
    Internet Explorer 8.0.7600.16385
    Windows Firewall Status : Enabled

    C:\ -> Disque fixe local | 116,99 Go (25,62 Go free) [OS] | NTFS
    D:\ -> Disque fixe local | 270,64 Go (70,86 Go free) [Data] | NTFS
    E:\ -> Disque CD-ROM
    F:\ -> Disque fixe local | 48,83 Go (46,71 Go free) [Sauvegardes] | NTFS
    G:\ -> Disque fixe local | 29,3 Go (29,21 Go free) [Linux] | NTFS
    I:\ -> Disque CD-ROM

    ¤¤¤¤¤¤¤¤¤¤ Files/folders :

    Quarantined & Deleted !! : C:\Users\user\AppData\Local\GDIPFONTCACHEV1.DAT
    Quarantined & Deleted !! : C:\Windows\Temp\DMI19B7.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\DMIA83F.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\HTT1215.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\HTT1216.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\HTT1217.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\HTT2347.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\HTT2639.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\HTT3224.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\HTT3552.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\HTT530D.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\HTT5457.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\HTT5539.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\HTT6D83.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\HTT6FD2.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\HTT753E.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\HTT7B4A.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\HTT8630.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\HTT8A24.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\HTT8D83.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\HTT8FF4.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\HTT97D1.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\HTT97D2.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\HTT98C7.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\HTTA324.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\HTTA554.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\HTTA566.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\HTTAB13.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\HTTB149.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\HTTBAD.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\HTTBFAB.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\HTTD426.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\HTTE7A7.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\HTTEE9.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\HTTF856.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\HTTFE92.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\NOD9CA6.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\NOD9CA7.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\NOD9CA9.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\NOD9CAA.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\NOD9CAB.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\NOD9CAC.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\NOD9CAD.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\NODE1F1.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\NSFF002.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\RGI52D6.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\RGI52D6.tmp-tmp
    Quarantined & Deleted !! : C:\Windows\Temp\TS_45A7.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\TS_4EEC.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\TS_59D5.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\TS_5C75.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\TS_680A.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\TS_68DB.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\TS_6A2D.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\TS_7E3A.tmp
    Quarantined & Deleted !! : C:\Windows\Temp\TS_84B1.tmp

    ¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

    127.0.0.1 localhost

    ¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤

    Deleted : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run : Setwallpaper
    Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoActiveDesktop
    Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoActiveDesktopChanges

    ¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
    Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    Local Page = C:\WINDOWS\system32\blank.htm
    Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    Start Page = https://www.google.com/?gws_rd=ssl
    Local Page = C:\WINDOWS\system32\blank.htm
    Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

    ¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
    FirstRunDisabled = 1 (0x1)
    AntiVirusDisableNotify = 0 (0x0)
    FirewallDisableNotify = 0 (0x0)
    UpdatesDisableNotify = 0 (0x0)
    AntiVirusOverride = 0 (0x0)
    FirewallOverride = 0 (0x0)

    ¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

    Ndisuio : Start = 3
    EapHost : Start = 2
    Wlansvc : Start = 2
    SharedAccess : Start = 2
    windefend : Start = 2
    wuauserv : Start = 2
    wscsvc : Start = 2

    ¤¤¤¤¤¤¤¤¤¤ Winlogon

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    Shell = explorer.exe
    Userinit = C:\Windows\SysWow64\userinit.exe,

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    Disk Cleaned
    anti-ver blaster : OK
    Prefetch cleaned
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    FEATURE_BROWSER_EMULATION | svchost :
    ====================================

    Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
    Windows 6.1.7600

    device: opened successfully
    user: error reading MBR

    Disk trace:
    error: Read Descripteur non valide
    kernel: error reading MBR

    End of Scan : 11:09:37,95

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
  14. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    Bonjour

    Pour de plus amples informations, fait ceci stp

    Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

    Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »

    Clique sur la loupe pour lancer l'analyse.

    Laisse l'outil travailler, il peut être assez long.

    Ferme ZHPDiag en fin d'analyse.

    Pour transmettre le rapport clique sur ce lien :

    http://www.cijoint.fr/index.php
    Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

    Sélectionne le fichier ZHPDiag.txt.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.
    0
  15. vincenth69 Messages postés 7 Statut Membre
     
    Voila le log ZHPDiag:
    http://www.cijoint.fr/cjlink.php?file=cj201011/cijf04lPY9.txt
    0
  16. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    Télécharge DelFix sur ton bureau.

    http://sd-1.archive-host.com/membres/up/17959594961240255/DelFix.exe

    Option Recherche

    Téléchargez DelFix sur votre bureau.
    Lancez le, tapez 1 et validez en appuyant sur [Entrée]
    Patientez quelques secondes puis copiez/collez le contenu du rapport qui s'ouvrira sur le forum qui vous prend en charge.

    Note : Le rapport est sauvegardé sous C:\DelFixSearch.txt

    -------------------------

    3 Option Suppression

    Téléchargez DelFix sur votre bureau
    Lancez le, tapez 2 et validez en appuyant sur [Entrée]
    Patientez quelques secondes puis copiez/collez le contenu du rapport qui s'ouvrira sur le forum qui vous prend en charge.

    Note : Le rapport est sauvegardé sous C:\DelFixSuppr.txt

    --------------Après------------------

    tu va télécharger Ccleaner http://dl.commentcamarche.net/...

    ouvre "Ccleaner" vas dans l'onglet "Option" puis "Avancé" puis décoches "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures."

    . Puis vas dans l'onglet "Nettoyeur" fais "Analyse" puis "Lancer le nettoyage".
    Puis vas dans l'onglet "Registre" puis fait "Chercher des erreurs" puis "Réparer les erreurs sélectionnée"
    . Tu refais tous ca 4-5 fois (le nettoyage et le registre).

    Puis reste dans "Ccleaner" puis va dans "Option" puis "Propriété" puis coches "Nettoyer automatiquement l'ordinateur au démarrage".
    0