Virus détecté svchost.exe

Résolu
Sarah91 -  
 Sarah -
Bonjour,

Tout d'abord je suis désolé si mon orthographe n'est pas au top.

Voilà, ça fait un moment que mes contacts MSN reçoivent des emails de ma part avec des liens sans que je n'est rien envoyé.

J'ai donc décidé de faire un scan avec Spybot. Horreur j'ai découvert tout un tas de virus que j'ai réussi à supprimer illico mais il en reste encore un qui persiste et ne veut pas se supprimer.

Voilà ce que je voit dans le logiciel :

HKEY_USERS\DEFAULT\Software\Microsoft\Internet Explorer\Main\featurecontrol\FEATURE_BROWSER_EMULATION\svchost.exe

Merci de bien vouloir m'aider à supprimer ce virus.

43 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

La discussion traite d'une infection persistance qui envoie des mails contenant des liens via MSN malgré un nettoyage Spybot, et d'une clé de registre FEATURE_BROWSER_EMULATION\svchost.exe détectée dans Windows Vista. Des solutions essentielles sont proposées, notamment l'utilisation de ZHPDiag et TDSSKiller pour détecter et neutraliser les composants malveillants, l'enregistrement et le partage des rapports via une plateforme de fichiers afin d'obtenir une aide ciblée. Le processus conseille d'exécuter ZHPDiag en mode administrateur (Vista/Seven), d'interpréter les rapports et, si nécessaire, d'utiliser Defogger pour vérifier une éventuelle infection MBR rootkit avant de relancer les outils. D'autres échanges soulignent l'importance de mettre à jour régulièrement les logiciels et d'effectuer des vérifications système après chaque nettoyage, afin de prévenir la réapparition et d'impliquer les utilisateurs.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    Salut

    1)* Télécharge ZHPDiag (de Nicolas coolman)

    ICI >> ZHPDiag (de Nicolas coolman)

    * Une fois le téléchargement achevé,
    * double clique sur ZHPDiag.exe et suis les instructions.
    * /!\Utilisateurs de Windows Vista et Windows 7
    >> Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »
    * Laisse toi guider lors de l'installation,
    * coche >> créer une icône sur le bureau
    * il se lancera automatiquement à la fin.
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Héberge le rapport sur ce site,
    >> Cijoint.fr
    * puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

    * Pour t aider ,pour heberger le rapport
    * rends toi sur Cijoint.fr
    * clic sur Parcourir
    * Trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau
    * et valide en cliquant sur >> Cliquez ici pour déposer le Fichier
    * un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,
    * il te suffit de le poster ici pour que je puisse voir le rapport

    ou

    ICI >> pjjoint.malekal
    * Cliques sur >> Parcourir
    * Trouve >> le rapport que tu viens d'enregistrer par exemple sur ton bureau
    * Cliques sur >> envoyer le fichier
    * Un lien te sera généré,
    * il te suffit de le poster ici

    aprés

    2) TDSSKiller

    * Télécharge TDSSKiller ( de Kaspersky Labs ) sur ton bureau.

    >> ICI >> TDSSKiller

    * Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant qu'administrateur " )

    * Clique sur [Start Scan] pour démarrer l'analyse.

    * Si des élements sont trouvés, cliques sur [Continue] puis sur [Reboot Now]

    * Un rapport s'ouvrira au redémarrage du PC.

    * Copie/Colle son contenu dans ta prochaine réponse.

    Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt.


    Contributeur sécurité CCM
    2
  2. Utilisateur anonyme
     
    Salut

    Je veux vérifier une chose

    " possible MBR rootkit infection ". dans ton Rapport

    je voudrais savoir si cest >> Daemon Tools qui est à l origine de l alerte dans le rapport ZHPDiag

    1 Donc fais ainsi

    Defogger (de jpshortstuff)
    * Lance le
    * Pour Windows Vista et Windows 7,
    * faire un clic droit et >> Exécuter en tant qu'administrateur.
    * Une fenêtre apparait : clique sur "Disable"
    * Fais redémarrer l'ordinateur si l'outil te le demande

    aprés

    2) poste un nouveau ZHPDiag </gra

    * Héberge le rapport sur ce site,
    >> Cijoint.fr
    * puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

    * <gras>Pour t aider
    ,pour heberger le rapport
    * rends toi sur Cijoint.fr
    * clic sur Parcourir
    * trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau
    * et valide en cliquant sur >> Cliquez ici pour déposer le Fichier
    * un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,
    * il te suffit de le poster ici pour que je puisse voir le rapport

    Contributeur sécurité CCM
    1
    1. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      Salut VIRUS-C-C

      Regarde ICI ce que m'avait répondu Nicolas.

      « II. Lignes MBR :
      ---------------
      Le rapport affiché par ZHPDiag est celui fourni par l'exécution de l'outil MBR de Gmer. ZHPDiag ne peut pas modifier cet affichage de "Possible rootkit" !
      Si les outils utilisés ont prouvés qu'il n'y avait pas de rootkit, il n'y a plus rien à faire et ignorer le message donné par MBR
      . »

      Juste pour info.
      Amicalement.
      Al.

      EDIT:
      - Il serait bon que Sarah91 s'inscrive sur le forum afin de rendre ses liens lisibles ==> marre de devoir les retaper dans la barre d'adresses !! Sur CCM, c'est ici
      - Je n'aime pas qu'elle réponde: « Concernant TDSSKiller, il n'a absolument rien trouvé. » ==> il nous faut des rapports à consulter.
      - J'aime aussi que l'internaute confirme si une application est réalisée ou by-passée !
      Ne rien dire nous fait perdre trop de temps dans une désinfection contre "rootkit".
      0
  3. Utilisateur anonyme
     
    bonsoir,
    spybot ==> poubelle

    remplace ton mot de passe de compte Hotmail !

    Edit :

    hello Virus C-C :-)

    bonne chasse ;-)

    O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø

    O.o°* ??? Réspire à fond, Rédige ton message en bon français et de manière claire. Une fois ton problème passé, coche ton message comme résolu.Ca va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø
    0
    1. Sarah91
       
      J'ai déjà changé de mot de passe sans résultat.
      0
  4. Utilisateur anonyme
     
    Re

    Hello Electricien 69 merçi l Ami !!

    Contributeur sécurité CCM
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Sarah91
     
    Oki Merci je fais ça tout de suite :)
    0
  7. Sarah91
     
    Alors tout d'abord merci de m'aider.

    Voici déjà le rapport de ZHPDiag

    http://www.cijoint.fr/cjlink.php?file=cj201104/cijB3G4x9r.txt
    0
  8. Sarah91
     
    Concernant TDSSKiller, il n'a absolument rien trouvé.
    0
  9. Utilisateur anonyme
     
    Salut

    1) * Télécharge Defogger (de jpshortstuff) sur ton Bureau
    ICI >> Defogger (de jpshortstuff)
    * Lance le
    * Pour Windows Vista et Windows 7,
    * faire un clic droit et >> Exécuter en tant qu'administrateur.
    * Une fenêtre apparait : clique sur "Disable"
    * Fais redémarrer l'ordinateur si l'outil te le demande
    * PS >> Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

    aprés

    2) /!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\

    * Télécharges >> mbr.exe de Gmer
    * >> mbr.exe de Gmer
    * enregistre le sur ton Bureau
    * >> mbr.exe de Gmer
    * Double-cliquez sur mbr.exe..
    * Utilisateurs de Windows Vista / Windows7 tu fais un clic droit sur l'icône et exécute en tant qu'administrateur.
    * une fenêtre noire va s'ouvrir et se refermer.
    * Un rapport sera généré mbr.log, il se trouve sur ton Bureau
    * Poste le rapport

    ensuite

    3) * Télécharge GMER Rootkit Scanner :

    * GMER est l'un des meilleurs scanneurs rootkits actuels.
    * Il est capable de détecter la casi totalité des rootkits.

    >> gmer

    * Ferme également toutes les applications actives dont ton navigateur.
    * Clique sur le bouton "Download EXE"
    * Sauvegarde-le sur ton Bureau.
    * Double-clique sur l'exécutable téléchargé .
    * sous Vista , clic droit sur l'exécutable et choisir exécuter en tant qu'administrateur.
    * Dans l'onglet "Rootkit", clique sur "SCAN" puis patiente...
    * A la fin, clique sur "SAVE" et enregistre le rapport sur ton Bureau.
    * Héberge le rapport de Gmer sur ce site,
    cijoint.fr
    * Copie/colle les liens générés ici

    en dernier

    4)* Réactives tous tes logiciels de protection

    Contributeur sécurité CCM
    0
  10. Sarah91
     
    Voici le scan MBR :

    Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
    Windows 6.0.6002 Disk: ST3360320AS rev.3.AAM -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-1

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK

    Voila celui de Gmer :

    GMER 1.0.15.15570 - http://www.gmer.net
    Rootkit scan 2011-04-09 21:13:18
    Windows 6.0.6002 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-1 ST3360320AS rev.3.AAM
    Running: efg86412.exe; Driver: C:\Users\Sarouf\AppData\Local\Temp\ugryipog.sys

    ---- Kernel code sections - GMER 1.0.15 ----

    ? C:\Users\Sarouf\AppData\Local\Temp\mbr.sys Le fichier spécifié est introuvable. !

    ---- Registry - GMER 1.0.15 ----

    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x02 0x04 0x13 0x56 ...
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xAA 0x7C 0x31 0x7B ...
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
    Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x42 0x1E 0xCB 0x72 ...
    Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
    Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\
    Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...
    Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
    Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x02 0x04 0x13 0x56 ...
    Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
    Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
    Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xAA 0x7C 0x31 0x7B ...
    Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
    Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x42 0x1E 0xCB 0x72 ...

    ---- EOF - GMER 1.0.15 ----
    0
    1. Sarah91
       
      Désolé si vous préférez un lien je peut le refaire.
      0
  11. Utilisateur anonyme
     
    Re

    1si tu ne l as pas fait avant

    Defogger (de jpshortstuff)
    * Lance le
    * Pour Windows Vista et Windows 7,
    * faire un clic droit et >> Exécuter en tant qu'administrateur.
    * Une fenêtre apparait : clique sur "Disable"
    * Fais redémarrer l'ordinateur si l'outil te le demande

    aprés

    2) poste un nouveau ZHPDiag </gra

    * Héberge le rapport sur ce site,
    >> Cijoint.fr
    * puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

    * <gras>Pour t aider
    ,pour heberger le rapport
    * rends toi sur Cijoint.fr
    * clic sur Parcourir
    * trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau
    * et valide en cliquant sur >> Cliquez ici pour déposer le Fichier
    * un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,
    * il te suffit de le poster ici pour que je puisse voir le rapport

    Contributeur sécurité CCM
    0
  12. Sarah91
     
    J'ai eu un soucis avec ce que vous m'avez demandé.

    Lorsque j'ai scanné, un écran bleu est apparu avec des écritures en grosse police blanche et a éteint mon ordinateur.

    Dois-je tout de même recommencer ?
    0
  13. Utilisateur anonyme
     
    Salut

    Merçi afideg pour ces infos !!!

    Sarah91 Il est vrai que tu devrais commencer par t inscrire via le lien donné par afideg

    ensuite fais ce que t ai demandé comme décris

    Contributeur sécurité CCM
    0
  14. Sarah911 Messages postés 15 Statut Membre
     
    Voilà le rapport :

    http://www.cijoint.fr/cjlink.php?file=cj201104/cijwr6R0Rh.txt

    Désolé pour le retard
    0
  15. Utilisateur anonyme
     
    Salut

    Arf !!j avais zappé hier !!

    1) /!\ ZHPFix /!\

    * ferme toutes les applications ouvertes.
    * Copies tout le texte présent en gras dans l'encadré ci-dessous
    *( tu le selectionnes avec ta souris >> Clique droit dessus et choisis "copier" ou fait Ctrl+C )

    ============================================


    O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
    O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
    [HKLM\Software\Microsoft\Internet Explorer\toolbar]:{32099aac-c132-4136-9e9a-4e364a424e17}

    EmptyFlash
    Emptytemp


    ============================================

    * Double Clique sur l'icone ZhpFix du bureau pour le lancer ( l icone en forme de seringue) .
    * Utilisateurs de Windows7/Vista >> Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"
    * Une fois l'outil ZHPFix ouvert ,

    * clique sur le bouton [ H ] ==> Image ( "coller les lignes Helper" ) .

    * Dans l'encadré principal
    * tu verras donc les lignes que tu as copié précédemment apparaitre .
    * Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
    * cliques >> sur le Bouton " GO "
    * colle le rapport obtenu .

    ensuite

    2) Relances un scan avec TDSSKiller .
    ouvre le dossier TDSSKiller et double-clic sur TDSSKiller.exe (l'extension ne peut ne pas apparaître) pour lancer l'application.
    * Clic sur le bouton Start Scan

    * Image

    * Si un fichier infecté est détecté, l'action par défaut devrait le réparer, clic sur le bouton >> Continue

    * Exemple : sptd.sys (driver Deamon tools)
    * Il est possible que le redémarrage du PC soit nécessaire pour compléter le processus. Clic sur le bouton >> Reboot Now
    * Si le redémarrage n'es pas requis, clic sur le bouton Report. Le rapport devrait s'ouvrir. Copie/colle le contenu dans ta prochaine réponse.

    * Si le pc a redémarré, le rapport peut être trouvé à la racine de ton lecteur (en général C:\) sous la forme
    "TDSSKiller.[Version]_[Date]_[Time]_log.txt". Copie/colle le contenu de ton rapport

    Ce coup-çi poste le rapport

    Contributeur sécurité CCM
    0
  16. gen-hackman
     
    salut tout le monde fait la meme:

    O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe

    =

    O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe

    c'est la meme clé inutile de la mettre 2 fois la deuxième sera forcément absente
    G3?-?@¢??@?......Concepteur de List_Kill'em...Pre_Scan....MBR_Repair....
    0
  17. Sarah911 Messages postés 15 Statut Membre
     
    Bonjour,

    Voici le rapport pour ZHP :

    http://www.cijoint.fr/cjlink.php?file=cj201104/cijnMyW7Mt.txt

    TDSSKiller n'a rien trouvé.
    0
  18. Utilisateur anonyme
     
    Salut

    On continue quand tu m auras posté le rapport de TDSSKiller !!
    Une fois mais pas deux !!!!

    Contributeur sécurité CCM
    0
  19. Sarah911 Messages postés 15 Statut Membre
     
    Bonjour,

    Je suis désolé je n'avais pas comprit qu'il fallait que je le post même si il ne trouvait rien.

    Le voici :

    http://www.cijoint.fr/cjlink.php?file=cj201104/cijwvRN4Hs.txt

    Encore désolé.
    0
  20. Utilisateur anonyme
     
    Re

    ok !!

    1) * tu as Malwarebytes

    * Lances--> Malwarebytes (MBAM)
    * Fais une mise a jour <== à faire
    * Puis vas dans l'onglet "Recherche", coche >> Exécuter un examen complet
    * puis "Rechercher"
    * Sélectionnes tes disques durs" puis clique sur "Lancer l'examen"
    * A la fin du scan, clique sur Afficher les résultats puis sur Enregistrer le rapport
    *Si MalwareBytes' détecte des infections, clique sur ==>Afficher les résultats, puis sur ==>Supprimer la sélection
    * S'il t' es demandé de redémarrer, clique sur "oui "
    * aprés la suppression(s) de ou des infections trouvées -->poste le rapport ici

    Contributeur sécurité CCM
    0
  • 1
  • 2
  • 3