svchost.exe espion ? virus ? pc devenu lent Résolu/Fermé

Question

Bonjour, 

J'ai récemment failli être infecté par un exécutable, mais mon antivirus l'a bloqué, ainsi qu'un autre processus, svchost.exe

Pourtant svchost.exe est un processus "normal" sous windows 7. Mais j'ai lu dans certains forum où il pouvait être utilisé par des logiciels espion! 
Malgré le blocage qu'a fait mon antivirus (Trend Micro Titanium Maximum Security 2012), j'ai l'impression que mon système ralenti.

Par exemple quand je visionne un film, il se peut que la lecture devienne gênante, alors qu'avant ça ne me le faisait pas (pour les mêmes films). Un autre exemple c'est que Google Chrome met du temps à se lancer, j'ai droit parfois a une grosse âge blanche, sans aucune barre! Ou encore, le démarrage est l'arret de l'ordi se font plus lentement...

Bref mon PC est devenu lent!

J'ai fais des scan avec Trend Micro, rien trouvé, Malwarebytes aussi, rien trouvé.

Si quelqu'un a du temps ou des suggestion, ce serait sympa

Merci!

Configuration: Windows 7 / Chrome 21.0.1180.60

juju666 · Accepted Answer

salut désinstalle spybot search & destroy rien du tout

désinstalle ad-aware et emisoft également si présent ainsi que spyhunter et autres bêtises du genre ...

 Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop 
netsvcs
safebootminimal
safebootnetwork 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys 
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT 

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur http://pjjoint.malekal.com et donne les liens

KILLOME · Answer

essaye en faisant une restauration du système avant le problème et le virus

juju666 · Answer

Hello,

Fais analyser le fichier suivant sur https://www.virustotal.com/gui/ :

C:\Users\Haïthem\AppData\Roaming\JCYK3GUGVO.exe    

 
Et poste le lien vers l'analyse 

================================================

&#9654 Télécharge sur cette page: AdwCleaner (de Xplode) 

&#9654 Lance-le

clique sur Suppression et patiente le temps du nettoyage.

&#9654 Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.

juju666 · Answer

OK.
C'est ça : https://www.mcafee.com/enterprise/en-us/threat-center.html#none

 
Donc après ADWC tu feras ça voir s'il le shoote :

 &#9654 Télécharge et installe Malwarebytes' Anti-Malware (MBAM). 

&#9654 Exécute-le. Accepte la mise à jour.



&#x25CF; Uniquement en cas de problème de mise à jour:

&#x25CF; Télécharger mises à jour manuelles MBAM 

&#x25CF; Exécute le fichier après l'installation de MBAM 



&#9654 Sélectionne "Exécuter un examen complet" 
&#9654 Clique sur "Rechercher" 
&#9654 L'analyse démarre, le scan est relativement long, c'est normal. 

A la fin de l'analyse, un message s'affiche : 

 Citation :

    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés. 

&#9654 Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. 
&#9654 Ferme tes navigateurs. 
&#9654 Si des malwares ont été détectés, clique sur Afficher les résultats. 
&#9654 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le. 

Si MBAM demande à redémarrer le pc : &#9654  fais-le. 

Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.

juju666 · Answer

okok

laisse tomber MBAM on va faire autrement

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :



:OTL
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    
:Files
C:\Users\Haïthem\AppData\Roaming\JCYK3GUGVO.exe
C:\ProgramData\Spybot - Search & Destroy

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Users\Haïthem\AppData\Roaming\JCYK3GUGVO.exe"=-
"C:\Users\Haïthem\AppData\Roaming\JCYK3GUGVO.exe"=-

:Commands
[EMPTYTEMP]



&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.
 
 ======================================

Refais un OTL.

haithem-30 · Answer

Voici le rapport :


All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\10 deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\Locked deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\10 not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\Locked not found.
========== FILES ==========
C:\Users\Haïthem\AppData\Roaming\JCYK3GUGVO.exe moved successfully.
C:\ProgramData\Spybot - Search & Destroy\Recovery folder moved successfully.
C:\ProgramData\Spybot - Search & Destroy\Logs folder moved successfully.
C:\ProgramData\Spybot - Search & Destroy folder moved successfully.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Users\Haïthem\AppData\Roaming\JCYK3GUGVO.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Users\Haïthem\AppData\Roaming\JCYK3GUGVO.exe not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Haïthem
->Temp folder emptied: 2940403 bytes
->Temporary Internet Files folder emptied: 2310720 bytes
->Java cache emptied: 1050101 bytes
->Google Chrome cache emptied: 8748235 bytes
->Flash cache emptied: 628 bytes
 
User: Public
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 542581 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50540 bytes
RecycleBin emptied: 7207008 bytes
 
Total Files Cleaned = 22,00 mb
 
 
OTL by OldTimer - Version 3.2.59.1 log created on 09012012_175600

Files\Folders moved on Reboot...
C:\Users\Haïthem\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

juju666 · Answer

ok en attente du nouveau OTL pour contrôle.

haithem-30 · Answer

Voici les liens des rapports OTL :

OTL.txt      : https://pjjoint.malekal.com/files.php?id=20120902_b15w14f14h14w12

Extras.txt  : https://pjjoint.malekal.com/files.php?id=20120902_v14e612u15m12

juju666 · Answer

tout ça me parait bien encore des soucis ou on finalise ?

haithem-30 · Answer

Bonsoir !

et bien j'ai l'impression que tout va bien, le rapport du scan indique que tout est bon ??

juju666 · Answer

yes

reste ca du coup : https://gen-hackman.kanak.fr/

haithem-30 · Answer

Merci pour le temps que t'as passé sur ce nettoyage.

J'ai tout appliqué et ça me semble être en ordre.

Merci encore et j'espère que je n'aurai plus besoin de te faire appel!

loulou · Answer

bonjour 
dans la barre des tache il y a un processus (sweepactsupdatmanader.exe)
il faut le supprimer ensuite le chercher dans l'ordi et le mettre de cote 
autrement a chaque redémarrage de l'ordi il se reactive 
cela  fait plusieurs mois que je fonctionne comme cela  pas de problème

Svchost.exe espion ? virus ? pc devenu lent

13 réponses