Svchost.exe espion ? virus ? pc devenu lent

Résolu
haithem-30 Messages postés 64 Statut Membre -  
 loulou -
Bonjour,

J'ai récemment failli être infecté par un exécutable, mais mon antivirus l'a bloqué, ainsi qu'un autre processus, svchost.exe

Pourtant svchost.exe est un processus "normal" sous windows 7. Mais j'ai lu dans certains forum où il pouvait être utilisé par des logiciels espion!
Malgré le blocage qu'a fait mon antivirus (Trend Micro Titanium Maximum Security 2012), j'ai l'impression que mon système ralenti.

Par exemple quand je visionne un film, il se peut que la lecture devienne gênante, alors qu'avant ça ne me le faisait pas (pour les mêmes films). Un autre exemple c'est que Google Chrome met du temps à se lancer, j'ai droit parfois a une grosse âge blanche, sans aucune barre! Ou encore, le démarrage est l'arret de l'ordi se font plus lentement...

Bref mon PC est devenu lent!

J'ai fais des scan avec Trend Micro, rien trouvé, Malwarebytes aussi, rien trouvé.

Si quelqu'un a du temps ou des suggestion, ce serait sympa

Merci!

13 réponses

  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    salut désinstalle spybot search & destroy rien du tout

    désinstalle ad-aware et emisoft également si présent ainsi que spyhunter et autres bêtises du genre ...

    Télécharge ici :OTL

    enregistre le sur ton Bureau.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    => Clique ici pour voir la Configuration

    ▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    netsvcs
    safebootminimal
    safebootnetwork
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\system32\*.ini
    %systemroot%\Tasks\*.*
    %systemroot%\system32\Tasks\*.*
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    %systemroot%\system32\config\*.exe /s
    %systemroot%\system32\*.sys
    HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    CREATERESTOREPOINT


    ▶ Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    heberge OTL.txt et extra.txt sur http://pjjoint.malekal.com et donne les liens
    3
    1. haithem-30 Messages postés 64 Statut Membre 28
       
      Ok je vais faire ça merci.
      Je tiens à préciser qu'entre temps, mon antivirus a eu une mise à jour, et lors du scan il a détecté 3 logiciels espions, voici son rapport :


      Date/Heure ,Fichier infecté ,Nom de la menace ,Réaction

      01/09/2012 00:32,S-1-5-21-1100930206-1102892145-3812783770-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\neededware.com\*,Downloader_Adpop,Supprimé

      01/09/2012 00:32,S-1-5-21-1100930206-1102892145-3812783770-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\05p.com\*,Adware_MSInfo,Supprimé

      01/09/2012 00:32,S-1-5-21-1100930206-1102892145-3812783770-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\xbeta69.com\*,Dialer_YesLimited,Supprimé
      0
  2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Hello,

    Fais analyser le fichier suivant sur https://www.virustotal.com/gui/ :

    C:\Users\Haïthem\AppData\Roaming\JCYK3GUGVO.exe

    Et poste le lien vers l'analyse

    ================================================

    Télécharge sur cette page: AdwCleaner (de Xplode)

    ▶ Lance-le

    clique sur Suppression et patiente le temps du nettoyage.

    ▶ Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.
    1
  3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    OK.
    C'est ça : https://www.mcafee.com/enterprise/en-us/threat-center.html#none

    Donc après ADWC tu feras ça voir s'il le shoote :

    ▶ Télécharge et installe Malwarebytes' Anti-Malware (MBAM).

    ▶ Exécute-le. Accepte la mise à jour.

    Uniquement en cas de problème de mise à jour:

    Télécharger mises à jour manuelles MBAM

    ● Exécute le fichier après l'installation de MBAM

    ▶ Sélectionne "Exécuter un examen complet"
    ▶ Clique sur "Rechercher"
    ▶ L'analyse démarre, le scan est relativement long, c'est normal.

    A la fin de l'analyse, un message s'affiche :

    Citation :

    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

    ▶ Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
    ▶ Ferme tes navigateurs.
    ▶ Si des malwares ont été détectés, clique sur Afficher les résultats.
    ▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le.

    Si MBAM demande à redémarrer le pc : ▶ fais-le.

    Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.
    1
    1. haithem-30 Messages postés 64 Statut Membre 28
       
      J'ai déjà MBAM, j'ai fais un scan complet hier, qui a duré 3h13mn mais il n'a rien trouvé. Tu veux son rapport ? Il est sauvegardé.

      Quand à AdwCleaner voici son rapport :


      # AdwCleaner v2.000 - Rapport créé le 01/09/2012 à 17:40:16
      # Mis à jour le 30/08/2012 par Xplode
      # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
      # Nom d'utilisateur : Haïthem - HAITHEM-PC
      # Mode de démarrage : Normal
      # Exécuté depuis : C:\Users\Haïthem\Desktop\CCM Logiciels Scan et Rapports\AdwCleaner\adwcleaner.exe
      # Option [Suppression]


      ***** [Services] *****


      ***** [Fichiers / Dossiers] *****

      Dossier Supprimé : C:\ProgramData\boost_interprocess
      Dossier Supprimé : C:\ProgramData\Partner

      ***** [Registre] *****

      Clé Supprimée : HKCU\Software\Softonic
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SearchquMediaBar_RASAPI32
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SearchquMediaBar_RASMANCS
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SetupDataMngr_Searchqu_RASAPI32
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SetupDataMngr_Searchqu_RASMANCS
      Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}
      Clé Supprimée : HKLM\SOFTWARE\DataMngr
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}

      ***** [Navigateurs] *****

      -\\ Internet Explorer v9.0.8112.16421

      Restauré : [HKCU\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
      Restauré : [HKCU\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
      Restauré : [HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
      Restauré : [HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
      Restauré : [HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
      Restauré : [HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
      Restauré : [HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
      Restauré : [HKU\S-1-5-21-1100930206-1102892145-3812783770-1004\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]

      -\\ Google Chrome v21.0.1180.60

      Fichier : C:\Users\Haïthem\AppData\Local\Google\Chrome\User Data\Default\Preferences

      [OK] Le fichier ne contient aucune entrée illégitime.

      *************************

      AdwCleaner[S1].txt - [2253 octets] - [01/09/2012 17:40:16]

      ########## EOF - C:\AdwCleaner[S1].txt - [2313 octets] ##########
      0
    2. haithem-30 Messages postés 64 Statut Membre 28
       
      Ah non excuse moi le rapport MBAM n'est pas enregistré.
      Je lance un examen complet ?
      0
  4. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    okok

    laisse tomber MBAM on va faire autrement

    ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    ▶Copie la liste qui se trouve en gras ci-dessous,

    ▶ colle-la dans la zone sous "Personnalisation" :


    :OTL
    O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

    :Files
    C:\Users\Haïthem\AppData\Roaming\JCYK3GUGVO.exe
    C:\ProgramData\Spybot - Search & Destroy

    :Reg
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
    "C:\Users\Haïthem\AppData\Roaming\JCYK3GUGVO.exe"=-
    "C:\Users\Haïthem\AppData\Roaming\JCYK3GUGVO.exe"=-

    :Commands
    [EMPTYTEMP]


    ▶ Clique sur "Correction" pour lancer la suppression.

    ▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

    ======================================

    Refais un OTL.
    1
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    ok en attente du nouveau OTL pour contrôle.
    1
    1. haithem-30 Messages postés 64 Statut Membre 28
       
      D'accord merci, je le ferai ce soir, desolé je dois partir. Merci pour ton aide!
      0
    2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      De rien !

      A ce soir ;)
      0
    3. haithem-30 Messages postés 64 Statut Membre 28
       
      Salut! Quand tu m'as dis relance un OTL, tu voulais dire une analyse comme la première que j'ai faite ? ou une correction?
      0
    4. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      une analyse :)
      0
    5. haithem-30 Messages postés 64 Statut Membre 28
       
      D'accord
      0
  7. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    tout ça me parait bien encore des soucis ou on finalise ?
    1
  8. KILLOME Messages postés 2016 Statut Membre 175
     
    essaye en faisant une restauration du système avant le problème et le virus
    0
    1. haithem-30 Messages postés 64 Statut Membre 28
       
      merci de ta réponse rapide, mais malheureusement mes derniers points de restaurations remontent à moins d'une semaine. Aucun de date d'avant le problème du virus
      0
    2. KILLOME Messages postés 2016 Statut Membre 175
       
      va en mode sans échec et fait une analyse complet avec l'antivirus
      0
    3. haithem-30 Messages postés 64 Statut Membre 28
       
      je l'ai déjà fait, avec l'anti virus, et avec spybot aussi, il m'a trouvé seulement des cookies de suivi
      0
  9. haithem-30 Messages postés 64 Statut Membre 28
     
    Voici le rapport :

    All processes killed
    ========== OTL ==========
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\10 deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\10 not found.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked not found.
    ========== FILES ==========
    C:\Users\Haïthem\AppData\Roaming\JCYK3GUGVO.exe moved successfully.
    C:\ProgramData\Spybot - Search & Destroy\Recovery folder moved successfully.
    C:\ProgramData\Spybot - Search & Destroy\Logs folder moved successfully.
    C:\ProgramData\Spybot - Search & Destroy folder moved successfully.
    ========== REGISTRY ==========
    Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Users\Haïthem\AppData\Roaming\JCYK3GUGVO.exe deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\Users\Haïthem\AppData\Roaming\JCYK3GUGVO.exe not found.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Haïthem
    ->Temp folder emptied: 2940403 bytes
    ->Temporary Internet Files folder emptied: 2310720 bytes
    ->Java cache emptied: 1050101 bytes
    ->Google Chrome cache emptied: 8748235 bytes
    ->Flash cache emptied: 628 bytes

    User: Public

    User: UpdatusUser
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32 (64bit) .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 542581 bytes
    %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50540 bytes
    RecycleBin emptied: 7207008 bytes

    Total Files Cleaned = 22,00 mb

    OTL by OldTimer - Version 3.2.59.1 log created on 09012012_175600

    Files\Folders moved on Reboot...
    C:\Users\Haïthem\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

    PendingFileRenameOperations files...

    Registry entries deleted on Reboot...
    0
  10. haithem-30 Messages postés 64 Statut Membre 28
     
    Bonsoir !

    et bien j'ai l'impression que tout va bien, le rapport du scan indique que tout est bon ??
    0
  11. haithem-30 Messages postés 64 Statut Membre 28
     
    Merci pour le temps que t'as passé sur ce nettoyage.

    J'ai tout appliqué et ça me semble être en ordre.

    Merci encore et j'espère que je n'aurai plus besoin de te faire appel!
    0
  12. loulou
     
    bonjour
    dans la barre des tache il y a un processus (sweepactsupdatmanader.exe)
    il faut le supprimer ensuite le chercher dans l'ordi et le mettre de cote
    autrement a chaque redémarrage de l'ordi il se reactive
    cela fait plusieurs mois que je fonctionne comme cela pas de problème
    0