Svchost.exe, infecté ? [Fermé]

Signaler
-
 GrégoireM -
Bonjour à tous,

Alors voilà, depuis plusieurs semaines à chaque démarrage de mon ordinateur mon antivirus m'informe qu'il vient de supprimé "un programme qui se comportait de manière suspecte":


Norton Antivirus] / Détails de la menace
La Protection SONAR recherche les activités de programme suspectes sur votre ordinateur.
____________________________

Fichier source :
cscript.exe

Fichier créé :
svchost.exe

Mon ordinateur est il infecté (oui je suppose) et comment parer à ce virus ?

Je vous remercie de vos réponses ! :)


4 réponses

Messages postés
180215
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
24 novembre 2020
22 667
Salut,

Fais un scan OTL

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/



* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs

* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.


Je te remercie de ta réponse (très) rapide.
Alors voilà ce que j'ai obtenu:

http://pjjoint.malekal.com/files.php?id=20121230_y11c13x12q116
http://pjjoint.malekal.com/files.php?id=20121230_h13k8o12o9d12
Messages postés
180215
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
24 novembre 2020
22 667
Navigue dans tes dossiers pour trouver : C:\ProgramData\Adobe\2A87C5.vbe
Clic droit / modifier.
Copie/colle le contenu sur http://pjjoint.malekal.com (ou tu envoies le fichier directement).
Si ça veux pas, compresse 2A87C5.vbe et envoie le fichier Zip.


Relance OTL.
o sous Personnalisation, copie_colle le contenu du cadre ci dessous et clic Correction, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:

:OTL
O4 - HKLM..\Run: [Adobe] C:\ProgramData\Adobe\2A87C5.vbe ()


* redemarre le pc sous windows et poste le rapport ici

Je fais quoi de 2A87C5.vbe une fois envoyé en fichier .zip sur pjjoint.malekal ?
Le rapport :
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Adobe deleted successfully.
C:\ProgramData\Adobe\2A87C5.vbe moved successfully.

OTL by OldTimer - Version 3.2.69.0 log created on 12302012_140626
Messages postés
180215
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
24 novembre 2020
22 667
Je fais quoi de 2A87C5.vbe une fois envoyé en fichier .zip sur pjjoint.malekal ?

Donne le lien pjjoint ici.
http://pjjoint.malekal.com/files.php?id=20121230_w9z9q13b15n15