Virus svchost.exe ?

milkouz Messages postés 107 Statut Membre -  
Tigzy Messages postés 7983 Statut Contributeur sécurité -
Bonjour,
Donc voila je viens demander de l'aide ici car je pense avoir un virus ou cheval de troie depuis quelque jours car mon pc est devenu lent puis avast me fait des alertes pour bloquer un logiciel malveillant svchost.exe.Je ne suis pas un débutant ni un pro j'ai fais un nettoyage de la base de registre scan avast,spybot et malware mais il demeure toujours.
Puis avast me signale toute les 5 mn qu'il bloque une adresse url malveillante bloqué, rapport hijackthis a disposition

Merci d'avance

ps:j'ai vista et Firefox
A voir également:

9 réponses

Réponse 1 / 9
Malekal_morte- Messages postés 184347 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 689
 
Salut,

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT

1
Réponse 2 / 9
milkouz Messages postés 107 Statut Membre 11
 
c'est très long comme analyse je posterais les résultats demain merci de ton aide
0
Réponse 3 / 9
milkouz Messages postés 107 Statut Membre 11
 
Salut,
tiens voici les liens

https://pjjoint.malekal.com/files.php?id=20130213_r6u15137u5

https://pjjoint.malekal.com/files.php?id=20130213_q7i13s8u11y6

merci de ton aide
0
Réponse 4 / 9
Malekal_morte- Messages postés 184347 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 689
 
Désinstalle Spybot, il est complètement inefficace.

Relance OTL.
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2186548
IE - HKU\S-1-5-21-207046934-1250167255-3786613922-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2186548
[2013/02/11 14:17:07 | 000,000,000 | ---D | C] -- C:\Program Files\Vittalia
[2012/01/24 13:58:09 | 000,000,296 | -H-- | C] () -- C:\ProgramData\~LRvHf0680kX2gb
[2012/01/24 13:58:09 | 000,000,184 | -H-- | C] () -- C:\ProgramData\~LRvHf0680kX2gbr
[2012/01/24 13:57:35 | 000,000,440 | -H-- | C] () -- C:\ProgramData\LRvHf0680kX2gb
[2013/02/10 15:48:50 | 000,001,832 | ---- | M] () -- C:\Users\eric\Application Data\Microsoft\Internet Explorer\Quick Launch\Antivirus Protection.lnk
IE - HKU\S-1-5-21-207046934-1250167255-3786613922-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: URL = http://www.search.ask.com/?l=dis{searchTerms}&locale=fr_FR&apn_ptnrs=FN&apn_dtid=TES002YYFR&apn_uid=C1136D95-620A-482F-83B5-FED3D32FCCAC&apn_sauid=0ED5E970-DC7F-4DB3-8324-0EC15AD54A13

* redemarre le pc sous windows et poste le rapport ici

~~


[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!


~~

Télécharge et installe Malwarebyte MBAR : https://www.malekal.com/malwarebytes-anti-rootkit-mbar-beta/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
Enregistre le rapport sur http://pjjoint.malekal.com
Donne le lien pjjoint ici.



Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 9
milkouz Messages postés 107 Statut Membre 11
 
Re,

Donc voici les rapports

https://pjjoint.malekal.com/files.php?id=20130213_e5y8o613i15

>>>
le raport de RK peut pas s'enregistrer sur le site

RogueKiller V8.5.1 [Feb 12 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : eric [Droits d'admin]
Mode : Suppression -- Date : 13/02/2013 12:57:37
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : \SystemRoot\System32\drivers\mountmgr.sys -> HOOKED ([MAJOR] Unknown @ 0x86947FA9)

¤¤¤ Infection : Root.MBR ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost
::1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST9160827AS ATA Device +++++
--- User ---
[MBR] 293176d6b56795e13a67f5e273ee0c2d
[BSP] 5c11c6be435017a188f295e986e5df02 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 12291 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 25173855 | Size: 140334 Mo
User = LL1 ... OK!
User != LL2 ... KO!
--- LL2 ---
[MBR] ffadd27a7f95b341085cc6d6ca1ce1a2
[BSP] 5c11c6be435017a188f295e986e5df02 : Windows Vista MBR Code [possible maxSST in 2!]
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 12291 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 25173855 | Size: 140334 Mo
2 - [ACTIVE] NTFS (0x17) [HIDDEN!] Offset (sectors): 312579760 | Size: 0 Mo

Termine : << RKreport[2]_D_13022013_125737.txt >>
RKreport[1]_S_13022013_125600.txt ; RKreport[2]_D_13022013_125737.txt

>>>>>>


https://pjjoint.malekal.com/files.php?id=20130213_y9x15n9z6t14
0
Réponse 6 / 9
Malekal_morte- Messages postés 184347 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 689
 
Sur RogueKiller, vas dans l'onglet MBR
clic sur MBR RAZ.

Redémarre le PC, refais un scan RogueKiller et donne le rapport.
0
Réponse 7 / 9
milkouz Messages postés 107 Statut Membre 11
 
la case MBR RAZ est grisée peut pas cliquer dessus
0
Réponse 8 / 9
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Hello
La réparation des partitions SS.t n'a pas été testée et est désactivée.
Faut essayer avec un autre outil (AvstMBR, TDSSKiller)
Si tu as un dropper Mak je pourrais tester et l'activer (le code est prêt) si ça marche bien

Contributeur SECURITE *** Développeur de RogueKiller ***
Pas de rapports par MP, hébergez les sur www.cijoint.fr. Pas de désinfection par MP, merci d'ouvrir un fil
0
Réponse 9 / 9
Malekal_morte- Messages postés 184347 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 689
 
okay.
En espérant que TDSSKiller tourne.

Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Lire ce qui est écrit au niveau des suppressions/réparation (delete et cure), ne pas supprimer n'importe quoi.
Poste le rapport ici.

0
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Et mon dropper? :)
0
Malekal_morte- Messages postés 184347 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 689
 
J'ai pas de dropper pour Alueron ou si j'en ai, chuis pas au courant \o
0
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Okay. Personne n'en a on dirait :/
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses
virus Artemis!
mabiche37 -
Malekal_morte- -

14 réponses