Infection URL:Mal sur svchost.exe

[Résolu/Fermé]
Signaler
-
 Utilisateur anonyme -
Bonjour,

Depuis 2 jours, Avast m'affiche toutes les minutes environ un message semblable à celui-ci :

https://www.cjoint.com/c/CEvresnV1hC

ou à celui-ci :

https://www.cjoint.com/c/CEvrhFpormO

Que puis-je faire sachant que mes connaissances sont assez limitées et que mon antivirus ne détecte aucun virus lors d'une analyse ?

Merci beaucoup pour vos réponses !


20 réponses

Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 118
Salut,

[*] Télécharger sur le bureau https://forum.malekal.com/viewtopic.php?t=29444&start=
[*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!

Merci pour votre réponse.

J ai fait ce que vous avez dit (je joint les rapports dans mon message suivant).

Mais, est ce normal, maintenant ma connexion internet ne marche plus (j écris depuis un autre poste), plus précisément, échec de renouvellement de l adresse IP (je vais essayer de joindre une capture d écran de ce problème).

Que dois je faire ?

Voici donc le 1 er rapport : https://www.cjoint.com/c/CEvuTVVal3o

Et le 2 ème rapport : https://www.cjoint.com/c/CEvuVKrRxUX

Et enfin, une capture d écran de mon problème : https://www.cjoint.com/c/CEvuZeg1lSO

Merci pour vos réponses.
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 118
afd.sys est patché par ZeroAccess, du coup ça fait planter la couche réseau, donc plus d'internet.


Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Lire ce qui est écrit au niveau des suppressions/réparation (delete et cure), ne pas supprimer n'importe quoi.
Poste le rapport ici.

Surtout tu fais pas cure sur afd.sys
Bonsoir,

J ai donc passé un coup de TDSSKiller.

Voici le rapport : http://cjoint.com/?CEvxufxoAaH

J ai pour le moment tout mis en quarantaine mais je n observe pas vraiment d évolution.

Que dois je faire ensuite ?

Bonne soirée !
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 118
J'avais dit de faire Cure...
Là t'as viré le fichier...

Bon pas grave.


Affiche les extensions de fichiers : https://forum.malekal.com/viewtopic.php?t=18239&start=

Prends ce afd.sys : https://www.malekal.com/fichiers_systeme/file/afd_XP_SP3_322d0e36693d6e24a2398bee62a268cd.sys

mets le dans C:\Windows\system32\drivers
en le renommant pour avoir afd.sys

Redémarre le PC.

Euh je ne comprends pas ...

Je cite : "Surtout tu fais pas cure sur afd.sys"
"J'avais dit de faire Cure... "

Enfin c'est pas grave, j'ai peut être mal compris !! ;-)

Dans tous les cas, Internet refonctionne et avast ne semble plus m'afficher de messages d'infection.

Je vais peut être attendre encore quelques jours mais si d'ici le week end le message ne reviens pas, je considérerai mon problème résolu !!

En attendant, que me conseilleriez-vous pour nettoyer entièrement (le plus/mieux possible) un PC (le débarrasser de vieux fichiers inutiles (d'anciennes installations par exemple)) mais aussi pour supprimer tous les virus potentiels et ainsi être sûr (à 100 % :-) ??) qu'il n'y a plus de virus ?

Pour résumer, que me conseilleriez-vous pour "remettre mon PC à neuf" ou "lui redonner une seconde vie" :-) ?

Merci pour toutes vos réponses !
Et pour finir, je voulais également savoir quels processus étaient essentiels pour l'ordinateur (et si certains de la liste suivante sont inutiles).

Lien : https://www.cjoint.com/c/CEwtG7JuKkB

Je remarque que hasplms.exe échange sans arrêt des données avec internet (au niveau de mon pare feu) est ce normal ?
Bon et bien mauvaise nouvelle, je suis toujours infecté : des onglets s'ouvrent tout seuls (sans que je n'ai rien demandé) dans Firefox ...

Que puis-je faire (avez vous une idée d'où cela peut venir ?)?

Et, encore une fois, savez vous comment peut on vérifier si il reste des virus sur notre machine ?
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 118
Bha on a pas fini.

Refais un scan TDSSKiller et donne le rapport.

~~


Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs




* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

J'ai fait tout ce que vous avez dit.

Voici le rapport OTL.TXT : https://pjjoint.malekal.com/files.php?id=20130522_12p5i915o11

Et le rapport Extra.txt : https://pjjoint.malekal.com/files.php?id=20130522_u12h7k9e13q7

Bonne lecture et bonne soirée !!

Que dois-je faire maintenant ?
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 118
Tu peux reposter le rapport OTL stp.
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 118
Apparmement tu es un habitué des infections.


Relance OTL.
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:


:OTL
ActiveX: {IY8CMQU0-4AYG-R2A3-B2FS-LL81S2A5S456} - C:\WINDOWS\system32\install\server.exe Restart
[2013/05/20 16:22:24 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\searchplugins
[2013/05/20 16:22:24 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\Extensions
2013/05/16 18:27:29 | 000,000,000 | -H-D | C] -- C:\BJer
[2012/03/13 23:07:22 | 000,000,001 | ---- | C] () -- C:\Documents and Settings\All Users\Application Data\Qx0Ux8sy.exe_.b
[2012/03/13 23:07:22 | 000,000,001 | ---- | C] () -- C:\Documents and Settings\All Users\Application Data\Qx0Ux8sy.exe.b
[2012/03/13 23:05:50 | 000,000,112 | ---- | C] () -- C:\Documents and Settings\All Users\Application Data\KKb431uwm.dat
[2012/03/13 20:20:06 | 000,083,968 | ---- | C] () -- C:\WINDOWS\UnGins.exe
[2012/01/15 11:33:45 | 000,000,008 | ---- | C] () -- C:\Documents and Settings\François\Application Data\vidppd4fza9k8ru6.dat


* redemarre le pc sous windows et poste le rapport ici

Je voulais également savoir comment faire pour désactiver le centre de sécurité Windows (il n'apparait pas dans services.msc).

Que dois-je faire maintenant ?

PS: Comme vous l'avez remarqué, ce n'est pas ma première infection et j'aimerai également savoir comment être sur que je n'ai plus de virus du tout sur mon ordi et comment nettoyer un peu mon ordi (supprimer tous les fichiers inutiles d'anciennes installations ...) et "le remettre à neuf" ?
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 118
Pour remettre le centre de sécurité etc - Utilise Eset Repair : https://forum.malekal.com/viewtopic.php?t=36444&start=


~~

sinon ça doit être bon

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.


Sécurise ton PC !

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis !

~~

Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

Merci beaucoup !

Je vais mettre mon problème comme résolu !

Bonne continuation !