Logiciel espion,svchost.exe à 300 000 ko

Résolu
ridox Messages postés 66 Statut Membre -  
 Utilisateur anonyme -
Bonjour,

Hier soir, j'ai téléchargé un logiciel-espion via skype (un hacker qui se faisait passé pour un pote de ma guilde dans un jeu). Depuis, mon ordi rame à mort (je l'entretiens énormément,il est hyper rapide d'habitude) là il met 10 minutes pour s'arreter alors qu'il est censé mettre moins de 30 secondes,idem pour s'allumer. J'ai fait scan bit-defender (en ligne),passage de c-cleaner,spybot...aucune infection détecté...j'ai retrouvé (manuellement) les 4 fichiers de logiciel-espion qui avaient disparus et étaient cachés dans Appdata,je les ais bien entendu supprimés.
Conséquence du virus aperçu : vol du compte d'un jeu auquel je joue (par là que je lui ai donné mon skype hier soir,il devait me raconter pourquoi il avait quitté sa guilde...etc...),reset des favoris,historique et traces sur tout mes navigateurs.

Je n'ai donc plus aucune trace d'infection,cependant mon ordinateur rame toujours autant. Chose bizarre,la mémoire physique ne dépasse pas les 45% (donc de CPU à 100% par exemple...), 3 programmes sont lancés au démarrage (qui sont connus), vérifiés via msconfig. La seule chose qui fait ramer l'ordinateur est,je pense, svchost.exe qui monte à) 300 000 ko ! Je ne sais plus quoi faire...
Par avance,je remercie tout ceux qui voudront bien m'aider utilement,
Cordialement.

14 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
    Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
    Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
    Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    puis :

    Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
    Fournir les deux rapports :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

    * Lance OTL
    * En haut à droite de Analyse rapide, coche "tous les utilisateurs"
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\consrv.dll
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
    CREATERESTOREPOINT
    nslookup www.google.fr /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs


    * Clique sur le bouton Analyse.

    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
    Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
    Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

    NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

    1
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Ton PC est infecté.

    Relance OTL.
    o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
    Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

    :OTL
    [2013/06/10 20:59:29 | 000,072,192 | ---- | M] (Adobe Systems, Inc.) -- C:\Users\Baptiste\AppData\Local\Temp\AdobeUptade.exe
    [2013/06/10 20:05:23 | 000,000,000 | -HSD | C] -- C:\Users\Baptiste\AppData\Roaming\msnmsg
    [2013/06/10 19:44:18 | 000,000,000 | -HSD | C] -- C:\Users\Baptiste\AppData\Roaming\Acrobat
    [2013/06/10 19:44:12 | 000,072,192 | ---- | C] (Adobe Systems, Inc.) -- C:\Users\Baptiste\AppData\Local\updater.exe
    [2013/06/10 19:41:21 | 000,801,280 | -HS- | M] () -- C:\Users\Baptiste\Documents\GoTchat_V1.exe
    [2013/06/11 09:44:49 | 001,510,184 | ---- | M] (Sysinternals - www.sysinternals.com) -- C:\Users\Baptiste\AppData\Local\Temp\procexp64.exe
    [2010/11/21 05:24:03 | 001,169,224 | -HS- | M] (Microsoft Corporation) -- C:\Users\Baptiste\AppData\Local\Temp\AppLaunch\msnmsgr.exe
    [2010/11/21 05:24:03 | 001,169,224 | -HS- | M] (Microsoft Corporation) -- C:\Users\Baptiste\AppData\Local\Temp\AppLaunch\Service.exe
    [2013/02/04 22:46:38 | 002,738,264 | ---- | M] (Sysinternals - www.sysinternals.com) -- C:\Users\Baptiste\AppData\Local\Temp\Rar.433\procexp.exe
    :Commands
    [reboot]<


    * redemarre le pc sous windows et poste le rapport ici

    ~~~

    Zip le dossier C:\_OTL
    Ouvre Mon Ordinateur / Poste de travail => Disque C
    Clic droit / Envoyer vers dossier compressé.
    Cela va créer un fichier C:\_OTL.zip
    Envoie ce fichier _OTL.zip sur http://upload.malekal.com

    1
    1. ridox Messages postés 66 Statut Membre 7
       
      Je poste directement le rapport ou alors je passe par le site comme tout à l'heure ?
      Réexpliques la fin stp,j'ai pas compris ce quoi il s'agit : Zip le dossier C:\_OTL
      Ouvre Mon Ordinateur / Poste de travail => Disque C
      Clic droit / Envoyer vers dossier compressé.
      Cela va créer un fichier C:\_OTL.zip
      Envoie ce fichier _OTL.zip sur http://upload.malekal.com
      C'est quoi _OTL,il sort d'où ?
      0
    2. ridox Messages postés 66 Statut Membre 7
       
      C'est bon,j'ai compris,je fais tout ça et je reposte
      0
  3. ridox Messages postés 66 Statut Membre 7
     
    Voilà ce qui est du rapport AdwCleaner : https://pjjoint.malekal.com/files.php?read=20130611_p12k12j6w15z13
    J'ai mis véritablement une heure pour tout faire (télécharger,scan,redémarrer,joindre pjjoint et ensuite poster le mssage) pour te prouver qu'il rame vraiment beaucoup ...
    Je poste le rapport ODT dès que je peux avec un nouveau message.
    Merci de ton coup de main
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      ok sinon essaye en mode sans échec, il sera peut-être plus rapide :

      Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.
      0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. ridox Messages postés 66 Statut Membre 7
     
    Le rapport de correction :
    https://pjjoint.malekal.com/files.php?id=20130611_u8m9g5x15r6

    Enorme merci ! Dans les fichiers déplacés j'ai remarqué les fichiers malveillants qui infectaient mon PC depuis hier dont celui qui m'a été directement envoyé GoTchat_v1.
    J'attends ton analyse.

    Le fichier Zip,je te le passe juste après
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      yep c'est important le zip :)
      0
    2. ridox Messages postés 66 Statut Membre 7
       
      J'ai envoyé le zip au site,c'est fait
      0
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    C'quoi ton antivirus ?
    Le fichier est relativement bien détecté.

    https://www.virustotal.com/gui/file/ffcffa79fbf3d8d0098506ae73ebdb67c947c7521f1fec6f0115918350a534f9

    SHA256: ffcffa79fbf3d8d0098506ae73ebdb67c947c7521f1fec6f0115918350a534f9
    Nom du fichier : malekal_GoTchat_V1.exe
    Ratio de détection : 10 / 46
    Date d'analyse : 2013-06-11 11:24:55 UTC (il y a 0 minute)

    Avast Win32:AutoRun-CZO [Trj] 20130611
    AVG Downloader.Generic13.AZHH 20130611
    BitDefender Trojan.GenericKDZ.21250 20130611
    DrWeb BackDoor.Comet.152 20130611
    Emsisoft Trojan.GenericKDZ.21250 (B) 20130611
    ESET-NOD32 a variant of MSIL/Injector.BLJ 20130611
    F-Secure Trojan.GenericKDZ.21250 20130611
    GData Trojan.GenericKDZ.21250 20130611
    MicroWorld-eScan Trojan.GenericKDZ.21250 20130611
    nProtect Trojan.GenericKDZ.21250 20130611

    ~~

    ça va sur ipette Wanadoo/orange à pointe à pitre
    au soleiiiiiiiiiiiiiiiil :)

    bon refais un scan OTL comme au départ et donne le rapport de scan pjjoint.

    0
    1. ridox Messages postés 66 Statut Membre 7
       
      avast antivirus Free,je mets le premier script dans OTL ?
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      oui pour OTL.

      Tu es sur que ton Avast! est )à jour car il est censé le détecter :)
      0
    3. ridox Messages postés 66 Statut Membre 7
       
      Oui,tout est à jour (base virale et moteur),je n'ai pas fait de scan avast (mon ordi ramait trop,je l'ai arreté au bout de 2 heures quand il avait analysé seulement 300 Mo de l'ordinateur),il a juste détecté le programme à son lancement,depuis...rien du tout. L'analyse OTL est en cours.
      0
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    désinstalle Ad-Aware Antivirus

    redémarre en mode normal et vois ce que cela donne.
    0
    1. ridox Messages postés 66 Statut Membre 7
       
      Il est desintalle,disons que c'est plus rapide que tout a l'heure :) que dois-je faire du dossier OTL je peux le supprimer ? Si oui, clic droit supprimer suffira ?
      0
  8. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    ouaip tu peux le virer.

    c'est terminé :)

    Tu as été infecté par un Rat (Remote Administration Tools).
    => http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/

    Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, MultiUpload etc).
    Vous cliquez, téléchargez et executer.
    Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc.

    Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été volés par ce Rat.

    Faire attention à ce que vous téléchargez - change tous tes mots de passe

    0
  9. ridox Messages postés 66 Statut Membre 7
     
    D'accord,cela aura ete la premiere et la derniere fois que je me ferais avoir ! Merci beaucoup de votre aide precieuse et de toutes ces informations !
    0
  10. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Pas de prb :)
    0
  11. ridox Messages postés 66 Statut Membre 7
     
    Le problème persiste encore,il met toujours autant de temps à s'arreter,les "clics droits" mettent aussi du temps à ouvrir le menu contextuel et juste à l'instant le centre de maintenance windows (le drapeau) me signale : "avast antivirus est désactivé". N'ayant rien touché,je me pose des questions. Il doit vraiment s'agir d'un RAT si des logiciels se désactivent sans ma permission.
    Il a toujours ce problème de ralentissement qui est revenu peu de temps après mon dernier message. Le fait que svchost ne prenne plus que 100 000 ko au lieu de 300 000 ko a été réglé par contre.
    0
  12. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    nope je pense que le PC n'est plus infecté.

    Désinstalle a-squared Free et Adwaware Antivirus.

    Désinstalle Avast! et réinstalle le.
    0
    1. ridox Messages postés 66 Statut Membre 7
       
      Tout est totalement revenu a la normale depuis que j'ai desinstalle ce que tu m'as dis ! Merci je reviens de loin et j'ai evité le formatage grace a toi ! :)
      L'ordinateur est aussi rapide qu'avant , redemarrage en 20 secondes chrono
      0
  13. MaddoScientist Messages postés 4 Statut Membre
     
    De la même façon que Ridox mon PC semble avoir été infecté et malgré nombre de scan j'ai rien détecté si ce n'est ce svchost.exe qui tourne à 3xx xxx ko et qui me parait suspect. Je ne sais pas si j'ai bien fait de reposter sur ce sujet ou si j'aurais du faire le mien, mais vu que mon problème est le même, j'ai pas voulu faire un doublon...
    0
    1. Utilisateur anonyme
       
      Salut,

      déjà, n'oublie pas la politesse.

      Ensuite, chaque cas est différent, tu dois créer un nouveau sujet.

      @+
      0
    2. MaddoScientist Messages postés 4 Statut Membre
       
      Désolée, je ne suis pas une habituée j'oublie dès fois les bases. Je pars faire ça de suite.
      0
    3. Utilisateur anonyme
       
      ;)
      0