URL:Mal svchost.exe - ZAccess / Sirefef

Résolu/Fermé
Raph - 17 juil. 2013 à 11:39
DjRaph Messages postés 20 Date d'inscription mercredi 17 juillet 2013 Statut Membre Dernière intervention 17 juillet 2013 - 17 juil. 2013 à 16:59
Bonjour,
j'ai été infecté par un cheval de troie que j'ai détruit mais avast me lance toute les minutes une alerte: "une menace à été détectée" Logiciel malveillant bloqué;
infection: URL:Mal
Processus D:\WINDOWS\Sustem32\svchost.exe
Que puis-je faire pour en finir svp ?
Merci d'avance



8 réponses

Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 576
Modifié par Malekal_morte- le 17/07/2013 à 11:44
Salut,

Surement infecté par ZACCESS / SIREFEF.

[*] Télécharger sur le bureau https://forum.malekal.com/viewtopic.php?t=29444&start= (suivre le lien officiel)
[*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
[*] Copie/colle le contenu du rapport ici.

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
1
DjRaph Messages postés 20 Date d'inscription mercredi 17 juillet 2013 Statut Membre Dernière intervention 17 juillet 2013
17 juil. 2013 à 11:47
ok je vais faire ça
0
DjRaph Messages postés 20 Date d'inscription mercredi 17 juillet 2013 Statut Membre Dernière intervention 17 juillet 2013
17 juil. 2013 à 11:57
RogueKiller V8.6.3 [Jul 17 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : CE VIVERIS SYSTEMES [Droits d'admin]
Mode : Suppression -- Date : 07/17/2013 11:55:25
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 3 ¤¤¤
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (172.16.33.50:3128) -> NON SUPPRIMÉ, UTILISER PROXY RAZ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[APPINIT][SUSP PATH] HKLM\[...]\Windows : AppInit_DLLs (d:\docume~1\alluse~1\applic~1\browse~1\261095~1.52\{c16c1~1\browse~1.dll [x]) -> REMPLACÉ ()

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][Jonction] $NtUninstallKB61276$ : D:\WINDOWS\$NtUninstallKB61276$ >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Jonction] 2187689548 : D:\WINDOWS\$NtUninstallKB61276$\2187689548 >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
[ZeroAccess][Fichier] 2187689548 : D:\WINDOWS\$NtUninstallKB61276$\2187689548 [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] @ : D:\WINDOWS\$NtUninstallKB61276$\3855223446\@ [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] Desktop.ini : D:\WINDOWS\$NtUninstallKB61276$\3855223446\Desktop.ini [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] 00000004.@ : D:\WINDOWS\$NtUninstallKB61276$\3855223446\L\00000004.@ [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] 201d3dde : D:\WINDOWS\$NtUninstallKB61276$\3855223446\L\201d3dde [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] 6715e287 : D:\WINDOWS\$NtUninstallKB61276$\3855223446\L\6715e287 [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] 76603ac3 : D:\WINDOWS\$NtUninstallKB61276$\3855223446\L\76603ac3 [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] qlzznqws : D:\WINDOWS\$NtUninstallKB61276$\3855223446\L\qlzznqws [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] L : D:\WINDOWS\$NtUninstallKB61276$\3855223446\L [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] 00000004.@ : D:\WINDOWS\$NtUninstallKB61276$\3855223446\U\00000004.@ [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] 00000008.@ : D:\WINDOWS\$NtUninstallKB61276$\3855223446\U\00000008.@ [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] 000000cb.@ : D:\WINDOWS\$NtUninstallKB61276$\3855223446\U\000000cb.@ [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] 80000000.@ : D:\WINDOWS\$NtUninstallKB61276$\3855223446\U\80000000.@ [-] --> SUPPRIMÉ
[ZeroAccess][Fichier] 80000032.@ : D:\WINDOWS\$NtUninstallKB61276$\3855223446\U\80000032.@ [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] U : D:\WINDOWS\$NtUninstallKB61276$\3855223446\U [-] --> SUPPRIMÉ
[ZeroAccess][Repertoire] 3855223446 : D:\WINDOWS\$NtUninstallKB61276$\3855223446 [-] --> SUPPRIMÉ AU REBOOT
[ZeroAccess][Repertoire] $NtUninstallKB61276$ : D:\WINDOWS\$NtUninstallKB61276$ [-] --> SUPPRIMÉ AU REBOOT

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts


127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: HTS548040M9AT00 +++++
--- User ---
[MBR] a453f84b3d0cf9eb3f00d0878eba8784
[BSP] b9014e2661efc51f6b62b2e5821df8e8 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 38052 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: HTS548040M9AT00 +++++
Error reading User MBR!
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[0]_D_07172013_115525.txt >>
RKreport[0]_S_07172013_115448.txt
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 576
17 juil. 2013 à 11:58
Créer un point de restauration : https://www.malekal.com/restauration-systeme-windows/

Télécharge et installe Malwarebyte MBAR : https://www.malekal.com/malwarebytes-anti-rootkit-mbar-beta/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
Enregistre le rapport sur http://pjjoint.malekal.com
Donne le lien pjjoint ici.

1
DjRaph Messages postés 20 Date d'inscription mercredi 17 juillet 2013 Statut Membre Dernière intervention 17 juillet 2013
17 juil. 2013 à 12:01
je crée un point de restauration manuel ou depuis windows ?
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 576
17 juil. 2013 à 12:02
depuis windows manuiellement \o
0
DjRaph Messages postés 20 Date d'inscription mercredi 17 juillet 2013 Statut Membre Dernière intervention 17 juillet 2013
17 juil. 2013 à 12:09
Ouvrez Ordinateur depuis le menu Démarrer.
Faites un clic droit puis propriétés sur le disque dur sur lequel contient le fichier à restaurer.
Cliquez sur l'onglet Versions précédentes.
La liste des versions de dossiers apparaît alors avec les dates de modification.
Sélectionner la version qui vous interresse puis cliquez sur Ouvrir

Je n'ai pas ordinateur sur mon menu ! Dois-je rester sur Restauration du système et choisir une date en gras et continuer ?
0
DjRaph Messages postés 20 Date d'inscription mercredi 17 juillet 2013 Statut Membre Dernière intervention 17 juillet 2013
17 juil. 2013 à 12:10
P.S.: j'ai windows Xp
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 576
17 juil. 2013 à 12:11
0
coco182 Messages postés 125 Date d'inscription lundi 1 avril 2013 Statut Membre Dernière intervention 26 février 2018 3
17 juil. 2013 à 11:40
Coucou,

SVChost n'est pas un virus ou logiciel malveillant mais un processus Windows, pourrait tu me dire avec le gestionnaire de taches s'il utilise l'UC a 100%
0
DjRaph Messages postés 20 Date d'inscription mercredi 17 juillet 2013 Statut Membre Dernière intervention 17 juillet 2013
17 juil. 2013 à 11:45
dans l'onglet performances, l'UC n'est pas utilisé à 100%, tout à l'air normal; dans l'onglet processus, un processus inactif utilise entre 0 et 95 % du processeur
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 576
17 juil. 2013 à 14:19
bien bien, normalement Vast! devraiut moins couiner.


la suite :


Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


puis:


Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

0
DjRaph Messages postés 20 Date d'inscription mercredi 17 juillet 2013 Statut Membre Dernière intervention 17 juillet 2013
17 juil. 2013 à 16:03
voici le rapport Xplode:
# AdwCleaner v2.305 - Rapport créé le 17/07/2013 à 15:55:22
# Mis à jour le 11/07/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : CE VIVERIS SYSTEMES - LETANG
# Mode de démarrage : Normal
# Exécuté depuis : D:\1_Raphaël\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****


***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v22.0 (fr)

Fichier : D:\Documents and Settings\CE VIVERIS SYSTEMES\Application Data\Mozilla\Firefox\Profiles\0fwc8sam.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S4].txt - [802 octets] - [17/07/2013 15:55:22]

########## EOF - D:\AdwCleaner[S4].txt - [861 octets] ##########
0
DjRaph Messages postés 20 Date d'inscription mercredi 17 juillet 2013 Statut Membre Dernière intervention 17 juillet 2013
17 juil. 2013 à 16:09
je suis en train de faire le scan OTL, je vous met les fichiers sur pjjoint dès que c'est fini.
Désolé d'avoir été si long.
0
DjRaph Messages postés 20 Date d'inscription mercredi 17 juillet 2013 Statut Membre Dernière intervention 17 juillet 2013
17 juil. 2013 à 16:29
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 576
17 juil. 2013 à 16:38
plus d'alerte?
Tu as quoi comme extension sur Firefox ? Menu Outils / Modules Complémentaires et extensions.
0
DjRaph Messages postés 20 Date d'inscription mercredi 17 juillet 2013 Statut Membre Dernière intervention 17 juillet 2013
17 juil. 2013 à 16:45
en extensions j'ai:
adblock plus
avast online security
Garmin communicator (désinstallé)
Microsoft.NET Framework assistant 0.0.0 (désactivé)
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 576
Modifié par Malekal_morte- le 17/07/2013 à 16:46
ok plus d'alerte Avast! ?

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
DjRaph Messages postés 20 Date d'inscription mercredi 17 juillet 2013 Statut Membre Dernière intervention 17 juillet 2013
17 juil. 2013 à 16:48
non plus du tout, aucun problème, merci beaucoup pour votre aide très précieuse !
Je note votre site de côté ! ;)
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 576
17 juil. 2013 à 16:50
:)

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.


Sécurise ton PC - surtout désactive bien java de tes navigateurs WEB !

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis !

~~

Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
0
DjRaph Messages postés 20 Date d'inscription mercredi 17 juillet 2013 Statut Membre Dernière intervention 17 juillet 2013
17 juil. 2013 à 16:59
merci beaucoup !
0