URL:Mal svchost.exe - ZAccess / Sirefef

Résolu
Raph -  
DjRaph Messages postés 21 Statut Membre -
Bonjour,
j'ai été infecté par un cheval de troie que j'ai détruit mais avast me lance toute les minutes une alerte: "une menace à été détectée" Logiciel malveillant bloqué;
infection: URL:Mal
Processus D:\WINDOWS\Sustem32\svchost.exe
Que puis-je faire pour en finir svp ?
Merci d'avance

8 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Surement infecté par ZACCESS / SIREFEF.

    [*] Télécharger sur le bureau https://forum.malekal.com/viewtopic.php?t=29444&start= (suivre le lien officiel)
    [*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
    [*] Quitter tous les programmes
    [*] Lancer RogueKiller.exe.
    [*] Attendre que le Prescan ait fini ...
    [*] Lance un scan afin de débloquer le bouton Suppression à droite.
    [*] Clic sur Suppression.
    [*] Copie/colle le contenu du rapport ici.

    !!! Je répète bien faire Suppression à droite et poster le rapport. !!!

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    1
    1. DjRaph Messages postés 21 Statut Membre
       
      ok je vais faire ça
      0
    2. DjRaph Messages postés 21 Statut Membre
       
      RogueKiller V8.6.3 [Jul 17 2013] par Tigzy
      mail : tigzyRK<at>gmail<dot>com
      Remontees : http://www.adlice.com/forum/
      Site Web : https://www.luanagames.com/index.fr.html
      Blog : http://tigzyrk.blogspot.com/

      Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
      Demarrage : Mode normal
      Utilisateur : CE VIVERIS SYSTEMES [Droits d'admin]
      Mode : Suppression -- Date : 07/17/2013 11:55:25
      | ARK || FAK || MBR |

      ¤¤¤ Processus malicieux : 0 ¤¤¤

      ¤¤¤ Entrees de registre : 3 ¤¤¤
      [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (172.16.33.50:3128) -> NON SUPPRIMÉ, UTILISER PROXY RAZ
      [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
      [APPINIT][SUSP PATH] HKLM\[...]\Windows : AppInit_DLLs (d:\docume~1\alluse~1\applic~1\browse~1\261095~1.52\{c16c1~1\browse~1.dll [x]) -> REMPLACÉ ()

      ¤¤¤ Tâches planifiées : 0 ¤¤¤

      ¤¤¤ Entrées Startup : 0 ¤¤¤

      ¤¤¤ Navigateurs web : 0 ¤¤¤

      ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
      [ZeroAccess][Jonction] $NtUninstallKB61276$ : D:\WINDOWS\$NtUninstallKB61276$ >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
      [ZeroAccess][Jonction] 2187689548 : D:\WINDOWS\$NtUninstallKB61276$\2187689548 >> \systemroot\system32\config [-] --> Jonction SUPPRIMÉ
      [ZeroAccess][Fichier] 2187689548 : D:\WINDOWS\$NtUninstallKB61276$\2187689548 [-] --> SUPPRIMÉ
      [ZeroAccess][Fichier] @ : D:\WINDOWS\$NtUninstallKB61276$\3855223446\@ [-] --> SUPPRIMÉ
      [ZeroAccess][Fichier] Desktop.ini : D:\WINDOWS\$NtUninstallKB61276$\3855223446\Desktop.ini [-] --> SUPPRIMÉ
      [ZeroAccess][Fichier] 00000004.@ : D:\WINDOWS\$NtUninstallKB61276$\3855223446\L\00000004.@ [-] --> SUPPRIMÉ
      [ZeroAccess][Fichier] 201d3dde : D:\WINDOWS\$NtUninstallKB61276$\3855223446\L\201d3dde [-] --> SUPPRIMÉ
      [ZeroAccess][Fichier] 6715e287 : D:\WINDOWS\$NtUninstallKB61276$\3855223446\L\6715e287 [-] --> SUPPRIMÉ
      [ZeroAccess][Fichier] 76603ac3 : D:\WINDOWS\$NtUninstallKB61276$\3855223446\L\76603ac3 [-] --> SUPPRIMÉ
      [ZeroAccess][Fichier] qlzznqws : D:\WINDOWS\$NtUninstallKB61276$\3855223446\L\qlzznqws [-] --> SUPPRIMÉ
      [ZeroAccess][Repertoire] L : D:\WINDOWS\$NtUninstallKB61276$\3855223446\L [-] --> SUPPRIMÉ
      [ZeroAccess][Fichier] 00000004.@ : D:\WINDOWS\$NtUninstallKB61276$\3855223446\U\00000004.@ [-] --> SUPPRIMÉ
      [ZeroAccess][Fichier] 00000008.@ : D:\WINDOWS\$NtUninstallKB61276$\3855223446\U\00000008.@ [-] --> SUPPRIMÉ
      [ZeroAccess][Fichier] 000000cb.@ : D:\WINDOWS\$NtUninstallKB61276$\3855223446\U\000000cb.@ [-] --> SUPPRIMÉ
      [ZeroAccess][Fichier] 80000000.@ : D:\WINDOWS\$NtUninstallKB61276$\3855223446\U\80000000.@ [-] --> SUPPRIMÉ
      [ZeroAccess][Fichier] 80000032.@ : D:\WINDOWS\$NtUninstallKB61276$\3855223446\U\80000032.@ [-] --> SUPPRIMÉ
      [ZeroAccess][Repertoire] U : D:\WINDOWS\$NtUninstallKB61276$\3855223446\U [-] --> SUPPRIMÉ
      [ZeroAccess][Repertoire] 3855223446 : D:\WINDOWS\$NtUninstallKB61276$\3855223446 [-] --> SUPPRIMÉ AU REBOOT
      [ZeroAccess][Repertoire] $NtUninstallKB61276$ : D:\WINDOWS\$NtUninstallKB61276$ [-] --> SUPPRIMÉ AU REBOOT

      ¤¤¤ Driver : [CHARGE] ¤¤¤

      ¤¤¤ Ruches Externes: ¤¤¤

      ¤¤¤ Infection : ZeroAccess ¤¤¤

      ¤¤¤ Fichier HOSTS: ¤¤¤
      --> %SystemRoot%\System32\drivers\etc\hosts


      127.0.0.1 localhost


      ¤¤¤ MBR Verif: ¤¤¤

      +++++ PhysicalDrive0: HTS548040M9AT00 +++++
      --- User ---
      [MBR] a453f84b3d0cf9eb3f00d0878eba8784
      [BSP] b9014e2661efc51f6b62b2e5821df8e8 : Windows XP MBR Code
      Partition table:
      0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
      1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 38052 Mo
      User = LL1 ... OK!
      User = LL2 ... OK!

      +++++ PhysicalDrive1: HTS548040M9AT00 +++++
      Error reading User MBR!
      User = LL1 ... OK!
      Error reading LL2 MBR!

      Termine : << RKreport[0]_D_07172013_115525.txt >>
      RKreport[0]_S_07172013_115448.txt
      0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Créer un point de restauration : https://www.malekal.com/restauration-systeme-windows/

    Télécharge et installe Malwarebyte MBAR : https://www.malekal.com/malwarebytes-anti-rootkit-mbar-beta/
    Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
    Enregistre le rapport sur http://pjjoint.malekal.com
    Donne le lien pjjoint ici.

    1
    1. DjRaph Messages postés 21 Statut Membre
       
      je crée un point de restauration manuel ou depuis windows ?
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      depuis windows manuiellement \o
      0
    3. DjRaph Messages postés 21 Statut Membre
       
      Ouvrez Ordinateur depuis le menu Démarrer.
      Faites un clic droit puis propriétés sur le disque dur sur lequel contient le fichier à restaurer.
      Cliquez sur l'onglet Versions précédentes.
      La liste des versions de dossiers apparaît alors avec les dates de modification.
      Sélectionner la version qui vous interresse puis cliquez sur Ouvrir

      Je n'ai pas ordinateur sur mon menu ! Dois-je rester sur Restauration du système et choisir une date en gras et continuer ?
      0
    4. DjRaph Messages postés 21 Statut Membre
       
      P.S.: j'ai windows Xp
      0
  3. coco182 Messages postés 130 Statut Membre 3
     
    Coucou,

    SVChost n'est pas un virus ou logiciel malveillant mais un processus Windows, pourrait tu me dire avec le gestionnaire de taches s'il utilise l'UC a 100%
    0
  4. DjRaph Messages postés 21 Statut Membre
     
    dans l'onglet performances, l'UC n'est pas utilisé à 100%, tout à l'air normal; dans l'onglet processus, un processus inactif utilise entre 0 et 95 % du processeur
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    bien bien, normalement Vast! devraiut moins couiner.

    la suite :

    Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
    Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
    Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
    Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    puis:

    Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
    Fournir les deux rapports :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

    * Lance OTL
    * En haut à droite de Analyse rapide, coche "tous les utilisateurs"
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\consrv.dll
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    services.exe
    wininit.exe
    /md5stop
    HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
    HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
    HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
    CREATERESTOREPOINT
    nslookup https://www.google.fr/?gws_rd=ssl /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs

    * Clique sur le bouton Analyse.

    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
    Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
    Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

    NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

    0
    1. DjRaph Messages postés 21 Statut Membre
       
      voici le rapport Xplode:
      # AdwCleaner v2.305 - Rapport créé le 17/07/2013 à 15:55:22
      # Mis à jour le 11/07/2013 par Xplode
      # Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
      # Nom d'utilisateur : CE VIVERIS SYSTEMES - LETANG
      # Mode de démarrage : Normal
      # Exécuté depuis : D:\1_Raphaël\adwcleaner.exe
      # Option [Suppression]


      ***** [Services] *****


      ***** [Fichiers / Dossiers] *****


      ***** [Registre] *****


      ***** [Navigateurs] *****

      -\\ Internet Explorer v8.0.6001.18702

      [OK] Le registre ne contient aucune entrée illégitime.

      -\\ Mozilla Firefox v22.0 (fr)

      Fichier : D:\Documents and Settings\CE VIVERIS SYSTEMES\Application Data\Mozilla\Firefox\Profiles\0fwc8sam.default\prefs.js

      [OK] Le fichier ne contient aucune entrée illégitime.

      *************************

      AdwCleaner[S4].txt - [802 octets] - [17/07/2013 15:55:22]

      ########## EOF - D:\AdwCleaner[S4].txt - [861 octets] ##########
      0
    2. DjRaph Messages postés 21 Statut Membre
       
      je suis en train de faire le scan OTL, je vous met les fichiers sur pjjoint dès que c'est fini.
      Désolé d'avoir été si long.
      0
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    plus d'alerte?
    Tu as quoi comme extension sur Firefox ? Menu Outils / Modules Complémentaires et extensions.
    0
    1. DjRaph Messages postés 21 Statut Membre
       
      en extensions j'ai:
      adblock plus
      avast online security
      Garmin communicator (désinstallé)
      Microsoft.NET Framework assistant 0.0.0 (désactivé)
      0
  8. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    ok plus d'alerte Avast! ?

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
    1. DjRaph Messages postés 21 Statut Membre
       
      non plus du tout, aucun problème, merci beaucoup pour votre aide très précieuse !
      Je note votre site de côté ! ;)
      0
  9. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    :)

    Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    Fais des scans réguliers avec, il est efficace.

    Sécurise ton PC - surtout désactive bien java de tes navigateurs WEB !

    Important - ton infection est venue par un exploit sur site web :

    Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
    Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
    Exemple avec : Exploit Java

    Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
    Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

    IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
    /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
    https://forum.malekal.com/viewtopic.php?t=15960&start=

    Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web

    Passe le mot à tes amis !

    ~~

    Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

    ~~

    Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
    0
    1. DjRaph Messages postés 21 Statut Membre
       
      merci beaucoup !
      0