Virus Svchost.exe et firefox.exe / ZAccess / Sirefef [Résolu/Fermé]

Signaler
-
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
-
Bonjour, j'ai depuis peu Avast qui m'affichent des messages disant qu'il avait bloquer l'action de svchost.exe et firefox.exe.
J'aimerai savoir comment se débarasser de ces virus.
Merci d'avance.

10 réponses

Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 055
Salut,

[*] Télécharger sur le bureau https://forum.malekal.com/viewtopic.php?t=29444&start= (suivre le lien officiel)
[*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
[*] Copie/colle le contenu du rapport ici.

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!
Voila le rapport :
RogueKiller V8.6.3 [Jul 17 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : blaineau [Droits d'admin]
Mode : Suppression -- Date : 07/17/2013 13:15:37
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 5 ¤¤¤
[SUSP PATH][DLL] explorer.exe -- c:\docume~1\alluse~1\applic~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll [x] ->
[SUSP PATH][WHITELIST] explorer.exe -- c:\docume~1\alluse~1\applic~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll [x] ->
[BLACKLIST] BrowserProtect.exe -- C:\Documents and Settings\All Users\Application Data\BrowserProtect\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe [7] -> TUÉ [TermProc]
[BLACKLIST] BrowserProtect.exe -- C:\Documents and Settings\All Users\Application Data\BrowserProtect\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe [7] -> TUÉ [TermProc]
[HIDDEN] BrowserProtect.exe -- C:\Documents and Settings\All Users\Application Data\BrowserProtect\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe [7] -> TUÉ [TermProc]

¤¤¤ Entrees de registre : 11 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : Updater27793.exe (C:\Documents and Settings\blaineau\Local Settings\Application Data\Updater27793\Updater27793.exe /extensionid=27793 /extensionname='CouponDropDown Plugin' /chromeid=phogapapkjenakenccmiinkeonkiidle /stayidle /delay=300 [-][x]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-299502267-1060284298-839522115-1004\[...]\Run : Updater27793.exe (C:\Documents and Settings\blaineau\Local Settings\Application Data\Updater27793\Updater27793.exe /extensionid=27793 /extensionname='CouponDropDown Plugin' /chromeid=phogapapkjenakenccmiinkeonkiidle /stayidle /delay=300 [-][x]) -> [0x2] Le fichier spécifié est introuvable.
[RUN][SUSP PATH] HKLM\[...]\RunOnce : 996EF124-DB55-4298-A721-EE6377E57A84 (cmd.exe /C start /D "C:\DOCUME~1\blaineau\LOCALS~1\Temp" /B 996EF124-DB55-4298-A721-EE6377E57A84.exe -postboot [x][-][x]) -> SUPPRIMÉ
[SERVICE][ROGUE ST] HKLM\[...]\CCSet\[...]\Services : 07886863 (C:\WINDOWS\system32\drivers\71058236.sys [7]) -> SUPPRIMÉ
[SERVICE][BLACKLIST] HKLM\[...]\CCSet\[...]\Services : BrowserProtect (C:\Documents and Settings\All Users\Application Data\BrowserProtect\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe [7]) -> SUPPRIMÉ
[SERVICE][ROGUE ST] HKLM\[...]\CS001\[...]\Services : 07886863 (C:\WINDOWS\system32\drivers\71058236.sys [7]) -> [0x3] Le chemin d'accès spécifié est introuvable.
[SERVICE][BLACKLIST] HKLM\[...]\CS001\[...]\Services : BrowserProtect (C:\Documents and Settings\All Users\Application Data\BrowserProtect\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe [7]) -> [0x2] Le fichier spécifié est introuvable.
[SERVICE][BLACKLIST] HKLM\[...]\CS002\[...]\Services : BrowserProtect (C:\Documents and Settings\All Users\Application Data\BrowserProtect\2.6.1249.132\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe [x][x]) -> SUPPRIMÉ
[SERVICE][BLACKLIST] HKLM\[...]\CS003\[...]\Services : BrowserProtect (C:\Documents and Settings\All Users\Application Data\BrowserProtect\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe [7]) -> SUPPRIMÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[APPINIT][SUSP PATH] HKLM\[...]\Windows : AppInit_DLLs (c:\docume~1\alluse~1\applic~1\browse~1\261339~1.144\{c16c1~1\browse~1.dll [7]) -> REMPLACÉ ()

¤¤¤ Tâches planifiées : 1 ¤¤¤
[V1][SUSP PATH] EPUpdater.job : C:\DOCUME~1\blaineau\APPLIC~1\BABSOL~1\Shared\BabMaint.exe [-] -> SUPPRIMÉ

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts


127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MK4034GSX +++++
--- User ---
[MBR] 36730ac1854d433c8c5aaac0f5381efe
[BSP] 7d336bfb4ad4f12b4c9935b4216c53a9 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 38154 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_D_07172013_131537.txt >>
RKreport[0]_S_07172013_130854.txt
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 055
Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


puis:


Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

Le rapport d'Adwcleaner je peux le mettre en reponse mais celui de OTL il faut que j'utilise Pjjoint c'est ça ?
Merci pour ton aide :)
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 055
oui
Voici les rapports :
Adwcleaner : http://pjjoint.malekal.com/files.php?id=20130717_j12y11x5s8b9
OTL : http://pjjoint.malekal.com/files.php?id=OTL_20130717_s9o6x10b7t15
OTL extras : http://pjjoint.malekal.com/files.php?id=OTL_Extras_20130717_i10r15j12e12l5

Encore merci pour ton aide.
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 055
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
[2013/06/21 22:14:23 | 000,000,000 | ---D | M] (CouponDropDown Plugin) -- C:\Documents and Settings\blaineau\Application Data\Mozilla\Firefox\Profiles\52fgs26m.default\extensions\a9528187-9e1d-47f0-8785-a2aee4da22a2@82b0648f-3df8-4fbb-bfb1-b8aa08d473a7.com
[2013/06/21 12:50:05 | 000,000,000 | ---D | C] -- C:\Documents and Settings\blaineau\Local Settings\Application Data\Updater27793
[2013/07/17 13:23:09 | 000,002,048 | ---- | M] () -- C:\WINDOWS\$\2454924427\@
[2013/07/17 12:11:00 | 000,000,000 | ---D | M] -- C:\WINDOWS\$\2454924427\L
[2013/07/17 12:02:45 | 000,000,000 | ---D | M] -- C:\WINDOWS\$\2454924427\U
[2013/07/17 12:02:46 | 000,000,804 | ---- | M] () -- C:\WINDOWS\$\2454924427\L\00000004.@
[2013/07/17 12:02:06 | 000,002,048 | ---- | M] () -- C:\WINDOWS\$\2454924427\U\00000004.@
[2013/07/17 12:02:44 | 000,001,024 | ---- | M] () -- C:\WINDOWS\$\2454924427\U\00000008.@
[2013/07/17 12:02:44 | 000,001,632 | ---- | M] () -- C:\WINDOWS\$\2454924427\U\000000cb.@
[2013/07/17 12:02:45 | 000,011,776 | ---- | M] () -- C:\WINDOWS\$\2454924427\U\80000000.@
[2013/07/17 12:02:45 | 000,091,648 | ---- | M] () -- C:\WINDOWS\$\2454924427\U\80000032.@


* redemarre le pc sous windows et poste le rapport ici



Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
C'est normal qu'en rapport ça me mette ça ? :
========== OTL ==========
C:\Documents and Settings\blaineau\Local Settings\Application Data\Updater27793 folder moved successfully.
File C:\WINDOWS\$\2454924427\@ not found.
Folder C:\WINDOWS\$\2454924427\L\ not found.
Folder C:\WINDOWS\$\2454924427\U\ not found.
File C:\WINDOWS\$\2454924427\L\00000004.@ not found.
File C:\WINDOWS\$\2454924427\U\00000004.@ not found.
File C:\WINDOWS\$\2454924427\U\00000008.@ not found.
File C:\WINDOWS\$\2454924427\U\000000cb.@ not found.
File C:\WINDOWS\$\2454924427\U\80000000.@ not found.
File C:\WINDOWS\$\2454924427\U\80000032.@ not found.

OTL by OldTimer - Version 3.2.69.0 log created on 07172013_150648
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 055
Télécharge et installe Malwarebyte MBAR : https://www.malekal.com/malwarebytes-anti-rootkit-mbar-beta/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
Enregistre le rapport sur http://pjjoint.malekal.com
Donne le lien pjjoint ici.

Voila : http://pjjoint.malekal.com/files.php?id=20130717_n7o9o11i12w7
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 055
Ca donne quoi les alertes Avast! ?
Pour l'instant je n'en ai plus, ca doit etre bon, un grand merci de m'avoir aider :D
Messages postés
180268
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 055
:)


Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.


Sécurise ton PC - surtout désactive bien java de tes navigateurs WEB !

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis !

~~

Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html