Virus Syshost.exe

Aphraa -  
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour a tous,

Suivant vos instructions, j'ai lance un scan RK dont voici le rapport ci-dessous. Est-ce que vous pourriez-vous me conseiller quant a la demarche a suivre ? Merci beaucoup de votre aide !

RogueKiller V8.8.15 [Mar 27 2014] par Adlice Software
mail : http://www.adlice.com/contact/
Remontees : http://forum.adlice.com
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Dom [Droits d'admin]
Mode : Recherche -- Date : 03/05/2014 16:16:25
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 9 ¤¤¤
[SERVICE][Root.Necurs] HKLM\[...]\CCSet\[...]\Services : 7844418fd2a51851 (C:\windows\system32\7844418fd2a51851.sys [x]) -> TROUVÉ
[SERVICE][Root.Necurs] HKLM\[...]\CS001\[...]\Services : 7844418fd2a51851 (C:\windows\system32\7844418fd2a51851.sys [x]) -> TROUVÉ
[SERVICE][Root.Necurs] HKLM\[...]\CS002\[...]\Services : 7844418fd2a51851 (C:\windows\system32\7844418fd2a51851.sys [x]) -> TROUVÉ
[HJ POL][PUM] HKLM\[...]\System : DisableTaskMgr (0) -> TROUVÉ
[HJ POL][PUM] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ
[HJ POL][PUM] HKLM\[...]\Wow6432Node\[...]\System : DisableTaskMgr (0) -> TROUVÉ
[HJ POL][PUM] HKLM\[...]\Wow6432Node\[...]\System : DisableRegistryTools (0) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Addons navigateur : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤
[Address] ***@*** (StrStrIW) : api-ms-win-downlevel-shlwapi-l1-1-0.dll -> HOOKED (C:\windows\syswow64\shlwapi.DLL @ 0x750246E9)
[Address] ***@*** (StrStrIW) : api-ms-win-downlevel-shlwapi-l1-1-0.dll -> HOOKED (C:\windows\syswow64\shlwapi.DLL @ 0x750246E9)
[Address] ***@*** (StrStrIW) : api-ms-win-downlevel-shlwapi-l1-1-0.dll -> HOOKED (C:\windows\syswow64\shlwapi.DLL @ 0x750246E9)

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : Root.Necurs ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts




¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) WDC WD5000BPVT-75HXZT3 +++++
--- User ---
[MBR] 2521a57e1c567f9cf936aaf72a39c0ae
[BSP] f29abb6490cadae1cc9fb96847bc9d0a : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 15000 MB
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 30926848 | Size: 461838 MB
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: (\\.\PHYSICALDRIVE1 @ USB) WD My Passport 0810 USB Device +++++
--- User ---
[MBR] ea2a73e1e53dae97096af60a7b4e6a99
[BSP] 5d16984810c1b818fbf1bc3ec4672737 : Empty MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 953835 MB
User = LL1 ... OK!
Error reading LL2 MBR! ([0x32] ??danie nie jest obs?ugiwane. )

Termine : << RKreport[0]_S_03052014_161625.txt >>
RKreport[0]_S_05032014_161149.txt



Et voici le rapport apres suppression:


RogueKiller V8.8.15 [Mar 27 2014] par Adlice Software
mail : http://www.adlice.com/contact/
Remontees : http://forum.adlice.com
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Dom [Droits d'admin]
Mode : Suppression -- Date : 03/05/2014 16:20:09
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 9 ¤¤¤
[SERVICE][Root.Necurs] HKLM\[...]\CCSet\[...]\Services : 7844418fd2a51851 (C:\windows\system32\7844418fd2a51851.sys [x]) -> SUPPRIMÉ
[SERVICE][Root.Necurs] HKLM\[...]\CS001\[...]\Services : 7844418fd2a51851 (C:\windows\system32\7844418fd2a51851.sys [x]) -> [0x3] System nie mo?e odnale?? okre?lonej ?cie?ki.
[SERVICE][Root.Necurs] HKLM\[...]\CS002\[...]\Services : 7844418fd2a51851 (C:\windows\system32\7844418fd2a51851.sys [x]) -> SUPPRIMÉ
[HJ POL][PUM] HKLM\[...]\System : DisableTaskMgr (0) -> SUPPRIMÉ
[HJ POL][PUM] HKLM\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ
[HJ POL][PUM] HKLM\[...]\Wow6432Node\[...]\System : DisableTaskMgr (0) -> [0x2] Nie mo?na odnale?? okre?lonego pliku.
[HJ POL][PUM] HKLM\[...]\Wow6432Node\[...]\System : DisableRegistryTools (0) -> [0x2] Nie mo?na odnale?? okre?lonego pliku.
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Addons navigateur : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤
[Address] ***@*** (StrStrIW) : api-ms-win-downlevel-shlwapi-l1-1-0.dll -> HOOKED (C:\windows\syswow64\shlwapi.DLL @ 0x750246E9)
[Address] ***@*** (StrStrIW) : api-ms-win-downlevel-shlwapi-l1-1-0.dll -> HOOKED (C:\windows\syswow64\shlwapi.DLL @ 0x750246E9)
[Address] ***@*** (StrStrIW) : api-ms-win-downlevel-shlwapi-l1-1-0.dll -> HOOKED (C:\windows\syswow64\shlwapi.DLL @ 0x750246E9)

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : Root.Necurs ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts




¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) WDC WD5000BPVT-75HXZT3 +++++
--- User ---
[MBR] 2521a57e1c567f9cf936aaf72a39c0ae
[BSP] f29abb6490cadae1cc9fb96847bc9d0a : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 15000 MB
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 30926848 | Size: 461838 MB
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: (\\.\PHYSICALDRIVE1 @ USB) WD My Passport 0810 USB Device +++++
--- User ---
[MBR] ea2a73e1e53dae97096af60a7b4e6a99
[BSP] 5d16984810c1b818fbf1bc3ec4672737 : Empty MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 953835 MB
User = LL1 ... OK!
Error reading LL2 MBR! ([0x32] ??danie nie jest obs?ugiwane. )

Termine : << RKreport[0]_D_03052014_162009.txt >>
RKreport[0]_S_03052014_161625.txt;RKreport[0]_S_05032014_161149.txt
A voir également:

6 réponses

Réponse 1 / 6
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Salut,


Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Fais skip sur les détections.
Clic en haut à droite sur reports.
Vas sur http://pjjoint.malekal.com et copie/colle le contenu du rapport TDSSKiller en bas, fais envoyer.
Donne le lien du rapport pjjoint ici dans un nouveau message.



puis:


Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)


* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE





Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
Réponse 2 / 6
Aphraa
 
Bonjour et merci de cette reponse eclair, voici le lien vers le rapport TDSS:

http://pjjoint.malekal.com/files.php?id=20140503_i13h14y9t14v8
0
Réponse 3 / 6
Aphraa
 
Et le rapport OTL:

http://pjjoint.malekal.com/files.php?id=OTL_20140503_f12h8h12m12t9
0
Réponse 4 / 6
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Alors pour Trojan.Necurs
c'est good. RogueKiller a fait le job.

Change tes mots de passe (Facebook, mail etc), ils ont dû être volé.




Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 6
Aphraa
 
Merci beaucoup de votre aide !! Par contre, je ne suis pas sure que ce soit lie mais mon antivirus Mc Afee est bloque et ne se met pas en marche ainsi que windows updates, est-ce que c'est une consequence du virus? Merci de vos conseils et mes excuses pour mon ignorance en la matiere mais je suis novice !
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
si c'est lié, le trojan doit buter les virus et les mises à jour Windows.
Tu as quoi comme message d'erreur pour les mises à jour Windows ?
Est-ce que les sites HTTPs fonctionnent ?

Tu l'as acheté McAfee ou c'est la version d'essai ?
0
Aphraa
 
Tous les sites fonctionnent, J'ai une version payante de Mc Afee et pour le message de Windows, j'obtiens un code d'erreur 0x80070424
0
Réponse 6 / 6
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
ok désintalle McAfee, je pense qu'il va falloir le réinstaller.
Désinstalle le par progarmmes et fonctionnalités du panneau de configuration.
Si ça ne fonctionne pas,
Tente par Revo Uninstaller : https://www.commentcamarche.net/telecharger/utilitaires/19405-revo-uninstaller/

sinon utilise ce programme : http://download.mcafee.com/products/licensed/cust_support_patches/MCPR.exe


Après lance le programme Eset Services Repair :
https://forum.malekal.com/viewtopic.php?t=36444&start=
Si pas mieux, tente Windows Repair.

0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
message de postmaster incessant !
wasap -
wasap -

9 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses