svchost.exe (Virus Neshta) Résolu/Fermé

Question

Bonjour,
Depuis pas mal de temps j'ai un gros problème avec un virus ! Le virus Neshta, il à affecté svchost.exe se trouvant dans mon system32. Le problème ? Il me demande toujours de l'éxecuter en tant qu'administrateur. En plus quand j'essaie de contourner cela mon pc me demande comment lancer les fichiers .exe ! J'ai déjà fait plusieurs scan avec Malware Bytes Anti-Malwares Pro et Speed Up My PC Pro. D'après leurs scan il est existant donc je le supprime et je refait un scan ou allume un programme mais il reste présent. Cela est extrèmement embêtant et j'espère que vous pourrez m'aidez :D ! Merci d'avance.

Cordialement Dragonaxxl ;)

Malekal_morte- · Answer

Salut,

Donne le rapport Malwarebytes. 
Speed Up My PC Pro est complètement inutile.
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

dragonaxxl · Answer

Voilà le scan et excuse moi du retard de ma réponse ;) :

Malwarebytes Anti-Malware
www.malwarebytes.org

Date de l'examen: 08/07/2014
Heure de l'examen: 20:04:32
Fichier journal: 
Administrateur: Oui

Version: 2.00.2.1012
Base de données Malveillants: v2014.07.08.07
Base de données Rootkits: v2014.07.07.01
Licence: Premium
Protection contre les malveillants: Désactivé(e)
Protection contre les sites Web malveillants: Activé(e)
Self-protection: Désactivé(e)

Système d'exploitation: Windows 8
Processeur: x64
Système de fichiers: NTFS
Utilisateur: Dragonaxxl

Type d'examen: Examen "Hyper"
Résultat: Terminé
Objets analysés: 540561
Temps écoulé: 2 min, 31 sec

Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Désactivé(e)
Archives: Activé(e)
Rootkits: Désactivé(e)
Heuristics: Activé(e)
PUP: Avertir
PUM: Activé(e)

Processus: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Clés du Registre: 0
(No malicious items detected)

Valeurs du Registre: 0
(No malicious items detected)

Données du Registre: 1
Broken.OpenCommand, HKCR\exefile\shell\open\command, C:\WINDOWS\svchost.com "Bon: ("Mauvais: (C:\WINDOWS\svchost.com "%1" %*),,[ffffffffffffffffffffffffffffffff]" %*)" %*, %4, %5

Dossiers: 0
(No malicious items detected)

Fichiers: 1
Virus.Neshta, C:\Windows\svchost.com, , [21f6fda0accfee48aec2e16039ca728e], 

Secteurs physiques: 0
(No malicious items detected)


(end)

dragonaxxl · Answer

Non cela ne marche toujours :/ . Mais merci de ton aide.

Malekal_morte- · Answer

Utilise ça : https://forum.malekal.com/viewtopic.php?t=33710&start=

Mets le rapport sur http://pjjoint.malekal.com
Donne le lien ici.

dragonaxxl · Answer

J'ai fait comme écrit sur ton forum, il m'as bien enlevé le virus Neshta :D Malware Bytes ne le détecte plus mais il ne m'as pas donner de scan. Donc de peur qu'il revienne je t'envoie le scan ZHP Diag:
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20140709_9b5v5k9q10

Malekal_morte- · Answer

Tu as installé des adwares et programmes parasites sur ton PC qui ouvrent des publicités et ralentissent l'ordinateur et les navigateurs WEB. 
Voici la procédure à suivre pour les supprimer : 

Télécharge https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= AdwCleaner ( d'Xplode ) sur ton bureau.  
Sur la page d'AdwCleaner, à droite, clic sur la disquette grise avec la flèche verte pour lancer le téléchargement.
Lance AdwCleaner, clique sur [Scanner].
Le scan peux durer plusieurs minutes, patienter.
Une fois le scan terminé, clique sur [Nettoyer]

Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt  
 



Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%PROGRAMFILES%\*.
%PROGRAMDATA%\*.
%APPDATA%\*.exe /s   
%temp%\*.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%windir%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT   
nslookup www.google.fr /c
ping www.google.fr /c
ipconfig /all /c
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

dragonaxxl · Answer

Ou là :O Att pour ne pas me perdre je donne déjà le scan de ADW Cleaner:

# AdwCleaner v3.215 - Rapport créé le 09/07/2014 à 15:41:17
# Mis à jour le 09/07/2014 par Xplode
# Système d'exploitation : Windows 8 Pro  (64 bits)
# Nom d'utilisateur : Dragonaxxl - DRAGONAXXL-PC
# Exécuté depuis : D:\Documents\Dragonaxxl\Downloads\adwcleaner_3.215.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uniblue
Dossier Supprimé : C:\Program Files (x86)\Uniblue
Fichier Supprimé : C:\WINDOWS\Tasks\SpeedUpMyPC Maintenance.job
Fichier Supprimé : C:\WINDOWS\System32\Tasks\SpeedUpMyPC Maintenance
Fichier Supprimé : C:\WINDOWS\Tasks\SpeedUpMyPC Startup.job
Fichier Supprimé : C:\WINDOWS\System32\Tasks\SpeedUpMyPC Startup

***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\speedupmypc
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\speedupmypc_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\speedupmypc_RASMANCS
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKLM\Software\systweak
Clé Supprimée : HKLM\Software\Uniblue
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E55B3271-7CA8-4D0C-AE06-69A24856E996}_is1

***** [ Navigateurs ] *****

-\ Internet Explorer v0.0.0.0


-\ Mozilla Firefox v29.0.1 (fr)

-\ Google Chrome v35.0.1916.153

*************************

AdwCleaner[R0].txt - [22345 octets] - [26/08/2013 19:51:06]
AdwCleaner[R1].txt - [2305 octets] - [14/09/2013 11:22:01]
AdwCleaner[R2].txt - [5822 octets] - [03/06/2014 13:13:39]
AdwCleaner[R3].txt - [2158 octets] - [09/07/2014 14:51:18]
AdwCleaner[S0].txt - [21491 octets] - [26/08/2013 19:52:15]
AdwCleaner[S1].txt - [2265 octets] - [14/09/2013 11:24:25]
AdwCleaner[S2].txt - [5786 octets] - [03/06/2014 13:15:09]
AdwCleaner[S3].txt - [1844 octets] - [09/07/2014 15:41:17]

########## EOF - C:\AdwCleaner\AdwCleaner[S3].txt - [1904 octets] ##########

dragonaxxl · Answer

Le rapport OTL.txt ;) :
https://pjjoint.malekal.com/files.php?id=20140709_d14b10j8s8o10

Le rapport Extras.txt ;) :
https://pjjoint.malekal.com/files.php?id=OTL_Extras_20140709_t5t15q10t7t13

dragonaxxl · Answer

Effectivement excuse moi ;) : https://pjjoint.malekal.com/files.php?id=20140709_c12f11k1112w15

Malekal_morte- · Answer

Tu l'as installé volontairement le programme Tongbu ?

dragonaxxl · Answer

Oui et il ne m'as jamais posé un seul problème.

Malekal_morte- · Answer

ok, je pense que l'on a terminé :)


Sécuriser son ordinateur =>  http://forum.malekal.com/comment-securiser-son-ordinateur.html

dragonaxxl · Answer

D'accord je te remercie et je note le sujet comme résolu un gros merci à toi ;) .
Ton forum à l'air vraiment bien j'irait jeter deux trois coups d'oeil si j'ai besoin de truc :) .

Svchost.exe (Virus Neshta)

13 réponses