Svchost.exe - URL:MAL par Avast Fermé

Question

Bonjour, 
Avast détecte svchost comme virus il dis que c'est une infection "URL:MAL"
Je suis en panique car cela me dis ca toutes les 15mins a peu pres :( 
Si quelqun pouvais m'aider pour voir si j'ai un virus comme avast le dis 
Merci de votre aide !



Configuration: Windows 7 / Chrome 35.0.1916.153

Malekal_morte- · Answer

Salut,



Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    


* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%PROGRAMFILES%\*.
%PROGRAMDATA%\*.
%APPDATA%\*.exe /s   
%temp%\*.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%windir%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT   
nslookup www.google.fr /c
ping www.google.fr /c
ipconfig /all /c
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

ArnaudW1 · Answer

Tenez le lien, merci de votre aide
 https://pjjoint.malekal.com/files.php?id=20140710_n12g14p6o12l10

Malekal_morte- · Answer

Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu  ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  


:OTL
 DRV:[b]64bit:[/b] - [2014/04/24 12:32:28 | 000,061,120 | ---- | M] (StdLib) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\{2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gw64.sys -- ({2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gw64) 
 DRV:[b]64bit:[/b] - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard) 
:Commands
[emptytemp] 

* poste le rapport ici 


Redémarre l'ordinateur

ArnaudW1 · Answer

voila
All processes killed
========== OTL ==========
Service {2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gw64 stopped successfully!
Service {2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gw64 deleted successfully!
C:\Windows\SysNative\drivers\{2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gw64.sys moved successfully.
Service esgiguard stopped successfully!
Service esgiguard deleted successfully!
File C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
 
User: All Users
 
User: Anne-France
->Temp folder emptied: 327438129 bytes
->Temporary Internet Files folder emptied: 12017503 bytes
->Java cache emptied: 18457250 bytes
->Google Chrome cache emptied: 272178820 bytes
->Flash cache emptied: 61248 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 57311 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: HomeGroupUser$
 
User: Invité
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 3049878 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 136511934 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 42287051 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 774,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 07102014_182202

Files\Folders moved on Reboot...
File move failed. C:\Users\Anne-France\AppData\Local\Temp\NVIDIA Corporation\NV_Cache\6d1026b4fa6d4c49d77d65f8805a9c0_fce8395f8fd8a84b_6229ccd76215aea1_0_0.bin scheduled to be moved on reboot.
File move failed. C:\Users\Anne-France\AppData\Local\Temp\NVIDIA Corporation\NV_Cache\6d1026b4fa6d4c49d77d65f8805a9c0_fce8395f8fd8a84b_6229ccd76215aea1_0_0.toc scheduled to be moved on reboot.
C:\Users\Anne-France\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File move failed. C:\Users\Anne-France\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat scheduled to be moved on reboot.
File move failed. C:\Windows	emp\_avast_\AvastLock.txt scheduled to be moved on reboot.
File move failed. C:\Windows	emp\Low\SkypeClickToCall\Logs\AutoUpdateSvc.log scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Mais cela me mets que des Programme windows on été modifié 
et en bas de mon ecrans Windows 7
numéro 7601
Cette copie de Windows n'est pas authentique

Malekal_morte- · Answer

Mais cela me mets que des Programme windows on été modifié
et en bas de mon ecrans Windows 7
numéro 7601
Cette copie de Windows n'est pas authentique 

C'est jute après la correction OTL ça ?

ArnaudW1 · Answer

Oui, je dois le re-redemarrer?

ArnaudW1 · Answer

Je vien de redemarer, cela me mets la meme chose et mtn mon fond d'ecran est noir

Malekal_morte- · Answer

Le Windows a été reinstallé à un moment (ami, réparateur ?).
Ou il est d'origine, si oui, c'est un PC neuf ou acheté d'occasion ?

Fais une restauration du système à une date avant les problèmes : https://www.malekal.com/restauration-systeme-windows/

ArnaudW1 · Answer

d'origine, neuf ok je vais faire ca

ArnaudW1 · Answer

Le syteme de restoration n'a pas fonctionné..
il me dis Windows a été modifié
mais j'ai regarder car j'ai que des sauvegarde qui date de 3jours (le jour du probleme il me semble) il me dis que c'est une Windows update j'ai regarde de quel programme ou pilotes et il me dis "Services Bureau à Distance Microsoft (Printer)" "Type Pilote" 
Que faire?

ArnaudW1 · Answer

Quand je lance REMOVEWGA il me dit "Can't find you WINLOGON PROCESS" que faire?

Malekal_morte- · Answer

Tu as le DVD de Windows ?

ArnaudW1 · Answer

Non, j'ai achete mon pc sur un site qui les fais pour nous ..

Malekal_morte- · Answer

et tu l'as acheté y a combien de temps ?

Faudrait désinstaller IObit Malware Fighter
Malwarebytes suffit.

ArnaudW1 · Answer

Je l'ai achete le 7 janvier 2013 
J'ai déjà désinstaller IObit MF
mais a propos du virus on fais quoi? :)

Svchost.exe - URL:MAL par Avast

15 réponses

Discussions similaires