Virus svchast.exe Fermé

Question

Bonjour, 

je vous contacte car depuis un bon moment maintenant (je dirai 1 an grand maximum) j'ai une demande d'exécution qui m'est proposé à toutes les ouvertures de mon pc par svchast.exe (voir image jointe).
Je me rapproche alors de vous pour essayer de m'en débarrasser, si possible de manière gratuite (spyhunter 4 à bannir, j'ai déjà fait le test peu concluant pour cause de prix).

En espérant avoir des réponses, merci d'avance :)

Configuration: Windows 7 / Chrome 39.0.2171.95

Malekal_morte- · Answer

Salut,


Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie comme expliqué, ces trois rapports sur le site pjjoint et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.

sese64 · Answer

FRST : https://pjjoint.malekal.com/files.php?id=20150105_n12q7e9x7b9
Addition : https://pjjoint.malekal.com/files.php?id=20150105_w9z14v7t11s8
ShortCut : https://pjjoint.malekal.com/files.php?id=20150105_v12q5f9g9r11

Malekal_morte- · Answer

Si tu peux envoyer C:\Documents and Settings\All Users\Documents\svchast.exe sur http://upload.malekal.com Ce serait pas mal ensuite : Voici la correction à effectuer avec FRST. Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK. Copie/colle dedans ce qui suit : HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [mbot_fr_381] => [X] HKLM-x32\...\Run: [YTDownloader] => C:\Program Files (x86)\YTDownloader\YTDownloader.exe /boot HKU\S-1-5-21-1488805251-1284496497-2057044168-1000\...\Run: [SPDriver] => C:\Program Files (x86)\ShopperPro\JSDriver\1460.0.0.0\jsdrv.exe Startup: C:\Users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2010 - Capture d'écran et lancement.lnk HKU\S-1-5-21-1488805251-1284496497-2057044168-1000\...\Run: [Task Bar] => C:\Documents and Settings\All Users\Documents\svchast.exe [0 ] (Microsoft Corporation) ProxyEnable: [.DEFAULT] => Internet Explorer proxy is enabled. ProxyServer: [.DEFAULT] => http=127.0.0.1:60163;https=127.0.0.1:60163 [Attention - Possible Proxy Malicieux] FF Extension: izercamelcamelcamelcom - C:\Users\Utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\k7v5uj0k.default-1399391664323\Extensions\izer@camelcamelcamel.com [2014-12-06] FF Extension: Skype Click to Call - C:\Program Files (x86)\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1} [2014-02-16] FF Extension: QuestScan - C:\Program Files (x86)\Mozilla Firefox\extensions\{F0E1168A-B4B5-484C-B77E-0D28E6B64096} [2014-02-16] FF Extension: No Name - C:\Users\Utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\k7v5uj0k.default-1399391664323\extensions\{19dde9a4-0e12-4d84-99f0-88d59858619d}.xpi [Not Found] FF Extension: No Name - C:\Users\Utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\k7v5uj0k.default-1399391664323\extensions\6c03cee0ab9442c4a67a507@58d658df5a30468fabf5c7a.com [Not Found] FF Extension: No Name - C:\Program Files (x86)\ver1BetterMarkIt\183.xpi [Not Found] FF Extension: No Name - C:\Users\Utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\k7v5uj0k.default-1399391664323\extensions\faststartff@gmail.com [Not Found] FF Extension: No Name - C:\Users\Utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\k7v5uj0k.default-1399391664323\extensions\faststartff@gmail.com [Not Found] FF Extension: No Name - C:\Users\Utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\k7v5uj0k.default-1399391664323\Extensions\{746505DC-0E21-4667-97F8-72EA6BCF5EEF} [Not Found] FF Extension: No Name - C:\Users\Utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\k7v5uj0k.default-1399391664323\extensions\ROUAILDE73397174@UXGZI17268980.com [Not Found] FF Extension: No Name - C:\Users\Utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\k7v5uj0k.default-1399391664323\extensions\9321b276-2c2e-4c5f-bd04-b8118e512707@c0c8a2d6-3275-4cac-a0b2-52e936311db9.com [Not Found] FF Extension: No Name - C:\Users\Utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\k7v5uj0k.default-1399391664323\extensions\MGKN37049485@ACPSC11936960.com [Not Found] S2 YTDUpdt; C:\PROGRA~2\YTDOWN~1\YTDUPD~1.EXE [X] 2015-01-04 23:20 - 2015-01-05 17:46 - 00001362 _____ () C:\Windows\Tasks\NOBXGL.job 2015-01-04 23:20 - 2015-01-05 17:46 - 00001358 _____ () C:\Windows\Tasks\ZBLX.job 2015-01-04 23:20 - 2015-01-05 17:34 - 00002200 _____ () C:\Users\Utilisateur\Desktop\chrome.lnk 2015-01-04 23:20 - 2015-01-04 23:20 - 01965032 _____ (Cinema PlusV04.01) C:\Users\Utilisateur\AppData\Roaming\ZBLX.exe 2015-01-04 23:20 - 2015-01-04 23:20 - 01330664 _____ (Cinema PlusV04.01) C:\Users\Utilisateur\AppData\Roaming\NOBXGL.exe 2015-01-04 23:20 - 2015-01-04 23:20 - 00004412 _____ () C:\Windows\System32\Tasks\NOBXGL 2015-01-04 23:20 - 2015-01-04 23:20 - 00004408 _____ () C:\Windows\System32\Tasks\ZBLX 2015-01-04 23:20 - 2015-01-04 23:20 - 00000000 ____D () C:\Program Files (x86)\36a481c6-481e-4754-abb5-8e44f96f5d0b 2015-01-04 23:19 - 2015-01-04 23:19 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WaInterEnhance 2015-01-04 23:19 - 2015-01-04 23:19 - 00000000 ____D () C:\Program Files (x86)\WaInterEnhance 2015-01-04 23:18 - 2015-01-04 23:18 - 00000000 ____D () C:\Program Files (x86)\5169294e-dc09-4a29-a6c2-f3d70d5f6d9b 2015-01-04 23:16 - 2015-01-05 17:46 - 00001356 _____ () C:\Windows\Tasks\FCG.job 2015-01-04 23:16 - 2015-01-04 23:18 - 00001656 _____ () C:\Windows\SysWOW64\${LOGFILE} 2015-01-04 23:16 - 2015-01-04 23:16 - 01330664 _____ (Object Browser) C:\Users\Utilisateur\AppData\Roaming\FCG.exe 2015-01-04 23:16 - 2015-01-04 23:16 - 00004406 _____ () C:\Windows\System32\Tasks\FCG 2015-01-04 23:15 - 2015-01-05 17:46 - 00001358 _____ () C:\Windows\Tasks\ZFUE.job 2015-01-04 23:15 - 2015-01-04 23:16 - 00000000 ____D () C:\Program Files (x86)\a69bca49-c433-47cf-bd78-bf3582a57b20 2015-01-04 23:15 - 2015-01-04 23:15 - 01965032 _____ (Object Browser) C:\Users\Utilisateur\AppData\Roaming\ZFUE.exe 2015-01-04 23:15 - 2015-01-04 23:15 - 00004408 _____ () C:\Windows\System32\Tasks\ZFUE 2015-01-04 23:15 - 2015-01-04 23:15 - 00004270 _____ () C:\Windows\System32\Tasks\SPBIW_UpdateTask_Time_333233363038373334382d3437415a556c2a3223346c41 2015-01-04 23:15 - 2015-01-04 23:15 - 00000000 ____D () C:\Program Files (x86)\05092f73-b70a-4884-94d1-9f505d268496 2015-01-04 23:14 - 2015-01-04 23:14 - 00000000 ____D () C:\Program Files\Common Files\ShopperPro 2015-01-04 23:12 - 2015-01-04 23:13 - 00000000 ____D () C:\Program Files (x86)\XTab 2015-01-04 23:11 - 2015-01-04 23:11 - 00000078 _____ () C:\Users\Utilisateur\AppData\Roaming\Selection Tools.installation.log 2015-01-04 23:09 - 2015-01-04 23:09 - 00000000 ____D () C:\Program Files (x86)\mbot_fr_376 Task: {013DBE67-87A7-4C98-8E61-A873883D554C} - System32\Tasks\{545CB727-CCC2-4233-9551-23421039FF41} => pcalua.exe -a C:\Users\Utilisateur\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=amt Task: {01DAE2E5-3BA7-491D-A108-DD9DC6C622A0} - System32\Tasks\Microsoft\Windows\Media Center\Extender\Update media permissions for Mcx1-UTILISATEUR-PC => C:\Windows\ehome\McxTask.exe [2009-07-14] (Microsoft Corporation) Task: {1C045363-58C9-401D-B368-3B0E20540BEB} - System32\Tasks\NOBXGL => C:\Users\Utilisateur\AppData\Roaming\NOBXGL.exe [2015-01-04] (Cinema PlusV04.01) <==== ATTENTION Task: {335EB950-302D-4781-9D81-1E4EF613C23F} - System32\Tasks\ZBLX => C:\Users\Utilisateur\AppData\Roaming\ZBLX.exe [2015-01-04] (Cinema PlusV04.01) <==== ATTENTION Task: {376FEDA0-38F2-46CB-BF51-6F9B580809A3} - System32\Tasks\{2AC7B83A-5E7C-4E84-8790-8EDD40B148E3} => pcalua.exe -a C:\Users\UTILIS~1\AppData\Local\Temp\Shockwave_Installer_FF.exe -d "C:\Program Files (x86)\Mozilla Firefox" Task: {92595126-7121-43C6-BCB7-35907F155A4D} - System32\Tasks\FCG => C:\Users\Utilisateur\AppData\Roaming\FCG.exe [2015-01-04] (Object Browser) <==== ATTENTION Task: {B07CD124-07CF-4295-B32A-9BC60B9B92C8} - System32\Tasks\Microsoft\Windows\Multimedia\SMupdate3 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update3 <==== ATTENTION Task: {B1944190-2130-4D72-924B-C9674634E044} - System32\Tasks\{0826CFA3-FB0D-4307-B830-91A0FBD974B9} => pcalua.exe -a C:\Users\Utilisateur\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=amt Task: {CF4F21F9-10CB-4445-A233-139F7D45A0E2} - System32\Tasks\ZFUE => C:\Users\Utilisateur\AppData\Roaming\ZFUE.exe [2015-01-04] (Object Browser) <==== ATTENTION Task: {D0CC7F9F-3F63-4A89-9D25-F2F238585F2A} - System32\Tasks\Microsoft\Windows\Maintenance\SMupdate2 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update2 <==== ATTENTION Task: {DB6D9C0B-0A7E-4B62-879B-AA5B4D3E6C9B} - System32\Tasks\SPBIW_UpdateTask_Time_333233363038373334382d3437415a556c2a3223346c41 => Wscript.exe //B "C:\ProgramData\ShopperPro\spbihe.js" spbiu.exe /invoke /f:check_services /l:0 <==== ATTENTION Task: {F62F8C38-E415-4EEF-A54B-5E8474C1F946} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2013-01-25] () Task: C:\Windows\Tasks\FCG.job => C:\Users\Utilisateur\AppData\Roaming\FCG.exe <==== ATTENTION Task: C:\Windows\Tasks\NOBXGL.job => C:\Users\Utilisateur\AppData\Roaming\NOBXGL.exe <==== ATTENTION Task: C:\Windows\Tasks\ZBLX.job => C:\Users\Utilisateur\AppData\Roaming\ZBLX.exe <==== ATTENTION Task: C:\Windows\Tasks\ZFUE.job => C:\Users\Utilisateur\AppData\Roaming\ZFUE.exe <==== ATTENTION Une fois, le texte coller dans le bloc-note. Menu Fichier puis Enregistrer sous. A gauche, place toi sur le bureau. Dans le champs en bas, nom du fichier mets : fixlist.txt Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau. Relance FRST et clic sur le bouton Fix Selon comment un redémarrage est nécessaire (pas obligatoire). Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message. Redémarre l'ordinateur

sese64 · Answer

J'ai fait la manip de copier ce que vous avez mis, dans le dossier "fixlist.txt".

Ensuite dans l'explication de la manip je comprend pas ce passage: 

"Relance FRST qui doit aussi se trouver sur votre bureau.
Cliquez sur le bouton fix. La correction doit s'effectuer, il est possible que la correction nécessite le redémarrage de l'ordinateur."

C'est quoi le bouton fix?

sese64 · Answer

Et pour le "C:\Documents and Settings\All Users\Documents\svchast.exe" vous voulez que je vous envoie le screen?

Malekal_morte- · Answer

Voici la suite :



Scan Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ 
Mets le à jour puis lance un examen. 

A la fin du scan, clic sur "Mettre tout en quarantaine" en bas à gauche. 
Redémarre l'ordinateur si besoin. 
Après redémarrage, relance Malwarebytes. 
Vas chercher le rapport dans l'onglet Historique. 
A gauche Journal des examens. 
Doube-clic sur l'examen dans la liste. 
Puis en bas Copier dans le presse papier
Vas sur http://pjjoint.malekal.com et en bas, clic droit / coller pour coller le rapport du scan Malwarebytes.
Clic sur envoyer.
Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.

sese64 · Answer

La version gratuite va très bien?

sese64 · Answer

Je savais pas quel rapport il te fallait vraiment, du coups je t'envoie les 2 :
https://pjjoint.malekal.com/files.php?id=20150112_g14i12k13v13m13
https://pjjoint.malekal.com/files.php?id=20150112_v15g12v11p15u12

Malekal_morte- · Answer

Change tes mots de passe demain,

et refais une analyse demain pour voir :)

sese64 · Answer

Mes mots de Passe de quoi?

Virus svchast.exe

10 réponses

Discussions similaires