Alerte infection 138.231.139.194 bloquée svchost.exe
Résolu/Fermé
Exidio
Messages postés
13
Date d'inscription
jeudi 4 juin 2015
Statut
Membre
Dernière intervention
5 juin 2015
-
Modifié par Malekal_morte- le 4/06/2015 à 20:51
Exidio Messages postés 13 Date d'inscription jeudi 4 juin 2015 Statut Membre Dernière intervention 5 juin 2015 - 5 juin 2015 à 19:38
Exidio Messages postés 13 Date d'inscription jeudi 4 juin 2015 Statut Membre Dernière intervention 5 juin 2015 - 5 juin 2015 à 19:38
A voir également:
- Alerte infection 138.231.139.194 bloquée svchost.exe
- Svchost.exe - Guide
- Fausse alerte mcafee - Accueil - Piratage
- Boite gmail bloquée - Guide
- Fausse alerte connexion facebook - Guide
- Souris tactile bloquée - Guide
7 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 665
4 juin 2015 à 20:51
4 juin 2015 à 20:51
Salut,
Commence par ceci :
Suis le tutorial AdwCleaner https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= ( d'Xplode )
Télécharge le sur ton bureau ou dossier de téléchargement.
Lance AdwCleaner, clique sur [Scanner].
L'analyse peux durer plusieurs minutes, patiente.
Une fois le scan terminé, ne décoche rien, clique sur [Nettoyer]
Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
puis :
Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Commence par ceci :
Suis le tutorial AdwCleaner https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= ( d'Xplode )
Télécharge le sur ton bureau ou dossier de téléchargement.
Lance AdwCleaner, clique sur [Scanner].
L'analyse peux durer plusieurs minutes, patiente.
Une fois le scan terminé, ne décoche rien, clique sur [Nettoyer]
Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
puis :
Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Exidio
Messages postés
13
Date d'inscription
jeudi 4 juin 2015
Statut
Membre
Dernière intervention
5 juin 2015
4 juin 2015 à 21:20
4 juin 2015 à 21:20
Très bien, alors dans un premier temps voici le rapport AdwCleaner[S1] :
# AdwCleaner v4.206 - Rapport créé le 04/06/2015 à 20:56:35
# Mis à jour le 01/06/2015 par Xplode
# Base de données : 2015-06-01.1 [Serveur]
# Système d'exploitation : Windows 8.1 (x64)
# Nom d'utilisateur : Rémi - PC-RÉMI
# Exécuté depuis : C:\Users\Rémi\Downloads\adwcleaner_4.206.exe
# Option : Nettoyer
Dossier Supprimé : C:\Program Files (x86)\SearchProtect
Dossier Supprimé : C:\Windows\SysWOW64\config\systemprofile\AppData\Local\SearchProtect
Dossier Supprimé : C:\Users\Rémi\AppData\Local\SearchProtect
Fichier Supprimé : C:\Windows\apppatch\apppatch64\vcldr64.dll
Fichier Supprimé : C:\Windows\AppPatch\Custom\{8a4d5a43-c64a-45ab-bdf4-804fe18ceafd}.sdb
Fichier Supprimé : C:\Windows\AppPatch\Custom\Custom64\{cf2797aa-b7ec-e311-8ed9-005056c00008}.sdb
Fichier Supprimé : C:\Windows\AppPatch\nbin\VC32Loader.dll
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{F83D1872-D9FF-47F8-B5A0-49CC51E24EE8}
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKCU\Software\CleanerProConfig
Clé Supprimée : HKCU\Software\CleanerProLanguage
Clé Supprimée : HKLM\SOFTWARE\SearchProtect
Clé Supprimée : HKLM\SOFTWARE\SPPDCOM
Clé Supprimée : HKLM\SOFTWARE\StrongSignal
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchProtect
Donnée Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows [AppInit_DLLs] - C:\PROGRA~2\SearchProtect\SearchProtect\bin\VC32Loader.dll
Donnée Supprimée : [x64] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows [AppInit_DLLs] - C:\PROGRA~2\SearchProtect\SearchProtect\bin\VC64Loader.dll
-\\ Internet Explorer v11.0.9600.17416
-\\ Mozilla Firefox v38.0.5 (x86 fr)
AdwCleaner[R0].txt - [4884 octets] - [20/02/2015 10:05:54]
AdwCleaner[R1].txt - [2282 octets] - [04/06/2015 20:54:24]
AdwCleaner[S0].txt - [3889 octets] - [20/02/2015 10:08:06]
AdwCleaner[S1].txt - [2083 octets] - [04/06/2015 20:56:35]
########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [2143 octets] ##########
Ensuite, voilà les rapports suivants :
https://pjjoint.malekal.com/files.php?id=20150604_i15f12c5e10e15
https://pjjoint.malekal.com/files.php?id=20150604_e8z8t8o13b13
https://pjjoint.malekal.com/files.php?id=20150604_c8b119q6q5
# AdwCleaner v4.206 - Rapport créé le 04/06/2015 à 20:56:35
# Mis à jour le 01/06/2015 par Xplode
# Base de données : 2015-06-01.1 [Serveur]
# Système d'exploitation : Windows 8.1 (x64)
# Nom d'utilisateur : Rémi - PC-RÉMI
# Exécuté depuis : C:\Users\Rémi\Downloads\adwcleaner_4.206.exe
# Option : Nettoyer
- [ Services ] *****
- [ Fichiers / Dossiers ] *****
Dossier Supprimé : C:\Program Files (x86)\SearchProtect
Dossier Supprimé : C:\Windows\SysWOW64\config\systemprofile\AppData\Local\SearchProtect
Dossier Supprimé : C:\Users\Rémi\AppData\Local\SearchProtect
Fichier Supprimé : C:\Windows\apppatch\apppatch64\vcldr64.dll
Fichier Supprimé : C:\Windows\AppPatch\Custom\{8a4d5a43-c64a-45ab-bdf4-804fe18ceafd}.sdb
Fichier Supprimé : C:\Windows\AppPatch\Custom\Custom64\{cf2797aa-b7ec-e311-8ed9-005056c00008}.sdb
Fichier Supprimé : C:\Windows\AppPatch\nbin\VC32Loader.dll
- [ Tâches planifiées ] *****
- [ Raccourcis ] *****
- [ Registre ] *****
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{F83D1872-D9FF-47F8-B5A0-49CC51E24EE8}
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKCU\Software\CleanerProConfig
Clé Supprimée : HKCU\Software\CleanerProLanguage
Clé Supprimée : HKLM\SOFTWARE\SearchProtect
Clé Supprimée : HKLM\SOFTWARE\SPPDCOM
Clé Supprimée : HKLM\SOFTWARE\StrongSignal
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchProtect
Donnée Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows [AppInit_DLLs] - C:\PROGRA~2\SearchProtect\SearchProtect\bin\VC32Loader.dll
Donnée Supprimée : [x64] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows [AppInit_DLLs] - C:\PROGRA~2\SearchProtect\SearchProtect\bin\VC64Loader.dll
- [ Navigateurs ] *****
-\\ Internet Explorer v11.0.9600.17416
-\\ Mozilla Firefox v38.0.5 (x86 fr)
AdwCleaner[R0].txt - [4884 octets] - [20/02/2015 10:05:54]
AdwCleaner[R1].txt - [2282 octets] - [04/06/2015 20:54:24]
AdwCleaner[S0].txt - [3889 octets] - [20/02/2015 10:08:06]
AdwCleaner[S1].txt - [2083 octets] - [04/06/2015 20:56:35]
########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [2143 octets] ##########
Ensuite, voilà les rapports suivants :
https://pjjoint.malekal.com/files.php?id=20150604_i15f12c5e10e15
https://pjjoint.malekal.com/files.php?id=20150604_e8z8t8o13b13
https://pjjoint.malekal.com/files.php?id=20150604_c8b119q6q5
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 665
4 juin 2015 à 21:51
4 juin 2015 à 21:51
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
Task: {C447BD0B-A419-4B5D-9ED9-B49D768B1883} - System32\Tasks\avaavaevy => C:\Users\Rémi\AppData\Local\avaavaevy\avaavaevy.exe <==== ATTENTION
EmptyTemp:
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
Task: {C447BD0B-A419-4B5D-9ED9-B49D768B1883} - System32\Tasks\avaavaevy => C:\Users\Rémi\AppData\Local\avaavaevy\avaavaevy.exe <==== ATTENTION
EmptyTemp:
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Exidio
Messages postés
13
Date d'inscription
jeudi 4 juin 2015
Statut
Membre
Dernière intervention
5 juin 2015
4 juin 2015 à 22:42
4 juin 2015 à 22:42
Voilà le nouveau rapport fixlog :
Fix result of Farbar Recovery Scan Tool (x64) Version:03-06-2015
Ran by Rémi at 2015-06-04 22:36:59 Run:1
Running from C:\Users\Rémi\Desktop
Loaded Profiles: Rémi (Available Profiles: Rémi)
Boot Mode: Normal
==============================================
fixlist content:
Task: {C447BD0B-A419-4B5D-9ED9-B49D768B1883} - System32\Tasks\avaavaevy => C:\Users\Rémi\AppData\Local\avaavaevy\avaavaevy.exe <==== ATTENTION
EmptyTemp:
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{C447BD0B-A419-4B5D-9ED9-B49D768B1883}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C447BD0B-A419-4B5D-9ED9-B49D768B1883}" => key removed successfully
C:\Windows\System32\Tasks\avaavaevy => moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\avaavaevy" => key removed successfully
EmptyTemp: => 731.1 MB temporary data Removed.
The system needed a reboot..
Fix result of Farbar Recovery Scan Tool (x64) Version:03-06-2015
Ran by Rémi at 2015-06-04 22:36:59 Run:1
Running from C:\Users\Rémi\Desktop
Loaded Profiles: Rémi (Available Profiles: Rémi)
Boot Mode: Normal
==============================================
fixlist content:
Task: {C447BD0B-A419-4B5D-9ED9-B49D768B1883} - System32\Tasks\avaavaevy => C:\Users\Rémi\AppData\Local\avaavaevy\avaavaevy.exe <==== ATTENTION
EmptyTemp:
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{C447BD0B-A419-4B5D-9ED9-B49D768B1883}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C447BD0B-A419-4B5D-9ED9-B49D768B1883}" => key removed successfully
C:\Windows\System32\Tasks\avaavaevy => moved successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\avaavaevy" => key removed successfully
EmptyTemp: => 731.1 MB temporary data Removed.
The system needed a reboot..
End of Fixlog 22:37:33
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 665
4 juin 2015 à 22:43
4 juin 2015 à 22:43
Le PC n'est pas infecté, ça continue les alertes?
Exidio
Messages postés
13
Date d'inscription
jeudi 4 juin 2015
Statut
Membre
Dernière intervention
5 juin 2015
4 juin 2015 à 23:08
4 juin 2015 à 23:08
Je viens de faire le test, oui, en me reconnectant j'ai encore l'alerte
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 665
4 juin 2015 à 23:12
4 juin 2015 à 23:12
Désinstalle/réinstalle Avast!.
Exidio
Messages postés
13
Date d'inscription
jeudi 4 juin 2015
Statut
Membre
Dernière intervention
5 juin 2015
4 juin 2015 à 23:37
4 juin 2015 à 23:37
Toujours l'alerte... Est-ce que ça peut avoir un lien avec ma connexion (je suis actuellement en résidence universitaire) ?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 665
4 juin 2015 à 23:52
4 juin 2015 à 23:52
Possible genre si le routeur s'est fait avoir.
C'est facile à vérifier, tu te connectes sur une autre et vois si les alertes continuent.
Mais vu que c'est svchost.exe - j'ai un sacré doute.
Si tu fais ça :
Touche Windows + R
tape services.msc et OK.
Sur le Service Windows Update, clic droit et arreter
Cela arrete les alertes?
C'est facile à vérifier, tu te connectes sur une autre et vois si les alertes continuent.
Mais vu que c'est svchost.exe - j'ai un sacré doute.
Si tu fais ça :
Touche Windows + R
tape services.msc et OK.
Sur le Service Windows Update, clic droit et arreter
Cela arrete les alertes?
Exidio
Messages postés
13
Date d'inscription
jeudi 4 juin 2015
Statut
Membre
Dernière intervention
5 juin 2015
5 juin 2015 à 09:25
5 juin 2015 à 09:25
Je suis actuellement au boulot (où, étrangement, je n'ai pas l'alerte)
Je pourrais tester la commande chez moi, aux alentours de 18h ^^
Je pourrais tester la commande chez moi, aux alentours de 18h ^^
phil2k
Messages postés
10854
Date d'inscription
lundi 28 octobre 2013
Statut
Contributeur
Dernière intervention
24 janvier 2023
2 326
5 juin 2015 à 10:22
5 juin 2015 à 10:22
Bonjour
Juste une petite incursion :
Cette adresse semble correspondre à un pc de l'ecole normale .
https://myip.ms/info/whois/138.231.139.194
Il est possible que le pc en question soit infecté ..
Juste une petite incursion :
Cette adresse semble correspondre à un pc de l'ecole normale .
https://myip.ms/info/whois/138.231.139.194
Il est possible que le pc en question soit infecté ..
Exidio
Messages postés
13
Date d'inscription
jeudi 4 juin 2015
Statut
Membre
Dernière intervention
5 juin 2015
5 juin 2015 à 10:30
5 juin 2015 à 10:30
Bonjour,
ce serait le PC d'une autre personne qui en serait la cause ? Effectivement, je suis en stage et vis actuellement dans la résidence de l'ENS de Cachan.
ce serait le PC d'une autre personne qui en serait la cause ? Effectivement, je suis en stage et vis actuellement dans la résidence de l'ENS de Cachan.
phil2k
Messages postés
10854
Date d'inscription
lundi 28 octobre 2013
Statut
Contributeur
Dernière intervention
24 janvier 2023
2 326
Modifié par phil2k le 5/06/2015 à 10:43
Modifié par phil2k le 5/06/2015 à 10:43
C'est possible .
Votre adresse IP devrait vous dire si vous etes dans le meme reseau.
Ensuite , ca peut venir du pc en question , soit involontairement si il est infecté , soit volontairement .
Il essaie peut etre de se connecter , ou des scans sur ce port 5357 ....
Edit : mais , visiblement , Avast semble bien faire son boulot et il bloque ..
Il doit y avoir une possibilité de créer une regle pour le bloquer définitivement, sans afficher d'alertes à chaque fois ...
Votre adresse IP devrait vous dire si vous etes dans le meme reseau.
Ensuite , ca peut venir du pc en question , soit involontairement si il est infecté , soit volontairement .
Il essaie peut etre de se connecter , ou des scans sur ce port 5357 ....
Edit : mais , visiblement , Avast semble bien faire son boulot et il bloque ..
Il doit y avoir une possibilité de créer une regle pour le bloquer définitivement, sans afficher d'alertes à chaque fois ...
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 665
Modifié par Malekal_morte- le 5/06/2015 à 11:17
Modifié par Malekal_morte- le 5/06/2015 à 11:17
ha oui chuis boulet, chuis pas aller vérifier l'IP =)
Tu peux donner l'URL en entier que j'aille voir ce qu'il y a dessus.
Tu peux donner l'URL en entier que j'aille voir ce qu'il y a dessus.
Exidio
Messages postés
13
Date d'inscription
jeudi 4 juin 2015
Statut
Membre
Dernière intervention
5 juin 2015
5 juin 2015 à 11:36
5 juin 2015 à 11:36
Ah d'accord.
Pour l'URL, ce n'est pas celle qui est sur le screenshot que j'ai mis dans mon tout premier message, à savoir :
http://138.231.139.194:5357/d70f6af6-55ac-4cca-85f2-3fe365ff243c/
?
Pour l'URL, ce n'est pas celle qui est sur le screenshot que j'ai mis dans mon tout premier message, à savoir :
http://138.231.139.194:5357/d70f6af6-55ac-4cca-85f2-3fe365ff243c/
?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 665
Modifié par Malekal_morte- le 5/06/2015 à 11:47
Modifié par Malekal_morte- le 5/06/2015 à 11:47
C'est pas accessible de l'extérieur.
Apparemment le port 5357 c'est la découverte des périphériques.
Les alertes doivent s'arreter si la désactive, j'imagine : https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US
Sur ton navigateur si tu vas sur http://138.231.139.194, Avast! couine non ?
Je pense qu'en fait, ils ont blacklisté l'IP, y a du y avoir des malwares à un moment donné sur cette IP et la découverte du réseau fait une requête HTTP sur l'IP, du coup, Avast! gueule à chaque fois, comme elle est blacklistée.
Apparemment le port 5357 c'est la découverte des périphériques.
Les alertes doivent s'arreter si la désactive, j'imagine : https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US
Sur ton navigateur si tu vas sur http://138.231.139.194, Avast! couine non ?
Je pense qu'en fait, ils ont blacklisté l'IP, y a du y avoir des malwares à un moment donné sur cette IP et la découverte du réseau fait une requête HTTP sur l'IP, du coup, Avast! gueule à chaque fois, comme elle est blacklistée.