Sujet Précédent Sujet Suivant

Virus com surrogate

Fermé
reezan Messages postés 14 Date d'inscription dimanche 26 août 2012 Statut Membre Dernière intervention 26 décembre 2016 - 26 déc. 2016 à 00:02
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 26 déc. 2016 à 18:23
Bonjour,

Pour noël j'ai eu des beaux cadeaux... et une vilaine saloperie sur mon PC.

Je ne saurais pas trop définir si c'est un virus ou autre programme malveillant, mais j'ai pu observer après l'ouverture d'un fichier inconnu que de multiples petits programmes se lancent automatiquement sur mon PC. Par conséquence, sur mon Task Manager, j'ai l'apparition de plein de "processus de fond" qui font gonfler la mémoire utilisé sur le disque à 100%. De plus, quand je les ferme ils reviennent automatiquement, un fichier "COM Surrogate" est ouvert plusieurs fois et impossible de s'en débarrassé. Après une soirée de recherches et tests (Anti Malware, Avast scan, Hitman) le problème persiste.

J'ai fait quelques recherches sur CCM et j'ai trouvé quelques réponses, j'ai fait une analyse FRST, mais je ne sais pas la lire, pouvez vous m'aider ?

Les liens :
Addition : https://pjjoint.malekal.com/files.php?id=20161226_u12y12o12r13l7
FRST : https://pjjoint.malekal.com/files.php?id=FRST_20161226_j5z8m7u14q11
Shortcut : https://pjjoint.malekal.com/files.php?id=20161226_h14m11q8e14o7

Aussi, si vous connaissez la source de ce problème, savez vous s'il est susceptible que mes mots de passes, données personnelles et comptes bancaires puissent être atteint ?

Merci, bonne soirée et bon noël.


4 réponses

Réponse 1 / 4
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 661
26 déc. 2016 à 00:13
Salut,

Désinstalle
AVG Web TuneUp
Bitdefender Agent
Hitman Pro
Start menu

y a des de McAfee aussi.
Normal que ça marche mal...


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 

CreateRestorePoint:
CloseProcesses:
CreateRestorePoint:
HKLM\...\Providers\62rg2oqb: C:\Program Files (x86)\Ifghtthutain Mapper\local64spl.dll [292352 2016-12-25] ()
ShellExecuteHooks: Pas de nom - {E45422C8-C6B6-11E6-A72E-64006A5CFC23} - C:\Users\Pierre-Alexandre\AppData\Roaming\Coebosezecale\Joersvawght.dll [143360 2016-12-25] ()
S3 HipShieldK; C:\WINDOWS\System32\drivers\HipShieldK.sys [196440 2012-04-20] (McAfee, Inc.)
2016-12-25 17:34 - 2016-12-25 17:34 - 00000000 _____ C:\TOSTACK
2016-12-25 17:33 - 2016-12-25 23:33 - 00000000 ____D C:\Program Files (x86)\Atujyghervagh_
2016-12-25 17:33 - 2016-12-25 17:33 - 00000000 ____D C:\Users\Pierre-Alexandre\AppData\Roaming\Coebosezecale
2016-12-25 17:33 - 2016-12-25 17:33 - 00000000 ____D C:\Users\Pierre-Alexandre\AppData\Local\Necuingrertuward
2016-12-25 17:33 - 2016-12-25 17:33 - 00000000 ____D C:\Program Files (x86)\Ifghtthutain Mapper
2016-12-25 17:23 - 2016-12-25 18:39 - 00000000 ____D C:\Program Files\6I5Q9UHBH6
2016-12-25 17:22 - 2016-12-25 22:07 - 00000000 ____D C:\Program Files (x86)\BestCleaner
S3 mferkdet; C:\WINDOWS\System32\drivers\mferkdet.sys [106112 2012-06-22] (McAfee, Inc.)
  Hosts:
EmptyTemp:
RemoveProxy:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",

A gauche, place toi sur le Bureau,

Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.


2°)
Réinitialise/Répare les navigateurs WEB :
1
Réponse 2 / 4
reezan Messages postés 14 Date d'inscription dimanche 26 août 2012 Statut Membre Dernière intervention 26 décembre 2016
26 déc. 2016 à 00:46
Merci pour votre rapidité !

Je n'arrive pas à désinstaller AVG par contre... message d'erreur

Voici le fixlog.txt :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 21-12-2016
Exécuté par Pierre-Alexandre (26-12-2016 00:30:54) Run:1
Exécuté depuis C:\Users\Pierre-Alexandre\Desktop
Profils chargés: Pierre-Alexandre (Profils disponibles: Pierre-Alexandre)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
CreateRestorePoint:
HKLM\...\Providers\62rg2oqb: C:\Program Files (x86)\Ifghtthutain Mapper\local64spl.dll [292352 2016-12-25] ()
ShellExecuteHooks: Pas de nom - {E45422C8-C6B6-11E6-A72E-64006A5CFC23} - C:\Users\Pierre-Alexandre\AppData\Roaming\Coebosezecale\Joersvawght.dll [143360 2016-12-25] ()
S3 HipShieldK; C:\WINDOWS\System32\drivers\HipShieldK.sys [196440 2012-04-20] (McAfee, Inc.)
2016-12-25 17:34 - 2016-12-25 17:34 - 00000000 _____ C:\TOSTACK
2016-12-25 17:33 - 2016-12-25 23:33 - 00000000 ____D C:\Program Files (x86)\Atujyghervagh_
2016-12-25 17:33 - 2016-12-25 17:33 - 00000000 ____D C:\Users\Pierre-Alexandre\AppData\Roaming\Coebosezecale
2016-12-25 17:33 - 2016-12-25 17:33 - 00000000 ____D C:\Users\Pierre-Alexandre\AppData\Local\Necuingrertuward
2016-12-25 17:33 - 2016-12-25 17:33 - 00000000 ____D C:\Program Files (x86)\Ifghtthutain Mapper
2016-12-25 17:23 - 2016-12-25 18:39 - 00000000 ____D C:\Program Files\6I5Q9UHBH6
2016-12-25 17:22 - 2016-12-25 22:07 - 00000000 ____D C:\Program Files (x86)\BestCleaner
S3 mferkdet; C:\WINDOWS\System32\drivers\mferkdet.sys [106112 2012-06-22] (McAfee, Inc.)
Hosts:
EmptyTemp:
RemoveProxy:


Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
"HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\62rg2oqb" => clé supprimé(es) avec succès
HKLM\SYSTEM\CurrentControlSet\Control\Print\Providers\\order 62rg2oqb => supprimé(es) avec succès
HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks\\{E45422C8-C6B6-11E6-A72E-64006A5CFC23} => valeur supprimé(es) avec succès
"HKCR\CLSID\{E45422C8-C6B6-11E6-A72E-64006A5CFC23}" => clé supprimé(es) avec succès
HipShieldK => service supprimé(es) avec succès
C:\TOSTACK => déplacé(es) avec succès
"C:\Program Files (x86)\Atujyghervagh_" => non trouvé(e).
C:\Users\Pierre-Alexandre\AppData\Roaming\Coebosezecale => déplacé(es) avec succès
C:\Users\Pierre-Alexandre\AppData\Local\Necuingrertuward => déplacé(es) avec succès
C:\Program Files (x86)\Ifghtthutain Mapper => déplacé(es) avec succès
C:\Program Files\6I5Q9UHBH6 => déplacé(es) avec succès
C:\Program Files (x86)\BestCleaner => déplacé(es) avec succès
mferkdet => service supprimé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

HKLM\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies\\ => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2295290719-3525232217-1576262150-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2295290719-3525232217-1576262150-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 62293160 B
Java, Flash, Steam htmlcache => 179064391 B
Windows/system/drivers => 79989119 B
Edge => 0 B
Chrome => 0 B
Firefox => 104988006 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 755176 B
systemprofile32 => 186861 B
LocalService => 5882 B
NetworkService => 26525814 B
Pierre-Alexandre => 115454123 B

RecycleBin => 6259023599 B
EmptyTemp: => 6.4 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

Fin de Fixlog 00:32:55

0
Réponse 3 / 4
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 661
26 déc. 2016 à 11:20
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 

CreateRestorePoint:
CloseProcesses:
CreateRestorePoint:
 R2 WtuSystemSupport; C:\Program Files (x86)\AVG Web TuneUp\WtuSystemSupport.exe [980040 2016-08-30] ()  
 2016-12-25 19:30 - 2015-11-12 16:48 - 00000000 ____D C:\Program Files (x86)\AVG Web TuneUp  
  S3 McComponentHostServiceSony; C:\Program Files\Sony\MSS\3.8.141\McCHSvc.exe [289256 2014-01-16] (McAfee, Inc.)  
 S3 HipShieldK; C:\WINDOWS\System32\drivers\HipShieldK.sys [196440 2012-04-20] (McAfee, Inc.)  
 S3 mferkdet; C:\WINDOWS\System32\drivers\mferkdet.sys [106112 2012-06-22] (McAfee, Inc.)  
 C:\Program Files\Sony\MSS
  Hosts:
EmptyTemp:
RemoveProxy:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",

A gauche, place toi sur le Bureau,

Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.

Réinitialise à nouveaux les navigateurs WEB.

Refais un scan FRST et donne les rapports via pjjoint comme la première fois.
0
reezan Messages postés 14 Date d'inscription dimanche 26 août 2012 Statut Membre Dernière intervention 26 décembre 2016
26 déc. 2016 à 12:57
Bonjour,

Voici le fixlog :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 21-12-2016
Exécuté par Pierre-Alexandre (26-12-2016 12:49:03) Run:2
Exécuté depuis C:\Users\Pierre-Alexandre\Desktop
Profils chargés: Pierre-Alexandre (Profils disponibles: Pierre-Alexandre)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
CreateRestorePoint:
R2 WtuSystemSupport; C:\Program Files (x86)\AVG Web TuneUp\WtuSystemSupport.exe [980040 2016-08-30] ()
2016-12-25 19:30 - 2015-11-12 16:48 - 00000000 ____D C:\Program Files (x86)\AVG Web TuneUp
S3 McComponentHostServiceSony; C:\Program Files\Sony\MSS\3.8.141\McCHSvc.exe [289256 2014-01-16] (McAfee, Inc.)
S3 HipShieldK; C:\WINDOWS\System32\drivers\HipShieldK.sys [196440 2012-04-20] (McAfee, Inc.)
S3 mferkdet; C:\WINDOWS\System32\drivers\mferkdet.sys [106112 2012-06-22] (McAfee, Inc.)
C:\Program Files\Sony\MSS
Hosts:
EmptyTemp:
RemoveProxy:


Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
WtuSystemSupport => service supprimé(es) avec succès
C:\Program Files (x86)\AVG Web TuneUp => déplacé(es) avec succès
McComponentHostServiceSony => service supprimé(es) avec succès
HipShieldK => service non trouvé(e).
mferkdet => service non trouvé(e).
C:\Program Files\Sony\MSS => déplacé(es) avec succès
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2295290719-3525232217-1576262150-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-2295290719-3525232217-1576262150-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 6358428 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 22202 B
Edge => 0 B
Chrome => 0 B
Firefox => 27540009 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 128 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 8828 B
Pierre-Alexandre => 108988 B

RecycleBin => 1174 B
EmptyTemp: => 40.5 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

Fin de Fixlog 12:50:07

J'arrive avec la suite.
0
reezan Messages postés 14 Date d'inscription dimanche 26 août 2012 Statut Membre Dernière intervention 26 décembre 2016 > reezan Messages postés 14 Date d'inscription dimanche 26 août 2012 Statut Membre Dernière intervention 26 décembre 2016
26 déc. 2016 à 13:04
Et voici les liens de la nouvelle analyse :

Addition : https://pjjoint.malekal.com/files.php?id=20161226_d15r9v15b11d10
FRST : https://pjjoint.malekal.com/files.php?id=FRST_20161226_f13w11e7w12x6
Shortcut : https://pjjoint.malekal.com/files.php?id=20161226_w15i9s6t7j14

Merci d'avance :)
0
Réponse 4 / 4
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 661
26 déc. 2016 à 13:19
il reste des éléments d'AVG.


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 

CreateRestorePoint:
CloseProcesses:
CreateRestorePoint:
 HKLM-x32\...\Run: [vProt] => C:\Program Files (x86)\AVG Web TuneUp\vprot.exe  
 Task: {0766B2BD-27F7-4D9E-8B89-B5F16AFB4BEB} - System32\Tasks\0116tbUpdateInfo => C:\ProgramData\Avg_Update_0116tb\0116tb_{C3F36BE9-6A52-4D51-9D73-DA26777BC853}.exe
 C:\ProgramData\Avg_Update_0116tb
 C:\Program Files (x86)\AVG Web TuneUp


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",

A gauche, place toi sur le Bureau,

Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

Tu as toujours des surcharges CPU Com Surrogate ?
0
reezan Messages postés 14 Date d'inscription dimanche 26 août 2012 Statut Membre Dernière intervention 26 décembre 2016
26 déc. 2016 à 13:44
Voici le fixlog :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 21-12-2016
Exécuté par Pierre-Alexandre (26-12-2016 13:37:20) Run:3
Exécuté depuis C:\Users\Pierre-Alexandre\Desktop
Profils chargés: Pierre-Alexandre (Profils disponibles: Pierre-Alexandre)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [vProt] => C:\Program Files (x86)\AVG Web TuneUp\vprot.exe
Task: {0766B2BD-27F7-4D9E-8B89-B5F16AFB4BEB} - System32\Tasks\0116tbUpdateInfo => C:\ProgramData\Avg_Update_0116tb\0116tb_{C3F36BE9-6A52-4D51-9D73-DA26777BC853}.exe
C:\ProgramData\Avg_Update_0116tb
C:\Program Files (x86)\AVG Web TuneUp


Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\vProt => valeur supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{0766B2BD-27F7-4D9E-8B89-B5F16AFB4BEB}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0766B2BD-27F7-4D9E-8B89-B5F16AFB4BEB}" => clé supprimé(es) avec succès
C:\WINDOWS\System32\Tasks\0116tbUpdateInfo => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\0116tbUpdateInfo" => clé supprimé(es) avec succès
"C:\ProgramData\Avg_Update_0116tb" => non trouvé(e).
"C:\Program Files (x86)\AVG Web TuneUp" => non trouvé(e).


Le système a dû redémarrer.

Fin de Fixlog 13:38:13

Les COM Surrogate sont toujours là :/

https://pjjoint.malekal.com/files.php?read=20161226_l1513g15z11l14
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 661 > reezan Messages postés 14 Date d'inscription dimanche 26 août 2012 Statut Membre Dernière intervention 26 décembre 2016
26 déc. 2016 à 13:54
C'est normal qu'il soit dans la liste
Par contre d'après ta dernière capture d'écran, ce n'est pas lui qui bouffe toute la CPU.

Tu as l'utilisation disque à 100% au moment où tu fais la capture.
Faudrait trier la liste par utilisation disque en cliquant sur la colonne pour avoir en premier les processus qui sollicitent le disque.

L'utilisation disque reste à 100% ?
0
reezan Messages postés 14 Date d'inscription dimanche 26 août 2012 Statut Membre Dernière intervention 26 décembre 2016 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
26 déc. 2016 à 14:07
Voici avec le tri par utilisation du CPU. Cependant il affiche presque tous 0MB/S (COM Surrogate également et il est vers la fin de la liste).

https://pjjoint.malekal.com/files.php?read=20161226_s7g8h10i5r14
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 661 > reezan Messages postés 14 Date d'inscription dimanche 26 août 2012 Statut Membre Dernière intervention 26 décembre 2016
26 déc. 2016 à 16:24
Tu as system qui a l'air de bourriner.
Tu peux aller dans l'onglet Performances.
En bas tu as le moniteur de ressources
onglet disque.
Là tu dois avoir les écritures et lecture par fichier.
Trie la liste par lecture ou écrire pour voir si tu as un fichier qui prend toute l'activité disque.
genre pagefile.sys
0
reezan Messages postés 14 Date d'inscription dimanche 26 août 2012 Statut Membre Dernière intervention 26 décembre 2016 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
26 déc. 2016 à 17:06
Ca me donne ça :
https://pjjoint.malekal.com/files.php?read=20161226_9u14c13j6l11
0

Discussions similaires

COM surrogate
Arakne -
Malekal_morte- -

3 réponses
Le site singemp3.me vient il remplacer singemp3.com ?
pierrotmd -
dadout -

1 réponse
COM Surrogate
jendrable -
ekim55 -

7 réponses
Yahoo.fr ou Yahoo.com ??
N°47 -
Janine -

14 réponses
wanadoo.fr ou wanadoo.com
xavipoloi -
Utilisateur anonyme -

1 réponse