Auteur Sujet: Virus svchost.exe  (Lu 3954 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne Warkeur

  • Membres
  • Members
  • Messages: 3
Virus svchost.exe
« le: décembre 28, 2012, 15:32:36 »
Bonjour j'ai un virus qui se nomment svchost.exe qui ce situe C:\Users\Warkeur\AppData\Local\Temp\svchost.exe  j'ai essayer de le viré en utilisent plusieurs méthode mais le problème c'est qu'il réaparé a chaque foi que mon ordi redémarre donc quand je le supprime avec Malwarebytes Anti-Malware a la fin il demande de redémarré l'ordinateur qu'il soit bien supprimé et quand mon ordinateur a redémarré le virus est toujours la donc j'aimerais savoir si il y a un moyen pour que le virus soit viré pour de bon?
« Modifié: décembre 28, 2012, 15:44:46 par Warkeur »

Security-X

Virus svchost.exe
« le: décembre 28, 2012, 15:32:36 »

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Virus svchost.exe
« Réponse #1 le: décembre 28, 2012, 19:11:32 »
Bonsoir Warkeur,

Bienvenu sur Security-X,

Nous allons regarder cela :

Télécharge OTL (de Old Timer) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Coche "Avec liste Blanche" sous "Registre: approfondi"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

netsvcs
msconfig
drivers32
activex
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
kernel32.dll
services.exe
svchost.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici

Note : Les rapports sont aussi enregistrés sur le bureau

Hors ligne Warkeur

  • Membres
  • Members
  • Messages: 3

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Virus svchost.exe
« Réponse #3 le: décembre 28, 2012, 22:33:45 »
Re,

Ok, toujours infecté effectivement, nous allons nettoyer : (à priori infection par support amovible, clé usb, etc ...)

1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

- Java(TM) 6 Update 22
- Java(TM) 6 Update 31 (versions obsolètes et vulnérables, tu possèdes une plus récente)

- BabylonObjectInstaller (sponsor publicitaire)


2) Relance  OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

/!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.


:OTL
IE - HKU\S-1-5-21-3986473618-718959600-3308954732-1002\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?affID=110819&tt=3012_5&babsrc=HP_ss&mntrId=dcfcb61000000000000020107a2d0fcd
IE - HKU\S-1-5-21-3986473618-718959600-3308954732-1002\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=110819&tt=3012_5&babsrc=SP_ss&mntrId=dcfcb61000000000000020107a2d0fcd
O3 - HKU\S-1-5-21-3986473618-718959600-3308954732-1002\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O4 - HKLM..\Run: [Adobe] C:\ProgramData\Adobe\2828053.vbe ()
O4 - HKU\S-1-5-21-3986473618-718959600-3308954732-1002..\Run: [Bubble Dock] "C:\Users\Warkeur\AppData\Roaming\Nosibay\Bubble Dock\LBubble Dock.exe" /winstartup File not found
O4 - HKU\S-1-5-21-3986473618-718959600-3308954732-1002..\Run: [Media Finder] "C:\Program Files (x86)\Media Finder\Media Finder.exe" /opentotray File not found
O8:64bit: - Extra context menu item: Download with &Media Finder - C:\Program Files (x86)\Media Finder\hook.html File not found
O8 - Extra context menu item: Download with &Media Finder - C:\Program Files (x86)\Media Finder\hook.html File not found
[2012/04/25 16:26:14 | 000,000,000 | ---D | M] -- C:\Users\Warkeur\AppData\Roaming\Babylon
[2012/07/25 00:58:23 | 000,000,000 | ---D | M] -- C:\Users\Warkeur\AppData\Roaming\Media Finder
[2012/05/04 17:53:53 | 000,000,000 | ---D | M] -- C:\Users\Warkeur\AppData\Roaming\Nosibay
@Alternate Data Stream - 228 bytes -> C:\ProgramData\Temp:F4CA4D70

:Files
C:\Program Files (x86)\Media Finder
C:\Users\Warkeur\AppData\Local\Temp\svchost.exe

:Commands
[emptytemp]
[resethosts]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

Note :  S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\

Hors ligne Warkeur

  • Membres
  • Members
  • Messages: 3
Re : Virus svchost.exe
« Réponse #4 le: décembre 28, 2012, 23:18:39 »
re
voila : http://security-x.fr/up/file.php?h=R88b5f1d7fe6ba309be556ae4516edc2a
et merci a toi car pour la première fois svchost.exe n'a pas réapparu

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : Virus svchost.exe
« Réponse #5 le: décembre 28, 2012, 23:20:54 »
Re,

Et il ne devait plus réapparaitre ;)

On va faire un scan Malwarebyte's pour finir :

Relance MalwareByte's Anti-Malware :

  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.
  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"

     :AAN

Tags: