Security-X
Forum Security-X => Désinfections => Discussion démarrée par: Warkeur le décembre 28, 2012, 15:32:36
-
Bonjour j'ai un virus qui se nomment svchost.exe qui ce situe C:\Users\Warkeur\AppData\Local\Temp\svchost.exe j'ai essayer de le viré en utilisent plusieurs méthode mais le problème c'est qu'il réaparé a chaque foi que mon ordi redémarre donc quand je le supprime avec Malwarebytes Anti-Malware a la fin il demande de redémarré l'ordinateur qu'il soit bien supprimé et quand mon ordinateur a redémarré le virus est toujours la donc j'aimerais savoir si il y a un moyen pour que le virus soit viré pour de bon?
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi16.servimg.com%2Fu%2Ff16%2F15%2F61%2F18%2F22%2Fpc10.png&hash=2facc602ba00335384094a9b92df1635c45acd7e) (http://www.servimg.com/image_preview.php?i=50&u=15611822)
-
Bonsoir Warkeur,
Bienvenu sur Security-X,
Nous allons regarder cela :
Télécharge OTL (http://oldtimer.geekstogo.com/OTL.exe) (de Old Timer) sur ton bureau.
- Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur") - Coche en haut la case devant "Tous les utilisateurs"
- Coche "Avec liste Blanche" sous "Registre: approfondi"
- Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
netsvcs
msconfig
drivers32
activex
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
kernel32.dll
services.exe
svchost.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT
- Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
- A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
Note : Les rapports sont aussi enregistrés sur le bureau
-
Voila hyunkel
OTL.txt : http://security-x.fr/up/file.php?h=Rdaa5a4a59ddc9b50b44119afe16e5b97
Extras.txt : http://security-x.fr/up/file.php?h=Rb3794cb0339fb74c8f9ff3db61047ef9
-
Re,
Ok, toujours infecté effectivement, nous allons nettoyer : (à priori infection par support amovible, clé usb, etc ...)
1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :
Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure
- Java(TM) 6 Update 22
- Java(TM) 6 Update 31 (versions obsolètes et vulnérables, tu possèdes une plus récente)
- BabylonObjectInstaller (sponsor publicitaire)
2) Relance OTL.exe
- Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
/!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\
- Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.
:OTL
IE - HKU\S-1-5-21-3986473618-718959600-3308954732-1002\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?affID=110819&tt=3012_5&babsrc=HP_ss&mntrId=dcfcb61000000000000020107a2d0fcd
IE - HKU\S-1-5-21-3986473618-718959600-3308954732-1002\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=110819&tt=3012_5&babsrc=SP_ss&mntrId=dcfcb61000000000000020107a2d0fcd
O3 - HKU\S-1-5-21-3986473618-718959600-3308954732-1002\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O4 - HKLM..\Run: [Adobe] C:\ProgramData\Adobe\2828053.vbe ()
O4 - HKU\S-1-5-21-3986473618-718959600-3308954732-1002..\Run: [Bubble Dock] "C:\Users\Warkeur\AppData\Roaming\Nosibay\Bubble Dock\LBubble Dock.exe" /winstartup File not found
O4 - HKU\S-1-5-21-3986473618-718959600-3308954732-1002..\Run: [Media Finder] "C:\Program Files (x86)\Media Finder\Media Finder.exe" /opentotray File not found
O8:64bit: - Extra context menu item: Download with &Media Finder - C:\Program Files (x86)\Media Finder\hook.html File not found
O8 - Extra context menu item: Download with &Media Finder - C:\Program Files (x86)\Media Finder\hook.html File not found
[2012/04/25 16:26:14 | 000,000,000 | ---D | M] -- C:\Users\Warkeur\AppData\Roaming\Babylon
[2012/07/25 00:58:23 | 000,000,000 | ---D | M] -- C:\Users\Warkeur\AppData\Roaming\Media Finder
[2012/05/04 17:53:53 | 000,000,000 | ---D | M] -- C:\Users\Warkeur\AppData\Roaming\Nosibay
@Alternate Data Stream - 228 bytes -> C:\ProgramData\Temp:F4CA4D70
:Files
C:\Program Files (x86)\Media Finder
C:\Users\Warkeur\AppData\Local\Temp\svchost.exe
:Commands
[emptytemp]
[resethosts]
- Puis clique sur le bouton Correction en haut à gauche
- Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
- Poste le rapport de suppression s'il apparait.
Note : S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
-
re
voila : http://security-x.fr/up/file.php?h=R88b5f1d7fe6ba309be556ae4516edc2a
et merci a toi car pour la première fois svchost.exe n'a pas réapparu
-
Re,
Et il ne devait plus réapparaitre ;)
On va faire un scan Malwarebyte's pour finir :
Relance MalwareByte's Anti-Malware :
- Lance-le et met à jour la base de définition.
- Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
- Sélectionne les disques dur et clique sur "Lancer l'examen"
- Laisse l'analyse se faire (cela peut durer longtemps).
- A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
- Puis clique sur "Supprimer la sélection" en bas.
- Un redémarrage peut être nécessaire.
- Un rapport va s'afficher, enregistre-le sur ton bureau.
- ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
:AAN