Security-X

Forum Security-X => Désinfections => Discussion démarrée par: Warkeur le décembre 28, 2012, 15:32:36

Titre: Virus svchost.exe
Posté par: Warkeur le décembre 28, 2012, 15:32:36
Bonjour j'ai un virus qui se nomment svchost.exe qui ce situe C:\Users\Warkeur\AppData\Local\Temp\svchost.exe  j'ai essayer de le viré en utilisent plusieurs méthode mais le problème c'est qu'il réaparé a chaque foi que mon ordi redémarre donc quand je le supprime avec Malwarebytes Anti-Malware a la fin il demande de redémarré l'ordinateur qu'il soit bien supprimé et quand mon ordinateur a redémarré le virus est toujours la donc j'aimerais savoir si il y a un moyen pour que le virus soit viré pour de bon?
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi16.servimg.com%2Fu%2Ff16%2F15%2F61%2F18%2F22%2Fpc10.png&hash=2facc602ba00335384094a9b92df1635c45acd7e) (http://www.servimg.com/image_preview.php?i=50&u=15611822)
Titre: Re : Virus svchost.exe
Posté par: hyunkel30 le décembre 28, 2012, 19:11:32
Bonsoir Warkeur,

Bienvenu sur Security-X,

Nous allons regarder cela :

Télécharge OTL (http://oldtimer.geekstogo.com/OTL.exe) (de Old Timer) sur ton bureau.


Code: [Sélectionner]
netsvcs
msconfig
drivers32
activex
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
kernel32.dll
services.exe
svchost.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT

Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)

Note : Les rapports sont aussi enregistrés sur le bureau
Titre: Re : Virus svchost.exe
Posté par: Warkeur le décembre 28, 2012, 20:31:20
Voila hyunkel
OTL.txt : http://security-x.fr/up/file.php?h=Rdaa5a4a59ddc9b50b44119afe16e5b97
Extras.txt : http://security-x.fr/up/file.php?h=Rb3794cb0339fb74c8f9ff3db61047ef9
Titre: Re : Virus svchost.exe
Posté par: hyunkel30 le décembre 28, 2012, 22:33:45
Re,

Ok, toujours infecté effectivement, nous allons nettoyer : (à priori infection par support amovible, clé usb, etc ...)

1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

- Java(TM) 6 Update 22
- Java(TM) 6 Update 31 (versions obsolètes et vulnérables, tu possèdes une plus récente)

- BabylonObjectInstaller (sponsor publicitaire)


2) Relance  OTL.exe

(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

/!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\


Code: [Sélectionner]

:OTL
IE - HKU\S-1-5-21-3986473618-718959600-3308954732-1002\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?affID=110819&tt=3012_5&babsrc=HP_ss&mntrId=dcfcb61000000000000020107a2d0fcd
IE - HKU\S-1-5-21-3986473618-718959600-3308954732-1002\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=110819&tt=3012_5&babsrc=SP_ss&mntrId=dcfcb61000000000000020107a2d0fcd
O3 - HKU\S-1-5-21-3986473618-718959600-3308954732-1002\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O4 - HKLM..\Run: [Adobe] C:\ProgramData\Adobe\2828053.vbe ()
O4 - HKU\S-1-5-21-3986473618-718959600-3308954732-1002..\Run: [Bubble Dock] "C:\Users\Warkeur\AppData\Roaming\Nosibay\Bubble Dock\LBubble Dock.exe" /winstartup File not found
O4 - HKU\S-1-5-21-3986473618-718959600-3308954732-1002..\Run: [Media Finder] "C:\Program Files (x86)\Media Finder\Media Finder.exe" /opentotray File not found
O8:64bit: - Extra context menu item: Download with &Media Finder - C:\Program Files (x86)\Media Finder\hook.html File not found
O8 - Extra context menu item: Download with &Media Finder - C:\Program Files (x86)\Media Finder\hook.html File not found
[2012/04/25 16:26:14 | 000,000,000 | ---D | M] -- C:\Users\Warkeur\AppData\Roaming\Babylon
[2012/07/25 00:58:23 | 000,000,000 | ---D | M] -- C:\Users\Warkeur\AppData\Roaming\Media Finder
[2012/05/04 17:53:53 | 000,000,000 | ---D | M] -- C:\Users\Warkeur\AppData\Roaming\Nosibay
@Alternate Data Stream - 228 bytes -> C:\ProgramData\Temp:F4CA4D70

:Files
C:\Program Files (x86)\Media Finder
C:\Users\Warkeur\AppData\Local\Temp\svchost.exe

:Commands
[emptytemp]
[resethosts]



Note :  S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
Titre: Re : Virus svchost.exe
Posté par: Warkeur le décembre 28, 2012, 23:18:39
re
voila : http://security-x.fr/up/file.php?h=R88b5f1d7fe6ba309be556ae4516edc2a
et merci a toi car pour la première fois svchost.exe n'a pas réapparu
Titre: Re : Virus svchost.exe
Posté par: hyunkel30 le décembre 28, 2012, 23:20:54
Re,

Et il ne devait plus réapparaitre ;)

On va faire un scan Malwarebyte's pour finir :

Relance MalwareByte's Anti-Malware :