pc infecté svchost.exe et autreRésolu/Fermé

Question

Bonjour, 



Configuration: Windows 7 / Firefox 28.0


depuis quelque temps j'ai des soucis avec mon pc portable et je pense qu'il est plein de saleté.

pour commencer, j'ai une fenêtre ms-dos qui s'ouvre à chaque démarrage de mon pc (svchost.exe).

ensuite hier je me suis aperçu que j'avais deux nouveaux dossiers supplémentaire dans  "C:\Users"
un administrateur et l'autre avec un nom bizarre, j'ai tout supprimer et lancé scan en ligne avec bitdefender, scan malwarebytes.

le scan en ligne à rien trouver sauf des choses provenant de jeu mais qui n'ont rien à voir.
par contre malwarebytes trouve systématiquement des choses. 
j'ai beau les mettre en quarantaine, quand je relance un scan il trouve toujours quelque chose.

je vous poste le rapport Zhpdiag:

https://www.cjoint.com/?DDcocUrNOsj

merci pour votre aide.
cordialement.

Malekal_morte- · Answer

Salut,


ouaip infecté.

Scan Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour puis lance un examen.

A la fin du scan, clic sur "Mettre tout en quarantaine" en bas à gauche.
Redémarre l'ordinateur si besoin.
Après redémarrage, relance Malwarebytes.
Vas chercher le rapport dans l'onglet Historique.
A gauche Journal des examens.
Doube-clic sur l'examen dans la liste.
Puis en bas Copier dans le presse papier
et colle ici le rapport dans un message en réponse.

toms32 · Answer

Salut Malekal_morte et merci pour ta réponse.

voici le rapport:

Malwarebytes Anti-Malware
www.malwarebytes.org

Date de l'examen: 02/04/2014
Heure de l'examen: 14:19:35
Fichier journal: 
Administrateur: Oui

Version: 2.00.0.1000
Base de données Malveillants: v2014.04.02.04
Base de données Rootkits: v2014.03.27.01
Licence: Essai
Protection contre les malveillants: Activé(e)
Protection contre les sites Web malveillants: Activé(e)
Chameleon: Désactivé(e)

Système d'exploitation: Windows 7 Service Pack 1
Processeur: x64
Système de fichiers: NTFS
Utilisateur: tom

Type d'examen: Examen "Menaces"
Résultat: Terminé
Objets analysés: 234736
Temps écoulé: 11 min, 44 sec

Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Désactivé(e)
Shuriken: Activé(e)
PUP: Activé(e)
PUM: Activé(e)

Processus: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Clés du Registre: 0
(No malicious items detected)

Valeurs du Registre: 1
Trojan.Agent, HKU\S-1-5-21-3633052135-1283262751-4131958132-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Processus hôte pour les services Windows, C:\Users	om\AppData\Roaming\sys32\svchost.exe, Mis en quarantaine, [464652d392e9a98d15c0235dc83a49b7]

Données du Registre: 0
(No malicious items detected)

Dossiers: 1
Stolen.Data, C:\Users	om\AppData\Roaming\imlgs, Mis en quarantaine, [810b60c5710aa0969ff6fb670ef4659b], 

Fichiers: 2
Stolen.Data, C:\Users	om\AppData\Roaming\imlgs\01-04-2014, Mis en quarantaine, [810b60c5710aa0969ff6fb670ef4659b], 
Trojan.Agent, C:\Users	om\AppData\Roaming\sys32\svchost.exe, Mis en quarantaine, [464652d392e9a98d15c0235dc83a49b7], 

Secteurs physiques: 0
(No malicious items detected)


(end)

Malekal_morte- · Answer

Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\*.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%windir%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT   
nslookup https://www.google.fr/?gws_rd=ssl /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

toms32 · Answer

voici le rapport  OTL.txt:

https://pjjoint.malekal.com/files.php?id=20140402_p9n11q14v6n6


et extra.txt:

https://pjjoint.malekal.com/files.php?id=20140402_s6x13i13z13o5

Malekal_morte- · Answer

Tu n'as pas fait le scan OTL avec le script donné.

toms32 · Answer

salut Malekal_morte,

désolé je ne pouvais pas refaire le scan avant.

donc voici le rapport:

https://pjjoint.malekal.com/files.php?id=20140403_l8u115e7h9

Malekal_morte- · Answer

Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  


:OTL
O20:[b]64bit:[/b] - AppInit_DLLs: (C:\PROGRA~3\ASSIST~1\ASSIST~2.DLL) - C:\ProgramData\Assistant\Assistant_x64.dll ()  
MsConfig:64bit - StartUpReg: [b]v75J39uB[/b] - hkey= - key= - C:\Users	om\q97S76hS\svchost.exe () 
[2014/03/30 20:06:18 | 000,000,000 | ---D | C] -- C:\ProgramData\Assistant 
[2014/03/30 06:37:00 | 000,000,000 | ---D | C] -- C:\ProgramData\Puresafe 
[2014/03/30 06:36:53 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\SW-Booster 
[2014/03/30 06:36:05 | 000,000,000 | ---D | C] -- C:\ProgramData\safeweb 
[2014/03/30 06:36:05 | 000,000,000 | ---D | C] -- C:\Users	om\AppData\Local\Packages  
[2014/03/30 06:36:03 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\safeweb 
[2014/03/11 17:06:08 | 000,000,000 | -HSD | C] -- C:\Users	om\q97S76hS 
[2014/02/28 11:55:28 | 000,281,600 | -HS- | C] () -- C:\Users	om\c21U36vA.KT1 
[2014/02/01 23:49:37 | 000,000,000 | -HS- | C] () -- C:\Users	om\AppData\Local\LumaEmu 
2014/03/30 06:37:48 | 000,507,660 | ---- | M] () -- C:\Users	om\AppData\Local\Temp\P238993\2014033063724.exe  
:files
C:\ProgramData\Assistant\



* poste le rapport ici 


Redémarre l'ordinateur

toms32 · Answer

bonjour Malekal_morte,


donc voici le rapport:

========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartUpReg\v75J39uB/b\ not found.
C:\ProgramData\Assistant folder moved successfully.
C:\ProgramData\Puresafe\SW-Booster\619517029 folder moved successfully.
C:\ProgramData\Puresafe\SW-Booster folder moved successfully.
C:\ProgramData\Puresafe\Setup folder moved successfully.
C:\ProgramData\Puresafe folder moved successfully.
C:\Program Files (x86)\SW-Booster folder moved successfully.
C:\ProgramData\safeweb folder moved successfully.
C:\Users	om\AppData\Local\Packages\windows_ie_ac_001\AC\{8275E696-98ED-851D-BA91-B6ED0C61F4A1} folder moved successfully.
C:\Users	om\AppData\Local\Packages\windows_ie_ac_001\AC\{4990CBD1-E51D-3650-D4D5-E32A81D1223D} folder moved successfully.
C:\Users	om\AppData\Local\Packages\windows_ie_ac_001\AC folder moved successfully.
C:\Users	om\AppData\Local\Packages\windows_ie_ac_001 folder moved successfully.
C:\Users	om\AppData\Local\Packages folder moved successfully.
C:\Program Files (x86)\safeweb folder moved successfully.
C:\Users	om\q97S76hS folder moved successfully.
C:\Users	om\c21U36vA.KT1 moved successfully.
C:\Users	om\AppData\Local\LumaEmu moved successfully.
========== FILES ==========
Folder C:\ProgramData\Assistant not found.
 
OTL by OldTimer - Version 3.2.69.0 log created on 04042014_041337


merci pour votre aide.

Malekal_morte- · Answer

Je pense qu'on est au bout.
Garde Malwarebytes.

Change tous tes mots de passe (Mail, Facebook etc).
Ils peuvent avoir été volés.

toms32 · Answer

super, un grand merci Malekal_morte pour ton aide et ta patience.

Malekal_morte- · Answer

Pas de problème :)



Désactive Java de tes navigateurs WEB  : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

Pc infecté svchost.exe et autre

11 réponses

Newsletters