Virus svchost sous windows 7 - Virus/Spywares - Windows & Software
Marsh Posté le 25-07-2012 à 11:56:39
Je me permet d'ajouter ma configuration de l'ordinateur si cela peut vous aider.
Processeur : i5 2550K
Carte Mère : msi Z68A-G43 G3
Mémoires : 4 x 4Go DDR3
Carte Graphique : msi N560GTX-Ti Twin Frozr 2
Disques Durs : 2 x 500Go
Marsh Posté le 25-07-2012 à 17:44:26
Salut.
Tu peux me poster le premier rapport de Combofix : C:\Combofix.txt ?
Puis :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
winlogon.exe
explorer.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
++
Marsh Posté le 25-07-2012 à 18:27:10
Tout d'abord, merci de t'occuper de mon cas aussi rapidement.
Pour le 1er rapport ComboFix, je ne l'ai plus (je sais fallait pas l'effacer dsl). J'ai quand même vérifié mais le seul fichier texte Combofix.txt que j'ai c'est celui que j'ai fourni.
J'ai réalisé le scan OTL comme tu me la demandé, voici les 2 fichiers qu'il m'a fourni :
le 1er nommé OTL.txt http://cjoint.com/?0GzsvUyc0Xa
le second nommé Extras.txt http://cjoint.com/?0GzsydI2MjC
Marsh Posté le 25-07-2012 à 18:31:39
Je viens de m'apercevoir que je n'avais pas désactivé ni Steam ni Avast pendant le scan OTL si besoin je referais le scan.
Pour le scan Combofix les 2 étaient désactivés.
Merci encore de traiter ma requête.
Marsh Posté le 25-07-2012 à 19:34:11
Re.
J'arrive pas à voir c'est quelle infection.
On va essayer avec un autre outil de diag :
Pas besoin de relancer OTL.
Marsh Posté le 25-07-2012 à 21:52:08
Re
Tout d'abord, j'ai un truc nouveau en ce début de soirée avast m'a averti de la présence d'un virus et c'est firefox.exe, 3 fois en 20 minutes de connection quand même.
Voici comme demandé le rapport de ZHPDiag : http://cjoint.com/?0GzvWcwY6cc
Merci du temps passé sur mon petit souci.
Marsh Posté le 26-07-2012 à 00:20:16
Pour Avast, on voit ça après. Déjà, tu as le rootkit TDSS : http://www.commentcamarche.net/faq [...] ss-alureon
Il peut provoquer des redirections :-)
++
Marsh Posté le 26-07-2012 à 23:25:27
Voici comme convenu le rapport TDSSKiller
http://cjoint.com/?0GAxtJAlJ18
Mais apparemment il a rien trouvé...
++
Marsh Posté le 26-07-2012 à 23:43:34
Salut.
Ok .. bon on va supprimer ce qu'il faut
ZHPFix
On va supprimer certains éléments. Si jamais il t'est demandé de désinstaller un logiciel, tu peux confirmer par OK.
[HKLM\Software\Babylon]
O43 - CFD: 16/07/2012 - 23:56:54 - [0] ----D C:\ProgramData\Babylon
O43 - CFD: 16/07/2012 - 23:56:54 - [0,005] ----D C:\Users\Ragnarock\AppData\Roaming\Babylon
O43 - CFD: 14/07/2012 - 00:34:18 - [14,359] ----D C:\Users\Ragnarock\AppData\Roaming\OpenCandy
O69 - SBI: SearchScopes [HKCU] {95B7759C-8C7F-4BF1-B163-73684A933233} [DefaultScope] - (AVG Secure Search) - http://isearch.avg.com
O69 - SBI: SearchScopes [HKCU] {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} - (MyStart Search) - http://mystart.incredibar.com
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
[MD5.197215658B8015182192E1EBCA3BBCC3] [SPRF][25/07/2012] (.Ask.com - AskIC Dynamic Link Library.) -- C:\Users\Ragnarock\AppData\Local\Temp\AskSLib.dll [246440]
[HKLM\Software\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}]
C:\Users\Ragnarock\AppData\LocalLow\Incredibar.com
Y'a des améliorations au niveau de svchost et des redirections ?
++
Marsh Posté le 27-07-2012 à 00:25:28
Je viens de faire la manipulation, voici le rapport :
http://cjoint.com/?0GBaeA4I0da
Pour les redirection je te confirme demain après avoir utilisé internet un peu plus, pour tester j'ai ouvert une bonne vingtaine de sites sans aucun problème...
Pour les applications svchost, il en reste une dizaine en activité (je pense que c'est normal?). Ce qui est flagrant c'est que sur la fenêtre Moniteur de ressources, l'utilisation du processeur est passé de 25-30% à 3-8% et de 90-98% à 40-45% de la fréquence maximale.
Merci et je poste demain en soirée pour faire le point sur les redirections.
Marsh Posté le 27-07-2012 à 00:30:30
Je précise tout de même que les processus svchost, je n'en ai plus dans le Gestionnaire des Tâches/Processus.
C'est dans Moniteur de Ressources/Vue d'ensemble que je vois les svchost.
Merci encore et à demain +++
Marsh Posté le 27-07-2012 à 00:38:15
Re.
Eh ben, on dirait qu'on est sur la bonne voie. Tant mieux, j'avais pas vraiment d'autre solution en réserve.
Ce qui est bizarre, c'est que le rapport affiche ceci :
Code :
|
Donc en gros, il a pas supprimé la valeur dans le registre (vu qu'il ne l'a pas trouvé). Tu pourrais me refaire un ZHPDiag pour voir si ces lignes sont toujours là ?
++
Marsh Posté le 27-07-2012 à 00:46:48
Voici le rapport ZHPDiag
http://cjoint.com/?0GBaQ4iE4Fw
Merci d'être encore en train d'aider les internautes comme moi à cette heure ci.
Pour moi la suite sera demain car je me lève tôt pour le taf demain bonne nuit et encore merci.
Marsh Posté le 27-07-2012 à 00:48:18
Nan mais je disais ça pour la prochaine fois où tu repasses. ^^
Tu peux aller dormir ! :-)
Marsh Posté le 27-07-2012 à 21:37:11
Yop, on va essayer de modifier le registre avec un logiciel plus puissant.
Registry::
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl]
"FEATURE_BROWSER_EMULATION"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl]
"FEATURE_BROWSER_EMULATION"=-
++
Marsh Posté le 27-07-2012 à 23:16:21
Salut,
Ce soir j'ai beaucoup surfé sur le net et la bonne nouvelle est qu'aucune redirection n'a eu lieu.
Par contre, après Firefox hier, aujourd'hui c'est Steam qui est devenu un virus pour Avast (2 fois en début de soirée). C'est bizarre et je sais pas si c'est lié avec mon souci svchost donc je préfère te le signaler.
Autre problème, plus ennuyeux je trouve, c'est l'Explorateur Windows qui cesse de fonctionner régulièrement puis repart. C'est arrivé une dizaine de fois en 2 heures de temps.
Je te met le rapport Combofix comme demandé : http://cjoint.com/?0GBxhxoNqRE
J'ai glissé le fichier sur l'icône, Combofix s'est lancé sans me donner d'instructions!! Je me demande si ma manipulation est réussi?
++
Marsh Posté le 27-07-2012 à 23:37:23
Oups, parler trop vite!!!
Je viens d'avoir droit à 1 redirection furtive c'est à dire que j'ai revu la page jaune mais je suis revenu à la page demandée dans la foulée.
+++
Marsh Posté le 28-07-2012 à 10:50:37
Bon en ce samedi noir sur internet!!
Aujourd'hui j'arrive difficilement à ouvrir une page internet, Firefox n’arrête pas de me rediriger sur une page à fond jaune où on peut lire :
Erreur d'analyse XML : aucun élément trouvé
Emplacement : jar:file:///CProgram%20Files/Mozilla%20Firefox/omni.ja!/chrome/toolkit/content/global/netError.xhtml
Numéro de ligne 1, Colonne 1 :
^
Dans la barre d'adresse on a :
http://us.yhs4.search.yahoo.com/yh [...] 6pqdnl4tny
La page n'arrête pas de s'actualiser.
Bon week-end ++++
Marsh Posté le 28-07-2012 à 14:30:33
Yop.
J'sais pas si t'as bien passé le script avec Combofix, m'enfin on verra après :-)
Note : le rapport se trouve aussi ici : C:\AdwCleaner[R1].txt.
Tu peux essayer de désinstaller complètement Firefox et de le réinstaller ?
Marsh Posté le 28-07-2012 à 15:02:11
Salut,
J'ai donc désinstallé complétement Firefox puis réinstallé.
Avant de lancer AdwCleaner, j'ai désactivé Avast.
Voici le rapport : http://cjoint.com/?0GCo7iMkNHm
+++
Marsh Posté le 28-07-2012 à 15:12:05
Re.
Note : le rapport se trouve aussi ici : C:\AdwCleaner[S1].txt.
Marsh Posté le 28-07-2012 à 21:15:54
Re salut,
Voila le rapport de suppression de AdwCleaner :
http://cjoint.com/?0GCvnnhgGSh
++
Marsh Posté le 28-07-2012 à 22:59:25
Du mieux avec le navigateur ?
Sinon c'est bizarre pour le script Combofix, il devrait mentionner quelque part pour la modification du registre.
Tu peux refaire un ZHPDiag pour voir si les lignes ont sauté ?
++
Marsh Posté le 29-07-2012 à 00:15:28
Pour le navigateur, j'ai pas eu de redirection depuis la nouvelle installation sinon arff j'ai perdu tous mes marques pages....
Sinon gros soulagement cette mer.. de IncredibleMachinTruc n'est plus là, du moins quand j'ouvre un nouvelle onglet. Merci pour ça^^
Pour le script, il a été pris en compte, enfin je pense, puisque dans le rapport Combofix on peut lire au début :
"Commutateurs utilisés :: c:\users\Ragnarock\Desktop\CFScript.txt"
J'ai refais ZHPDiag, voici le rapport : http://cjoint.com/?0GDaj2OEQQO
Merci ++
Marsh Posté le 29-07-2012 à 00:30:44
Re.
Quand je parlais du navigateur, c'était surtout pour ça :
Citation : Aujourd'hui j'arrive difficilement à ouvrir une page internet, Firefox n’arrête pas de me rediriger sur une page à fond jaune où on peut lire : |
Y'a encore ?
Sinon les deux lignes que j'voulais faire sauter sont toujours là ..... Je vais demander puis revenir vers toi
Sinon, toujours des détections de steam ? Firefox ?
++
Marsh Posté le 29-07-2012 à 08:31:29
Cette page jaune avec ce message je ne l'ai pas revue depuis la réinstallation de Firefox. Pourvu que ça dure...
Pour les détection Avast!!, il n'y en a pas eu depuis 2 jours avec Steam.
Par contre, j'ai toujours l'Explorateur Windows qui plante (moins souvent mais encore...), j'ai le message comme quoi il a cessé de fonctionner, l'ordinateur cherche un moment (pendant ce temps je ne peux plus rien faire tout est bloqué) puis tout remarche comme avant.
Merci à toi, tu as fait du bon travail et je t'en remercie. Entre les détection Avast, les redirections et les processus svchost, le pc n’avançait pas et rien qu'ouvrir une page internet était long et difficile quand je la voyait finalement!! Je parle même pas de lancer un jeu...
J'attend de tes nouvelles, profite de ton dimanche!!!
Marsh Posté le 29-07-2012 à 13:44:17
Yop.
Pour explorer.exe, on voit ça après x)
Faut vraiment qu'on fasse sauter ces lignes, car elles viennent du rootkit TDSS, qui était en cause de tous tes problèmes (svchost + redirections).
---------------
:reg
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl]
"FEATURE_BROWSER_EMULATION"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl]
"FEATURE_BROWSER_EMULATION"=-
------------------
Note : il se trouve aussi dans l'onglet Rapports/logs du menu principal
++
Marsh Posté le 29-07-2012 à 15:34:14
Bon je profite de la sieste de mes loulous pour faire les manipulations.
Voici les résultats :
OTM http://cjoint.com/?0GDpFOvwAU5
Malwarebyte'Anti-Malware http://cjoint.com/?0GDpGMyuUvj
A noter que le premier n'a connu aucun soucis (même pas de redémarrage) et le second n'a rien trouvé...
... la victoire est proche!
++
Marsh Posté le 29-07-2012 à 15:40:27
Bon, pourquoi il n'arrive pas à virer ces deux lignes.
Au niveau des redirections ça va mieux, svchost c'est bon aussi ? Les détections par ton AV aussi ? Reste juste l'explorateur donc ?
Marsh Posté le 29-07-2012 à 16:13:51
Bon, on m'a demandé de relancer TDSSKiller avec une option en plus.
Marsh Posté le 29-07-2012 à 17:26:47
http://www.malwarebytes.org/products/malwarebytes_free + un coup de spybot et l'histoire était régler.... soupoudrer de microsoft security essentials..moins chiant qu'un avast qui gueule chaque secondes pour rien.
Marsh Posté le 29-07-2012 à 19:19:41
Re,
Voici le rapport TDSSKiller http://cjoint.com/?0GDrH4VnOAM
Pour les redirections, plus depuis hier matin pourvu que ça dure.
Pour les processus svchost, leur nombre a beaucoup baissé (jusqu'à la normal j'espère...). Plus le problème du processeur (fréquence trop élevée) et donc le pc ne chauffe plus comme il y a quelques jours donc pour moi tout va bien.
Pour les détections Avast!, pas eu aujourd'hui ni hier soir donc ça a l'air d'aller.
Pour conclure, reste encore l'explorateur windows qui plante mais beaucoup plus rarement (1 seul fois aujourd'hui).
++
Marsh Posté le 30-07-2012 à 13:57:09
Salut.
Ok t'as plus les symtômes, on a tenté 3 outils de script pour virer les deux lignes que nous montrent ZHPDiag et ça rate.
On va juste exporter ces deux clefs pour voir si le problème ne viendrait pas de ZHPDiag.
Code :
|
++
Marsh Posté le 30-07-2012 à 22:01:42
Quand je fais la manipulation, j'obtiens un fichier .reg que j'ai ouvert avec le bloc Notes de Windows.
Je me permet de le copier coller ici vu qu'il n'est pas très long. Le logiciel termine en disant que l'opération s'est déroulée avec succès.
Export_30_07_2012_21_55 :
Windows Registry Editor Version 5.00
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION]
"svchost.exe"=dword:00001f40
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl\feature_enable_ie_compression]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN]
"iexplore.exe"=dword:00000001
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl]
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION]
"svchost.exe"=dword:00001f40
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl\feature_enable_ie_compression]
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN]
"iexplore.exe"=dword:00000001
++
Marsh Posté le 30-07-2012 à 22:15:21
Oui c'est bien ça qu'il faut.
:reg
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION]
"svchost.exe"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION]
"svchost.exe"=-
Là j'espère que ça va donner quelque chose
++
Marsh Posté le 30-07-2012 à 22:25:46
Citation : Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION\\svchost.exe deleted successfully. |
Enfin
Bon bah on dirait qu'on l'a enfin eu tu peux faire un dernier ZHPDiag de contrôle ?
++
Marsh Posté le 30-07-2012 à 22:34:32
Voici le contrôle ZHPDiag
http://cjoint.com/?0GEwGbOphwX
Je croise les doigts !!! Je viens de mettre une bouteille au frigo, j'espère pouvoir l'ouvrir?
Marsh Posté le 25-07-2012 à 11:46:43
Bonjour a tout le monde,
Je me décide à poster et à vous demander de l'aide car malgrès la lecture de nombreux sujets sur ce problème. Je n'ai pas pu le résoudre seul et souvent la réponse est personnalisée.
Voila mon souci a commencer depuis quelques jours, mon navigateur firefox est souvent redirigé vers une page suspecte, mon ordinateur chauffe plus que d'habitude (air chaud degagé par les ventilateurs et dans le bios cpu à 65 apres 1 heure!! en tant normal dépasse rarement les 50), dans Gestionnaire des tâches on peut voir de nombreuses applications svchost.exe qui utilise beaucoup le processeur et enfin hier mon antivirus avast! n'a pas arrété les alertes sur svchost (toutes les 2 minutes!!!).
Bref on voit souvent ce genre de symptômes dans des sujets de forum. Comme indiqué dans de nombreux forum, j'ai télécharger ComboFix et je l'ai lancé. Depuis Avast! me laisse tranquille mais pour les redirection internet et les multiples svchost le problème reste entier...
Je viens de relancer ComboFix et je vous met le rapport : http://cjoint.com/?0GzlPBVyXRj
Sur tout les forums que j'ai lu depuis 2-3 jours, j'ai pu voir de nombreux logiciels utilisés. J'ai choisi d'utiliser ComboFix car il revenait souventdans les post. J'attend vos conseils et instructions.
J'écris ce message avec un autre ordinateur car le problème de redirection est très pénible en ce moment, j'ai du mal à ouvrir rien qu'une page internet.
PS: merci d'avance de prendre de votre temps pour regarder mon souci.