J'en peux plus de ce virus sur le Svchost !

J'en peux plus de ce virus sur le Svchost ! - Virus/Spywares - Windows & Software

Marsh Posté le 08-10-2012 à 19:52:01    

Bonjour à tous et à toutes !
 
Voilà comme le titre l'indique, la demoiselle d'Avast n'arrête pas de me rappeler qu'un "url:mal" a été bloqué, blablabla, et après quelques recherches sur le net, je vois que chaque cas est traité différement malgré les similitudes !  
 
C'est la première fois que je suis attaqué par un virus, mon père n'est plus là pour m'aider, et je suis pas trop débrouillard !  
 
Voici mon analyse de ZHPDiag, je sais pas ce que vous pouvez y lire, mais j'ai cru comprendre que ça vous est très utile ! Je vous remercie énormément d'avance si vous acceptez de m'aider !
 
http://cjoint.com/?BJitYP56cZF

Reply

Marsh Posté le 08-10-2012 à 19:52:01   

Reply

Marsh Posté le 08-10-2012 à 20:54:53    

Yop.
 
1) Désinstalle Spybot : il est inutile à part pour ralentir ton PC
2) C'est toi qui a installé un proxy ?  
3) On va essayer de virer le truc du svchost :P
 
• Télécharge TDSSKiller sur ton bureau
• Double-clique dessus (sous Vista/Seven => Clic droit puis Exécuter en tant qu'administrateur)
• Clique sur Change parameters, coche Detect TDLFS file system puis OK
• Clique sur Start scan et patiente durant le scan
• Si TDSS.tdl2 est détecté, assure-toi que l'option Delete soit bien cochée
• Si TDSS.tdl3, TDSS.tdl4(HardDisk0MBR) ou un autre élément néfaste est détecté, assure-toi que l'option Cure soit bien cochée
• Si Suspicious file est indiqué, assure-toi que l'option Skip soit bien cochée
• Si l'outil te le demande, redémarre le PC, sinon éteint juste l'outil
• Héberge le rapport ICI  
Note : le rapport se trouve aussi ici : C:\TDSSKiller.VERSION_DATE_HEURE_log.txt
 
++

Reply

Marsh Posté le 08-10-2012 à 21:26:42    

Salut, merci de ta réponse !
 
Je cherche spybot sur ccleaner pour le désinstaller mais je le vois nulle part ? c'est pas normal je suppose :'(
 
C'est quoi un proxy ?  Si c'est une connexion genre en asie , oui c'est moi c'était pour la sortie de guild wars 2 j'ai fait une manipulation qui permettait d'avoir quelques heures d'avance sur la bêta !
 
Je suis en train d'installer tdsskiller j'upload le truc bientot !

Reply

Marsh Posté le 08-10-2012 à 21:35:35    

J'ai 4 log, je sais pas si c'est normal donc j'upload les 4 ! Mon virus, si je me rappelle bien, était un win32.aml ou quelque chose comme ça ! J'ai fait "cure" du coup sur tes conseils avisés !
 
http://cjoint.com/?BJivH2LQPxm
http://cjoint.com/?BJivJaiCKrv
http://cjoint.com/?BJivJnXpfct
http://cjoint.com/?BJivJBGQFfr

Reply

Marsh Posté le 08-10-2012 à 21:38:20    

Oula ..  
 
Bon, redémarre ton PC, puis fais ceci :
 
• Télécharge RogueKiller (de Tigzy) sur ton bureau
• Quitte tous tes programmes puis lance le  
• Quand le préscan est fini, appuie sur Scan
• A la fin de ce scan, clique sur Rapport et copie/colle moi son contenu
 
+ un nouveau rapport ZHPDiag
 
Et me dire si y'a encore les alertes Avast ?
 
++

Reply

Marsh Posté le 08-10-2012 à 21:39:38    

Après le scan de tdsskiller, j'en ai pas eu pour l'instant, j'suis resté 5 minutes sur internet, normalement j'en aurai déjà eu... Ca a l'air bon signe, je fais ce que tu me dis et j'te up tout ça ! T'en vas pas trop loin :P  
 
Merci beaucoup, tu me sauves ! <3

Reply

Marsh Posté le 08-10-2012 à 21:46:28    

Code :
  1. RogueKiller V8.1.1 [03/10/2012] par Tigzy
  2. mail: tigzyRK<at>gmail<dot>com
  3. Remontees: http://www.sur-la-toile.com/discus [...] ntees.html
  4. Website: http://www.sur-la-toile.com/RogueKiller/
  5. Blog: http://tigzyrk.blogspot.com
  7. Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
  8. Demarrage : Mode normal
  9. Utilisateur : valentin [Droits d'admin]
  10. Mode : Recherche -- Date : 08/10/2012 21:41:20
  12. ¤¤¤ Processus malicieux : 0 ¤¤¤
  14. ¤¤¤ Entrees de registre : 8 ¤¤¤
  15. [TASK][SUSP PATH] {CA96E311-E0A4-4506-9DB7-BB66654CD02B} : C:\Windows\System32\pcalua.exe -a "C:\Users\valentin\Desktop\Enigma's Recommended item Changer\Association Installer.exe" -d "C:\Users\valentin\Desktop\Enigma's Recommended item Changer" -> TROUVÉ
  16. [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (219.83.62.50:8080) -> TROUVÉ
  17. [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ
  18. [HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
  19. [HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ
  20. [HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ
  21. [HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
  22. [HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
  24. ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
  26. ¤¤¤ Driver : [CHARGE] ¤¤¤
  28. ¤¤¤ Fichier HOSTS: ¤¤¤
  29. --> C:\Windows\system32\drivers\etc\hosts
  31. 127.0.0.1 192.150.14.69
  32. 127.0.0.1 192.150.18.101
  33. 127.0.0.1 192.150.18.108
  34. 127.0.0.1 192.150.22.40
  35. 127.0.0.1 192.150.8.100
  36. 127.0.0.1 192.150.8.118
  37. 127.0.0.1 209-34-83-73.ood.opsource.net
  38. 127.0.0.1 3dns-1.adobe.com
  39. 127.0.0.1 3dns-2.adobe.com
  40. 127.0.0.1 3dns-2.adobe.com
  41. 127.0.0.1 3dns-3.adobe.com
  42. 127.0.0.1 3dns-3.adobe.com
  43. 127.0.0.1 3dns-4.adobe.com
  44. 127.0.0.1 3dns.adobe.com
  45. 127.0.0.1 activate-sea.adobe.com
  46. 127.0.0.1 activate-sea.adobe.com
  47. 127.0.0.1 activate-sjc0.adobe.com
  48. 127.0.0.1 activate-sjc0.adobe.com
  49. 127.0.0.1 activate.adobe.com
  50. 127.0.0.1 activate.adobe.com
  51. [...]
  54. ¤¤¤ MBR Verif: ¤¤¤
  56. +++++ PhysicalDrive0: WDC WD5000AAKX-001CA0 ATA Device +++++
  57. --- User ---
  58. [MBR] 9edcb87e0af14337840754966846c393
  59. [BSP] 8b1136d5ed9b8fc0ebde9a225d8bfab3 : Windows 7 MBR Code
  60. Partition table:
  61. 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 476929 Mo
  62. User = LL1 ... OK!
  63. User = LL2 ... OK!
  65. +++++ PhysicalDrive1: SAMSUNG HD103SI USB Device +++++
  66. --- User ---
  67. [MBR] 4b96bd30ef1c7ebc7e2d481ab178083d
  68. [BSP] 454cad62d1c41a1628be33a62f608ccd : MBR Code unknown
  69. Partition table:
  70. 0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 63 | Size: 953867 Mo
  71. User = LL1 ... OK!
  72. Error reading LL2 MBR!
  74. Termine : << RKreport[2].txt >>
  75. RKreport[1].txt ; RKreport[2].txt


 
 
 
 
 
 
 
http://cjoint.com/?BJivUc8r1YV

Reply

Marsh Posté le 08-10-2012 à 21:47:36    

Autre questions, dois-je garder tout les programmes, du style ZHPDiag, MBRCheck (??? je sais pas d'ou ça vient), TDSSKiller, Roguekiller, qui sont sur mon bureau ?

Reply

Marsh Posté le 08-10-2012 à 22:19:13    

Re.
 
Laisse les outils, on les supprimera tout d'un coup à la fin. Pour ton bien, on fait mieux de faire une désinfection du début à la fin, et non seulement virer "la grosse infection qui te gène" puis c'est tout.
 
---------------------------
 
Est-ce que tu utilises une version officielle de windows ? C'pas que j'ai des soupçons, mais il arrive que le fichier hosts soit modifié si ce n'est pas le cas, et ce soir mon cerveau est trop out pour réfléchir  :lol: Si tu utilises effectivement une version officielle, fais ceci :
 
• Quitte tous tes programmes puis relance RogueKiller  
• Quand le préscan est fini, appuie sur Host RAZ
• Dès que c'est fini, clique sur Rapport et copie/colle moi son contenu
 
---------------------------
 

Code :
  1. [TASK][SUSP PATH] {CA96E311-E0A4-4506-9DB7-BB66654CD02B} : C:\Windows\System32\pcalua.exe -a "C:\Users\valentin\Desktop\Enigma's Recommended item Changer\Association Installer.exe" -d "C:\Users\valentin\Desktop\Enigma's Recommended item Changer" -> TROUVÉ


Qu'est-ce que ce dossier et ce fichier ? Ils sont sur ton bureau, si ceci t'appartiennent, dans RogueKiller décoche le case à gauche de la ligne, puis passe la suppression.
 
---------------------------
 
Puis quelques adwares :
• Télécharge AdwCleaner (d'Xplode) sur ton bureau
• Lance le puis choisis Recherche
• Dès que c'est fini, un rapport s'ouvre : héberge-le ici
Note : le rapport se trouve aussi ici : C:\AdwCleaner[R1].txt
 
---------------------------
 
J'repasse demain, j'suis out ^^
 
++

Reply

Marsh Posté le 08-10-2012 à 22:27:50    

Salut, bon bah j'vais jouer la carte de l'honnêteté, il est pas très très officiel mon 7 :s

Reply

Marsh Posté le 08-10-2012 à 22:27:50   

Reply

Marsh Posté le 08-10-2012 à 22:37:27    

Fais pas le Hosts Raz de RogueKiller alors, mais la suite oui :)

Reply

Marsh Posté le 09-10-2012 à 07:29:46    

http://cjoint.com/?BJjhCkF9d3y
 
Oui le fichier m'appartient, c'est un petit utilitaire pour un jeu qui s'appelle league of legends ^^
 
Merci de continuer à m'aider ! Je pensais que ma réponse allait faire fermer ce poste ! Je passerai après l'école pour savoir si je suis bien débarassé de cette saleté, mais ça m'a l'air tout bon ^^

Reply

Marsh Posté le 09-10-2012 à 18:44:21    

Yop !
 
J'ai pas ce genre de dossier moi, avec LoL :o  
 
Sinon, t'as un paquet d'adwares quand même x)
 
Fais gaffe à ne pas installer n'importe quoi, renseigne-toi bien sur chaque logiciel (surtout les gratuits) avant d'installer. Et lors de l'installation, fais gaffe à bien décocher les options en trop (installe des adwares = ouvrent les pubs).  
 
Désinstalle dans le panneau de configuration (si tu trouves), tout ce qui concerne : Babylon - Ilivid - MediaFinder - Tarma
 
• Relance AdwCleaner puis choisis Suppression
• Dès que c'est fini, l'ordinateur redémarre et le rapport s'ouvre : héberge-le comme avant
Note : le rapport se trouve aussi ici : C:\AdwCleaner[S1].txt.
 
----------------------
 
Pour RogueKiller, relance un scan, décoche la ou les lignes concernant le dossier de LoL puis passe la suppression  :)  
 
----------------------
 
Puis un dernier (normalement  :whistle:) ZHPDiag !
 
++

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed