Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
662 connectés 

  FORUM HardWare.fr
  Windows & Software
  Virus/Spywares

  [RESOLU]Virus venant de firefox.exe et de svchost.exe ! besoind d'aide

 



 Mot :   Pseudo :  
 
 Page :   1  2
Page Précédente
Auteur Sujet :

[RESOLU]Virus venant de firefox.exe et de svchost.exe ! besoind d'aide

n°2939874
tilo106
Posté le 12-04-2010 à 16:03:01  profilanswer
 

Bonjour,
 
Depuis quelques jours, mon antivirus(norton) m'alerte en permanence d'un virus venant de firefox.exe et parfois venant de svchost.exe!
De plus, des fenêtres suspectes s'affichent aléatoirement lorsque je suis sous firefox.
J'ai aussi remarqué que lorsque je tapais un mot dans la barre de recherche google, l'antivirus m'alerte quasi systématiquement..
 
Voilà, j'aimerais donc savoir comment faire pour me débarrasser de cette sal****?
 
Sachant que j'ai déjà effectué une analyse avec norton, spybot,MAM et Ccleaner. :heink:  
 
Merci d'avance !


Message édité par tilo106 le 18-04-2010 à 14:52:18
mood
Publicité
Posté le 12-04-2010 à 16:03:01  profilanswer
 

n°2939879
glops31
Posté le 12-04-2010 à 16:44:40  profilanswer
 

bonjour
 
nous allons faire un diagnostic complet de ton système pour cela:
 

  • Télécharge ZHPDiag
  • Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
  • Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
  • Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
  • Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.


ne poste pas le rapport directement sur ce forum


---------------
Stop aux Malwares Une désinfection inachevée est inutile
n°2939892
tilo106
Posté le 12-04-2010 à 17:32:54  profilanswer
 
n°2939896
glops31
Posté le 12-04-2010 à 18:34:00  profilanswer
 

peux tu me montrer les rapports d'alerte et d'analyse de Norton et d'analyse par MBAM stp?
ou au moins me donner le chemin exact des fichiers "infectés"
 


---------------
Stop aux Malwares Une désinfection inachevée est inutile
n°2939899
tilo106
Posté le 12-04-2010 à 19:04:51  profilanswer
 

glops31 a écrit :

peux tu me montrer les rapports d'alerte et d'analyse de Norton et d'analyse par MBAM stp?
ou au moins me donner le chemin exact des fichiers "infectés"
 


 
Voici ce qui est écrit dans norton:
 
Nom du risque:HTTP Tidserv Request
Ordinateur attaquant:zl091kha664.com (213.163.89.106,90)
L'attaque provient de \DEVICE\HARDDISK VOLUME1\PROGRAMFILES\MOZILLA FIREFOX\FIREFOX.EXE
 
Nom du risque:HTTPS Tidserv Request2
Ordinateur attaquant: 61.61.20.132, 443
L'attaque provient de \DEVICE\HARDDISK VOLUME1\WINDOWS\SYSTEM32\SVCHOST.EXE

n°2939934
glops31
Posté le 12-04-2010 à 23:46:40  profilanswer
 

Je ne t'ai pas oublié
 
Tu es victime d'une infection par Backdoor (Porte dérobée)
Ce type d'attaque permet aux pirates de contrôler à distance l' ordinateur et de voler des informations du système et de télécharger et exécuter des fichiers.
en attendant d'en être débarrassée évite toutes transactions sensibles sur cet ordi.
 
Il va falloir employer les grands moyens
 
(!) Le logiciel qui suit peut faire des dégâts s'il est mal utilisé ! Ne pas l'utiliser sans contrôle
 
Important: Désactive tous tes logiciels de protection
 

  • Télécharge ComboFix (de sUBs) sur ton Bureau.
  • Double-clique sur ComboFix.exe afin de le lancer.
  • Il va te demander d'installer la console de récupération : accepte.
  • Ne touche à rien pendant le scan.
  • Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse ou mieux héberge le sur cijoint.fr et poste moi le lien fourni.[/list]


Tutoriel officiel de Combofix :


---------------
Stop aux Malwares Une désinfection inachevée est inutile
n°2939998
tilo106
Posté le 13-04-2010 à 14:10:20  profilanswer
 
n°2940040
glops31
Posté le 13-04-2010 à 16:55:11  profilanswer
 

bonjour
 
Tu vas maintenant utiliser un logiciel plus généraliste dans la suppression des malwares,il s'agit de Malwarebytes Antimalware
 

  • Télécharge Malwarebytes antimalware  
  • Tu auras ICI un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
  • Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
  • Lance une analyse complète en cliquant sur "Exécuter un examen complet"
  • Sélectionne les disques que tu veux analyser et cliques sur "Lancer l'examen"
  • L'analyse peut durer un bon moment.....
  • Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
  • Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
  • Un rapport va s'ouvrir dans le bloc note... héberge le sur "cijoint.fr" avant de me poster les liens
  • Il est possible que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée


---------------
Stop aux Malwares Une désinfection inachevée est inutile
n°2940067
tilo106
Posté le 13-04-2010 à 19:25:01  profilanswer
 

Je l'avais déjà. Mais bon j'ai refait une analyse:
http://www.cijoint.fr/cjlink.php?f [...] V2Eukq.txt

n°2940072
glops31
Posté le 13-04-2010 à 20:05:05  profilanswer
 

pourquoi n'as tu pas installé la console de récupération comme indiquée ? Combo Fix n' a peut être pas supprimé ce qu'il aurait dû de ce fait  
as tu toujours les alertes?
 
nous allons maintenant faire une recherche de "rootkit"
/!\ Il faut IMPERATIVEMENT désactiver tous tes logiciels de protection pour utiliser ce programme/!\
 

  • Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par l'infection)
  • Lance Gmer
  • Dans l'onglet "Rootkit", clique sur "SCAN" puis patiente...
  • A la fin, clique sur "SAVE" et enregistre le rapport sur ton Bureau.
  • Héberge le rapport de Gmer sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum


Message édité par glops31 le 13-04-2010 à 20:11:53

---------------
Stop aux Malwares Une désinfection inachevée est inutile
mood
Publicité
Posté le 13-04-2010 à 20:05:05  profilanswer
 

n°2940075
tilo106
Posté le 13-04-2010 à 20:37:37  profilanswer
 

la console de récupération n'a pas été installée car j'avais désactivé internet vu que j'avais désactivé mes logiciels de protection.
Oui j'ai toujours les alertes.  
Je recommence combo fix en laissant internet allumé alors? (merci de ta patience)

n°2940079
glops31
Posté le 13-04-2010 à 21:34:59  profilanswer
 

oui recommence et installe la console ,cela permet de revenir en arrière si il y a plantage et le logiciel est plus "efficace"


---------------
Stop aux Malwares Une désinfection inachevée est inutile
n°2940083
tilo106
Posté le 13-04-2010 à 22:06:19  profilanswer
 

Toujours les mêmes messages d'alerte...

n°2940089
glops31
Posté le 13-04-2010 à 22:36:03  profilanswer
 

montre moi le 2ème rapport Combofix stp (par cijoint.fr tjrs)
 
fais le scan avec gmer et poste moi le lien pour le rapport


---------------
Stop aux Malwares Une désinfection inachevée est inutile
n°2940097
tilo106
Posté le 13-04-2010 à 23:35:16  profilanswer
 

Le voici:http://www.cijoint.fr/cjlink.php?file=cj201004/cijsxeOTgl.txt
 
Par contre pour gmer, comment tu fais pour changer le nom du fichier?, je l'ai téléchargé puis j'ai cliqué dessus mais ca me met "une erreur s'est produite" et après ça mon pc rame à fond...

n°2940108
glops31
Posté le 14-04-2010 à 00:10:39  profilanswer
 

Gmer est déjà renommé avec un nom aléatoire sur le lien de téléchargement que je t'ai donné.
décidément ça coince ,je vais à la pêche aux renseignements


---------------
Stop aux Malwares Une désinfection inachevée est inutile
n°2940155
glops31
Posté le 14-04-2010 à 11:01:35  profilanswer
 

bonjour
 
Nous allons attaquer le rootkit avec un autre outil
 
Télécharge tdsskiller de "loup_blanc" sur le bureau. Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

  • Lance "load_tdsskiller" en double-cliquant dessus: (si tu es sous Windows Vista ou Windows 7, fais un clic-droit dessus → Exécuter en temps qu'administrateur)

l'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller et lancer le scan

  • Un message dans la fenêtre noire d'invite de commande te demandera d'appuyer sur une touche pour continuer
  • Le rapport s'affichera automatiquement : copier-coller son contenu dans la prochaine réponse

(le fichier est également présent ici : C:\tdsskiller\report.txt

  • Redémarre le PC


---------------
Stop aux Malwares Une désinfection inachevée est inutile
n°2940159
tilo106
Posté le 14-04-2010 à 11:16:31  profilanswer
 

Norton me dit de supprimer tdsskiller..

n°2940163
tilo106
Posté le 14-04-2010 à 11:25:21  profilanswer
 

J'ai accepté, Le rapport est vide!

n°2940181
glops31
Posté le 14-04-2010 à 13:07:32  profilanswer
 

recommence et désactive toutes tes protections
 
les outils que je te fais utiliser ne comporte pas de malware ,evidemment! mais certains antivirus les détecte comme tel à cause de leur manière d'âgir au coeur du système.


---------------
Stop aux Malwares Une désinfection inachevée est inutile
n°2940291
tilo106
Posté le 14-04-2010 à 18:04:58  profilanswer
 

Même désactivées, j'ai rien dans le rapport!

n°2940302
glops31
Posté le 14-04-2010 à 18:39:23  profilanswer
 


note: ZHPFix peut être activé soit à partir de ZHPDiag  en cliquant sur l'icône http://i49.tinypic.com/53vce1.jpg lorsque ZHPDiag est encore ouvert après un scan
 
soit à partir du raccourci sur le Bureau si l'icône n'apparait pas.
 
Il se lance par double clic sous Xp, par clic droit et "exécuter en tant qu'administrateur sous Vista et Seven.
 

  • Lance ZHPFix en fonction de ton système d'exploitation.
  • Clique sur l'icône représentant la lettre => http://i42.tinypic.com/1zb8m1d.jpg
  • une liste des outils va apparaitre coche les cases des outils à désinstaller ou clique sur "Tous" en bas
  • clique ensuite sur nettoyer
  • copie colle le rapport généré à la fin dans ta prochaine réponse


=>coche "TdssKiller" => nettoyer
 
=>ensuite recommence la manip avec Tdsskiller après l'avoir à nouveau téléchargé


---------------
Stop aux Malwares Une désinfection inachevée est inutile
n°2940306
tilo106
Posté le 14-04-2010 à 18:54:58  profilanswer
 

Toujours pareil... pas de rapport
Par contre, à la fin de ZHPFix, j'ai eu : "warning! CD emulation drivers are running on this machine. Combofix needs to temporarily disable them."

n°2940307
glops31
Posté le 14-04-2010 à 18:58:45  profilanswer
 

:??: je suis perplexe, il faut que je demande du renfort dans la communauté,mais on va pas te laisser tomber
A+


---------------
Stop aux Malwares Une désinfection inachevée est inutile
n°2940309
tilo106
Posté le 14-04-2010 à 19:04:41  profilanswer
 

Moi aussi je reste perplexe :(  
Jte remercie de ton aide jusqu'à maintenant. J'espère qu'on va arrivé à le détruire ce virus!

n°2940315
tilo106
Posté le 14-04-2010 à 19:38:53  profilanswer
 

Avec la mise à jour de spybot d'aujourd'hui, il m'a trouvé un problème à corriger...à suivre

n°2940319
glops31
Posté le 14-04-2010 à 19:49:39  profilanswer
 

lorsque je demande de désactiver toutes les protections tu désactives bien le tea-timer de spybot ?
comme ceci:

  • Lancer Spybot
  • Cliquer sur Mode, puis cocher Mode avancé
  • Cliquer sur Outils puis sur Résident
  • Décocher la case Résident "Tea Timer"
  • fermer spybot


---------------
Stop aux Malwares Une désinfection inachevée est inutile
n°2940323
tilo106
Posté le 14-04-2010 à 20:02:44  profilanswer
 

J'ai rééssayé Tdsskiller avec ce que tu viens de me dire mais ça change rien.

n°2940325
glops31
Posté le 14-04-2010 à 20:05:18  profilanswer
 

et comboFix?


---------------
Stop aux Malwares Une désinfection inachevée est inutile
n°2940326
tilo106
Posté le 14-04-2010 à 20:06:53  profilanswer
 

Tu connais le scan de securiser en ligne? J'ai envi de l'essayer car j'ai vu sur un autre forum qu'il avait été efficace pour un problème similaire au mien.

n°2940332
glops31
Posté le 14-04-2010 à 20:39:26  profilanswer
 

le problème avec ce genre de scan en ligne c'est qu'il risque de détecter un fichier système patché par le malware et de le supprimer
si jamais l'Antivirus en ligne le supprime tu risques de ne plus pouvoir redemarrer ton ordi =>je te le déconseille
 
j'attends des renseignements  qui ne sauraient tarder  et je te tiens au courant .


---------------
Stop aux Malwares Une désinfection inachevée est inutile
n°2940340
tilo106
Posté le 14-04-2010 à 20:55:43  profilanswer
 

aaaah ya eu du changement . combofix a affiché une fenêtre marquée: Combofix a détecté un rootkit.
Mais j'ai toujours les alertes.

n°2940344
glops31
Posté le 14-04-2010 à 21:03:59  profilanswer
 

si tu as un nouveau rapport combo poste moi le lien
 
 
nous allons essayer un autre outil spécifique
 


  • Crée un "nouveau dossier" sur ton bureau puis Décompresse l'archive dedans


  • Lance le programme en cliquant sur Remover.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.


  • Coche les et clique sur "Delete/Repair Selected".


  • Un message ensuite apparait demandant de redémarrer le pc (reboot) pour finir le nettoyage => appuie sur YES  


---------------
Stop aux Malwares Une désinfection inachevée est inutile
n°2940346
tilo106
Posté le 14-04-2010 à 21:07:03  profilanswer
 
n°2940354
tilo106
Posté le 14-04-2010 à 21:17:57  profilanswer
 

TDSS Remover m'a trouvé trois éléments cachés...mais bon je viens de nouveau recevoir un message d'alerte...


Message édité par tilo106 le 14-04-2010 à 21:20:04
n°2940359
glops31
Posté le 14-04-2010 à 21:28:36  profilanswer
 

j'ai eu des infos comme quoi le blocage de certains outils comme Gmer était peut être dû à ceci :
 
"warning! CD emulation drivers are running on this machine. Combofix needs to temporarily disable them"
 
voilà ce que tu vas faire pour "débloquer" Gmer
 
• Télécharge Defogger et lance le
• Une fenêtre apparait clique sur "Disable"
• Redémarre le PC si demandé
 
 


---------------
Stop aux Malwares Une désinfection inachevée est inutile
n°2940360
tilo106
Posté le 14-04-2010 à 21:36:06  profilanswer
 

C'est fait, je recommence Gmer alors

n°2940368
glops31
Posté le 14-04-2010 à 21:56:38  profilanswer
 

tilo106 a écrit :

C'est fait, je recommence Gmer alors


 
avant tu vas faire ceci:
 

  •  Télécharge mbr.exe de Gmer sur le Bureau :
  • Désactive toutes tes  protections et coupe la connexion.
  • Sous Windows XP : double-clique sur mbr.exe / Sous Windows Vista ou Seven, fais un clic-droit sur mbr.exe et choisis "Exécuter en temps qu'administrateur"
  • Un rapport sera généré : mbr.log
  • En cas d'infection, le message MBR rootkit code detected va apparaître dans le rapport. Si c'est le cas, cliquez sur le Menu démarrer --> Exécuter, et tapez la commande suivante :

         o Sous XP : "%userprofile%\Bureau\mbr" -f
 
          o Sous Vista/Seven : "%userprofile%\Desktop\mbr" -f
 

  • Dans le mbr.log cette ligne apparaîtra :" original MBR restored successfully !"
  • poste le rapport obtenu


---------------
Stop aux Malwares Une désinfection inachevée est inutile
n°2940372
tilo106
Posté le 14-04-2010 à 22:09:27  profilanswer
 

voici le rapport de mbr:
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK  
 
Concernant Gmer, j'avais réussi à commencer le scan :) sauf que mon pc s'est bloqué à \FileSystem\UDFSCdRomRecognizer.
Du coup, j'ai du éteindre le pc à la main.

n°2940414
tilo106
Posté le 15-04-2010 à 10:01:37  profilanswer
 

Wow le scan de Gmer fut long, le voici enfin:  
 
http://www.cijoint.fr/cjlink.php?f [...] tX2jdG.txt

mood
Publicité
Posté le   profilanswer
 

 Page :   1  2
Page Précédente

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Virus/Spywares

  [RESOLU]Virus venant de firefox.exe et de svchost.exe ! besoind d'aide

 

Sujets relatifs
problème avec module easygestures(firefox)Problème sortie TV ati (résolu)
[RESOLU] Ma config va t'elle supporter win 7 ?[help] Planificateur de tache [resolu]
[Résolu] Clé de registre Visio 2007 sur Windows 7 ?Firefox rame sous vista
Problème w7 - firefox et flash playerDossier sur mon DD externe innacessible après désinfection d'un virus
Encodage de caractères [résolu]de l'aide pour un trojan !
Plus de sujets relatifs à : [RESOLU]Virus venant de firefox.exe et de svchost.exe ! besoind d'aide


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR