Infection - svchost C:\Windows\SysWOW64 - surexploitation du processeur

[marchion4u]

Bonjour,

Avant tout : je sais que je ne suis pas dans le bon topic mais l'infection qui à touché mon PC m'empêche d'accéder à certaine page web qui comporte des mots clés tel que ceux présents dans le topic approprié : "VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) ". Lorque je veux y accéder mon google chrome s'arrête (IE aussi), et c'est le cas également lorsque je cherche à accéder à des programmes tel que FRST, AdwCleaner etc.. (FRST fonctionne). J'ai télécharger FRST depuis un autre pc puis lorsque je lance le programme sur mon pc, il s'arrête immédiatement pareille pour adwcleaner.

Je pense que l'infection qui touche mon PC est le fichier que j'ai mentionné dans le titre, voici une screen de mon gestionnaire de tâche :

svchost-cpu.png

Ceci n'est pas lié à windows update, je l'ai désactivé en suivant le tuto de ce site, cela n'a pas fonctionné.

Lorsque je cherche à arrêtter ce processus, windows plante et m'affiche un écran bleu.

Je poste le lien de mon rapport ZHPDiag :

https://pjjoint.malekal.com/files.php?i ... 4u11y9n6p9

Merci de votre aide.

[Malekal_morte]

Salut,

Pour l'hébergement d'images sur le forum, merci de lire ce message : Règlement hébergement des images sur le forum.


On n'utilise pas ZHPDiag mais FRST ici :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[marchion4u]

Bonjour, j'ai écrit dans mon message que l'infection m'empêche d'utiliser FRST.

Lorsque j'essaye de télécharger l'application, que j'écrit son nom dans la barre de recherche de mon navigateur (essayé avec chrome et IE) et que je valide la recherche, le navigateur s'arrête.

J'ai donc téléchargé le programme depuis un autre PC mais quand je le lance sur mon ordinateur, le fenêtre du programme apparaît même pas une seconde et disparaît, même chose pour ADWCleaner.

Pour l'hébergement d'image j'y prendrai gare la prochaine fois, excusez-moi.

Merci de votre réponse

[Malekal_morte]

C'est ce pack de malware, je pense : https://www.malekal.com/svchost-exe-for ... pu-trojan/

Tente de le renommer en winlogon.exe
ou fais l'analyse FRST en mode sans échec de Windows.

[marchion4u]

Ok,

Le programme FRST a démarré en mode sans échec, le scan est en cours

Renommé l'éxécutable n'a pas fonctionné.

Je n'ai pas encore lu le lien que tu m'a envoyé, la solution est-elle dedans ?

Je vous envoie quand même mon rapport FRST ?

Merci beaucoup

[marchion4u]

Re-bonjour,

La solutions proposé qui consiste à :

- se rendre dans le dossier %LOCALAPPDATA% en mode sans échec -> OK
- "Vous devriez alors voir des fichiers DLL suivants, ici alldpxdf.dll et pkunop.dll, supprimez ces derniers" -> J'ai bien supprimer le fichier alldpxdf.dll mais j'avais pas le fichier pkunop.dll
- "Si un dossier XService est présent, supprimez le aussi." -> Pas présent chez moi
(note : j'ai bien afficher les fichiers cachés)
- Dans la gestion des services, désactiver "WinService" -> Ce service n'est pas présents chez moi

Au redémarrage du PC je n'ai pas eu d'erreur DLL, il y a avait toujours la surexploitation du processeur comme sur le screen du premier message et toujours impossible de démarrer FRST.

Pour la méthode sans mode sans échec, il faut à un moment "kill" le process : "rundll32.exe" -> ce process n'est pas présent chez moi.

Voici mes rapport FRST fait en mode sans échec:

- FRST : https://pjjoint.malekal.com/files.php?i ... 3s6d14d6t7
- Addition : https://pjjoint.malekal.com/files.php?i ... i13z6l11s6
- Shortcut : https://pjjoint.malekal.com/files.php?i ... 11n13u15r8

Merci de votre aide

[angelique]

Bonjour/Bonsoir

Le rapport frst.txt est incomplet donc la correction ne sera pas complète sans visuel de ce rapport, donc poste le complet sur pjjoint

• Télécharge à coté de FRST.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.
  
  Relance FRST(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
  Un redémarrage peut être nécessaire (pas obligatoire).
  Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

[marchion4u]

Bonjour,

Voici le fichier log :

https://pjjoint.malekal.com/files.php?i ... 14i9w7b7h6

Après le correctif plus de trace du service svchost mentionnée dans mon premier post qui surexploité le processeur.

Je peut également démarrer FRST et adwcleaner et accéder au page web qui contiennent des mots relatif à la correction des virus alors que cela m'était impossible avec l'infection.

Voici mon nouveau rapport FRST, peut-être l'autre était incomplet à cause que je l'ai fait en mode sans échec ?
*FRST : - https://pjjoint.malekal.com/files.php?i ... 10b14s9p13
*Addition: - https://pjjoint.malekal.com/files.php?i ... t6z15s5i14
*Shortcut: - https://pjjoint.malekal.com/files.php?i ... f7r5m12h10

Merci pour votre correctif qu'Allah vous rétribue en bien.

[angelique]

Bonjour/Bonsoir

Il y a encore quelques merdouilles.

• Télécharge à coté de FRST.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.
  
  Relance FRST(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
  Un redémarrage peut être nécessaire (pas obligatoire).
  Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

[marchion4u]

Bonjour,

Voilà le fix log:

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 23.04.2018
Exécuté par louis (24-04-2018 14:57:58) Run:2
Exécuté depuis C:\Users\louis\Desktop
Profils chargés: louis (Profils disponibles: louis)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CreateRestorePoint:
AppInit_DLLs: C:\ProgramData\AppmallosayoV\Bamnix.dll => C:\ProgramData\AppmallosayoV\Bamnix.dll [342528 2018-04-11] ()
HKU\S-1-5-21-3550547490-3301026936-3598611288-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxkGStHC4wmTIB37BTwjJTstu9Vsr5PIlldhpn0kfwmHf2P7Nlp8xFNUsUivOSfjdnAeD84OkuWl0_Io4UyF2vOmmJLtjtXFE4_TC27iPSab3ifSjyQI51PYYxi4M3xf1pKczx2MSuHwlbQF9xkR1PZvkFd86B6pUn9XoFfpb6WSo&q={searchTerms}
CHR HomePage: Default -> hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxkGStHC4wmTIB37BTwjJTstu9Vsr5PIlldhpn0kfwmHf2P7Nlp8xFNUsUivOSfjdnAeD84OkuWl0_Io4SKJllBnDm9sywI-fwHoQ7AJT7ExgcPZ0dQhfT6sN7O9SzoHSg55cqti4WytDGFxgqzZLR08FSu1oF7sPCb5j1rYepTfn
2018-04-23 11:54 - 2018-04-23 14:28 - 000000000 ____D C:\Users\louis\AppData\Roaming\ZHP
2018-04-23 11:54 - 2018-04-23 14:22 - 000000000 ____D C:\Users\louis\AppData\Local\ZHP
2018-04-11 18:30 - 2018-04-24 12:12 - 000000000 ____D C:\AdwCleaner
2018-04-11 13:24 - 2018-04-20 23:44 - 000000000 ____D C:\ProgramData\AppmallosayoV
2018-04-11 13:24 - 2018-04-11 13:24 - 000000000 ____D C:\ProgramData\AppmallosayoVs
2018-04-11 12:33 - 2018-04-11 12:33 - 001577472 _____ C:\WINDOWS\b4350ad99755846f70306c7843dd0897.dll
2018-04-11 12:33 - 2018-04-11 12:33 - 000000000 ____D C:\Program Files\My Program
2018-04-11 12:32 - 2018-04-11 12:45 - 000000000 __SHD C:\ProgramData\Windows
2018-04-11 12:32 - 2018-04-11 12:32 - 000000000 __SHD C:\Users\louis\AppData\Roaming\dr91cmJpbrxvbkBleHBsb2l0Lmlt
2018-04-11 12:31 - 2018-04-11 13:12 - 000000000 _RSHD C:\Users\louis\AppData\Roaming\A174F62B-8C05-7B03-9E65-80DFB269B483
2018-04-10 15:21 - 2018-04-10 15:21 - 000555008 _____ C:\WINDOWS\a285d7fc760c054678485cb0379b5f68.exe
2018-04-10 15:21 - 2018-04-10 15:21 - 000144648 _____ C:\WINDOWS\system32\Drivers\7bf906f7c23f2cf9eddabe829ffc97ed.sys
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "aaoe1pnenhr" /f
EmptyTemp:

*****************

Le Point de restauration a été créé avec succès.
"C:\ProgramData\AppmallosayoV\Bamnix.dll" => Données de la valeur supprimé(es) avec succès
HKU\S-1-5-21-3550547490-3301026936-3598611288-1001\Software\Microsoft\Internet Explorer\Main\\Search Page => valeur restauré(es) avec succès
"Chrome HomePage" => supprimé(es) avec succès
C:\Users\louis\AppData\Roaming\ZHP => déplacé(es) avec succès
C:\Users\louis\AppData\Local\ZHP => déplacé(es) avec succès
C:\AdwCleaner => déplacé(es) avec succès
C:\ProgramData\AppmallosayoV => déplacé(es) avec succès
C:\ProgramData\AppmallosayoVs => déplacé(es) avec succès
C:\WINDOWS\b4350ad99755846f70306c7843dd0897.dll => déplacé(es) avec succès
C:\Program Files\My Program => déplacé(es) avec succès
C:\ProgramData\Windows => déplacé(es) avec succès
C:\Users\louis\AppData\Roaming\dr91cmJpbrxvbkBleHBsb2l0Lmlt => déplacé(es) avec succès
C:\Users\louis\AppData\Roaming\A174F62B-8C05-7B03-9E65-80DFB269B483 => déplacé(es) avec succès
C:\WINDOWS\a285d7fc760c054678485cb0379b5f68.exe => déplacé(es) avec succès
C:\WINDOWS\system32\Drivers\7bf906f7c23f2cf9eddabe829ffc97ed.sys => déplacé(es) avec succès

========= reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "aaoe1pnenhr" /f =========

L'op‚ration a r‚ussi.



========= Fin de Reg: =========


=========== EmptyTemp: ==========

BITS transfer queue => 10510336 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 4223776 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 1185510 B
Edge => 0 B
Chrome => 181823825 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 0 B
NetworkService => 3518 B
louis => 1801511 B

RecycleBin => 71919 B
EmptyTemp: => 190.4 MB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 14:59:40 ====


Merci !

[Malekal_morte]

il faut que tu changes tes mots de passe

[angelique]

il faut que tu changes tes mots de passe

Oui tout à fait.

Tu pourras supprimer frst, ses rapports et C:\FRST , la correction est complète.

[marchion4u]

Bonjour,

Ok je vais les changer.

Merci pour votre aide.