svchostexe qui ralentit tout après une infection par security tools

[ouechTonton]

Bonjour,

 

j'ai été infecté par security tools. Je vais essayer de vous résumer ce que j'ai fait, comme je m'en souviens.

1) La page security tools s'est lancée avec son scan fake.

2) Mon AV résident, avast, m'a informé de l'infection et que tout était sous contrôle.

3) J'ai supprimé tous les fichiers qu'avast m'indiquait. Je me rappelle avoir été étonné de voir des fichiers qui ressemblaient à des drivers sains. Mais j'ai tout supprimé.

4) Au redémarrage suivant, la machine était très lente. J'ai pu voir que c'était securitytools.exe qui ralentissait tout. Donc le virus était encore là.

5) J'ai fait deux scan online. Bit defender n'a rien trouvé. Panda antivirus m'a nettoyé des fichiers infectés.

6) Et j'ai supprimé le securitools.exe à la main, il était toujours là.

7) Au redémarrage suivant, windows s'est plaint qu'il ne trouvait plus securitytools.exe Il ne l'a plus jamais fait par la suite.

Machine très lente. Je vois qu'un autre processus, une suite de lettres et de chiffres .exe fait tout ralentir. Je tue le process et je vais voir sur les forums.

9) Je lance Malwarebytes' anti-malware, qui est préconisé dans ces cas là. Il nettoie de nouveaux fichiers corrompus.

10) Au démarrage suivant, ça ne va toujours pas. Désormais, c'est un des processus svchost.exe qui fait ralentir ma machine. J'ai l'impression que le virus s'est introduit dans ce processus système. Le workaround que j'ai trouvé, c'est de baisser d'un cran la priorité de ce processus qu'on ne peut pas tuer bien sûr (mais je crois que cette manoeuvre explique pourquoi maintenant mon PC s'arrête régulièrement d'un coup. Ce svchost est utile au bon fonctionnement du système, c'est pas bon de baisser la priorité). Outlook et google chrome reste très instable malgré cette manoeuvre. Et puis, la barre des icônes en bas à droite est incomplète. Certains de mes programmes sont bien lancés au démarrage et fonctionnent correctement, mais leur icône n'apparait plus dans la barre en bas à droite.

 

Je vous remercierais si vous pouviez décoincer ma situation.

Peut-être que le virus a bien été supprimé mais que maintenant, j'ai des fichiers de config et de démarrage corrompus...

Voici mon rapport Hijackthis. Je précise que je n'ai pas Internet Explorer.

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 01:14:07, on 31/01/2010

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Unable to get Internet Explorer version!

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Fichiers communs\Seagate\Schedule2\schedul2.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\AskBarDis\bar\bin\AskService.exe

C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Google\Update\GoogleUpdate.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\LogMeIn\x86\RaMaint.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Program Files\LogMeIn\x86\LogMeIn.exe

C:\Program Files\LogMeIn\x86\LMIGuardian.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\Documents and Settings\bk\Bureau\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.shareazaweb.com/fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.defaulthomepage.info

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll (file missing)

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"

O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [CamserviceDeluxe2] C:\Program Files\Hercules\Deluxe Optical Glass\Camservice.exe /startup

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [superCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe

O4 - HKCU\..\Run: [Clipboard Recorder] "C:\Program Files\LW-WORKS Software\Clipboard Recorder\clipboard_recorder.exe" -startup

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O4 - Startup: GigaTribe.lnk = C:\Program Files\GigaTribe\gigatribe.exe

O4 - Startup: wwwpos32.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O13 - DefaultPrefix:

O13 - WWW Prefix:

O13 - Home Prefix:

O13 - Mosaic Prefix:

O13 - FTP Prefix:

O13 - Gopher Prefix:

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Seagate\Schedule2\schedul2.exe

O23 - Service: ASKService - Unknown owner - C:\Program Files\AskBarDis\bar\bin\AskService.exe

O23 - Service: ASKUpgrade - Unknown owner - C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Service Google Update (gupdate1c9b951a6c9c3f0) (gupdate1c9b951a6c9c3f0) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe

O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe

 

--

End of file - 5782 bytes

[Apollo]

Bonjour,

 

Quelle est ta version d'Explorer?

 

Il y a une belle bande de "salopiots" là-dedans

 

ComboFix ne doit pas être utilisé comme un outil de diagnostic, il ne doit être employé que sur demande expresse d'un conseiller formé à cet outil et sous son contrôle. Cet outil peut être dangereux!

 

Désactiver les protections (antivirus, firewall, antispyware).

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

TUTO Officiel

 

Fais un clic droit ICI

• Dans le menu qui se déroule, choisis "Enregistrer la cible du lien sous" (si tu utilises Firefox) et "Enregistrer la cible sous" (si tu utilises Internet Explorer)
  
• Une fenêtre va s'ouvrir: dans le champs Nom du fichier (en bas ), tape ceci panpan
  
• On va enregistrer ce fichier sur le Bureau: pour cela, sur le panneau de gauche, clique sur le Bureau.
   
  
• Clique enfin sur le bouton Enregistrer en bas de page à droite.
  
• Assure toi que tous les programmes sont fermés avant de lancer le fix!
  
• Fait un double clique sur panpan.
  
• Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepte!
  
• Clique sur Oui au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!
  
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  
• Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

NB: Si malgré tout, tu ne parviens pas à réparer la connexion, lis ce sujet stp.

 

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".

apparaissait, redémarrer le pc.

 

[ouechTonton]

J'ai beaucoup de difficultés à utiliser combofix. Même après renommage, Avast continuait à le bloquer (il bloquait wwwpos32 pour être exact). J'ai donc désactivé Avast.

Maintenant combofix ne réagit jamais de la même manière quand je le lance. J'ai trouvé un CFScript sur un autre site :

 

KillAll::

 

Driver::

exjabr

 

File::

c:\windows\system32\fjhdyfhsn.bat

c:\documents and settings\Benoit\Menu Démarrer\Programmes\Démarrage\wwwpos32.exe

 

Ca a l'air de rendre combofix plus stable.

Maintenant, il bloque à l'étape "tentative de création d'un point de restauration système"

 

J'ai un win XP custom. J'ai supprimé cette fonctionnalité de points de restauration. Et je n'ai pas IE non plus au passage.

N'y a-t-il pas une commande dans combofix pour qu'il skip cette création d'un point de restauration ? Ou alors, est-ce qu'il faut que je me prenne la tête pour réinstaller cette fonctionnalité de points de restauration sur mon système ?

[Apollo]

Bonsoir,

 

Je ne souhaite pas continuer mon assistance sur ce sujet.

 

Je t'ai pris en charge, tu ne dois pas exécuter d'autres manoeuvres que celles que je demande.

 

Tu exécutes des scripts non-demandés par moi et qui peuvent se révéler dangereux.

 

Je décline toute responsabilité quant à ce qui arrivera avec ce que tu as entrepris d'initiative.

 

Désolé.

 

Bonne soirée.

[ouechTonton]

Ah ben zut.

Je ne voulais pas te vexer. Au contraire, j'essayais de me débrouiller un peu tout seul avant de revenir vers toi pour ne pas être un gros boulet.

 

Tu es sûr de vouloir arrêter là ton assistance ?