Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Surveiller les Svchost - Infection ?

SG1

Par SG1
dans Analyses et éradication malwares

 Partager

Messages recommandés

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Bonjour,

 

Huit minutes pour une analyse complète! Tu avoueras que c'est bien court...

Sérieusement, cette analyse aurait dû durer plusieurs heures. (tout dépend la la puissance de l'ordi).

 

Tu as dû omettre de cocher les cases avant de lancer le scan -->

 

Il faut tout cocher, sauf les lettres représentant lecteurs de cd/dvd ou disquettes.

 

avp11-1-2c5dc2b.png

 

On y reviendra plus tard si nécessaire; dans l'immédiat, fais ceci:

 

ComboFix ne doit pas être utilisé comme un outil de diagnostic, il ne doit être employé que sur demande expresse d'un conseiller formé à cet outil et sous son contrôle. Cet outil peut être dangereux!

 

Désactiver les protections (antivirus, firewall, antispyware).

Si vous ne savez pas comment faire, reportez-vous à cet article.

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

TUTO Officiel

 

Fais un clic droit ICI

  • Dans le menu qui se déroule, choisis "Enregistrer la cible du lien sous" (si tu utilises Firefox) et "Enregistrer la cible sous" (si tu utilises Internet Explorer)
  • Une fenêtre va s'ouvrir: dans le champs Nom du fichier (en bas ), tape ceci plop
     
    exemple: comborenomm2.jpg
     
  • On va enregistrer ce fichier sur le Bureau: pour cela, sur le panneau de gauche, clique sur le Bureau.
     
  • Clique enfin sur le bouton Enregistrer en bas de page à droite.
  • Assure toi que tous les programmes sont fermés avant de lancer le fix!
  • Fait un double clique sur plop.
  • attention.gifSi la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepte!
     
    consolerestaucf.jpg
     
  • Clique sur Oui au message de Limitation de Garantie qui s'affiche.
  • Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!
  • Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  • Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

NB: Si malgré tout, tu ne parviens pas à réparer la connexion, lis ce sujet stp.

 

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".

apparaissait, redémarrer le pc.

 

sshot-1-9.jpg

 

++

SG1 Member

SG1

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonjour Apollo,

 

Huit minutes pour une analyse complète! Tu avoueras que c'est bien court...

Aucune idée, certains outils font des analyses très ciblées... Et donc très rapides...

 

L'écran que tu me montres pour KVRT n'est pas apparu, peut-être à cause du mode sans echecs...

Je viens de refaire deux tentatives avec toujours le même message d'erreur, et là maintenant il a réussi à s'installer...

 

Je refais donc l'analyse...

 

@+

 

Edit : Ah oui, j'ai compris... Etant en mode sans echecs, je ne pouvais pas revenir sur le web... J'ai zappé le réglage des paramètres... Sorry !

Modifié par SG1
SG1 Member

SG1

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonjour,

 

Bon, me revoilà... J'ai failli péter les plombs avec KVRT...

 

Une analyse hier, 8h30 d'analyse et toujours à 50 %... Et puis l'horreur, coupure de de courant ! :gun:

 

Donc, ce matin, nouvelle analyse uniquement avec le disque Système : 5 heures d'analyse.

 

Résultat : Il me détecte uniquement un virus dans OTL que j'ai utilisé quelques jours auparavant. C'est la meilleure !

 

KVRT Alerte OTL.gif

 

Bon à part ça, aucun virus sur la partition système... Et sur mes autres disques, il n'y a pas d'installation, uniquement des données.

 

Il faut que je continue avec Combofix ?

Y'as rien de moins dangereux ?

La seule fois que j'avais utilisé ce truc, il m'avait foutu un bordel inimaginable partout...

 

Merci

 

@+

 

PS : Je viens de remarquer un truc bizarre :

Les fichiers Fidbox.dat et Fidbox.idx sont datés d'hier matin à 9 heures.

En général, ils prennent la date de la fermeture de l'ordi.

De plus, j'ai vérifié avec Unlocker, ils ne sont plus liés au système...

 

Pour Svchost, je n'ai pas contrôlé ce matin car j'ai mis l'analyse de bonne heure !

.

.

Modifié par SG1
Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Bonjour,

 

La détection sur OTL.exe est un faux-positif, certains antivirus réagissent souvent sur des processus d'outils spéciaux, mais rien de grave là.

 

ComboFix n'est pas dangereux si on suit bien les recommandations et s'il ne signale pas qu'il est dangereux de poursuivre. Ce qui arrive parfois en présence de Virut par exemple.

 

Je ne sais pas si je vais pouvoir poursuivre mes désinfections en cours car depuis ce matin je me sens patraque, je dois couver quelque-chose.

 

Si je ne pouvais pas poursuivre, préviens Dylav qui demandera peut-être une relève pour poursuivre ton sujet.

 

@++

SG1 Member

SG1

Posté(e)
  • Auteur
Posté(e)

Bonjour,

 

La détection sur OTL.exe est un faux-positif,

Oui, ça je m'en suis douté. J'ai déjà utilisé plusieurs fois OTL (Hélas) :D

 

 

ComboFix n'est pas dangereux si on suit bien les recommandations

Pour autant que je me souvienne, il n'y a pas de paramétrage... On lance, il fait le boulot, et on sait seulement après les dégâts qu'il a pu faire !

 

 

Je ne sais pas si je vais pouvoir poursuivre mes désinfections en cours car depuis ce matin je me sens patraque, je dois couver quelque-chose.

Dans ce cas, soigne-toi... J'espère que tu n'as pas attrapé les virus de mon micro... :D

 

Si je ne pouvais pas poursuivre, préviens Dylav qui demandera peut-être une relève pour poursuivre ton sujet.

OK ! Merci

@+

SG1 Member

SG1

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonjour,

 

Pour donner un début de conclusion à mon problème :

(En fait, deux problèmes qui sont certainement liés)

 

J'ai contrôlé à nouveau ce matin les fichiers Fidbox.dat et Fidbox.idx

Ils sont toujours daté du 15 09 2011 à 9h07

 

J'avais utilisé l'utilitaire de désinstallation de Kaspersky (kavremover.exe) le 15 09 2011 et le rapport porte l'heure de 9h06.

Avec le redémarrage, ça doit correspondre !

 

Après vérification du rapport, l'utilitaire de désinstallation de Kaspersky a trouvé le fichier « AVP Tool Driver »

(« The 'AVP Tool Driver' has been detected »).

 

Et au final, j'ai bien regardé au démarrage de ce matin, Svchost n'est pas resté à 90 % plus de 2 ou 3 minutes... (contre 15 à 20 auparavant).

 

A savoir que je n'ai pas utilisé Combofix pour l'instant.

 

Je pense que le tout était lié, et que ça n'était pas un virus...

 

...Est-ce que ma conclusion te semble correcte ?

 

Merci

 

@+

 

PS : Je vais bien revérifier au prochain redémarrage...

.

Modifié par SG1
Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Bonjour,

 

Oui, AVP installe des pilotes, c'est pour cela qu'on doit le désinstaller proprement. (afin de ne créer aucun conflit)

 

N'utilise pas combofix et observe comment ça se passe; si l'ordi fonctionne bien, c'est que c'est bon.

 

++

  • Modérateurs
Dylav Devil Member !

Dylav

Posté(e)
  • Modérateurs
Posté(e)

Bonjour SG1, salut Apollo !

 

Lorsque tu considéreras la question réglée, n'oublie pas de le signaler en taguant du mot [Résolu] le titre de ton sujet. Pour ce faire, je te suggère de consulter ce tutoriel de Thorgal

 

@+ ;)

Dylav

SG1 Member

SG1

Posté(e)
  • Auteur
Posté(e)

Bonjour Dylav et Apollo...

 

Dylav : Lorsque tu considéreras la question réglée, n'oublie pas de

Oui, oui, j'y pense, je prenais juste le temps de vérifier sur 2 ou 3 jours si le démarrage restait correct.

 

Donc, résultat, hier dimanche et ce matin, le Svchost ne reste pas plus de 1 à 2 minutes à un pourcentage élevé...

J'ai également constaté que l'arrêt est plus rapide...

Je pense donc que la solution était là.

 

Donc dernière question avant de noter Résolu, êtes-vous en mesure de me dire ce que contient ce fichier Fidbox.dat qui grossissait de jour en jour, en relation avec Kasperky ou AVP Tool Driver ?

Avec 1.84 Go, ça en fait des données...

 

Merci

 

@+

SG1 Member

SG1

Posté(e)
  • Auteur
Posté(e)

Bonjour,

 

Donc dernière question avant de noter Résolu, êtes-vous en mesure de me dire ce que contient ce fichier Fidbox.dat qui grossissait de jour en jour, en relation avec Kasperky ou AVP Tool Driver ?

Avec 1.84 Go, ça en fait des données...

 

Après une longue recherche,

Une dernière petite information pour ceux qui se poseraient la même question que moi...

 

Question : Que contient le fichier Fidbox.dat ?

 

Réponse : Fidbox.dat contient les informations sur les objets non infectés déjà analysés par le module Kaspersky Anti-Virus.

 

Voilà

 

@+

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...