Se connecter / S'enregistrer
Votre question
Fermé

[Résolu] VIRUS svchost.exe et winlogon.exe

Tags :
  • Virus
  • Windows 7
  • Sécurité
Dernière réponse : dans Sécurité et virus
19 Avril 2012 11:17:43

Bonjour,
j'ai un soucis récurent depuis maintenant 1 semaine, mon antivirus trend micro titanium me prévient de 2 menaces :
un fichier svchost.exe qu'il supprime à chaque redémarrage et un fichier qu'il n'arrive jamais à supprimer (et il me demande de redémarrer pour le supprimer mais sans succès).
Également au démarrage seven me prévient que "anubis.exe a cesser de fonctionner".
Après quelques tentatives pour fixer ce problème, sans succès, je me tourne vers vous pour avoir une solution ! merci de m'aider les amis =)
à bientôt j'espère.
raph

Autres pages sur : resolu virus svchost exe winlogon exe

a b 8 Sécurité
19 Avril 2012 11:46:56

Bonjour,

Tu as l'emplacement de ces fichiers détectés ?


Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Coche "Avec liste blanche" sous "Registre: approfondi"
  • Coche en haut la case devant "Tous les utilisateurs"

  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    Contenus similaires
    a b 8 Sécurité
    19 Avril 2012 12:55:24

    J'ai posé une question :) 

    Télécharge MalwareByte's Anti-Malware sur ton Bureau.

    • Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
      Une fois l'installation et la mise à jour effectuées :
    • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
    • Afin de lancer la recherche, clic sur"Rechercher".
    • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
      - Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
      -- Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection".
    • Enregistre le rapport sur ton Bureau.
    • Poste ce rapport.


  • REMARQUE: Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.
    19 Avril 2012 13:15:25

    Oups pardon :
    oui j'ai ce chemin
    c:\Users\Cépha\AppData\Roaming\Microsoft\winlogon.exe
    c:\Users\Cépha\AppData\svchost.exe
    j'installe et je poste le rapport dès qu'il est terminé =)
    a b 8 Sécurité
    19 Avril 2012 13:50:02

    MBAM devrait s'en changer sinon on le fera à la main.
    19 Avril 2012 14:04:54

    sa prend son temps omg déjà 45 min d'examen ....
    a b 8 Sécurité
    19 Avril 2012 15:22:32

    On va faire autrement.

    Affiche les fichiers/dossiers cachés puis analyse le fichier ci-dessous sur VirusTotal.com, puis poste le rapport :
    C:\Windows\DCEBoot64.exe

    Relance OTL.exe
    • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
      /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\
    • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.


      :OTL
      O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
      O4:[b]64bit:[/b] - HKLM..\Run: [SpywareTerminatorShield] C:\Program Files (x86)\Spyware Terminator\SpywareTerminatorShield.exe File not found
      O4:[b]64bit:[/b] - HKLM..\RunOnce: [DCERegBootClean64] C:\Windows\RegBootClean64.exe ()
      O33 - MountPoints2\{65c4980b-75ad-11e1-90e1-14dae938a58b}\Shell - = AutoRun
      [2012/04/19 10:38:03 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\RegistryNuke 2012
      [2012/03/24 15:11:52 | 000,000,000 | ---D | C] -- C:\ProgramData\RELOADED
      [2012/04/19 10:47:17 | 000,129,024 | ---- | M] () -- C:\Windows\RegBootClean64.exe
      [2012/04/19 10:47:17 | 000,001,312 | ---- | M] () -- C:\Windows\RegBootClean64.CFG

      :Files
      C:\Users\Cépha\AppData\Roaming\svchost.exe
      c:\Users\Cépha\AppData\Roaming\Microsoft\winlogon.exe

      :Commands
      [emptytemp]


    • Puis clique sur le bouton Correction en haut à gauche.
    • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
    • Poste le rapport de suppression s'il apparait.


  • Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure
    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\

    &

    • Télécharge  RogueKiller de Tigzy et enregistre-le sur ton Bureau
    • /!\ Important -> Quitte tous les programmes en cours
    • Double-clique sur RogueKiller.exe sur ton Bureau
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sélectionne l'option Recherche
    • Copie-colle le contenu du rapport RKreport.txt dans ta prochaine réponse

  • Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe

    • Si des éléments infectieux ont été trouvés, relance RogueKiller et pour lance la Suppression et valide
    • Copie-colle le contenu du 2nd rapport RKreport.txt dans ta prochaine réponse
    19 Avril 2012 15:46:47

    j'ai reboot comme il demandais et là plus de problème visiblement ... je fais la manipulation suivante comme tu me l'a indiquer ?
    a b 8 Sécurité
    19 Avril 2012 16:30:27

    Il me manque ce que j'ai dit avec VirusTotal :) 
    19 Avril 2012 16:46:33

    Et petite question ... y'a t'il un risque de vols de mots de passe et compagnie ?
    a b 8 Sécurité
    19 Avril 2012 19:29:44

    Nan je ne pense pas ;)  Mais tu peux les changer si tu le sens pas.
    On termine si tu n'as pas d'autres soucis.

    • Télécharge SX Check&Update (de igor 51) sur ton Bureau.
      /!\ Déconnecte-toi, désactive ton anti-virus et ferme toutes applications en cours /!\
    • Double-clique sur SXC&U.exe situé sur ton Bureau pour le lancer.
    • Au menu principal, choisis l'option Rapport.



    • Poste le rapport qui s'affiche à ton écran.

  • /!\ Pense à réactiver ton antivirus /!\
    a b 8 Sécurité
    19 Avril 2012 21:58:34

    Relance le programme et clique sur Update Flash. Tu as d'autres soucis ?
    19 Avril 2012 22:48:39

    ok je fais sa
    non pas d'autre soucis =)
    UN gros merci l'ami !!!!!!!! /kiss
    19 Avril 2012 23:00:26

    T'es mon héro en vrai =) allez je mets résolu et je t'aime
    a b 8 Sécurité
    20 Avril 2012 11:25:24

    Merci xD
    N'oublie pas d'éviter les comportements à risques (cracks, P2P, XXX) et de mettre à jour ton PC.
    Bonne continuation, je verrouille le sujet ;) 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS