Bonjour à tous,
Depuis 2 jours, mon AV (avast) me harcèle : apparemment C:\Windows\Temp\fnli.tmp\svchost.exe est infecté.
Je suis allé voir sur internet et j'ai lu dans d'anciens posts qu'il fallait faire un log avec Hijack, j'ai aussi essayé a²free mais sans succès, il ne m'a pas débarassé de la menace ...
Je voudrais juste préciser que je ne suis pas très calé en informatique, je vous serai donc gré de ne pas être trop technique dans vos réponses.
En vous remerciant d'avance !

Bonjour,
 
Supprime le rapport de HijackThis de ton post s'il te plaît (j'ai gardé une copie)... les règles du forum intedisent de poster ce genre de rapports directement.
 
Ensuite fais ce qui suit dans l'ordre :
 
1) Télécharge ce logiciel de diagnistic s'il te plaît (plus complet que HijackThis), ça me permettra de t'aider :
 
• Télécharge Random's System Information Tool (RSIT) de random/random, et enregistre le sur ton Bureau.
• Double clique sur RSIT.exe pour lancer l'outil.  
• Clique sur ' Continue ' à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaître : ne les poste pas directement ici (une règle de ce forum l'interdit). A la place, suis ce tuto pour héberger le rapport ailleurs et poste le lien qui est donné stp.
 
 
2) Fais également ce scan généraliste particulièrement efficace avec Mawalrebytes :
 
• Télécharge et installe Malwarebytes' Anti-Malware  
• Veille à ce que la case "Mettre à jour Malwarebytes" soit cochée  
• Une fois installé, lance MBAM et va dans l'onglet "Recherche", coche "Exécuter un examen Complet" puis fais "Rechercher"
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments détectés puis clique sur Supprimer la sélection (sans risques)
• Enregistre le rapport, et pense à vider la quarantaine
• S'il t'est demandé de redémarrer l'odinateur, accepte
• Pour finir, poste dans ta prochaine réponse le rapport apparaissant après la suppression stp

Tout d'abord, merci pour ton aide.
J'ai procédé comme indiqué ci-dessus et j'ai donc obtenu le rapport suivant (j'ai fusionné les deux rapports au préalable): http://www.toofiles.com/fr/oip/doc [...] 3_log.html
 
En ce qui concerne Malwarebytes' Anti-Malware, j'ai lancé le scan, le seul problème est que je n'ai pas pu mettre à jour le logiciel étant donné que maintenant mon pc ne se connecte plus à internet.
Je te tiens au courant s'il trouve des éléments, j'en doute étant donner que la mise à jour n'a pu être effectuée.
J'attend donc avec impatience ton prochain post!
Merci en encore pour ton aide.

Tu as aussi perdu ta connexion à Internet?
 
RSIT n'a pas pu télécharger HijackThis du coup, et le rapport est incomplet, mais montre malgré tout plusieurs infections visibles, dont une par support amovible. Tes supports amovibles (clés usb, disques durs externes etc) sont donc probablement infectés eux aussi...  
 
On verra ce que donne le scan de MBAM (n'oublie pas de le poster après les éventuelles suppressions ).
 
Voilà ce qu'il te faudra faire pour désinfecter et vacciner tes supports amovibles (à faire sur n'importe quelle machine) :
 
• Télécharge UsBFix et enregistre-le sur le Bureau
 
/!\ Branche toutes tes sources de données externes à ton PC, (clé USB, disque dur externe, lecteur MP3 etc...) susceptible d'avoir été infectés sans les ouvrir  
 
• Double-clique sur le raccourci UsbFix présent sur ton Bureau  
• Dès l'apparition du menu principal tape F (pour français) et valide en tapant sur Entrée.  
• Au menu suivant, choisi directement l'option 2 ( Suppression )
• Ton bureau va disparaître et le pc va redémarrer (c'est normal).  
• Au redémarrage, UsbFix va scanner automatiquement ton ordi, laisse travailler l'outil.  
• Un rapport UsbFix.txt apparaîtra en même temps que le Bureau, sinon tu le trouveras dans C:\UsbFix.txt  => poste le dans ta prochaine réponse s'il te plaît
 
• UsbFix te proposera également d'uploader un dossier compressé à cette adresse : http://forum-aide-contre-virus.be/ [...] ichier.php  
 
Ce dossier a été créé par UsbFix et est enregistré sur ton bureau. L'envoyer à l'adresse indiquée aide l'auteur de UsbFix dans ses recherches afin de rendre l'outil meilleur.
 
Et pas de soucis, je t'aiderai à désinfecter et sécuriser ton Pc

En ce qui concerne le téléchargement de HijackThis par RSIT, je ne sais pas si cela est pertinent mais j'avais déjà téléchargé HijackThis avant donc... peut-être qu'après tout le log n'est pas si incomplet que cela.
 
Je viens de supprimer les fichiers avec MBAM, voilà le rapport: http://www.toofiles.com/fr/oip/doc [...] 05-09.html
 
Je file soigner mes ports Usb.
 
Merci pour toutes ces explications si complètes!

Et voilà le petit dernier, le rapport UsbFix: http://www.toofiles.com/fr/oip/doc [...] sbfix.html

Ok, c'est très bien.
 
Utilise maintenant ComboFix pour éliminer ce qui reste, mais suis attentivement les instructions :
 
 
/!\ A l'attention de ceux qui lisent ce sujet /!\
 
Le logiciel qui suit doit être utilisé avec précaution et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si une personne du forum qui connait bien cet outil vous l'a recommandé.
 
/!\ Désactive tous les logiciels de protection sur Pc (antivirus, pare-feu, antispyware etc) car ils risquent de gêner l'outil /!\
 
• Télécharge ComboFix (de sUBs) et enregistre-le sur le Bureau (pas ailleurs, sinon il ne foncitonnera pas). Il a été renommé KittyFix.exe.
• Veille à ce que toutes tes applications soient fermées, y compris tes pages Internet, puis double-clique sur le fichier exécutable KittyFix.exe présent sur le Bureau  
• S'il te demande d'installer la console de récupération, accepte et suis les instructions données par Combo
• Lance le scan et laisse travailler l'outil jusqu'au bout sans rien faire d'autre et sans l'interrompre.
• Il est possible que ComboFix fasse redémarrer ton ordi pour faire un scan au démarrage => patiente et laisse-le travailler
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce dernier (C:\Combofix.txt) dans ta prochaine réponse stp.
 
Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/co [...] r-combofix

Bonjour,
Voilà le dernier rapport en date: http://www.toofiles.com/fr/oip/doc [...] bofix.html
 
Tiens moi au courant pour la suite. Merci et bonne journée.

Bonjour
 
Normalement, Avast ne devrait plus émettre d'alertes sur svchost.exe.
 
Refais un rapport avec RSIT pour vérification stp, comme expliqué dans mon tout premier post

Voilà le dernier rapport de RSIT: http://www.toofiles.com/fr/oip/doc [...] 3_log.html
 
J'ai réussi à me reconnecter à internet, il ne s'agissait que d'un problème de réseau, mais bon avec moi cela prend de ces proportions! ^^
Tout cela pour te dire déjà un grand merci et surtout qu'effectivement je n'ai plus de message d'alerte Avast, donc j'ai l'impression que tout va bien.
 
Dis moi ce que tu en penses avec ce dernier rapport. Merci Sensei!

 
C'est flatteur mais je n'irais pas jusque là
 
Ca m'a l'air ok pour le rapport
 
Mais je voudrais que tu fasses quand même ce scan anti-rootkit avec Gmer car j'ai un doute.
 
/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
 
• Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
• Lance Gmer
• Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
• A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.
• Pour finir, hébèrge le rapport comme tu l'as fait pour les autres, et poste le lien correspondant dans ta prochaine réponse stp.
 
Si tout va bien, on va pouvoir finaliser le tout.

Bonjour à toi,
 
Voilà désolé pour mon silence mais je me suis absenté pour les fêtes. Je n'ai donc pas pu lire ton dernier post et voilà qu'à mon retour mon logiciel avast préféré m'averti de nouveau pour un virus: et je crois que le coupable est svchost.exe encore lui!
 
Je pense qu'il faut donc reprendre depuis le début. Es-tu de mon avis?
 
Merci à toi et joyeux nöel un petit peu en retard.

Voilà le rapport RSIT: http://www.toofiles.com/fr/oip/doc [...] 7_log.html
 
En attendant de tes nouvelles.

Salut,
 
Pas de soucis pour le temps de réponse
 
Refais un scan complet avec MBAM, supprime ce qu'il trouvera, et vide enfin la quarantaine. Pense aussi à poster le rapport après suppression qui s'affichera. Au besoin, redémarre ton PC.
 
Je voudrais que tu fasses aussi le scan avec Gmer de mon précédent post stp, et on verra ce que ça donne.  
 

 
Le fichier infectieux qui avait corrompu ce procéssus a été éliminé une première fois par MBAM et il n'est plus visible nulle part. Qu'est-ce qui te fait dire que c'est svchost.exe?
 
Tu l'as vu s'afficher dans une alerte?

voilà le scan de MBAM: http://www.toofiles.com/fr/oip/doc [...] 05-09.html

MBAM n'a pas trouvé de fichiers vérolés.  
 
C'est avast qui me fait dire que c'est svchost.exe, j'ai de nouveau des messages d'alertes venant d'avast.

Quand j'ai dit :
 

 
J'ai voulu dire un nouveau scan.
 
Ton rapport date du 17/12/2009  
 

 
Est-ce qu'Avast t'a affiché le nom exact et le chemin du fichier? J'ai besoin de savoir ce qu'il t'a affiché précisémment.
 
Il te reste le scan avec Gmer ^^

Bonsoir,  
J'ai effectué des scans avec avast et mbam, aucun fichiers infectés, pourtant, j'ai bien des messages d'erreurs venant de avast:
 
Nom du fichier: C:\Windows\Temp\ptni.tmp\svchost.exe
Nom du logiciel malveillant: Win32:Malware-gen
Type de logiciel malveillant: Virus/Ver
 
Sinon, voilà le rapport gmer: http://www.toofiles.com/fr/oip/doc [...] gmer1.html
 
Bonne nuit ou bonne soirée à toi. Merci de continuer à m'aider.

En cours d'édition, je repasse dans l'aprem.

Bonjour
 
Peux-tu poster un nouveau rapport avec RSIT stp?
 
 
 

Bonjour à toi,
 
Et voilà le dernier rapport RSIT: http://www.toofiles.com/fr/oip/doc [...] 9_log.html
 
Bonne journée à toi et bientôt bonne année!

Bonne année
 
Donc, je viens de regarder.
 
Tu avais un processus infectueux (sshnas.dll) qui se lançait par l'intérmédiaire du fichier C:\Windows\system32\svchost.exe, qui lui est légitime. Ce dernier est nécessaire au fonctionnement de Windows Xp, il faut donc éviter de le supprimer.
 
Quant à celui-là :
 
C:\Windows\Temp\ptni.tmp\svchost.exe
 
Tu peux le supprimer sans problèmes
 
A part ça, ton rapport RSIT est propre.
 
En revanche, ton ordinateur n'est pas à jour, ce qui a très certainement dû favoriser l'infection que tu as attrapée plus tôt.
 
Supprime le fichier détecté par Avast (mais pas celui qui est dans C:\Windows\system32 !), puis je t'aiderai à mieux sécuriser ton ordi
 
Et désolé pour le temps de réponse.