Fichier svchost infecté

TheMatt -  
 TheMatt -
Bonjour à tous,

J'ai utilisé le logiciel MalwareBytes pour détecter des éventuels problèmes, il me dit que svchost.exe est infecté. Je sais que c'est un exécutable indispensable pour le bon fonctionnement de Windows, je ne peux donc pas le supprimer ... Que faire ?

Merci de votre aide et bonne journée :)

16 réponses

  1. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Bonjour, TheMatt

    Oui, svchost.exe est légitime lorsqu'il est localisé en C:\windows\system32
    Toute autre localisation de ce fichier est suspecte et est généralement le fait d'une infection.

    Malwarebytes ne supprimera pas le fichier légitime. C'est sans doute un autre fichier localisé ailleurs sur le disque dur.

    Peux-tu poster le rapport de malwarebytes ?
    Il se trouve dans l'onglet Rapport/logs de ce logiciel.

    A+
    1
  2. TheMatt
     
    Bonjour verni29, et merci de ta réponse.

    En effet, le fichier infecté ne se situe pas dans C:\windows\system32

    Ci-joint le rapport de malwarebytes :

    Malwarebytes' Anti-Malware 1.45
    www.malwarebytes.org

    Version de la base de données: 4050

    Windows 6.0.6001 Service Pack 1
    Internet Explorer 7.0.6001.18000

    29/04/2010 10:18:09
    mbam-log-2010-04-29 (10-18-09).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 108157
    Temps écoulé: 7 minute(s), 4 seconde(s)

    Processus mémoire infecté(s): 1
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    D:\Windows\AppData\Local\Temp\svchost.exe (Trojan.Agent) -> No action taken.

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    D:\Windows\AppData\Local\Temp\svchost.exe (Trojan.Agent) -> No action taken.

    Autorisation de le supprimer ? :)
    0
  3. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Re,

    Oui, supprime-le.

    Ensuite, j'aimerais qu'on vérifie tout de même le PC.

    ------------------------------------------------------------------------

    Télécharge OTL (de OldTimer) sur ton Bureau.
    http://oldtimer.geekstogo.com/OTL.scr

    Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.

    * Double-clique sur OTL.scr pour le lancer.
    Si Sous Vista , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur.
    * Dans la partie Personnalisation, copie/colle la liste suivante.

     netsvcs  
    Drivers32 
    %SYSTEMDRIVE%\*.exe  
    /md5start  
    eventlog.dll  
    scecli.dll  
    netlogon.dll  
    cngaudit.dll  
    sceclt.dll  
    ntelogon.dll  
    logevent.dll  
    iaStor.sys  
    nvstor.sys  
    atapi.sys  
    IdeChnDr.sys  
    viasraid.sys  
    AGP440.sys  
    vaxscsi.sys  
    nvatabus.sys  
    viamraid.sys  
    nvata.sys  
    nvgts.sys  
    iastorv.sys  
    ViPrt.sys  
    eNetHook.dll  
    ahcix86.sys  
    KR10N.sys  
    nvstor32.sys  
    ahcix86s.sys  
    nvrd32.sys  
    /md5stop  
    %systemroot%\*. /mp /s  
    CREATERESTOREPOINT 


    * Enfin, clique sur le bouton Analyse rapide.

    * Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)

    Utilise un site comme http://cijoint.fr pour les déposer.
    indique ensuite les deux liens crées.

    A+
    0
  4. TheMatt
     
    Merci encore de ta réponse.

    J'ai donc supprimé le fichier infecté.

    Voilà les rapports OTL :

    http://www.cijoint.fr/cjlink.php?file=cj201004/cijRJ3fFXA.txt
    http://www.cijoint.fr/cjlink.php?file=cj201004/cijfsio2BM.txt

    Avec ces infos, j'espère qu'on ne peut pas atteindre mon PC pour l'infecter ? (c'est peut-être de la parano mais bon, autant savoir... :) )
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Re,

    Il n'y a aucun problème pour la publication des rapports sur le forum.
    Aucun moyen de remonter jusqu'à ton PC.

    ------------------------------------------------------------

    Le rapport ne montre pas d'autres infections.
    EDIT : J'allais oublier. les supports amovibles sont infectés . A nettoyer.

    Deux vérifications.

    1/ Tu vas sur le site de VirusTotal et tu vas pouvoir analyser un fichier.
    https://www.virustotal.com/gui/

    # Copiez le chemin indiqué ci-dessous et le coller dans la zone à analyser.

    C:\Users\Matt\AppData\Roaming\wzmjhy.dat

    # Tu cliques ensuite sur envoyer le fichier.
    #Tu postes le rapport de l'analyse ( pour cela, tu sélectionnes la zone de résultat --> click droit --> copier )

    2/ Télécharge gmer sur ton bureau ( IMPORTANT )
    http://www.gmer.net/#files

    Précautions d'usage :
    - Durant l'utilisation du logiciel, désactive tes protections actives ( antivirus, parefeu ). IMPORTANT.
    - Ferme également toutes les applications actives dont ton navigateur.

    # Double-clique sur l'exécutable téléchargé .
    Si sous Vista , click droit sur l'exécutable et choisir exécuter en tant qu'administrateur.
    # Le scan va se lancer de lui-même.

    Si tu reçois un message t'indiquant la présence de rootkits, choisis oui pour effectuer une analyse complète du PC mais ne supprime rien.


    # A la fin de l'analyse, clique sur save pour enregistrer le rapport
    # Enregistre-le sur le bureau ( fichier .log )

    Édite ce rapport dans ta prochaine réponse.

    A+
    Allez jusqu'au bout de la procédure de désinfection.
    0
  7. TheMatt
     
    Re,

    Voilà pour virustotal, je me mets à gmer ensuite.

    Fichier wzmjhy.dat reçu le 2010.04.29 11:38:30 (UTC)
    Antivirus Version Dernière mise à jour Résultat
    a-squared 4.5.0.50 2010.04.29 -
    AhnLab-V3 2010.04.29.05 2010.04.29 -
    AntiVir 8.2.1.224 2010.04.29 -
    Antiy-AVL 2.0.3.7 2010.04.29 -
    Authentium 5.2.0.5 2010.04.29 -
    Avast 4.8.1351.0 2010.04.29 -
    AVG 9.0.0.787 2010.04.29 -
    BitDefender 7.2 2010.04.29 -
    CAT-QuickHeal 10.00 2010.04.29 -
    ClamAV 0.96.0.3-git 2010.04.29 -
    Comodo 4710 2010.04.29 -
    DrWeb 5.0.2.03300 2010.04.29 -
    eSafe 7.0.17.0 2010.04.28 -
    eTrust-Vet 35.2.7457 2010.04.29 -
    F-Prot 4.5.1.85 2010.04.28 -
    F-Secure 9.0.15370.0 2010.04.29 -
    Fortinet 4.0.14.0 2010.04.27 -
    GData 21 2010.04.29 -
    Ikarus T3.1.1.80.0 2010.04.29 -
    Jiangmin 13.0.900 2010.04.29 -
    Kaspersky 7.0.0.125 2010.04.29 -
    McAfee 5.400.0.1158 2010.04.29 -
    McAfee-GW-Edition 6.8.5 2010.04.29 -
    Microsoft 1.5703 2010.04.29 -
    NOD32 5071 2010.04.29 -
    Norman 6.04.12 2010.04.29 -
    nProtect 2010-04-29.01 2010.04.29 -
    Panda 10.0.2.7 2010.04.28 -
    PCTools 7.0.3.5 2010.04.29 -
    Prevx 3.0 2010.04.29 -
    Rising 22.45.03.03 2010.04.29 -
    Sophos 4.53.0 2010.04.29 -
    Sunbelt 6235 2010.04.28 -
    Symantec 20091.2.0.41 2010.04.29 -
    TheHacker 6.5.2.0.272 2010.04.28 -
    TrendMicro 9.120.0.1004 2010.04.29 -
    VBA32 3.12.12.4 2010.04.28 -
    ViRobot 2010.4.27.2295 2010.04.28 -
    VirusBuster 5.0.27.0 2010.04.29 -
    Information additionnelle
    File size: 12 bytes
    MD5   : 53a340d4d202d1517ed6d6de412962ad
    SHA1  : f93a3d30fec462d4f015a31939ce7f7934d7ba66
    SHA256: 8443ebc44adfd9c4279485cfd82617cb56e231ab01965dad7fc57c032b30d530
    TrID  : File type identification<br>Unknown!
    ssdeep: 3:IuKyhD:IuKyhD
    sigcheck: publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
    PEiD  : -
    RDS   : NSRL Reference Data Set<br>-
    0
  8. TheMatt
     
    Me revoilà,

    Tout d'abord tu me dis que les supports amovibles sont infectés. Je n'ai aucun support amovible connecté en ce moment. Si c'est une clé usb que j'ai connecté il y a un moment, dois-je la scanner ?

    Concernant Gmer, j'ai un soucis : J'ai bien fait tout ce que tu m'as dit, le scan se lance automatiquement, et dure environ 20 secondes... Ensuite le PC se met à ramer énormément et le scan n'a pas l'air de continuer... (en bas, où il y a l'affichage des fichiers scannés, il n'y a plus rien).

    Que faire ?

    A+
    0
  9. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    TheMatt,

    Pour les supports amovibles, il faut considérer tout type de support : clé USB, téléphone portable, lecteur MP3, disque dur externe....
    Tout ce que tu as pu être branché au PC.

    Il suffit de connecter une fois un support pour l'infecter ( si le PC l'est déjà ).
    Ce peut être au travail, chez un ami, ...
    Et en rebranchant ce support à la maison, on infecte le PC et les autres supports lorsqu'ils seront connectés.

    Extrait du rapport OTL :

    O33 - MountPoints2\{29a92dc4-c17e-11dd-a14d-001dd9e5dc11}\Shell\AutoRun\command - "" = e.cmd
    O33 - MountPoints2\{29a92dc4-c17e-11dd-a14d-001dd9e5dc11}\Shell\explore\Command - "" = e.cmd
    O33 - MountPoints2\{29a92dc4-c17e-11dd-a14d-001dd9e5dc11}\Shell\open\Command - "" = e.cmd
    O33 - MountPoints2\{667ebb42-34a0-11dd-a859-001dd9e5dc11}\Shell\AutoRun\command - "" = p3vwxx.exe
    O33 - MountPoints2\{667ebb42-34a0-11dd-a859-001dd9e5dc11}\Shell\open\Command - "" = p3vwxx.exe
    O33 - MountPoints2\{96b95c42-ea43-11de-ad9b-001dd9e5dc11}\Shell\AutoRun\command - "" = nds0q.exe
    O33 - MountPoints2\{96b95c42-ea43-11de-ad9b-001dd9e5dc11}\Shell\open\Command - "" = nds0q.exe


    Utilise l'outil suivant pour analyser les supports.

    Télécharge USBFix ( par Chiquitine29 ) sur ton bureau.

    (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir

    * Double clic sur UsbFix.exe présent sur ton bureau .
    * Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
    * Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]
    * Laisse travailler l'outil.
    * Ensuite post le rapport UsbFix.txt qui apparaitra.

    Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )


    ----------------------------------------------------------------------------------------

    Pour Gmer, as-tu bien désactivé l'antivirus avant de le lancer ?
    Il faut aussi fermer toutes les applications actives ( navigateurs, ... )

    Peux-tu ressayer une deuxième fois ?

    A+
    0
  10. TheMatt
     
    Re,

    Voilà le rapport usbfix :

    ############################## | UsbFix V6.110 |

    User : Matt (Administrateurs) # LH-XJF1H9MI6UER
    Update on 28/04/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 15:49:56 | 29/04/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Intel(R) Pentium(R) Dual CPU T2310 @ 1.46GHz
    Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
    Internet Explorer 7.0.6001.18000
    Windows Firewall Status : Enabled

    C:\ -> Disque fixe local # 24,41 Go (1,13 Go free) # NTFS
    D:\ -> Disque fixe local # 50,07 Go (16,57 Go free) # NTFS
    E:\ -> Disque CD-ROM
    F:\ -> Disque amovible # 7,45 Go (1,65 Go free) [USB DISK] # FAT32

    ################## | Elements infectieux |

    C:\Users\Matt\GoToAssistDownloadHelper.exe

    ################## | Registre |

    ################## | Mountpoints2 |

    HKCU\..\..\Explorer\MountPoints2\{10c0dc2e-bbc6-11dd-a3ef-001dd9e5dc11}
    shell\AutoRun\command =F:\LaunchU3.exe -a

    HKCU\..\..\Explorer\MountPoints2\{29a92dc4-c17e-11dd-a14d-001dd9e5dc11}
    shell\AutoRun\command =e.cmd
    shell\explore\Command =e.cmd
    shell\open\Command =e.cmd

    HKCU\..\..\Explorer\MountPoints2\{2c83d318-5b52-11de-846e-001dd9e5dc11}
    shell\AutoRun\command =F:\ReadMe.exe

    HKCU\..\..\Explorer\MountPoints2\{37d005b3-2bf0-11dd-a227-001dd9e5dc11}
    shell\AutoRun\command =G:\LaunchU3.exe

    HKCU\..\..\Explorer\MountPoints2\{667ebb42-34a0-11dd-a859-001dd9e5dc11}
    shell\AutoRun\command =p3vwxx.exe
    shell\open\Command =p3vwxx.exe

    HKCU\..\..\Explorer\MountPoints2\{96b95c42-ea43-11de-ad9b-001dd9e5dc11}
    shell\AutoRun\command =nds0q.exe
    shell\open\Command =nds0q.exe

    HKCU\..\..\Explorer\MountPoints2\{dede060d-332f-11df-b365-001dd9e5dc11}
    shell\AutoRun\command =G:\LaunchU3.exe -a

    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné !

    ################## | ! Fin du rapport # UsbFix V6.110 ! |

    J'avais déjà tout fermé pour Gmer, mais je vais tenter à nouveau ! :)

    Merci de ton aide en tout cas.
    0
  11. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Re,

    Après avoir reessayé gmer, relance USBFix pour le nettoyage.

    Choisis l'option 2.
    Le PC va redémarrer.
    Poste le rapport obtenu.

    A+
    0
  12. TheMatt
     
    Re,

    J'ai essayé Gmer, 3 fois, rien n'y fait. Tout est désactivé : pare-feu, antivirus, tous les programmes de la barre des tâches aussi...

    Je fais ce que tu as dis pour usbfix.

    A tout de suite ^^
    0
  13. TheMatt
     
    Voilà pour usb fix :

    ############################## | UsbFix V6.110 |

    User : Matt (Administrateurs) # LH-XJF1H9MI6UER
    Update on 28/04/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 16:56:17 | 29/04/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Intel(R) Pentium(R) Dual CPU T2310 @ 1.46GHz
    Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
    Internet Explorer 7.0.6001.18000
    Windows Firewall Status : Enabled

    C:\ -> Disque fixe local # 24,41 Go (905,52 Mo free) # NTFS
    D:\ -> Disque fixe local # 50,07 Go (16,57 Go free) # NTFS
    E:\ -> Disque CD-ROM
    F:\ -> Disque amovible # 7,45 Go (1,65 Go free) [USB DISK] # FAT32

    ################## | Elements infectieux |

    Supprimé ! C:\Users\Matt\GoToAssistDownloadHelper.exe
    Supprimé ! C:\$Recycle.Bin\S-1-5-21-2152478756-3922319563-605102323-500
    Supprimé ! C:\$Recycle.Bin\S-1-5-21-2385280212-3773118359-3536737220-1000
    Supprimé ! D:\$Recycle.Bin\S-1-5-21-2385280212-3773118359-3536737220-1000

    ################## | Registre |

    ################## | Mountpoints2 |

    Supprimé ! HKCU\...\Explorer\MountPoints2\{10c0dc2e-bbc6-11dd-a3ef-001dd9e5dc11}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{29a92dc4-c17e-11dd-a14d-001dd9e5dc11}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{2c83d318-5b52-11de-846e-001dd9e5dc11}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{37d005b3-2bf0-11dd-a227-001dd9e5dc11}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{667ebb42-34a0-11dd-a859-001dd9e5dc11}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{96b95c42-ea43-11de-ad9b-001dd9e5dc11}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{dede060d-332f-11df-b365-001dd9e5dc11}\Shell\AutoRun\Command

    ################## | Listing des fichiers présent |

    [25/02/2010 14:35|--a--c---|60] C:\autoexec.bat
    [19/01/2008 09:45|-rahs----|333203] C:\bootmgr
    [26/03/2008 17:02|-ra-sc---|8192] C:\BOOTSECT.BAK
    [18/09/2006 23:43|--a--c---|10] C:\config.sys
    [25/02/2010 14:34|-rahsc---|0] C:\IO.SYS
    [25/02/2010 14:34|-rahsc---|0] C:\MSDOS.SYS
    [?|?|?] C:\pagefile.sys
    [10/06/2008 18:23|--a--c---|174] C:\Setup.log
    [29/04/2010 17:01|--a--c---|2280] C:\UsbFix.txt
    [29/04/2010 16:25|--a------|0] D:\cd.dat
    [17/08/2008 00:36|--a------|24064] D:\Liste affaires.xls
    [08/03/2010 12:06|--a------|204810111] D:\MS3.rar
    [23/04/2010 21:06|--a------|1572] F:\BOOTEX.LOG
    [27/04/2010 14:50|--a------|117] F:\lspost.cfile
    [27/04/2010 14:50|--a------|0] F:\lspost.msg
    [27/04/2010 14:43|--a------|821873] F:\voiture_900kg.zip

    ################## | Vaccination |

    # C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
    # D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
    # F:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

    ################## | Upload |

    Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_LH-XJF1H9MI6UER.zip : https://www.ionos.fr/?affiliate_id=77097
    Merci pour votre contribution .

    ################## | ! Fin du rapport # UsbFix V6.110 ! |
    0
  14. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    TheMatt,

    Peux-tu envoyer au concepteur d'USBFix le fichier zippé crée lors de l'option 2 ?
    Merci.

    ---------------------------------------------------------------------

    On laisse tomber pour gmer.

    Tu vas utiliser un autre antirootkit pour vérifier la présence du rootkit.

    · Télécharge RootRepeal à partir d'un des liens suivants et enregistre-le sur ton bureau.
    o http://ad13.geekstogo.com/RootRepeal.exe
    o https://download.bleepingcomputer.com/rootrepeal/RootRepeal.exe

    · Double clique sur RootRepeal.exe
    ( Si sous vista -> Choisir exécuter en tant qu'administrateur )
    · Clique sur l'onglet Report puis sur le bouton Scan.
    · Sélectionne ensuite chacune des cases ( Drivers, Files, processes, ... )
    · Valide en cliquant sur Ok
    · Une fenêtre va s'ouvrir. Sélectionne ton disque dur ( genéralement C: ), et valide.
    · RootRepeal va maintenant scanner ton PC. .
    · Une fois les analyses terminées, clique sur le bouton Save Report .Sauvegarde le rapport sur ton bureau
    · Poste-le .

    A+
    0
  15. TheMatt
     
    Je l'envoie tout de suite :)
    J'ai installé RootRepeal, ca fonctionne, je te tiens au courant.
    0
  16. TheMatt
     
    Je suis désolé, j'ai pas eu le temps aujourd'hui, mais je me charge de faire ca ce soir, ou en fin de week-end. Dans le pire des cas tu aura donc le fichier Dimanche.

    A+
    0