Svchost.exe

bonjour

Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

(outil de diagnostic)

Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin pour vista )

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

Rend toi sur Cjoint : http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

si soucis avec ci joint. fr

=> utiliser https://www.cjoint.com/
=> utiliser http://ww38.toofiles.com/fr/oip/documents/txt/av.html

(sujet deplacé sur le forum virus/securité)

ok

effectivement, pc non à jour et infecté

fais ceci stp et postes les rapports au fur et à mesure

1)

Infection Navipromo....Pour info :

Il s'installe via certains programmes, dont ceux-ci qu'il faut éviter à tout prix:
* Funky Emoticons
* go-astro
* Games Attack
* GoRecord
* HotTVPlayer / HotTVPlayer & Paris Hilton
* Live-Player
* MailSkinner
* Messenger Skinner
* Instant Access
* InternetGameBox
* Officiale Emule (Version d'Emule modifiée)
* Original Solitaire
* SuperSexPlayer
* Speed Downloading
* Sudoplanet
* Webmediaplayer

il faudrait télécharge navilog1 sur le bureau :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Certaines infections bloquent les téléchargements d' outils de désinfection utilisez ce lien alternatif:
http://ww38.toofiles.com/fr/oip/documents/exe/yop3.html

/!\ Utilisateur de VISTA: il faudrait désactiver l'UAC juste le temps de désinfection de votre pc, Vous le réactiverez plus tard :

Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

1°Double-clique sur navilog1.exe présent sur ton bureau
2°Sélectionnez la langue désirée dans le menu puis valide le choix par la touche « entrer »
3°Petit message d'avertissement, appuyez sur une touche pour passe à la suite
4°un nouveau avertissement, appuie sur une touche pour suivre
5°Vérification de l'installation de Navilog1 : si tout est bon, appuyez sur une touche pour continuer
6°Choisir option 1 : recherche/désinfection automatique
7°La recherche va se lancer automatiquement et peut durée quelques minutes, patientez
8°Une fois l'analyse terminé, fermez et enregistrez votre travail en cours, puis appuiez sur une touche pour que votre pc puisse démarrer
9°Au redémarrage du pc, Navilog va supprimer ce qu'il a trouvé, patientez quelques instants.

Un rapport est gèneré par l'outil. Il se trouve à cette emplacement :
XP : demarrer/poste de travail/c:/cleannavi.txt
Vista : logo « demarrer »/ordinateur/c:/ cleannavi.txt

.....................

2)

* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

Miroir:

https://www.androidworld.fr/

/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\

Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « NETTOYER »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

..................

3)

Téléchargez MalwareByte's Anti-Malware (que tu pourras garder)

https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller

Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

Voici le lien: http://www.cijoint.fr/cjlink.php?file=cj201008/cijHHUl1D0.txt

Le lien pour le rapport de AD-remover: http://www.cijoint.fr/cjlink.php?file=cj201008/cijGHmn7yA.txt

as tu fait navipromo comme indiqué ?

tu peux poster les rapports directement ici (copier,coller)

Bon je vais faire la 3eme parti et est-ce normal que depuis que j'ai fait la 2eme parti windows me demande de le réactiver ??

Le lien du rapport: http://www.cijoint.fr/cjlink.php?file=cj201008/cijngMmxTB.txt

Ben sa y est pu

Mercii de ton aide

Est-ce que je peux désinstaller les 3 logiciels maintenant ??

non pas encore

fais un coup de navilog et postes le rapport

le 1) d'ici https://forums.commentcamarche.net/forum/affich-18768472-svchost-exe#4

ensuite

refais un nouveau rapport ZHPdiag et postes le lien stp

Rapport navilog: http://www.cijoint.fr/cjlink.php?file=cj201008/cijADPYZ3H.txt

Rapport ZHPdiag: http://www.cijoint.fr/cjlink.php?file=cj201008/cijcX9C73W.txt

ok

Copie le tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified
O2 - BHO: Messenger Plus Live France Toolbar - {59994074-c06d-4a75-9768-49e5a8c21264} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Messenger_Plus_Live_France\tbMes1.dll
O3 - Toolbar: Messenger Plus Live France Toolbar - {59994074-c06d-4a75-9768-49e5a8c21264} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Messenger_Plus_Live_France\tbMes1.dll
O4 - HKUS\S-1-5-21-823518204-1614895754-839522115-1007-823518204-1614895754-839522115-1004\..\Run: [WeatherDPA] C:\Program Files\Hotbar\bin\11.0.175.0\Weather.exe (.not file.)
[HKCU\Software\PriceGong]
O53 - SMSR:HKLM\...\startupreg\HKCU [Key] . (.Pas de propriétaire - Pas de description.) -- C:\windows\system32\Winbooterr\Svchost.exe
O53 - SMSR:HKLM\...\startupreg\HKLM [Key] . (.Pas de propriétaire - Pas de description.) -- C:\windows\system32\Winbooterr\Svchost.exe
R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} . (.SweetIM Technologies Ltd. - SweetIM Toolbar Helper Module.) (3, 9, 0, 4) -- C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
O2 - BHO: Shareware.Pro-FR Toolbar - {280b5d37-4a76-467a-b3d6-942fca90acde} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Shareware.Pro-FR\tbSha1.dll
O2 - BHO: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\tbSof1.dll
O2 - BHO: Wisdom-soft toolbar - {6dfc55bb-bfff-485a-9709-90c3fdf6db58} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Wisdom-soft\tbWisd.dll
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} . (.SweetIM Technologies Ltd. - SweetIM Toolbar for Internet Explorer.) -- C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O3 - Toolbar: Shareware.Pro-FR Toolbar - {280b5d37-4a76-467a-b3d6-942fca90acde} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Shareware.Pro-FR\tbSha1.dll
O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} . (.SweetIM Technologies Ltd. - SweetIM Toolbar for Internet Explorer.) -- C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O3 - Toolbar: Wisdom-soft toolbar - {6dfc55bb-bfff-485a-9709-90c3fdf6db58} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Wisdom-soft\tbWisd.dll
O3 - Toolbar: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\tbSof1.dll
O42 - Logiciel: Messenger_Plus_Live_France Toolbar - (.Pas de propriétaire.) [HKLM] -- Messenger_Plus_Live_France Toolbar
O42 - Logiciel: Shareware.Pro-FR Toolbar - (.Pas de propriétaire.) [HKLM] -- Shareware.Pro-FR Toolbar
O42 - Logiciel: Softonic_France Toolbar - (.Pas de propriétaire.) [HKLM] -- Softonic_France Toolbar
[HKCU\Software\Messenger_Plus_Live_France]
[HKLM\Software\Messenger_Plus_Live_France]
O43 - CFD:Common File Directory ----D- C:\Program Files\Messenger_Plus_Live_France

Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

Copie/Colle le rapport à l'écran dans ton prochain message

Est-ce normal que sa m'affiche ce message après avoir cliquer sur nettoyer http://img72.imageshack.us/img72/2059/sanstitre2jjt.jpg

Ok donc je met fin

postes le rapport stp

Rapport de ZHPFix v1.12.3133 par Nicolas Coolman, Update du 05/08/2010
Fichier d'export Registre : C:\ZHPExportRegistry-10-08-2010-10-20-02.txt
Run by Julien at 10/08/2010 10:20:01
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O42 - Logiciel: Messenger_Plus_Live_France Toolbar - (.Pas de propriétaire.) [HKLM] -- Messenger_Plus_Live_France Toolbar => Clé supprimée avec succès
O42 - Logiciel: Shareware.Pro-FR Toolbar - (.Pas de propriétaire.) [HKLM] -- Shareware.Pro-FR Toolbar => Clé supprimée avec succès
O42 - Logiciel: Softonic_France Toolbar - (.Pas de propriétaire.) [HKLM] -- Softonic_France Toolbar => Clé supprimée avec succès
O2 - BHO: Messenger Plus Live France Toolbar - {59994074-c06d-4a75-9768-49e5a8c21264} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Messenger_Plus_Live_France\tbMes1.dll => Clé absente
HKCU\Software\PriceGong => Clé absente
O53 - SMSR:HKLM\...\startupreg\HKCU [Key] . (.Pas de propriétaire - Pas de description.) -- C:\windows\system32\Winbooterr\Svchost.exe => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\HKLM [Key] . (.Pas de propriétaire - Pas de description.) -- C:\windows\system32\Winbooterr\Svchost.exe => Clé supprimée avec succès
[HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{EEE6C35D-6118-11DC-9C72-001320C79847}] => Clé supprimée avec succès
[HKCR\CLSID\{EEE6C35D-6118-11DC-9C72-001320C79847}] => Clé supprimée avec succès
O2 - BHO: Shareware.Pro-FR Toolbar - {280b5d37-4a76-467a-b3d6-942fca90acde} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Shareware.Pro-FR\tbSha1.dll => Clé absente
O2 - BHO: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\tbSof1.dll => Clé absente
O2 - BHO: Wisdom-soft toolbar - {6dfc55bb-bfff-485a-9709-90c3fdf6db58} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Wisdom-soft\tbWisd.dll => Clé supprimée avec succès
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6dfc55bb-bfff-485a-9709-90c3fdf6db58}] => Clé supprimée avec succès
[HKCR\CLSID\{6dfc55bb-bfff-485a-9709-90c3fdf6db58}] => Clé supprimée avec succès
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} . (.SweetIM Technologies Ltd. - SweetIM Toolbar for Internet Explorer.) -- C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll => Clé supprimée avec succès
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EEE6C35C-6118-11DC-9C72-001320C79847}] => Clé supprimée avec succès
[HKCR\CLSID\{EEE6C35C-6118-11DC-9C72-001320C79847}] => Clé supprimée avec succès
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EEE6C35B-6118-11DC-9C72-001320C79847}] => Clé supprimée avec succès
[HKCR\CLSID\{EEE6C35B-6118-11DC-9C72-001320C79847}] => Clé supprimée avec succès
HKCU\Software\Messenger_Plus_Live_France => Clé absente
HKLM\Software\Messenger_Plus_Live_France => Clé absente

========== Valeur(s) du Registre ==========
O3 - Toolbar: Messenger Plus Live France Toolbar - {59994074-c06d-4a75-9768-49e5a8c21264} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Messenger_Plus_Live_France\tbMes1.dll => Valeur absente
O4 - HKUS\S-1-5-21-823518204-1614895754-839522115-1007-823518204-1614895754-839522115-1004\..\Run: [WeatherDPA] C:\Program Files\Hotbar\bin\11.0.175.0\Weather.exe (.not file.) => Valeur absente
R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} . (.SweetIM Technologies Ltd. - SweetIM Toolbar Helper Module.) (3, 9, 0, 4) -- C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll => Valeur supprimée avec succès
O3 - Toolbar: Shareware.Pro-FR Toolbar - {280b5d37-4a76-467a-b3d6-942fca90acde} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Shareware.Pro-FR\tbSha1.dll => Valeur absente
O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} . (.SweetIM Technologies Ltd. - SweetIM Toolbar for Internet Explorer.) -- C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll => Valeur supprimée avec succès
O3 - Toolbar: Wisdom-soft toolbar - {6dfc55bb-bfff-485a-9709-90c3fdf6db58} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Wisdom-soft\tbWisd.dll => Valeur supprimée avec succès
O3 - Toolbar: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\tbSof1.dll => Valeur absente

========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified => Donnée supprimée avec succès

========== Dossier(s) ==========
C:\Program Files\Messenger_Plus_Live_France => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\program files\messenger_plus_live_france\tbmes1.dll => Fichier absent
c:\windows\system32\winbooterr\svchost.exe => Fichier absent
c:\program files\sweetim\toolbars\internet explorer\mghelper.dll => Supprimé et mis en quarantaine
c:\program files\shareware.pro-fr\tbsha1.dll => Fichier absent
c:\program files\softonic_france\tbsof1.dll => Fichier absent
c:\program files\wisdom-soft\tbwisd.dll => Supprimé et mis en quarantaine
c:\program files\sweetim\toolbars\internet explorer\mgtoolbarie.dll => Supprimé et mis en quarantaine

========== Récapitulatif ==========
21 : Clé(s) du Registre
7 : Valeur(s) du Registre
2 : Elément(s) de donnée du Registre
1 : Dossier(s)
7 : Fichier(s)

End of the scan

Je fait quoi maintenant ?

bien

comment va le pc maintenant ?

Ben normal mais je voit encore svchost.exe dans system32

oui ca c'est normal

on a gardé les bons et supprimé les mauvais (infecté)

https://www.commentcamarche.net/informatique/windows/225-gerer-le-processus-svchost-exe-de-windows/

je te prépare la finalisation de ton sujet

Ok donc la c'est bon je me ferais pu hacker m'est mot de passe ?

je suis absent jusqu'à 198H ce soir