Virus? Svchost.exe Résolu/Fermé

Question

Bonjour,  
Voilà, depuis environ deux redémarrage (un jour environ) mon ordinateur me dit que svchost.exe n'est pas marqué comme signé et me demande une confirmation pour démarrer. Aussi, à toutes les fois que je démarre, je me suis apercu, en fouillant dans les fichiers systèmes, que le fichiers host contient plein de sites étranges d'anti-virus pas très fiables. 

Comment puis-je faire pour remplacer par un fichier svchost clean. 

Pour info, j'ai encore mon DVD original. 

Merci de votre aide. 

Configuration: Windows 7 Home Premium 32bit / Firefox 6.0a1

Lyonnais92 · Answer

Bonjour,

Télécharge la dernière version de ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.

pour vista et Seven : fais un clic droit  sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur Cijoint

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse. 

===

Copie dans le Presse-papier la ligne ci-dessous (sélectionne la avec la souris et fais simultanément Ctrl et C)

HostFix

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7  : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

moviez · Answer

Rapport
Rapport de ZHPFix 1.12.3282 par Nicolas Coolman, Update du 06/05/2011
Fichier d'export Registre : 
Run by Jean-Thomas at 5/14/2011 12:43:24 PM
Windows 7 Home Premium Edition, 32-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Fichier HOSTS ==========
Le fichier Hosts est sain


========== Récapitulatif ==========
1 : Fichier HOSTS


End of the scan


Fichier Host
# Copyright (c) 1993-2006 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

127.0.0.1       localhost
::1             localhost
# Start of entries

Lyonnais92 · Answer

Re,

relance ZHPFix (clic droit et Exécuter en tant qu'administrateur) avec ces lignes :

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableRegistryTools: Modified
O4 - HKLM\..\Run: [HKLM] . (...) -- D:\Windows\Windowsx32\svchost.exe
O4 - HKCU\..\Run: [HKCU] . (...) -- D:\Windows\Windowsx32\svchost.exe
O4 - HKLM\..\policies\Explorer\Run: [Policies] . (...) -- D:\Windows\Windowsx32\svchost.exe
O4 - HKCU\..\policies\Explorer\Run: [Policies] . (...) -- D:\Windows\Windowsx32\svchost.exe
O4 - HKUS\S-1-5-21-920210962-1294557078-871396581-1000\..\Run: [HKCU] . (...) -- D:\Windows\Windowsx32\svchost.exe
[HKCU\Software\AppDataLow\Software\AskToolbar]
[HKCU\Software\Ask.com]
O44 - LFC:[MD5.AF9E3107108E70C1AF9F3831622068A3] - 5/13/2011 - 11:37:29 PM ---A- . (...) -- D:\Windows\System32pcnetp.dll   [17408]
O44 - LFC:[MD5.5A186198384A33FF53FB5B3A26368BB3] - 5/14/2011 - 10:57:37 AM ---A- . (...) -- D:\Windows\System32pcnetp.exe   [17408]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF]
[HKCU\Software\Ask.com]
[HKCU\Software\AppDataLow\Software\AskToolbar] 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF]
O4 - HKCU\..\Run: [AdobeBridge] Clé orpheline
O4 - HKUS\S-1-5-21-920210962-1294557078-871396581-1000\..\Run: [AdobeBridge] Clé orpheline
O4 - Global Startup: D:\Users\Jean-Thomas\Desktop\Public.lnk . (...)  -- \MYBOOKWORLD\Public (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{1A68C8F9-D801-4CEA-B588-BE15FB78FB05}] (.Pas de propriétaire.) -- D:\ubuntu\uninstall-wubi.exe (.not file.)
O87 - FAEL: "{7E4114EB-12E1-400A-B7E3-97628F3A5B26}" |In - Private - P6 - TRUE | .(...) -- C:\Program Files\Games\Steam.exe (.not file.)
O87 - FAEL: "{FBFF777A-1653-4162-9A58-B091F932E9B1}" |In - Private - P17 - TRUE | .(...) -- C:\Program Files\Games\Steam.exe (.not file.)
EmptyTemp

Poste le rapport dans ta réponse.

===

Mets à jour MBAM, fais un scan rapide, poste le rapport dans ta réponse.

moviez · Answer

Rapport de ZHPFix 1.12.3282 par Nicolas Coolman, Update du 06/05/2011 
Fichier d'export Registre : D:\ZHPExportRegistry-5-14-2011-4-15-14 PM.txt 
Run by Jean-Thomas at 5/14/2011 4:15:14 PM 
Windows 7 Home Premium Edition, 32-bit Service Pack 1 (Build 7601) 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html 

========== Clé(s) du Registre ========== 
HKCU\Software\AppDataLow\Software\AskToolbar  => Clé supprimée avec succès 
HKCU\Software\Ask.com  => Clé supprimée avec succès 
HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF  => Clé supprimée avec succès 

========== Valeur(s) du Registre ========== 
O4 - HKLM\..\Run: [HKLM] . (...) -- D:\Windows\Windowsx32\svchost.exe  => Valeur supprimée avec succès 
O4 - HKCU\..\Run: [HKCU] . (...) -- D:\Windows\Windowsx32\svchost.exe  => Valeur supprimée avec succès 
O4 - HKLM\..\policies\Explorer\Run: [Policies] . (...) -- D:\Windows\Windowsx32\svchost.exe  => Valeur supprimée avec succès 
O4 - HKCU\..\policies\Explorer\Run: [Policies] . (...) -- D:\Windows\Windowsx32\svchost.exe  => Valeur supprimée avec succès 
O4 - HKUS\S-1-5-21-920210962-1294557078-871396581-1000\..\Run: [HKCU] . (...) -- D:\Windows\Windowsx32\svchost.exe  => Valeur absente 
O4 - HKCU\..\Run: [AdobeBridge] Clé orpheline  => Valeur supprimée avec succès 
O4 - HKUS\S-1-5-21-920210962-1294557078-871396581-1000\..\Run: [AdobeBridge] Clé orpheline  => Valeur absente 
{7E4114EB-12E1-400A-B7E3-97628F3A5B26}  => Valeur supprimée avec succès 
{FBFF777A-1653-4162-9A58-B091F932E9B1}  => Valeur supprimée avec succès 

========== Elément(s) de donnée du Registre ========== 
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableRegistryTools: Modified  => Donnée supprimée avec succès 

========== Dossier(s) ========== 
Dossiers temporaires Windows supprimés: 114 

========== Fichier(s) ========== 
d:\windows\windowsx32\svchost.exe  => Supprimé et mis en quarantaine 
d:\windows\system32\rpcnetp.dll  => Supprimé et mis en quarantaine 
d:\windows\system32\rpcnetp.exe  => Supprimé et mis en quarantaine 
d:\users\jean-thomas\desktop\public.lnk  => Supprimé et mis en quarantaine 
Fichiers temporaires Windows supprimés : 101 

========== Tache planifiée ========== 
Task : {1A68C8F9-D801-4CEA-B588-BE15FB78FB05}  => Tâche supprimée avec succès 


========== Récapitulatif ========== 
3 : Clé(s) du Registre 
9 : Valeur(s) du Registre 
1 : Elément(s) de donnée du Registre 
1 : Dossier(s) 
5 : Fichier(s) 
1 : Tache planifiée 


End of the scan

moviez · Answer

Rapport MBAM
Malwarebytes' Anti-Malware 1.50.1.1100   
www.malwarebytes.org   

Version de la base de données: 6577   

Windows 6.1.7601 Service Pack 1   
Internet Explorer 9.0.8112.16421   

2011-05-14 16:22:49   
mbam-log-2011-05-14 (16-22-37).txt   

Type d'examen: Examen rapide   
Elément(s) analysé(s): 166171   
Temps écoulé: 5 minute(s), 20 seconde(s)   

Processus mémoire infecté(s): 0   
Module(s) mémoire infecté(s): 0   
Clé(s) du Registre infectée(s): 0   
Valeur(s) du Registre infectée(s): 2   
Elément(s) de données du Registre infecté(s): 0   
Dossier(s) infecté(s): 0   
Fichier(s) infecté(s): 1   

Processus mémoire infecté(s):   
(Aucun élément nuisible détecté)   

Module(s) mémoire infecté(s):   
(Aucun élément nuisible détecté)   

Clé(s) du Registre infectée(s):   
(Aucun élément nuisible détecté)   

Valeur(s) du Registre infectée(s):   
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BIOS Backup (Backdoor.Agent) -> Value: BIOS Backup -> No action taken.   
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BIOS Backup (Backdoor.Agent) -> Value: BIOS Backup -> No action taken.   

Elément(s) de données du Registre infecté(s):   
(Aucun élément nuisible détecté)   

Dossier(s) infecté(s):   
(Aucun élément nuisible détecté)   

Fichier(s) infecté(s):   
d:\Users\jean-thomas\AppData\Roaming\jmmuzcoiunlr.exe (Backdoor.Agent) -> No action taken.   


Euh, comment je pose une action, cane m'offre pas de choix... ?  
J'ai manuellement supprimé le fichier dans roaming.  
Il ne reste qu'à m'occuper du registre. Que fais-je? 
Dois-je les supprimer? Ils mennent vers d:\Users\jean-thomas\AppData\Roaming\jmmuzcoiunlr.exe

Lyonnais92 · Answer

Re,

la désinfection avance bien.

Le rapport MBAM ?

Lyonnais92 · Answer

Re,

tu fais redémarrer l'ordi, tu refais tourner ZHPDiag et tu postes le rapport dans un lien Cijoint.

moviez · Answer

http://www.cijoint.fr/cj201105/cijdviog4O.txt

moviez · Answer

J'ai supprimé les branches du Registre en mode sans échec, tout marche nickel. Merci.

Si vous voyé quelque chose d'encore infecté, faites moi signe.

Merci encore de votre aide.

Lyonnais92 · Answer

Bonjour,

d:\windows\system32\rpcnetp.dll 
d:\windows\system32\rpcnetp.exe sont revenus, ce qui est inquiétant.

Quelles données de registre as-tu supprimé ?

Je reviens après le repas.

Lyonnais92 · Answer

Re,

tu connais ça :

LoJack for Laptops by Absolute Software


C'est installé sur ton ordi ?

Lyonnais92 · Answer

Re,

comme il y a pas mal de référence à ce logiciel dans le rapport ZHPDiag,

Fais redémarrer l'ordi, relance ZHPDiag et poste le rapport dans un lien Cijoint.

moviez · Answer

Voilà la liste
http://www.cijoint.fr/cjlink.php?file=cj201105/cijmQw4nYW.jpg
http://www.cijoint.fr/cjlink.php?file=cj201105/cij9cW3F0j.jpg

moviez · Answer

Voilà le rapport.
http://www.cijoint.fr/cjlink.php?file=cj201105/cij3pI9BbM.txt

Lyonnais92 · Answer

Re,

je crois que on peut terminer :

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

EmptyTemp
O44 - LFC:[MD5.AA7754AAB203BC28941B8B10BDFB7397] - 5/14/2011 - 3:15:11 PM ---A- . (...) -- D:\ZHPRegY1.zhp   [1300]
O44 - LFC:[MD5.99C988A15AADC1442CF76AA086F34BB7] - 5/14/2011 - 3:15:11 PM ---A- . (...) -- D:\ZHPRegY2.zhp   [724] 
O44 - LFC:[MD5.2DF232E5E304E9C5F1FDF86B3A99DD19] - 5/14/2011 - 3:15:11 PM ---A- . (...) -- D:\ZHPRegY3.zhp   [722]
O44 - LFC:[MD5.9227F2DF67FB18702D104FFC2C4ABBD2] - 5/14/2011 - 3:15:11 PM ---A- . (...) -- D:\ZHPRegY4.zhp   [346]
O44 - LFC:[MD5.2F4373A771A4511B04CDA67DD820A753] - 5/14/2011 - 3:15:11 PM ---A- . (...) -- D:\ZHPRegY5.zhp   [288]
O44 - LFC:[MD5.E1246B5F00E972A79CE5EAC5E964949E] - 5/14/2011 - 3:15:11 PM ---A- . (...) -- D:\ZHPRegY6.zhp   [676]
O44 - LFC:[MD5.661977802BDB1868370F990607C04CE9] - 5/14/2011 - 3:15:11 PM ---A- . (...) -- D:\ZHPRegY7.zhp   [842]
O44 - LFC:[MD5.5DF931FA23214E53F143D65E63C91A91] - 5/14/2011 - 3:15:13 PM ---A- . (...) -- D:\ZHPRegY8.zhp   [171230]
O44 - LFC:[MD5.2886F72F03B21A50A3034D310BF14D85] - 5/14/2011 - 3:15:13 PM ---A- . (...) -- D:\ZHPRegY9.zhp   [170908]
O87 - FAEL: "TCP Query User{AED28022-642D-49ED-A0E1-479B3DC60C36}D:\program files\pfportchecker\pfportchecker.exe" |In - Public - P6 - TRUE | .(...) -- D:\program files\pfportchecker\pfportchecker.exe (.not file.)
O87 - FAEL: "UDP Query User{DE1D7830-C1EE-4E6B-8896-324200AA3B41}D:\program files\pfportchecker\pfportchecker.exe" |In - Public - P17 - TRUE | .(...) -- D:\program files\pfportchecker\pfportchecker.exe (.not file.)
O87 - FAEL: "TCP Query User{A3317468-DD43-4D39-95BC-817A707DECCB}D:\steam\steamapps\xjtcx\half-life 2 deathmatch\hl2.exe" |In - Public - P6 - TRUE | .(...) -- D:\steam\steamapps\xjtcx\half-life 2 deathmatch\hl2.exe (.not file.)
O87 - FAEL: "UDP Query User{FAC8A544-2187-4269-A2DC-09883E4E3D68}D:\steam\steamapps\xjtcx\half-life 2 deathmatch\hl2.exe" |In - Public - P17 - TRUE | .(...) -- D:\steam\steamapps\xjtcx\half-life 2 deathmatch\hl2.exe (.not file.) 

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7  : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.


===

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage.

moviez · Answer

Rapport de ZHPFix 1.12.3282 par Nicolas Coolman, Update du 06/05/2011
Fichier d'export Registre : D:\ZHPExportRegistry-5-15-2011-5-50-41 PM.txt
Run by Jean-Thomas at 5/15/2011 5:50:41 PM
Windows 7 Home Premium Edition, 32-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Valeur(s) du Registre ==========
TCP Query User{AED28022-642D-49ED-A0E1-479B3DC60C36}D:\program files\pfportchecker\pfportchecker.exe  => Valeur supprimée avec succès
UDP Query User{DE1D7830-C1EE-4E6B-8896-324200AA3B41}D:\program files\pfportchecker\pfportchecker.exe  => Valeur supprimée avec succès
TCP Query User{A3317468-DD43-4D39-95BC-817A707DECCB}D:\steam\steamapps\xjtcx\half-life 2 deathmatch\hl2.exe  => Valeur supprimée avec succès
UDP Query User{FAC8A544-2187-4269-A2DC-09883E4E3D68}D:\steam\steamapps\xjtcx\half-life 2 deathmatch\hl2.exe  => Valeur supprimée avec succès

========== Dossier(s) ==========
Dossiers temporaires Windows supprimés: 79

========== Fichier(s) ==========
Fichiers temporaires Windows supprimés : 49
d:\zhpregy1.zhp  => Supprimé et mis en quarantaine
d:\zhpregy2.zhp  => Supprimé et mis en quarantaine
d:\zhpregy3.zhp  => Supprimé et mis en quarantaine
d:\zhpregy4.zhp  => Supprimé et mis en quarantaine
d:\zhpregy5.zhp  => Supprimé et mis en quarantaine
d:\zhpregy6.zhp  => Supprimé et mis en quarantaine
d:\zhpregy7.zhp  => Supprimé et mis en quarantaine
d:\zhpregy8.zhp  => Supprimé et mis en quarantaine
d:\zhpregy9.zhp  => Supprimé et mis en quarantaine


========== Récapitulatif ==========
4 : Valeur(s) du Registre
1 : Dossier(s)
10 : Fichier(s)


End of the scan

Lyonnais92 · Answer

Re,

quand tu auras effectué la dernière manip (désinstallation des outils), on en aura terminé.

Les précautions :

les logiciels à jour (tous, OS, navigateurs, traitement de texte, Adobe Reader ....)

les logiciels légitimes (les cracks, keygens, ... sont des sources d'ennuis)

scanner avec l'AV et MBAM "de temps en temps", vérifier la protection résidente de l'AV

lire les contrats de licence

ne pas installer les toolbars (les désinstaller si possible)

réfléchir avant de cliquer.


==

Bon surf.

Virus? Svchost.exe

17 réponses

Discussions similaires