fichier C:\Windows\appdata\svchost.exe,virus? Fermé

Question

Bonjour, 
je viens de voir qu'en allumant mon pc un tableau de commande apparaissait brièvement et mettait :C:\Windows\appdata\svchost.exe 
Est-ce un virus? Comment le supprimer car Avast ne le détecte pas. Et si non, qu'est ce que c'est ? Merci de votre aide


Configuration: Windows Vista / Firefox 7.0.1

Utilisateur anonyme · Accepted Answer

Bonjour
C'est bien un malware, car le processus est mal placé
Télécharge sur le bureau RogueKiller
* Quitte tous les programmes en cours, c'est important
* Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
* Sinon lance simplement RogueKiller.exe
* Lorsque demandé, tape 1 et valide
* Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), poste
le contenu
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

laurent83500 · Answer

fais attention c'est un virus ce fichier se trouve normalement dans system32

louxor · Answer

ok merci je fais ce de suite!

louxor · Answer

RogueKiller V6.1.1 [28/09/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: marie [Droits d'admin]
Mode: Recherche -- Date : 04/10/2011 16:12:19

Processus malicieux: 0

Entrees de registre: 5
[SUSP PATH] HKCU\[...]\Run : WinNT (C:\Users\marie\AppData\Roaming\svchost.exe) -> FOUND
[SUSP PATH] HKLM\[...]\Run : WinNT (C:\Users\marie\AppData\Roaming\svchost.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-2041294355-4144744664-883210754-1000[...]\Run : WinNT (C:\Users\marie\AppData\Roaming\svchost.exe) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

Fichiers / Dossiers particuliers:

Driver: [LOADED]

Fichier HOSTS:
127.0.0.1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
[...]

Termine : << RKreport[1].txt >>
RKreport[1].txt

louxor · Answer

mais comment j'ai chopé ca? Je ne vais quasiment pas sur internet... sauf via facebook
voici le rapport:
RogueKiller V6.1.1 [28/09/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: marie [Droits d'admin]
Mode: Suppression -- Date : 04/10/2011 16:18:05

Processus malicieux: 0

Entrees de registre: 4
[SUSP PATH] HKCU\[...]\Run : WinNT (C:\Users\marie\AppData\Roaming\svchost.exe) -> DELETED
[SUSP PATH] HKLM\[...]\Run : WinNT (C:\Users\marie\AppData\Roaming\svchost.exe) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

Fichiers / Dossiers particuliers:

Driver: [LOADED]

Fichier HOSTS:
127.0.0.1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
[...]

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

Utilisateur anonyme · Answer

Tu as Spybot ?

On va vérifier ce qu'il reste sur le PC en scannant le système

* Télécharge ZHPDiag (de Nicolas Coolman)
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

Au cas où le premier lien ne marcherai pas, clique sur celui de dessous
ftp://zebulon.fr/ZHPDiag2.exe

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Surtout, n'oublie pas d'installer son icône sur le bureau
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
Héberge le rapport ICI
Note : Le rapport est sauvegardé dans C:\ZHP\ZHPDiag.txt

louxor · Answer

oui j'ai Spybot pourquoi?

louxor · Answer

http://up.sur-la-toile.com/iTks

louxor · Answer

je pense que c'est le bon lien (il y en avait deux un pour le forum et un qui est l'url ...celui que j'ai mis)

Utilisateur anonyme · Answer

Met ton Malwarebytes à jour, et fait un scan complet

louxor · Answer

ca risque de durer assez longtemps mais je répondrai dès que ce sera terminé. Merci de votre aide

Utilisateur anonyme · Answer

Pas grave, il vaut mieux scanner entièrement le système, pour voir s'il y a des
restants d'infections, il faut laisser faire Malwarebytes

louxor · Answer

voilà, c'est terminé !
Il y avait 7 trojan (j'avais pourtant passé l'anti virus il y a deux jours... et c'était nikel ! )

louxor · Answer

quand j'ouvre où le log est enregistrer ca me met "aucun programme n'est associé à ce fichier pour executer cette action. Créer une association en utilisant l'application dans Panneau de configuration

louxor · Answer

ca ne marche pas le clic droit ne marche pas et sinon j'ai toujours le meme message d'erreur...

louxor · Answer

que dois-je faire?

Utilisateur anonyme · Answer

Bonjour
Télécharge RST Association (de Xplode) sur ton bureau

http://www.general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/14-rstassociations-version-scr


lance-le ,

coche "tous" puis "exécuter"

poste le rapport qui sera dans C:\ en fin de travail de l'outil

Cela devrait restaurer l'association de fichiers
Ensuite essaye d'ouvrir le rapport de Malwarebytes

louxor · Answer

RstAssociations v1.3 - Rapport créé le 05/10/2011 à 14:22
Mis à jour le 26/05/11 à 16h par Xplode
Système d'exploitation : Windows Vista (TM) Home Premium (32 bits) [version 6.0.6002] Service Pack 2
Nom d'utilisateur : marie - PC-DE-MARIE (Administrateur)
Exécuté depuis : C:\Users\marie\Téléchargements\rstassociations.scr

¤¤¤¤¤ Restauration ¤¤¤¤¤

-> asf ... association de fichiers restaurée !
-> asx ... association de fichiers restaurée !
-> audioCD ... association de fichiers restaurée !
-> avi ... association de fichiers restaurée !
-> bat ... association de fichiers restaurée !
-> bmp ... association de fichiers restaurée !
-> cab ... association de fichiers restaurée !
-> chm ... association de fichiers restaurée !
-> cmd ... association de fichiers restaurée !
-> com ... association de fichiers restaurée !
-> cpl ... association de fichiers restaurée !
-> cur ... association de fichiers restaurée !
-> directory ... association de fichiers restaurée !
-> dll ... association de fichiers restaurée !
-> drive ... association de fichiers restaurée !
-> drvms ... association de fichiers restaurée !
-> eml ... association de fichiers restaurée !
-> exe ... association de fichiers restaurée !
-> folder ... association de fichiers restaurée !
-> gif ... association de fichiers restaurée !
-> hlp ... association de fichiers restaurée !
-> hta ... association de fichiers restaurée !
-> htm ... association de fichiers restaurée !
-> html ... association de fichiers restaurée !
-> ico ... association de fichiers restaurée !
-> inf ... association de fichiers restaurée !
-> ini ... association de fichiers restaurée !
-> jpe ... association de fichiers restaurée !
-> jpeg ... association de fichiers restaurée !
-> jpg ... association de fichiers restaurée !
-> js ... association de fichiers restaurée !
-> lnk ... association de fichiers restaurée !
-> m3u ... association de fichiers restaurée !
-> mp3 ... association de fichiers restaurée !
-> mpa ... association de fichiers restaurée !
-> mpe ... association de fichiers restaurée !
-> mpeg ... association de fichiers restaurée !
-> mpg ... association de fichiers restaurée !
-> msc ... association de fichiers restaurée !
-> msi ... association de fichiers restaurée !
-> png ... association de fichiers restaurée !
-> reg ... association de fichiers restaurée !
-> rtf ... association de fichiers restaurée !
-> scr ... association de fichiers restaurée !
-> tif ... association de fichiers restaurée !
-> tiff ... association de fichiers restaurée !
-> txt ... association de fichiers restaurée !
-> url ... association de fichiers restaurée !
-> vbe ... association de fichiers restaurée !
-> vbs ... association de fichiers restaurée !
-> wma ... association de fichiers restaurée !
-> wmv ... association de fichiers restaurée !
-> wsf ... association de fichiers restaurée !
-> xml ... association de fichiers restaurée !
-> xps ... association de fichiers restaurée !
-> zip ... association de fichiers restaurée !

¤¤¤¤¤ Résultats ¤¤¤¤¤¤

-> [56 association(s) de fichiers restaurée(s) avec succès]
-> [0 association(s) de fichiers non restaurée(s)]

########## EOF - "C:\RstAssociations.txt" - [3321 octets] ##########

louxor · Answer

voici  le rapport de malwarebytes:
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 7866

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

04/10/2011 18:56:33
mbam-log-2011-10-04 (18-56-33).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 347864
Temps écoulé: 2 heure(s), 6 minute(s), 47 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{E5C9EEEC-33F8-EC5D-AC9A-B3DD4AAC14FE} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{E5C9EEEC-33F8-EC5D-AC9A-B3DD4AAC14FE} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{E5C9EEEC-33F8-EC5D-AC9A-B3DD4AAC14FE} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\marie	éléchargements\photofiltre_studio_v.10.4.0\photofiltre studio v.10.4.0\keygen.exe (Trojan.Dropper.PGen) -> Quarantined and deleted successfully.
c:\Users\marie\AppData\Roaming\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\marie\AppData\Roaming\data.dat (Stolen.Data) -> Quarantined and deleted successfully.

louxor · Answer

ah d'accord, mais comment ai-je attrapé ce virus? 
Oui, visiblement je peux tout ouvrir et malwarebytes marche, c'est surtout ça qui me posait problème, les autres fichiers semblaient marcher. 
Merci 
Avez-vous quelque chose pour me permettre d'éviter ce genre de problème à l'avenir?

louxor · Answer

Photofiltre est le seul que j'ai téléchargé j'avais besoin de ce logiciel pour des photos... Mais sinon je ne télécharge rien. Merci du conseil !
http://up.sur-la-toile.com/iTmh

louxor · Answer

RogueKiller V6.1.1 [28/09/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: marie [Droits d'admin]
Mode: Recherche -- Date : 04/10/2011 16:12:19

Processus malicieux: 0

Entrees de registre: 5
[SUSP PATH] HKCU\[...]\Run : WinNT (C:\Users\marie\AppData\Roaming\svchost.exe) -> FOUND
[SUSP PATH] HKLM\[...]\Run : WinNT (C:\Users\marie\AppData\Roaming\svchost.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-2041294355-4144744664-883210754-1000[...]\Run : WinNT (C:\Users\marie\AppData\Roaming\svchost.exe) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

Fichiers / Dossiers particuliers:

Driver: [LOADED]

Fichier HOSTS:
127.0.0.1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
[...]

Termine : << RKreport[1].txt >>
RKreport[1].txt

louxor · Answer

oui java est mis à jour. Je m'occupe d'Avast ;)

louxor · Answer

c'est fait

louxor · Answer

Rapport de ZHPFix 1.12.3362 par Nicolas Coolman, Update du 23/09/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-05-10-2011-16-05-16.txt
Run by marie at 05/10/2011 16:05:16
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: LManager

========== Dossier(s) ==========
SUPPRIME Temporaires Windows: : 93
SUPPRIME Flash Cookies: 34

========== Fichier(s) ==========
SUPPRIME Temporaires Windows: : 192
SUPPRIME Flash Cookies: 83


========== Récapitulatif ==========
1 : Valeur(s) du Registre
2 : Dossier(s)
2 : Fichier(s)


End of clean in 00mn 07s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 05/10/2011 16:05:16 [738]

louxor · Answer

http://up.sur-la-toile.com/iTmB

louxor · Answer

# DelFix v8.5 - Rapport créé le 05/10/2011 à 16:26:38
# Mis à jour le 25/09/11 à 11h par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : marie - PC-DE-MARIE (Administrateur)
# Exécuté depuis : C:\Users\marie\Téléchargements\delfix0.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Non Supprimé : C:\Program Files\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\RstAssociations.txt
Supprimé : C:\Users\marie\Desktop\ZHPDiag.txt
Supprimé : C:\Users\marie\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools
Clé Supprimée : HKLM\SOFTWARE\TrendMicro\Hijackthis
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autres ~~~~~~

Désinstallé : ESET Online Scanner
-> Prefetch Vidé

*************************

DelFix[S1].txt - [1160 octets] - [05/10/2011 16:26:38]

########## EOF - C:\DelFix[S1].txt - [1284 octets] ##########

louxor · Answer

c'est fait

louxor · Answer

c'est fait  :)

louxor · Answer

c'est tout ? Merci

louxor · Answer

je viens de m'apercevoir maintenant que je n'ai plus les barres de son qui s'affichent (barres vertes sur l'écran d'ordi). Comment les remettre?

louxor · Answer

ok mais comme c'est venu apres les manip je preferaisvous demander. Merci

louxor · Answer

bonjour, c'est important pour voir le son mais j'ai finalement réussi à les retrouver quand j'ai été sur launch manager. J'ai juste ouvert et refermer et le volume s'est de nouveau affiché!

louxor · Answer

merci, mais j'ai déjà défragmenté hier

louxor · Answer

de ce côté là non mais j'ai un autre problème ( désespérant!) mon lecteur windows media met pres de 40 secondes avant de mettre en route la musique sélectionnée. Tu n'as pas une idée? J'ai été voir sur le forum mais rien ne marche. Merci de ton aide encore!

louxor · Answer

d'accord merci beaucoup pour ton aide, ca m'a bien servi!! 
Merci

louxor · Answer

euh je suppose oui, et j'utilise un logiciel qu'un ami m'a recommandé : WOT

Fichier C:\Windows\appdata\svchost.exe,virus?

37 réponses

Discussions similaires