Fichier C:\Windows\appdata\svchost.exe,virus?

louxor -  
 Utilisateur anonyme -
Bonjour,
je viens de voir qu'en allumant mon pc un tableau de commande apparaissait brièvement et mettait :C:\Windows\appdata\svchost.exe
Est-ce un virus? Comment le supprimer car Avast ne le détecte pas. Et si non, qu'est ce que c'est ? Merci de votre aide

37 réponses

  • 1
  • 2
Résumé de la discussion

Un programme se présentant brièvement comme C:\Windows\appdata\svchost.exe apparaît au démarrage et suscite l’hypothèse d’un malware, nécessitant une vérification de sécurité et peut coexister avec des processus légitimes.
Plusieurs réponses recommandent des outils de détection et nettoyage, notamment RogueKiller et Malwarebytes, et préconisent d’exécuter les programmes en administrateur sous Windows Vista pour supprimer les composants malveillants.
Les analyses ont retrouvé des éléments malveillants, dont svchost.exe dans AppData et des composants dans le registre, qui ont été mis en quarantaine ou supprimés après utilisation des outils recommandés.
En cas de persistance, il convient de relancer les outils de nettoyage et d’analyser les rapports générés (RKreport.txt, mbam log) pour confirmer l’absence de résidus et vérifier l’intégrité du système.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    Bonjour
    C'est bien un malware, car le processus est mal placé
    Télécharge sur le bureau RogueKiller
    * Quitte tous les programmes en cours, c'est important
    * Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
    * Sinon lance simplement RogueKiller.exe
    * Lorsque demandé, tape 1 et valide
    * Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), poste
    le contenu
    * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

    2
  2. laurent83500 Messages postés 1903 Statut Membre 158
     
    fais attention c'est un virus ce fichier se trouve normalement dans system32
    0
  3. louxor
     
    RogueKiller V6.1.1 [28/09/2011] par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

    Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
    Demarrage : Mode normal
    Utilisateur: marie [Droits d'admin]
    Mode: Recherche -- Date : 04/10/2011 16:12:19

    Processus malicieux: 0

    Entrees de registre: 5
    [SUSP PATH] HKCU\[...]\Run : WinNT (C:\Users\marie\AppData\Roaming\svchost.exe) -> FOUND
    [SUSP PATH] HKLM\[...]\Run : WinNT (C:\Users\marie\AppData\Roaming\svchost.exe) -> FOUND
    [SUSP PATH] HKUS\S-1-5-21-2041294355-4144744664-883210754-1000[...]\Run : WinNT (C:\Users\marie\AppData\Roaming\svchost.exe) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

    Fichiers / Dossiers particuliers:

    Driver: [LOADED]

    Fichier HOSTS:
    127.0.0.1 localhost
    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com
    127.0.0.1 www.0scan.com
    127.0.0.1 0scan.com
    127.0.0.1 1000gratisproben.com
    127.0.0.1 www.1000gratisproben.com
    127.0.0.1 1001namen.com
    127.0.0.1 www.1001namen.com
    127.0.0.1 100888290cs.com
    127.0.0.1 www.100888290cs.com
    127.0.0.1 www.100sexlinks.com
    [...]

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    0
    1. Utilisateur anonyme
       
      J'avais raison, c'est bien une infection
      Relance Rogue Killer et tape 2
      Puis poste le rapport
      0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. louxor
     
    mais comment j'ai chopé ca? Je ne vais quasiment pas sur internet... sauf via facebook
    voici le rapport:
    RogueKiller V6.1.1 [28/09/2011] par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

    Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
    Demarrage : Mode normal
    Utilisateur: marie [Droits d'admin]
    Mode: Suppression -- Date : 04/10/2011 16:18:05

    Processus malicieux: 0

    Entrees de registre: 4
    [SUSP PATH] HKCU\[...]\Run : WinNT (C:\Users\marie\AppData\Roaming\svchost.exe) -> DELETED
    [SUSP PATH] HKLM\[...]\Run : WinNT (C:\Users\marie\AppData\Roaming\svchost.exe) -> DELETED
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

    Fichiers / Dossiers particuliers:

    Driver: [LOADED]

    Fichier HOSTS:
    127.0.0.1 localhost
    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com
    127.0.0.1 www.0scan.com
    127.0.0.1 0scan.com
    127.0.0.1 1000gratisproben.com
    127.0.0.1 www.1000gratisproben.com
    127.0.0.1 1001namen.com
    127.0.0.1 www.1001namen.com
    127.0.0.1 100888290cs.com
    127.0.0.1 www.100888290cs.com
    127.0.0.1 www.100sexlinks.com
    [...]

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt
    0
  6. Utilisateur anonyme
     
    Tu as Spybot ?

    On va vérifier ce qu'il reste sur le PC en scannant le système

    * Télécharge ZHPDiag (de Nicolas Coolman)
    http://www.premiumorange.com/zeb-help-process/zhpdiag.html

    Au cas où le premier lien ne marcherai pas, clique sur celui de dessous
    ftp://zebulon.fr/ZHPDiag2.exe

    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
    * Surtout, n'oublie pas d'installer son icône sur le bureau
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    Héberge le rapport ICI
    Note : Le rapport est sauvegardé dans C:\ZHP\ZHPDiag.txt
    0
  7. louxor
     
    oui j'ai Spybot pourquoi?
    0
    1. Utilisateur anonyme
       
      Car il pourrit le fichier hosts, fait ZHPDiag, on verra
      0
  8. louxor
     
    je pense que c'est le bon lien (il y en avait deux un pour le forum et un qui est l'url ...celui que j'ai mis)
    0
  9. Utilisateur anonyme
     
    Met ton Malwarebytes à jour, et fait un scan complet
    0
  10. louxor
     
    ca risque de durer assez longtemps mais je répondrai dès que ce sera terminé. Merci de votre aide
    0
  11. Utilisateur anonyme
     
    Pas grave, il vaut mieux scanner entièrement le système, pour voir s'il y a des
    restants d'infections, il faut laisser faire Malwarebytes
    0
  12. louxor
     
    voilà, c'est terminé !
    Il y avait 7 trojan (j'avais pourtant passé l'anti virus il y a deux jours... et c'était nikel ! )
    0
    1. Utilisateur anonyme
       
      Pourrais tu poster le rapport de Malwarebytes ?
      0
  13. louxor
     
    quand j'ouvre où le log est enregistrer ca me met "aucun programme n'est associé à ce fichier pour executer cette action. Créer une association en utilisant l'application dans Panneau de configuration
    0
    1. Utilisateur anonyme
       
      tu fait ouvrir avec le bloc notes
      0
  14. louxor
     
    ca ne marche pas le clic droit ne marche pas et sinon j'ai toujours le meme message d'erreur...
    0
  15. Utilisateur anonyme
     
    Bonjour
    Télécharge RST Association (de Xplode) sur ton bureau

    http://www.general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/14-rstassociations-version-scr

    lance-le ,

    coche "tous" puis "exécuter"

    poste le rapport qui sera dans C:\ en fin de travail de l'outil

    Cela devrait restaurer l'association de fichiers
    Ensuite essaye d'ouvrir le rapport de Malwarebytes
    0
  16. louxor
     
    RstAssociations v1.3 - Rapport créé le 05/10/2011 à 14:22
    Mis à jour le 26/05/11 à 16h par Xplode
    Système d'exploitation : Windows Vista (TM) Home Premium (32 bits) [version 6.0.6002] Service Pack 2
    Nom d'utilisateur : marie - PC-DE-MARIE (Administrateur)
    Exécuté depuis : C:\Users\marie\Téléchargements\rstassociations.scr

    ¤¤¤¤¤ Restauration ¤¤¤¤¤

    -> asf ... association de fichiers restaurée !
    -> asx ... association de fichiers restaurée !
    -> audioCD ... association de fichiers restaurée !
    -> avi ... association de fichiers restaurée !
    -> bat ... association de fichiers restaurée !
    -> bmp ... association de fichiers restaurée !
    -> cab ... association de fichiers restaurée !
    -> chm ... association de fichiers restaurée !
    -> cmd ... association de fichiers restaurée !
    -> com ... association de fichiers restaurée !
    -> cpl ... association de fichiers restaurée !
    -> cur ... association de fichiers restaurée !
    -> directory ... association de fichiers restaurée !
    -> dll ... association de fichiers restaurée !
    -> drive ... association de fichiers restaurée !
    -> drvms ... association de fichiers restaurée !
    -> eml ... association de fichiers restaurée !
    -> exe ... association de fichiers restaurée !
    -> folder ... association de fichiers restaurée !
    -> gif ... association de fichiers restaurée !
    -> hlp ... association de fichiers restaurée !
    -> hta ... association de fichiers restaurée !
    -> htm ... association de fichiers restaurée !
    -> html ... association de fichiers restaurée !
    -> ico ... association de fichiers restaurée !
    -> inf ... association de fichiers restaurée !
    -> ini ... association de fichiers restaurée !
    -> jpe ... association de fichiers restaurée !
    -> jpeg ... association de fichiers restaurée !
    -> jpg ... association de fichiers restaurée !
    -> js ... association de fichiers restaurée !
    -> lnk ... association de fichiers restaurée !
    -> m3u ... association de fichiers restaurée !
    -> mp3 ... association de fichiers restaurée !
    -> mpa ... association de fichiers restaurée !
    -> mpe ... association de fichiers restaurée !
    -> mpeg ... association de fichiers restaurée !
    -> mpg ... association de fichiers restaurée !
    -> msc ... association de fichiers restaurée !
    -> msi ... association de fichiers restaurée !
    -> png ... association de fichiers restaurée !
    -> reg ... association de fichiers restaurée !
    -> rtf ... association de fichiers restaurée !
    -> scr ... association de fichiers restaurée !
    -> tif ... association de fichiers restaurée !
    -> tiff ... association de fichiers restaurée !
    -> txt ... association de fichiers restaurée !
    -> url ... association de fichiers restaurée !
    -> vbe ... association de fichiers restaurée !
    -> vbs ... association de fichiers restaurée !
    -> wma ... association de fichiers restaurée !
    -> wmv ... association de fichiers restaurée !
    -> wsf ... association de fichiers restaurée !
    -> xml ... association de fichiers restaurée !
    -> xps ... association de fichiers restaurée !
    -> zip ... association de fichiers restaurée !

    ¤¤¤¤¤ Résultats ¤¤¤¤¤¤

    -> [56 association(s) de fichiers restaurée(s) avec succès]
    -> [0 association(s) de fichiers non restaurée(s)]

    ########## EOF - "C:\RstAssociations.txt" - [3321 octets] ##########
    0
  17. louxor
     
    voici le rapport de malwarebytes:
    Malwarebytes' Anti-Malware 1.51.2.1300
    www.malwarebytes.org

    Version de la base de données: 7866

    Windows 6.0.6002 Service Pack 2
    Internet Explorer 9.0.8112.16421

    04/10/2011 18:56:33
    mbam-log-2011-10-04 (18-56-33).txt

    Type d'examen: Examen complet (C:\|)
    Elément(s) analysé(s): 347864
    Temps écoulé: 2 heure(s), 6 minute(s), 47 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 4
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 3

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CLASSES_ROOT\CLSID\{E5C9EEEC-33F8-EC5D-AC9A-B3DD4AAC14FE} (Trojan.Agent) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{E5C9EEEC-33F8-EC5D-AC9A-B3DD4AAC14FE} (Trojan.Agent) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{E5C9EEEC-33F8-EC5D-AC9A-B3DD4AAC14FE} (Trojan.Agent) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\Users\marie\téléchargements\photofiltre_studio_v.10.4.0\photofiltre studio v.10.4.0\keygen.exe (Trojan.Dropper.PGen) -> Quarantined and deleted successfully.
    c:\Users\marie\AppData\Roaming\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    c:\Users\marie\AppData\Roaming\data.dat (Stolen.Data) -> Quarantined and deleted successfully.
    0
    1. Utilisateur anonyme
       
      Vide la quarantaine de Malwarebytes
      En fait, l'infection avait détérioré les associations
      Tu peux ouvrir tous tes fichiers maintenant ?
      0
  18. louxor
     
    ah d'accord, mais comment ai-je attrapé ce virus?
    Oui, visiblement je peux tout ouvrir et malwarebytes marche, c'est surtout ça qui me posait problème, les autres fichiers semblaient marcher.
    Merci
    Avez-vous quelque chose pour me permettre d'éviter ce genre de problème à l'avenir?
    0
    1. Utilisateur anonyme
       
      c:\Users\marie\téléchargements\photofiltre_studio_v.10.4.0\photofiltre studio v.10.4.0\keygen.exe (Trojan.Dropper.PGen)
      Eviter de télécharger des cracks et keygen, là je vois que tu as cracké photofiltre
      Les cracks sont un vrai danger pour les PC, car ils font sauter les protections
      Si tu as des cracks et keygens vire les
      Attention, tu peux te faire piéger en téléchargeant de faux cracks, et là, cela peut avoir
      des conséquences, tu risques de télécharger des virus informatiques dangereux

      Pourrais tu me refaire ZHPDiag
      0
  • 1
  • 2