Problème avec le "processus" "svchost.exe *32 Résolu/Fermé

Question

Bonjour, 



Configuration: Windows 7 / Firefox 10.0

Après de longues heures de recherches et l'utilisation de nombreux logiciels pour essayer de résoudre ce problème je ne vois qu'une solution m'adresser à vous.

Voilà j'ai depuis quelques jours un processus "svchost.exe *32" qui apparaît dans mes processus. La description de ce processus étant "winrscmde" et sa localisation dans C://Windows, j'ai compris qu'il n'étais pas un processus système mais bel et bien un trojan.

Je réussis à le supprimer mais à chaque suppression, il réapparait 2 ou 3 secondes après idem lorsque je vais un arrêt du processus il réapparait ensuite.

En espérant trouver de l'aide auprès de vous. 

Bonne fin de journée

kalimusic · Answer

Bonjour et Bienvenue sur CCM 

Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes de ton ordinateur.  

Télécharge OTL  (de OldTimer) sur ton Bureau. 

 Ferme toutes tes applications en cours 

&#x25CF;  Lance OTL.exe  
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF;  L'interface principale s'ouvre : 
&#x25CF;  Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal 
&#x25CF;  Coche la case également Tous les utilisateurs
&#x25CF;  Laisse tous les autres paramètres par défaut 
&#x25CF;  Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

msconfig 
safebootminimal 
safebootnetwork 
/md5start
volsnap.*
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
/md5stop
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%APPDATA%\*.
%SYSTEMDRIVE%\*.exe 
%systemroot%\Tasks\*.* /s
hklm\system\CurrentControlSet\Services\lanmanserver\parameters /s 
hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s 
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT 
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.   
&#x25CF;  2 rapports vont s'ouvrir au format bloc-note : 
OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)  
&#x25CF;  Ne les poste pas sur le forum, ils seraient trop long  
&#x25CF;  Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/ 
https://textup.fr/ 
&#x25CF;  Tu obtiendras 2 liens que tu me donneras dans ton prochain message. 

A +

Thibautdef · Answer

Salut, tout d'abord merci beaucoup pour cette réponse si rapide c'était inespéré.

Voici les liens des deux rapports:

Extras.txt:  	https://www.cjoint.com/?BBnuc58BBsV

OTL.txt:            https://www.cjoint.com/?BBnufFpVRCK

kalimusic · Answer

re,

Pas mal d'infections sur le système.

Désinstalle ces programmes indésirables : 

CrazyLoader     
Facemoods Toolbar     
FreeCompressor   
Windows Searchqu Toolbar     
Windows iLivid Toolbar     
WebplayerTool     
 == == == == == == == == == == == == == == == == == == == == == ==

Sauvegarde tes documents les plus importants.

 == == == == == == == == == == == == == == == == == == == == == ==

Télécharge  ComboFix de sUBs sur ton bureau (et nulle part ailleurs ! ) 

!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, Firewall, etc...) !!   

Regarde attentivement ce tutoriel pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.

&#x25CF; Lance ComboFix
&#x25CF; Accepte la licence d'utilisation et laisse toi guider par le programme.
&#x25CF; Accepte d'installer la console de récupération si tu es sous XP
&#x25CF; Autorise ComboFix a se connecter à internet pour les mises à jour si besoin.
&#x25CF; Il est possible que l'outil est besoin de redémarrer l'ordinateur.

 !! Surtout ne rien faire et ne rien toucher pendant le travail de l'outil !!  
(risque de plantage complet de l'ordinateur) 

&#x25CF; A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément. 
&#x25CF; Héberge le rapport et donne moi le lien. 

!! Réactive les protections résidentes de ton PC !!   

Note : Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt 

A +

Thibautdef · Answer

Ok je vais faire ça. 

Quand tu me dis "!! Réactive les protections résidentes de ton PC !! " c'est après le scan de combo fix?

Et j'ai tout désinstaller sauf IlividToolBar qui revient sans cesse même quand je le désintalle.

Je vais quoi je lance combo?

kalimusic · Answer

re,


Quand tu me dis "!! Réactive les protections résidentes de ton PC !! " c'est après le scan de combo fix? Oui

Et j'ai tout désinstaller sauf IlividToolBar qui revient sans cesse même quand je le désintalle. Tu désinstalles ce que tu peux, il y a plus grave comme infection, on s'en occupera plus tard.

A +

Thibautdef · Answer

Voici le lien du rapport:

	https://www.cjoint.com/?BBnvx3wuImf

kalimusic · Answer

re,

1. Télécharge AdwCleaner ( d'Xplode ) sur ton bureau. 

&#x25CF; Lance  AdwCleaner
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Clique sur Suppression 
&#x25CF; Patiente le temps du scan, accepte de redémarrer si l'outil le demande
&#x25CF; Le rapport doit s'ouvrir spontanément.
&#x25CF; Clique sur Quitter 

Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[S1].txt 

2. Relance OTL 
  - Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
&#x25CF;  Dans la section Rapport , coche Rapport minimal
&#x25CF;  Laisse tous les autres paramètres par défaut
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
&#x25CF;  Un nouveau rapport  OTL.txt va s'ouvrir au format bloc-note 

3.  Héberge les rapports et donne moi les liens.

A +

Thibautdef · Answer

Re:

Voici les rapports

ADWCleaner: 	https://www.cjoint.com/?BBnvYuH4QIO 

Rapport OTL:  https://www.cjoint.com/?BBnvXHmVLRV

kalimusic · Answer

re,

C'est toi qui a désactivé volontairement l'UAC ?

Il faut faire d'autres recherches :

1. Télécharge MBRScan (de Eric_71) sur ton Bureau.

&#x25CF;  Lance MbrScan.exe  
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Clique sur le bouton "Report" 

Note : cet outil est détecté à tord comme une menace par certains antivirus, désactive temporairement celui-ci si nécéssaire.

2. Relance OTL

- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Dans la partie du bas "Personnalisation", copie/colle :

/md5start
svchost.exe
/md5stop
C:\Program Files (x86)\369CD\*.* /s 
C:\data\*.* /s 
C:\Users\Thibaut\AppData\Roaming\redsn0w\*.* /s 
&#x25CF; Clique sur le bouton Aucun puis Analyse.
&#x25CF; Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note.  

3. Héberge les rapports et donne moi les liens. 

A +

Thibautdef · Answer

Je ne sais pas si c'est moi ai désactivé cela volontairement désolé.

Voici les rapports:

MbrScan: https://www.cjoint.com/?BBnwpQQqAeH

OTL : https://www.cjoint.com/?BBnwqFwNA9A

Merci de m'accorder ton temps

kalimusic · Answer

Je te demande pour l'UAC car certains utilisateurs le désactive volontairement, si ce n'est pas le cas, c'est sans l'infection.

Je pense avoir trouvé pour le faux svchost.exe résiste encore.

1. Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.

&#x25CF; Lance TDSSKiller.exe 
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Clique sur Start scan.
&#x25CF; Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
&#x25CF; Conserve l'action proposée par défaut par l'outil
&#9656; Pour TDSS.tdl2 : l'option Delete sera cochée.
&#9656; Pour TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure est bien cochée.
&#9656; Pour "Suspicious object" laisse sur "Skip"
&#9656; Pour Rootkit.Win32.ZAccess : Choisir Cure pour les fichiers .sys et Delete pour le fichier .exe
&#x25CF; Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
&#x25CF; Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt 

2. Relance MbrScan > "Report" 

3. Héberge les rapports et donne moi les liens.

A +

Thibautdef · Answer

Voici les rapports:

TDSSKiller:  https://www.cjoint.com/?BBnwQcuVZ3f

MbrScan:   https://www.cjoint.com/?BBnwRxx5nY5

kalimusic · Answer

re,

1. Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Dans la partie "Personnalisation", copie/colle les instructions suivantes :

:OTL
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.     
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
[2012/02/12 18:05:55 | 000,000,000 | ---D | C] -- C:\Users\Thibaut\AppData\Roaming\SpeedMaxPc  
[2012/02/12 18:05:38 | 000,000,000 | ---D | C] -- C:\ProgramData\SpeedMaxPc 
[2011/04/13 10:51:47 | 000,000,000 | ---D | M] -- C:\Users\Thibaut\AppData\Roaming\freeCompressor  
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ] 
:Files
C:\data
C:\Program Files (x86)\369CD
C:\Windows\svchost.exe
ipconfig /flushdns /c
:Commands 
[emptytemp]
&#x25CF; Clique sur le bouton Correction.
&#x25CF; Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.   
&#x25CF; Accepte en cliquant sur OK. 
&#x25CF; Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.   

Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles  

2. Relance OTL 
  - Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
&#x25CF;  Dans la section Rapport , coche Rapport minimal
&#x25CF;  Laisse tous les autres paramètres par défaut
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
&#x25CF;  Un nouveau rapport  OTL.txt va s'ouvrir au format bloc-note 

3. Héberge les rapports et donne moi les liens.

Comment se comporte le pc maintenant ?

A +

Thibautdef · Answer

Ca à l'air d'aller je ne vois plus ce processus mais je suis donc plus infecté du tout?

Premier rapport OTL après redémarrage : https://www.cjoint.com/?BBnxhDJhrkN

Second rapport OTL : https://www.cjoint.com/?BBnxmpRWCtJ 

Après je crois que j'ai fait une petite erreur lorsque je voulais régler mon problème tout seul, j'ai supprimé le processus "dwm.exe"qui je m'en suis rendu compte après n'avait rien d'infecté..

Est-ce grave?

Y a t-il une solution?

En tout cas merci mais vraiment un grand merci pour le "svchost.exe"!!!!! MERCI!

kalimusic · Answer

re,

Fini la désinfection jusqu'au bout.
Par précaution, tu changeras ensuite tous tes mots de passe.

Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Dans la partie du bas "Personnalisation", copie/colle :

/md5start
dwm.exe
/md5stop 
&#x25CF; Clique sur le bouton Aucun puis Analyse.
&#x25CF; Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note.  
&#x25CF; Copie/colle le dans ton prochain message.   

A +

Thibautdef · Answer

Voici le rapport: "OTL logfile created on: 13/02/2012 17:26:02 - Run 5 OTL by OldTimer - Version 3.2.31.0 Folder = C:\Users\Thibaut\Desktop 64bit- Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation Internet Explorer (Version = 9.0.8112.16421) Locale: 0000040c | Country: France | Language: FRA | Date Format: dd/MM/yyyy 3,87 Gb Total Physical Memory | 2,23 Gb Available Physical Memory | 57,64% Memory free 7,73 Gb Paging File | 5,92 Gb Available in Paging File | 76,57% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86) Drive C: | 232,65 Gb Total Space | 82,46 Gb Free Space | 35,44% Space Free | Partition Type: NTFS Drive D: | 232,72 Gb Total Space | 209,37 Gb Free Space | 89,96% Space Free | Partition Type: NTFS Computer Name: THIBAUT-TOSH | User Name: Thibaut | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 30 Days [color=#E56717]========== Custom Scans ==========[/color] [color=#A23BEC]< MD5 for: DWM.EXE >[/color] [2009/07/13 20:39:08 | 000,120,320 | ---- | M] (Microsoft Corporation) MD5=F162D5F5E845B9DC352DD1BAD8CEF1BC -- C:\Windows\winsxs\amd64_microsoft-windows-d..pwindowmanager-core_31bf3856ad364e35_6.1.7600.16385_none_e99885bbd6e301de\dwm.exe [2009/07/13 20:39:08 | 000,120,320 | ---- | M] (Microsoft Corporation) MD5=F162D5F5E845B9DC352DD1BAD8CEF1BC -- C:\Windows\winsxs\amd64_microsoft-windows-d..pwindowmanager-core_31bf3856ad364e35_6.1.7601.17514_none_ebc99983d3d18578\dwm.exe < End of report > " Tu entends quoi par finis la désinfection jusqu'au bout? Et je change quels mots de passes?

kalimusic · Answer

Souvent, dés que ça va mieux, les personnes s'en vont avant la fin.
Change les mots de passe de tes messageries, comptes, etc...

1. Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Dans la partie "Personnalisation", copie/colle [  les instructions hébergées ici] 

:OTL
[2012/02/12 18:48:44 | 000,000,006 | ---- | C] () -- C:\Users\Thibaut\binternet4.64 
[2012/02/12 18:05:38 | 000,000,000 | ---D | C] -- C:\ProgramData\SpeedMaxPc 

&#x25CF; Clique sur le bouton Correction.

2.  Vérifie l'intégrité des fichiers de Windows (via WinRe en passant par les options de démarrage avancée quand tu redémarre le pc) => http://www.chantal11.com/2010/09/verifier-reparer-fichiers-systeme-sfc-scannow-console-winre-windows-7-vist/ 

3. Refait cette recherche : https://forums.commentcamarche.net/forum/affich-24443009-probleme-avec-le-processus-svchost-exe-32#16
Colle le rapport

A +

Thibautdef · Answer

Ca c'est le rapport OTL : 
"========== OTL ==========
C:\Users\Thibaut\binternet4.64 moved successfully.
C:\ProgramData\SpeedMaxPc folder moved successfully.
 
OTL by OldTimer - Version 3.2.31.0 log created on 02132012_175132
"

Par contre toujours pas de processus dwm.exe ...

kalimusic · Answer

Normalement la manip du point 2 va le remettre en place, si par hasard cela ne fonctionnait pas, je le ferais avec OTL ;)

A +

Thibautdef · Answer

Mais j'ai fait la manip du point 2... Et après j'ai fait redémarrer mais rien...

kalimusic · Answer

Aucune violation d'intégrité n'a été trouvé ?

A+

Thibautdef · Answer

Je ne comprends pas ce qu'il faut faire après redémarrer F8 réparer...

kalimusic · Answer

On va faire plus simple pour l'instant, récupère le fichier dwm.exe dans ce répertoire :

C:\Windows\winsxs\amd64_microsoft-windows-d..pwindowmanager-core_31bf3856ad364e35_6.1.7601.17514_none_ebc99983d3d18578\dwm.exe 
Copie/colle le dans celui-ci : C:\Windows\system32

Redémarre 

A +

Thibautdef · Answer

C'est bon!!!!!!!

Un énorme mais GIGANTESQUE MERCI!!!!!!!!!

Tu me conseilles de faire une dernière chose ou c'est fini? =)

Merci !!!!!

kalimusic · Answer

Bonjour, 

1. Relance AdwCleaner en tant qu'administrateur 
&#x25CF; Clique sur Désinstallation   

2. Ouvre la commande Exécuter en pressant Windows + R  
&#x25CF; Dans la boite de dialogue, tape ComboFix /Uninstall  
&#x25CF; Valide par Ok puis suivre les invites à l'écran. 
&#x25CF; Un message confirme que ComboFix a été désinstallé.  

3. Lance OTL 
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Dans la partie "Personnalisation", copie/colle: 

:commands 
[clearallrestorepoints]
&#x25CF; Clique sur le bouton Correction.  

4. Relance OTL en tant qu'administrateur   
&#x25CF; Clique sur le bouton Purge outils 
&#x25CF; Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système. 
&#x25CF; Supprime les outils et les rapports restants éventuellement sur ton Bureau 

5. Pour des raison de sécurité, il est impératif de réactiver L'UAC , mettre à son niveau par défaut => UAC : Pourquoi ne pas le désactiver  

6. Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour : 
Tutoriel SX Check&Update 

7. Vérifie l'intégrité des fichiers système  : Comment vérifier et réparer les fichiers système sous Vista/Seven 

 == == == == == == == == == == == == == == == == == == == == == == 

 La sécurité de son PC, c'est quoi ? (par Malekal)     

 == == == == == == == == == == == == == == == == == == == == == == 
  
Bonne continuation 
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

Thibautdef · Answer

Voilà fini, vraiment un énorme MERCI!!!

Bonne continuation.

Problème avec le "processus" "svchost.exe *32

26 réponses

Discussions similaires