Virus C:\Windows\SysWOW64\svchost.exe
Résolu
lilou34400
Messages postés
17
Date d'inscription
Statut
Membre
Dernière intervention
-
kalimusic Messages postés 14014 Date d'inscription Statut Contributeur sécurité Dernière intervention -
kalimusic Messages postés 14014 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
je suis sous seven 64bits
antivirus eset smart security
et celui ci me dit C:\Windows\SysWOW64\svchost.exe une variante de Win32/Spy.Zbot.AAO cheval de troie impossible de nettoyer ?
je suis sous seven 64bits
antivirus eset smart security
et celui ci me dit C:\Windows\SysWOW64\svchost.exe une variante de Win32/Spy.Zbot.AAO cheval de troie impossible de nettoyer ?
A voir également:
- Syswow64 virus
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Message virus iphone site adulte - Forum iPhone
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
25 réponses
Bonjour lilou34400,
1. Rends-toi sur le site de GMER
● Clique sur le bouton Download EXE pour télécharger l'outil avec un nom aléatoire et enregistre ce fichier sur le Bureau.
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Développe les onglets en cliquant sur |>>>|
● Clique sur l'onglet Files , parcoure l'arborescence jusqu'au répertoire
C:\WINDOWS\SysWOW64, met en surbrillance le fichier svchost.exe puis clique sur Copy.
● Enregistre le sur ton bureau sous le nom test_svchost.exe
2. Analyse le fichier sur https://www.virustotal.com/gui/
Si un message te dit que le fichier à déjà été analysé, ré-analyse le
Copie-colle l'url affichée dans la barre d'adresse dans ta réponse.
tuto : Analyser un fichier avec VirusTotal
A +
1. Rends-toi sur le site de GMER
● Clique sur le bouton Download EXE pour télécharger l'outil avec un nom aléatoire et enregistre ce fichier sur le Bureau.
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Développe les onglets en cliquant sur |>>>|
● Clique sur l'onglet Files , parcoure l'arborescence jusqu'au répertoire
C:\WINDOWS\SysWOW64, met en surbrillance le fichier svchost.exe puis clique sur Copy.
● Enregistre le sur ton bureau sous le nom test_svchost.exe
2. Analyse le fichier sur https://www.virustotal.com/gui/
Si un message te dit que le fichier à déjà été analysé, ré-analyse le
Copie-colle l'url affichée dans la barre d'adresse dans ta réponse.
tuto : Analyser un fichier avec VirusTotal
A +
richibeg
Messages postés
1
Date d'inscription
Statut
Membre
Dernière intervention
https://www.virustotal.com/gui/file/121118a0f5e0e8c933efd28c9901e54e42792619a8a3a6d11e1f0025a7324bc2
Bonjour kalimusic
Voici l url
https://www.virustotal.com/gui/file/121118a0f5e0e8c933efd28c9901e54e42792619a8a3a6d11e1f0025a7324bc2
Voici l url
https://www.virustotal.com/gui/file/121118a0f5e0e8c933efd28c9901e54e42792619a8a3a6d11e1f0025a7324bc2
re,
Tu as des soucis sinon avec le pc car il semble bien que ce soit un faux positif de la part de ESET.
Tu as des soucis sinon avec le pc car il semble bien que ce soit un faux positif de la part de ESET.
Non aucun souci si ce n est que eset me donne ca comme info
https://www.imagup.com/data-recovery-solutions-for-small-businesses-of-san-francisco/
https://www.imagup.com/data-recovery-solutions-for-small-businesses-of-san-francisco/
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
C'est tout de même assez étrange que ESET le signale plusieurs fois comme ça.
Nous allons utiliser cet outil de diagnostic pour voir :
Télécharge OTL (de OldTimer) sur ton Bureau.
Ferme toutes tes applications en cours
● Lance OTL.exe, l'interface principale s'ouvre.
● Coche la case Tous les utilisateurs
● Laisse tous les autres paramètres par défaut
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● 2 rapports vont s'ouvrir au format bloc-note :
▸ ▸ OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
● Ne les poste pas sur le forum, ils seraient trop long
● Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.
Aide : Tutorial OTL (par Malekal)
A +
Nous allons utiliser cet outil de diagnostic pour voir :
Télécharge OTL (de OldTimer) sur ton Bureau.
Ferme toutes tes applications en cours
● Lance OTL.exe, l'interface principale s'ouvre.
● Coche la case Tous les utilisateurs
● Laisse tous les autres paramètres par défaut
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :
msconfig netsvcs /md5start explorer.exe winlogon.exe userinit.exe svchost.exe services.exe /md5stop %temp%\*.exe /s %ALLUSERSPROFILE%\Application Data\*.exe /s %ALLUSERSPROFILE%\Application Data\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe BASESERVICES CREATERESTOREPOINT
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● 2 rapports vont s'ouvrir au format bloc-note :
▸ ▸ OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
● Ne les poste pas sur le forum, ils seraient trop long
● Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.
Aide : Tutorial OTL (par Malekal)
A +
ok,
1. Désinstalle Panda ActiveScan 2.0
2. Relance OTL
● Dans la partie "Personnalisation", copie/colle les instructions en citation (y compris la commande :OTL) :
● Ferme impérativement les applications en cours.
● Clique sur le bouton Correction.
● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
● Accepte en cliquant sur OK.
● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.
Tu peux le retrouver à la racine du disque dans ce dossier : C:\_OTL\MovedFiles
3. Télécharge MBAM et installe le selon l'emplacement par défaut.
(l'essai de la version pro est facultative)
Effectue la mise à jour, lance un examen rapide et supprime les éléments trouvés.
Tuto : https://forum.security-x.fr/archives/(tutoriel)-malwarebyte's-anti-malware/?PHPSESSID=bl3ngphatppbfl2g9p5j9fnppb
4. Héberge le liens et poste les rapports.
A +
1. Désinstalle Panda ActiveScan 2.0
2. Relance OTL
● Dans la partie "Personnalisation", copie/colle les instructions en citation (y compris la commande :OTL) :
:OTL
O4 - HKU\S-1-5-21-1921013544-664920567-759216663-1001\..\Run: [{2BB6D091-D2DD-5CE7-0067-68CF4C5D5664}] C:\Users\ALAIN\AppData\Roaming\Rebyq\hugeo.exe (Microsoft)
[2012/10/19 16:08:32 | 000,000,000 | ---D | M] -- C:\Users\ALAIN\AppData\Roaming\Rebyq
:Files
ipconfig /flushdns /c
:Commands
[emptytemp]
● Ferme impérativement les applications en cours.
● Clique sur le bouton Correction.
● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
● Accepte en cliquant sur OK.
● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.
Tu peux le retrouver à la racine du disque dans ce dossier : C:\_OTL\MovedFiles
3. Télécharge MBAM et installe le selon l'emplacement par défaut.
(l'essai de la version pro est facultative)
Effectue la mise à jour, lance un examen rapide et supprime les éléments trouvés.
Tuto : https://forum.security-x.fr/archives/(tutoriel)-malwarebyte's-anti-malware/?PHPSESSID=bl3ngphatppbfl2g9p5j9fnppb
4. Héberge le liens et poste les rapports.
A +
Mon antivirus refuse MBAM car fichier dangeureux
il est suspicieux ESET, et si tu télécharges Malwarebytes depuis CCM
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
n'installe pas la version d'essai
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
n'installe pas la version d'essai
@lilou,
Pour désactiver le filtre Smart sreen le temps du téléchargement, vois cette page :
https://support.microsoft.com/fr-fr/help/930168
@ kali----> pour avancer ;)
Pour désactiver le filtre Smart sreen le temps du téléchargement, vois cette page :
https://support.microsoft.com/fr-fr/help/930168
@ kali----> pour avancer ;)
Bonjour,
Merci cabrier ;)
@lilou34400 : le rapport OTL est totalement illisible et ne semble même pas correspondre par sa longueur à ce qui était demandé.
A +
Merci cabrier ;)
@lilou34400 : le rapport OTL est totalement illisible et ne semble même pas correspondre par sa longueur à ce qui était demandé.
A +
re,
Pour Malwarebytes, en fait ce n'est pas ton antivirus qui bloque, c'est le smartscreen de IE9 voir explication --> https://forums.commentcamarche.net/forum/affich-26291286-virus-c-windows-syswow64-svchost-exe#18
Pour Malwarebytes, en fait ce n'est pas ton antivirus qui bloque, c'est le smartscreen de IE9 voir explication --> https://forums.commentcamarche.net/forum/affich-26291286-virus-c-windows-syswow64-svchost-exe#18
Oui 2 ce matin au demarage
Mais apres tous ce que je fait ce matin j espere que ca vas plus le refaire
Mais apres tous ce que je fait ce matin j espere que ca vas plus le refaire
ok,
Avant OTL, c'est normal.
Si tu as une autre alerte sur ce fichier, on utilisera un autre outil.
Pour l'instant, on attend de voir ce qui se passe.
A +
Avant OTL, c'est normal.
Si tu as une autre alerte sur ce fichier, on utilisera un autre outil.
Pour l'instant, on attend de voir ce qui se passe.
A +
ok kalimusic
En attendant un tres grand merci pour ton aide et ta patience
Te ferai un retour qu il soit positif ou negatif
Amicalement
En attendant un tres grand merci pour ton aide et ta patience
Te ferai un retour qu il soit positif ou negatif
Amicalement
Bonjour vigen
Rien non plus
https://www.cjoint.com/?BJvkRJsTSUD
Rien non plus
https://www.cjoint.com/?BJvkRJsTSUD
Bonjour kalimusic
Comme quelqu'un qui est au travail ^^ :-) et toi?
Si j'ai bien compris, malgré la suppression de la clé Nod avise toujours de la présence de Zbot?
Généralement un Driver est "patché" par le rootkit, étant au travail, je n'ai pas accès au cijoint, avec OTL as tu vu cela?
Je pense que la detection de Nod est de ce fait là, il scan le démarrage donc les drivers chargés d'ou l'alerte. Ce n'est qu'au stade de supposition, vu l'accès très limité que j'ai ici.
Comme quelqu'un qui est au travail ^^ :-) et toi?
Si j'ai bien compris, malgré la suppression de la clé Nod avise toujours de la présence de Zbot?
Généralement un Driver est "patché" par le rootkit, étant au travail, je n'ai pas accès au cijoint, avec OTL as tu vu cela?
Je pense que la detection de Nod est de ce fait là, il scan le démarrage donc les drivers chargés d'ou l'alerte. Ce n'est qu'au stade de supposition, vu l'accès très limité que j'ai ici.
re,
Oui, il fait beau et chaud chez moi
En réalité, je ne sais pas si la nouvelle alerte sur le fichier a eu lieu avant ou après la correction OTL visible ici : https://forums.commentcamarche.net/forum/affich-26291286-virus-c-windows-syswow64-svchost-exe#12
Non, le fichier n'est pas patché, c'est la première chose qui a été vérifié, comme l'atteste l'analyse sur VT après avoir isolé :https://forums.commentcamarche.net/forum/affich-26291286-virus-c-windows-syswow64-svchost-exe#6
A +
Oui, il fait beau et chaud chez moi
Si j'ai bien compris, malgré la suppression de la clé Nod avise toujours de la présence de Zbot?
En réalité, je ne sais pas si la nouvelle alerte sur le fichier a eu lieu avant ou après la correction OTL visible ici : https://forums.commentcamarche.net/forum/affich-26291286-virus-c-windows-syswow64-svchost-exe#12
Non, le fichier n'est pas patché, c'est la première chose qui a été vérifié, comme l'atteste l'analyse sur VT après avoir isolé :https://forums.commentcamarche.net/forum/affich-26291286-virus-c-windows-syswow64-svchost-exe#6
A +
