Virus svchost.exe !!
Résolu/Fermé
A voir également:
- Virus svchost.exe !!
- Svchost.exe - Guide
- Youtu.be virus - Guide
- Faux message virus iphone ✓ - Forum iPhone
- Faux message virus ordinateur - Guide
- Je viens de recevoir une alerte aux virus sur mon iphone - Forum iPhone
9 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
9 nov. 2012 à 14:05
9 nov. 2012 à 14:05
Salut,
Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
puis :
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
puis :
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
9 nov. 2012 à 15:26
9 nov. 2012 à 15:26
Relance OTL.
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
[2012/09/09 21:10:11 | 000,000,000 | ---D | M] (Toolbar Iadah) -- C:\Program Files (x86)\Mozilla Firefox\extensions\toolbar@iadah.com
CHR - Extension: Interest Recognizer for Freecompressor = C:\Users\Sami Guillame Jordan\AppData\Local\Google\Chrome\User Data\Default\Extensions\bdcfkjjffkboloijgealjeijakofmalg\3.4.1545.153_0\
CHR - Extension: SiteAdvisor = C:\Users\Sami Guillame Jordan\AppData\Local\Google\Chrome\User Data\Default\Extensions\fheoggkfdfchfphceeifdbepaooicaho\3.31.137.7_0\
[2012/11/09 13:59:48 | 000,000,000 | ---D | C] -- C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69
[2010/10/23 23:44:25 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\gfoc
[2010/10/23 23:44:21 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\qmmduf
[2012/11/09 13:46:23 | 000,000,000 | ---D | C] -- C:\Users\Sami Guillame Jordan\.shsh
* redemarre le pc sous windows et poste le rapport ici
~~
Confirmé, tu as ZeroAccess :
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64
"" = C:\$Recycle.Bin\S-1-5-18\$ec0d4e2787a561b624010f98ba964905\n.
"ThreadingModel" = Free
Il lance une instance supplémentaire de svchost et se comporte surement en Trojan.Click (ils surfent en bas fond pour lancer des publicités et ça doit ouvrir des publicités audio d'où les sons).
Bref t'avais bien les symptômes.
Tu as aussi installé des Adwares (Boxore), Pups sur ton PC.
Bref il est pourri.
[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.
!!! Je répète bien faire Suppression à droite et poster le rapport. !!!
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
[2012/09/09 21:10:11 | 000,000,000 | ---D | M] (Toolbar Iadah) -- C:\Program Files (x86)\Mozilla Firefox\extensions\toolbar@iadah.com
CHR - Extension: Interest Recognizer for Freecompressor = C:\Users\Sami Guillame Jordan\AppData\Local\Google\Chrome\User Data\Default\Extensions\bdcfkjjffkboloijgealjeijakofmalg\3.4.1545.153_0\
CHR - Extension: SiteAdvisor = C:\Users\Sami Guillame Jordan\AppData\Local\Google\Chrome\User Data\Default\Extensions\fheoggkfdfchfphceeifdbepaooicaho\3.31.137.7_0\
[2012/11/09 13:59:48 | 000,000,000 | ---D | C] -- C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69
[2010/10/23 23:44:25 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\gfoc
[2010/10/23 23:44:21 | 000,000,000 | ---D | M] -- C:\Users\admin\AppData\Roaming\qmmduf
[2012/11/09 13:46:23 | 000,000,000 | ---D | C] -- C:\Users\Sami Guillame Jordan\.shsh
* redemarre le pc sous windows et poste le rapport ici
~~
Confirmé, tu as ZeroAccess :
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64
"" = C:\$Recycle.Bin\S-1-5-18\$ec0d4e2787a561b624010f98ba964905\n.
"ThreadingModel" = Free
Il lance une instance supplémentaire de svchost et se comporte surement en Trojan.Click (ils surfent en bas fond pour lancer des publicités et ça doit ouvrir des publicités audio d'où les sons).
Bref t'avais bien les symptômes.
Tu as aussi installé des Adwares (Boxore), Pups sur ton PC.
Bref il est pourri.
[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.
!!! Je répète bien faire Suppression à droite et poster le rapport. !!!
Bruce Willix
Messages postés
11968
Date d'inscription
mardi 24 mai 2011
Statut
Contributeur
Dernière intervention
12 juin 2018
2 588
9 nov. 2012 à 14:05
9 nov. 2012 à 14:05
Pas de problème, mais il faut nous poser un vrai problème... Svchost.exe n'est pas un virus, voir informations ici
En lisant ton texte ci-dessus, il nous est très difficile de comprendre ce qui se passe.
Le problème c'est qu'il y a des sons parasites dans tes baffles ? C'est ça ?
Ton antivirus est à jour ? Et si oui as-tu fais un scan au démarrage ?
Tu as passé Malewarebytes ?
Tu as nettoyé avec Ccleaner ?
Tour ou portable ?
En lisant ton texte ci-dessus, il nous est très difficile de comprendre ce qui se passe.
Le problème c'est qu'il y a des sons parasites dans tes baffles ? C'est ça ?
Ton antivirus est à jour ? Et si oui as-tu fais un scan au démarrage ?
Tu as passé Malewarebytes ?
Tu as nettoyé avec Ccleaner ?
Tour ou portable ?
Bonjour,
Merci de ta réponse!
Le problème est qu'on second svchost.exe (dans les processus) est actif et bouffe énormément de mémoire et parfois j'entend des passages de vidéos anglaises... Je n'ai pas d'antivirus car avast fait bugger le PC (pc portable) J'ai passé malwarebytes le rapport est au 2eme post mais pas CCleaner, je vais le faire
Merci de ta réponse!
Le problème est qu'on second svchost.exe (dans les processus) est actif et bouffe énormément de mémoire et parfois j'entend des passages de vidéos anglaises... Je n'ai pas d'antivirus car avast fait bugger le PC (pc portable) J'ai passé malwarebytes le rapport est au 2eme post mais pas CCleaner, je vais le faire
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
9 nov. 2012 à 14:35
9 nov. 2012 à 14:35
c'est pitètre ZeroAccess
Bruce Willix
Messages postés
11968
Date d'inscription
mardi 24 mai 2011
Statut
Contributeur
Dernière intervention
12 juin 2018
2 588
9 nov. 2012 à 14:36
9 nov. 2012 à 14:36
Salut!
Bête idée, ton problème vient probablement d'un virus. Si avast fait bugger le PC, choisis en un autre (Kaspersky par exemple). C'est ta première top mission :D une fois installé, tu lances un scan au démarrage (attention ça peut être long...)
Pour svchost, tu peux en avoir plein actifs en même temps. C'est une sorte de nom générique si tu veux. En gros: ne t'en préoccupe pas et ne les arrêtes pas (tu peux planter ton pc en le faisant). D'une façon générale, il ne faut jamais arrêter un processus (seulement dans le cas ou une application plante et que tu n'arrives pas à t'en débarasser).
Je te laisse continuer avec Malekal. Ce la pro du cleaning de virus :)
Je n'ai pas d'antivirus
Bête idée, ton problème vient probablement d'un virus. Si avast fait bugger le PC, choisis en un autre (Kaspersky par exemple). C'est ta première top mission :D une fois installé, tu lances un scan au démarrage (attention ça peut être long...)
Pour svchost, tu peux en avoir plein actifs en même temps. C'est une sorte de nom générique si tu veux. En gros: ne t'en préoccupe pas et ne les arrêtes pas (tu peux planter ton pc en le faisant). D'une façon générale, il ne faut jamais arrêter un processus (seulement dans le cas ou une application plante et que tu n'arrives pas à t'en débarasser).
Je te laisse continuer avec Malekal. Ce la pro du cleaning de virus :)
Merci beaucoup!
Oui je compte installer un autre antivirus car je tiens à mon Pc quand même :D Dans les processus il y en a une dizaine d'ouvert dont 1 qui bouffe 100 000K (le normal je crois) et l'autre 300 000K (le virus) quand je le ferme ça bug dès fois mais ça va mieux après généralement. Merci de ta réponse en tout cas
Oui je compte installer un autre antivirus car je tiens à mon Pc quand même :D Dans les processus il y en a une dizaine d'ouvert dont 1 qui bouffe 100 000K (le normal je crois) et l'autre 300 000K (le virus) quand je le ferme ça bug dès fois mais ça va mieux après généralement. Merci de ta réponse en tout cas
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
9 nov. 2012 à 16:47
9 nov. 2012 à 16:47
Dans ce qui a été viré par AdwCleanre, il y a Boxore.
Tes popups étaient dû à Boxore - voir : https://www.malekal.com/adware-boxore/
Boxore vient par :
- et via de "faux" lecteur vidéo sur les sites de streaming (PlayerPlus)
- le site de téléchargement 01net.com / telecharger.com
- le site de téléchargement Softonic
Eviter 01net et Softonic et faire attention à ce que tu installes, tu peux installer ce programme pour filtrer ces PUPs/Adwares les plus fréquents : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/
~~
Tu avais aussi pas mal de barre d'outils.
Les barres d'outils sont là pour t'affilier à un service (moteur de recherche de Yahoo! ou Google), ça rajoute des fonctionnalités mais en général les navigateurs les ont par défaut.
De plus, elles enregistrent les sites que tu visites pour les transmettre (tracking) à faire de la publicité ciblée, c'est pas super niveau protection de la vie privée.
Plusieurs toolbars ralentissent le PC et peuvent faire planter les navigateurs WEB.
Au final, il est pas conseillé d'en utiliser.
Enfin l'accumulation de ces programmes ralentissent l'ordinateur/navigateur WEB.
Les barres d'outils sont proposées à l'installation de programmes et très souvent ces ajouts sont précochés.
Dès lors, lorsque tu installes un programme, lis bien ce qui est proposé car tu risques d'installé des barres d'outils sans le savoir.
Lire : Les toolbars c'est pas obligatoire!
~~
Enfin pour ZeroAccess, soit par un crack/keygen, soit par un exploit sur site WEB.
Sécurise ton PC !
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Passe le mot à tes amis !
~~
Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/
~~
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Tes popups étaient dû à Boxore - voir : https://www.malekal.com/adware-boxore/
Boxore vient par :
- et via de "faux" lecteur vidéo sur les sites de streaming (PlayerPlus)
- le site de téléchargement 01net.com / telecharger.com
- le site de téléchargement Softonic
Eviter 01net et Softonic et faire attention à ce que tu installes, tu peux installer ce programme pour filtrer ces PUPs/Adwares les plus fréquents : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/
~~
Tu avais aussi pas mal de barre d'outils.
Les barres d'outils sont là pour t'affilier à un service (moteur de recherche de Yahoo! ou Google), ça rajoute des fonctionnalités mais en général les navigateurs les ont par défaut.
De plus, elles enregistrent les sites que tu visites pour les transmettre (tracking) à faire de la publicité ciblée, c'est pas super niveau protection de la vie privée.
Plusieurs toolbars ralentissent le PC et peuvent faire planter les navigateurs WEB.
Au final, il est pas conseillé d'en utiliser.
Enfin l'accumulation de ces programmes ralentissent l'ordinateur/navigateur WEB.
Les barres d'outils sont proposées à l'installation de programmes et très souvent ces ajouts sont précochés.
Dès lors, lorsque tu installes un programme, lis bien ce qui est proposé car tu risques d'installé des barres d'outils sans le savoir.
Lire : Les toolbars c'est pas obligatoire!
~~
Enfin pour ZeroAccess, soit par un crack/keygen, soit par un exploit sur site WEB.
Sécurise ton PC !
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Passe le mot à tes amis !
~~
Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/
~~
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Merci mec je te vénère! Tu m'as été d'une super aide! Message détailles et super bien présentés. Continue ce que tu fais c'est super!!
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
9 nov. 2012 à 17:45
9 nov. 2012 à 17:45
:)
Bonne soirée :)
Bonne soirée :)
9 nov. 2012 à 14:23
Merci de ta réponse complète!
Voici le rappport de xplode
http://pastebin.com/FN7uMnvA
Le second rapport arrive
9 nov. 2012 à 14:45
9 nov. 2012 à 14:57
http://pjjoint.malekal.com/files.php?id=20121109_z65c5y11q15
9 nov. 2012 à 15:17
http://pjjoint.malekal.com/files.php?id=OTL_20121109_q8r8x5w14y8
Il y a un fichier extras qui s'était ouvert aussi (je crois sur l'analyse d'avant)
http://pjjoint.malekal.com/files.php?id=OTL_Extras_20121109_z12t6s14l5k11