Comment supprimer un virus svchost.exe ?

[Résolu/Fermé]
Signaler
Messages postés
16
Date d'inscription
dimanche 13 janvier 2013
Statut
Membre
Dernière intervention
13 janvier 2013
-
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
-
Bonjour à tous,

Lors du démarrage de mon ordinateur il y a un pop-up qui me dit que svchost.exe a céssé de fonctionner.Pensant au virus je fais une analyse de malwarebytes, je vois un virus qui est un Trojan.agent s'appelant svchost.exe. normalement ce fichier est dans le system32, ce qui n'est pas le cas. J'ai essayé de le supprimer mais il réapparait lors du redémarrage...
merci d'avance pour toute réponse qui m'aidera.(je suis sur windows 7 64 bits)

7 réponses

Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 781
Bonjour,

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau :

https://forums-fec.be/gen-hackman/Pre_Scan.exe

si le lien ne fonctionne pas :

http://www.archive-host.com

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

https://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange

@+
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 781
non lol t'as juste pas fait gaffe ou t'étais pas au courant qu'avast embarque une sandbox parce que je le précise bien : Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc.....
En mode sans échec ça va aller comme sur des roulettes.
Messages postés
16
Date d'inscription
dimanche 13 janvier 2013
Statut
Membre
Dernière intervention
13 janvier 2013

nooooooooooooooooon, il a encore cessé de fonctionné !!alors que j'ai désactivé la sandbox et fait ca en mode sans échec...........
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 781
t'as un morceau de rapport à C:\Pre_Scan.txt ?
Ou dans C:\Pre_Scan ?
Messages postés
16
Date d'inscription
dimanche 13 janvier 2013
Statut
Membre
Dernière intervention
13 janvier 2013

oui il me reste un morceau de rapport: cjoint.com/13jv/CAnqjtOZacl.htm
Messages postés
16
Date d'inscription
dimanche 13 janvier 2013
Statut
Membre
Dernière intervention
13 janvier 2013

et au fait... j'essaye de réactiver mon pare-feu il m'affiche :
Le Pare-feu Windows ne peut pas modifier certains de vos paramètres Code d'erreur 0x80070422
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 781
En effet, Pre_Scan plante à la suppression des éléments néfastes.

Procédons autrement :

Télécharge ici :OTL

enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur OTL.exe pour le lancer.

=> Clique ici pour voir la Configuration
Note : si l'option "Avec analyses 64 bits" apparaît, coche la.

▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
services.exe
volsnap.sys
atapi.sys
ndisuio.sys
net.exe
tdx.sys
netbt.sys
afd.sys
net1.exe
Rundll32.exe
/md5stop
netsvcs
safebootminimal
safebootnetwork
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT
SAVEMBR:0


▶ Clic sur Analyse.

A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).

Ces fichiers se trouvent à côté de l'exécutable OTL.exe

▶▶▶ NE LES POSTE PAS SUR LE FORUM (ils sont trop longs)

héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 781
Ce sont des raccourcis que Pre_Scan ajoute au bureau quelque fois qu'ils seraient bloqués dans le menu démarrer par une infection ou l'autre :)
Messages postés
16
Date d'inscription
dimanche 13 janvier 2013
Statut
Membre
Dernière intervention
13 janvier 2013

je peux les supprimer?
Utilisateur anonyme
oui
Messages postés
16
Date d'inscription
dimanche 13 janvier 2013
Statut
Membre
Dernière intervention
13 janvier 2013

Donc voili voilou j'ai fini l'analyse donc voici les liens:
https://forums-fec.be/upload/www/?action=d&id=7102674488
https://forums-fec.be/upload/www/?action=d&id=6995445619
Messages postés
16
Date d'inscription
dimanche 13 janvier 2013
Statut
Membre
Dernière intervention
13 janvier 2013

je sais que je pause trop de questions...mais apres l'analyse je vois plein de nouveau fichiers dans le disque C:/,qu'est-ce?
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 781
Pas bien le cr@ck office

=====================

Poste moi le rapport tdsskiller stp

=====================

Désactive l'autosandbox avast !!!!

=====================

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!


si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur OTL.exe pour le lancer.


▶Copie la liste qui se trouve en gras ci-dessous,

▶ colle-la dans la zone sous "Personnalisation" :

:instructions
:OTL
O4 - HKLM\..\Run: [Adobe] C:\ProgramData\Adobe\3ECCB1.vbe ()
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.6.4.6\bh\BabylonToolbar.dll File not found
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.6.4.6\BabylonToolbarTlbr.dll File not found
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
:Commands
[EMPTYTEMP]


▶ Clique sur "Correction" pour lancer la suppression.


▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail apres le redemarrage.

Messages postés
16
Date d'inscription
dimanche 13 janvier 2013
Statut
Membre
Dernière intervention
13 janvier 2013

je présente toute mes excuse pour ce fichier pas très légal :)
ensuite le rapport tdsskiller : https://forums-fec.be/upload/www/?action=d&id=4836231747 et je suis entrain de scan sur OTL.( et les nouveau fichiers du disque C, j'en fais quoi?)
Messages postés
16
Date d'inscription
dimanche 13 janvier 2013
Statut
Membre
Dernière intervention
13 janvier 2013

de supprimer sur OTL je me suis trompé
Messages postés
16
Date d'inscription
dimanche 13 janvier 2013
Statut
Membre
Dernière intervention
13 janvier 2013

Voila suppression terminée, redémarrage avec et donc voici le rapport :https://forums-fec.be/upload/www/?action=d&id=4697637832
Messages postés
16
Date d'inscription
dimanche 13 janvier 2013
Statut
Membre
Dernière intervention
13 janvier 2013

Et je pense que le problème est réglé après cela le pop-up ne réapparaît plus et malwarebytes n'indique plus de nuisibles.... Merciiiiiiiiiiii beaucoup juju666 de m'avoir aider et acompagné dans la suppression de ce virus.donc merci ;)
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 781
Me revoici.

Il te reste le final à effectuer : https://forums-fec.be/entraide/viewtopic.php?f=11&t=229

@+
Messages postés
1172
Date d'inscription
jeudi 21 mai 2009
Statut
Membre
Dernière intervention
6 janvier 2016
233
Intéressant ce grand final j'en prendrai note ;)

Au faite la version du logiciel avec l'extension .pif est down ...
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 781
J'y ai inscrit les choses principales à effectuer après désinfection et surtout pour l'entretien minimal.
C'comme une bagnole, faut rajouter de l'huile, regonfler les pneus et tout :p
Messages postés
1172
Date d'inscription
jeudi 21 mai 2009
Statut
Membre
Dernière intervention
6 janvier 2016
233
Très belle image et très parlante en plus ^^
Messages postés
1172
Date d'inscription
jeudi 21 mai 2009
Statut
Membre
Dernière intervention
6 janvier 2016
233
Tu n'accepte pas les MP , pas grave , je voulais juste te demander si tu a fait des études particulières ou alors des stages pour arriver a ton niveau ?
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 781
Je te contacte par MP mais je ne traine pas ce soir. Suis crevé. 1105 km parcourus ce jour ...
Hello, voici pour moi :
https://forums-fec.be/upload/www/?a=d&i=0732193487
https://forums-fec.be/upload/www/?a=d&i=6613360623
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 781
Salut Romain,

J'ai transformé ton post en réponse afin que ça soit plus lisible.

Pour commencer, possèdes-tu bien la version 9 d'Avast! ?
Car je vois :

C:\Program Files\Alwil Software\Avast5\AvastUI.exe

Y'a pas l'air d'avoir grand chose, encore moins de choses actives (des traces).

Néanmoins :

Tu as installé des adwares et programmes parasites sur ton PC qui ouvrent des publicités et ralentissent l'ordinateur et les navigateurs WEB.
Voici la procédure à suivre pour les supprimer :

Suis la procédure suivante donnée dans ce lien :
==> https://www.commentcamarche.net/faq/2490-supprimer-les-adwares-publicites-intempestives-pop-up-etc <===
Clic sur le lien ci-dessus et suis la procédure à la lettre.
Fournis les rapports AdwCleaner, MBAM et OTL via le site pjjoint comme cela est demandé.

Tu dois :
1/ Faire un nettoyage AdwCleaner et fournir le rapport.
2/ Faire un nettoyage avec Malwarebytes et fournir le rapport.
3/ Réinitialiser les navigateurs
4/ Faire un scan OTL et fournir le ou les rapports.

Change tes mots de passe quand nous aurons terminé, ils ont certainement été volés.