Svchost.exe appdata
Résolu
christo57470
Messages postés
19
Date d'inscription
Statut
Membre
Dernière intervention
-
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
bonjour je viens de voir dans mon dossier appdata plusieurs fichiers .exe qui pesent peu moins 1mo et dont un qui sappele svchost pouvait vous me dire quoi faire si c un virus et quesqu il fait??
merci de me repondre vite
merci de me repondre vite
A voir également:
- Svchost.exe appdata
- Appdata - Guide
- Svchost.exe - Guide
- Appdata minecraft ✓ - Forum Minecraft
- Deplacer appdata - Forum Windows
- %Appdata%/google/chrome ✓ - Forum Google Chrome
14 réponses
Salut,
Dans le dossier appdata c'est forcément un logiciel malveillant qui usurpe le nom d'un fichier légitime de Windows.
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :
▶ Télécharge ici :OTL
▶ Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.
▶ Quand la fenêtre apparaît, Coche la case Tous les utilisateurs
▶ Coche les cases à coté de Recherche Lop et Recherche Purity.
▶ Laisse tous les autres paramètres par défaut
▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"
msconfig
netsvcs
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
winsock.*
/md5stop
%temp%\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.*
BASESERVICES
CREATERESTOREPOINT
SAVEMBR:0
▶ Clic sur Analyse.
A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).
NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT
Ces fichiers se trouvent à côté de l'exécutable OTL.exe
héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange
NE PAS COPIER/COLLER LE LIEN DE SUPPRESSION, CONSERVE-LE SI TU DESIRE ENSUITE SUPPRIMER LES RAPPORTS DE LA BASE DE DONNEES FEC
A+
Dans le dossier appdata c'est forcément un logiciel malveillant qui usurpe le nom d'un fichier légitime de Windows.
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :
▶ Télécharge ici :OTL
▶ Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.
▶ Quand la fenêtre apparaît, Coche la case Tous les utilisateurs
▶ Coche les cases à coté de Recherche Lop et Recherche Purity.
▶ Laisse tous les autres paramètres par défaut
▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"
msconfig
netsvcs
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
winsock.*
/md5stop
%temp%\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.*
BASESERVICES
CREATERESTOREPOINT
SAVEMBR:0
▶ Clic sur Analyse.
A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).
NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT
Ces fichiers se trouvent à côté de l'exécutable OTL.exe
héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange
NE PAS COPIER/COLLER LE LIEN DE SUPPRESSION, CONSERVE-LE SI TU DESIRE ENSUITE SUPPRIMER LES RAPPORTS DE LA BASE DE DONNEES FEC
A+
Ok c'est bien un RAT, tes mots de passe ont été volés. Tu penseras à les changer (boite mail, facebook, ...)
ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶Copie la liste qui se trouve en gras ci-dessous,
▶ colle-la dans la zone sous "Personnalisation" :
:OTL
PRC - [2011/06/05 11:49:37 | 000,172,544 | ---- | M] () -- C:\Users\sandra\AppData\Roaming\svchost.exe
MOD - [2011/06/05 11:49:37 | 000,172,544 | ---- | M] () -- C:\Users\sandra\AppData\Roaming\svchost.exe
O4 - HKU\S-1-5-21-1131658597-4005637612-88016806-1000\..\Run: [] C:\Users\sandra\AppData\Roaming\svchost.exe ()
O20 - AppInit_DLLs: (C:\PROGRA~1\SEARCH~1\SEARCH~1\IEBHO.dll) - C:\PROGRA~1\SEARCH~1\SEARCH~1\IEBHO.dll (Bandoo Media, inc)
[2013/05/05 10:46:59 | 000,000,000 | ---D | C] -- C:\Users\sandra\Desktop\KDZ_FW_UPD_EN
[2013/04/29 20:07:20 | 000,000,000 | ---D | C] -- C:\Users\sandra\AppData\Local\qb8EC2D4.5F
[2013/04/29 20:06:11 | 000,000,000 | ---D | C] -- C:\Users\sandra\AppData\Local\qb8DB58B.22
[2013/04/29 20:04:15 | 000,000,000 | ---D | C] -- C:\Users\sandra\AppData\Local\qb8BF0D6.E5
[2013/04/29 19:54:26 | 000,000,000 | ---D | C] -- C:\Users\sandra\AppData\Local\qb82F4AD.79
[2013/04/29 19:53:01 | 000,000,000 | ---D | C] -- C:\Users\sandra\AppData\Local\qb81A94B.7C
[2013/04/29 19:50:56 | 000,000,000 | ---D | C] -- C:\Users\sandra\AppData\Local\qb7FC0C1.B8
[2013/04/29 19:45:25 | 000,000,000 | ---D | C] -- C:\Users\sandra\AppData\Local\qb7AB25F.F0
[2013/04/29 19:24:18 | 000,000,000 | ---D | C] -- C:\Users\sandra\AppData\Local\qb675E09.65
[2012/01/22 15:19:03 | 000,032,072 | ---- | C] (Microsoft Corporation) -- C:\Users\sandra\AppData\Roaming\BY5UQSRO2L.exe
[2011/12/20 11:13:22 | 009,014,392 | ---- | C] (Mozy, Inc.) -- C:\ProgramData\TempMOBK-update-27ba6a9b9808bda40c3540a47bb1ff3c.exe
[2012/01/22 15:19:33 | 000,000,478 | ---- | C] () -- C:\Users\sandra\AppData\Roaming\update
[2011/10/08 17:01:36 | 000,188,416 | ---- | C] () -- C:\Users\sandra\AppData\Roaming\chrtmp
[2011/06/05 11:49:38 | 000,172,544 | ---- | C] () -- C:\Users\sandra\AppData\Roaming\svchost.exe
[2011/04/27 14:26:08 | 000,025,325 | ---- | C] () -- C:\Users\sandra\AppData\Roaming\addons.dat
@Alternate Data Stream - 136 bytes -> C:\ProgramData\Temp:4CF61E54
@Alternate Data Stream - 126 bytes -> C:\ProgramData\Temp:A42A9F39
@Alternate Data Stream - 125 bytes -> C:\ProgramData\Temp:ABE89FFE
@Alternate Data Stream - 119 bytes -> C:\ProgramData\Temp:E5D4F1EB
@Alternate Data Stream - 116 bytes -> C:\ProgramData\Temp:E1F04E8D
:Commands
[EMPTYTEMP]
[RESETHOSTS]
▶ Clique sur "Correction" pour lancer la suppression.
▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail apres le redemarrage.
ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶Copie la liste qui se trouve en gras ci-dessous,
▶ colle-la dans la zone sous "Personnalisation" :
:OTL
PRC - [2011/06/05 11:49:37 | 000,172,544 | ---- | M] () -- C:\Users\sandra\AppData\Roaming\svchost.exe
MOD - [2011/06/05 11:49:37 | 000,172,544 | ---- | M] () -- C:\Users\sandra\AppData\Roaming\svchost.exe
O4 - HKU\S-1-5-21-1131658597-4005637612-88016806-1000\..\Run: [] C:\Users\sandra\AppData\Roaming\svchost.exe ()
O20 - AppInit_DLLs: (C:\PROGRA~1\SEARCH~1\SEARCH~1\IEBHO.dll) - C:\PROGRA~1\SEARCH~1\SEARCH~1\IEBHO.dll (Bandoo Media, inc)
[2013/05/05 10:46:59 | 000,000,000 | ---D | C] -- C:\Users\sandra\Desktop\KDZ_FW_UPD_EN
[2013/04/29 20:07:20 | 000,000,000 | ---D | C] -- C:\Users\sandra\AppData\Local\qb8EC2D4.5F
[2013/04/29 20:06:11 | 000,000,000 | ---D | C] -- C:\Users\sandra\AppData\Local\qb8DB58B.22
[2013/04/29 20:04:15 | 000,000,000 | ---D | C] -- C:\Users\sandra\AppData\Local\qb8BF0D6.E5
[2013/04/29 19:54:26 | 000,000,000 | ---D | C] -- C:\Users\sandra\AppData\Local\qb82F4AD.79
[2013/04/29 19:53:01 | 000,000,000 | ---D | C] -- C:\Users\sandra\AppData\Local\qb81A94B.7C
[2013/04/29 19:50:56 | 000,000,000 | ---D | C] -- C:\Users\sandra\AppData\Local\qb7FC0C1.B8
[2013/04/29 19:45:25 | 000,000,000 | ---D | C] -- C:\Users\sandra\AppData\Local\qb7AB25F.F0
[2013/04/29 19:24:18 | 000,000,000 | ---D | C] -- C:\Users\sandra\AppData\Local\qb675E09.65
[2012/01/22 15:19:03 | 000,032,072 | ---- | C] (Microsoft Corporation) -- C:\Users\sandra\AppData\Roaming\BY5UQSRO2L.exe
[2011/12/20 11:13:22 | 009,014,392 | ---- | C] (Mozy, Inc.) -- C:\ProgramData\TempMOBK-update-27ba6a9b9808bda40c3540a47bb1ff3c.exe
[2012/01/22 15:19:33 | 000,000,478 | ---- | C] () -- C:\Users\sandra\AppData\Roaming\update
[2011/10/08 17:01:36 | 000,188,416 | ---- | C] () -- C:\Users\sandra\AppData\Roaming\chrtmp
[2011/06/05 11:49:38 | 000,172,544 | ---- | C] () -- C:\Users\sandra\AppData\Roaming\svchost.exe
[2011/04/27 14:26:08 | 000,025,325 | ---- | C] () -- C:\Users\sandra\AppData\Roaming\addons.dat
@Alternate Data Stream - 136 bytes -> C:\ProgramData\Temp:4CF61E54
@Alternate Data Stream - 126 bytes -> C:\ProgramData\Temp:A42A9F39
@Alternate Data Stream - 125 bytes -> C:\ProgramData\Temp:ABE89FFE
@Alternate Data Stream - 119 bytes -> C:\ProgramData\Temp:E5D4F1EB
@Alternate Data Stream - 116 bytes -> C:\ProgramData\Temp:E1F04E8D
:Commands
[EMPTYTEMP]
[RESETHOSTS]
▶ Clique sur "Correction" pour lancer la suppression.
▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail apres le redemarrage.
Bizarre, en règle générale ce sont des RAT.
Clic droit sur C:\_OTL -> Envoyer vers -> Dossier compressé.
Envoie C:\_OTL.zip sur fec upload, je vais matter ça
EDIT : ouais normal, c'est dans la 40aine d'OTL, mais il n'est plus actif.
.::. Contributeur Sécurité .::.
Clic droit sur C:\_OTL -> Envoyer vers -> Dossier compressé.
Envoie C:\_OTL.zip sur fec upload, je vais matter ça
EDIT : ouais normal, c'est dans la 40aine d'OTL, mais il n'est plus actif.
.::. Contributeur Sécurité .::.
t'es sûr que t'as un antivirus ? parce que c'est vraiment bien détecté : https://www.virustotal.com/gui/file/177128888adb83a142f36377bd9869b73e271dff85c13f66db9a8615e6c11555
Et c'est bien un enregistreur de frappes comme je te disais, donc change TOUS tes mots de passe (banque, mail, facebook, ...)
▶ Télécharge et installe Malwarebytes' Anti-Malware (MBAM).
▶ Exécute-le. Accepte la mise à jour.
● Uniquement en cas de problème de mise à jour:
● Télécharger mises à jour manuelles MBAM
● Exécute le fichier après l'installation de MBAM
▶ Sélectionne "Exécuter un examen complet"
▶ Clique sur "Rechercher"
▶ L'analyse démarre, le scan est relativement long, c'est normal.
A la fin de l'analyse, un message s'affiche :
Citation :
L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
▶ Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
▶ Ferme tes navigateurs.
▶ Si des malwares ont été détectés, clique sur Afficher les résultats.
▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le.
Si MBAM demande à redémarrer le pc : ▶ fais-le.
Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.
Et c'est bien un enregistreur de frappes comme je te disais, donc change TOUS tes mots de passe (banque, mail, facebook, ...)
▶ Télécharge et installe Malwarebytes' Anti-Malware (MBAM).
▶ Exécute-le. Accepte la mise à jour.
● Uniquement en cas de problème de mise à jour:
● Télécharger mises à jour manuelles MBAM
● Exécute le fichier après l'installation de MBAM
▶ Sélectionne "Exécuter un examen complet"
▶ Clique sur "Rechercher"
▶ L'analyse démarre, le scan est relativement long, c'est normal.
A la fin de l'analyse, un message s'affiche :
Citation :
L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
▶ Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
▶ Ferme tes navigateurs.
▶ Si des malwares ont été détectés, clique sur Afficher les résultats.
▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le.
Si MBAM demande à redémarrer le pc : ▶ fais-le.
Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
voila les texte de fin de scan https://forums-fec.be/upload/www/?a=d&i=6298330825
https://forums-fec.be/upload/www/?a=d&i=8785466272
https://forums-fec.be/upload/www/?a=d&i=8785466272
un autre question juju66 quand tu dit mot de passe est que les code de la carte bancaire compte dedans car cela fait un bon moment que jai se vschost.exe et pas eu de probleme apart des ralentisement du pc mais rien dalarment. j ai jamais eu de compte pirater ou quoi que se soit et sur se pc il y en a eu des compte gmail facebook ou tous autres . merci de me repondre
voila le dossier que tu voulais https://forums-fec.be/upload/www/?a=d&i=7405075103. juste une autre question est ce quil serai possible dameliorer la vitesse de demarrage est de chargement du pc . pas obliger de me repondre.
Je sais :) tout est étudié !
D'abord virer les machins actifs, MBAM a ramassé les restes.
Relance OTL, clique sur "Analyse rapide" (et rien d'autre), héberge le rapport et poste le lien.
Tu as payé ton "antivirus" mac à fric ?
S'il est même pas fichu de détecter bifrose ....
D'abord virer les machins actifs, MBAM a ramassé les restes.
Relance OTL, clique sur "Analyse rapide" (et rien d'autre), héberge le rapport et poste le lien.
Tu as payé ton "antivirus" mac à fric ?
S'il est même pas fichu de détecter bifrose ....
Parfait, le PC est propre.
Tu as payé Mac à fric ?
Tu as payé Mac à fric ?
En gratuit il existe :
Avast
AVG
Avira Antivir
Les 2 premiers sont proposés sur 01 pas net donc faire gaffe où tu cliques et le dernier propose la toolbar ask comme "protection web" donc ...
Comme on dit chez moi : "L'un n'est pas bon et l'autre ne vaut rien" !
Avast
AVG
Avira Antivir
Les 2 premiers sont proposés sur 01 pas net donc faire gaffe où tu cliques et le dernier propose la toolbar ask comme "protection web" donc ...
Comme on dit chez moi : "L'un n'est pas bon et l'autre ne vaut rien" !
Quelques conseils pour repartir sur de bonnes bases:
Si tu as Spybot, désinstalle, il est dépassé et inefficace.
Si tu as McAfee Security Scan, pareil désinstalle le, il sert à rien.
Et c'est la même chose pour AD-Aware, dépassé et inefficace, donc à désinstaller.
~~
Passe un coup de delfix en cochant toutes cases : https://www.commentcamarche.net/telecharger/securite/7111-delfix/
~~
Fais des scans réguliers avec Malwarebytes il est efficace.
~~
Sécurise ton PC !
Un exploit sur site web permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web
Passe le mot à tes amis !
~~
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Bonne lecture.
Si tu as Spybot, désinstalle, il est dépassé et inefficace.
Si tu as McAfee Security Scan, pareil désinstalle le, il sert à rien.
Et c'est la même chose pour AD-Aware, dépassé et inefficace, donc à désinstaller.
~~
Passe un coup de delfix en cochant toutes cases : https://www.commentcamarche.net/telecharger/securite/7111-delfix/
~~
Fais des scans réguliers avec Malwarebytes il est efficace.
~~
Sécurise ton PC !
Un exploit sur site web permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web
Passe le mot à tes amis !
~~
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Bonne lecture.
Bonjour,
Ce n'est pas un virus, c'est un processus générique Windows hôte pour les librairies dynamiques (DLL).
https://www.pcastuces.com/pratique/windows/svhost/page1.htm
Ce n'est pas un virus, c'est un processus générique Windows hôte pour les librairies dynamiques (DLL).
https://www.pcastuces.com/pratique/windows/svhost/page1.htm
Mais AppData se trouve bien dans Utilisateur\Vous ?
Et svchost.exe n'est dans aucun dossier après AppData ?
Pour la taille de svchost.exe c'est normal, le mien fait 27 Ko.
Et svchost.exe n'est dans aucun dossier après AppData ?
Pour la taille de svchost.exe c'est normal, le mien fait 27 Ko.
oui il est bien dans aucun dossier le mien fait 169ko mais alors pourquoi quand je vais dans gestionnaire de tache ,processus et je regarde la description a droite je voi que c est crackforge et j ai aussi regarder les signature il n'est pas signe microsoft . je vien de voir en tapant dans rechercher que j ai un autre svchost.exe cette fois signé microsoft et en description Processus hôte pour les services Windows. si vous voullez un screen des deux description des dossier je peut vous le faire. il se trouve ici C:\Users\moi\AppData\Roaming et le signé microsioft ici C:\Windows\System32
https://forums-fec.be/upload/www/?a=d&i=8785466272