Probleme virus svchost.exe

Résolu
Lucas59 -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour, depuis quelques temps , Norton me signale un fichier malveillant se nommant svchost.exe . Ce fichier utilise 50% de mon UC , il me fait ramer a moooort ! S'il vous plait aider moi je n'arrive plus a en sortir !
Le fichier se trouve dans : c:\users\*****\appdata\local\temp\svchost.exe

10 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
    Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
    Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
    Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    puis :

    Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
    Fournir les deux rapports :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

    * Lance OTL
    * En haut à droite de Analyse rapide, coche "tous les utilisateurs"
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\consrv.dll
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
    CREATERESTOREPOINT
    nslookup www.google.fr /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs


    * Clique sur le bouton Analyse.

    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
    Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
    Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

    NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
    1
  2. Lucas59
     
    http://pjjoint.malekal.com/files.php?id=20130525_n15x8x15c13y7 voici le rapport pour AdwCleaner
    0
  3. Lucas59
     
    http://pjjoint.malekal.com/files.php?id=20130526_11v6k13u9i6 voici le rapport OTL
    0
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Beaucoup beaucoup de programmes parasites ont été installés.
    AdwCleaner en a supprimé mais il en reste.

    Sinon le PC est infecté aussi, donc tous tes mots de passe ont été volés.
    Le contrôle du PC est possible par un pirate.

    Est-ce que Norton est à jour et fonctionnel ?

    Désinstalle AVG Secure Search
    Sert à rien.

    Relance OTL.
    o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
    Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

    :OTL
    64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\PROGRAM FILES\WEB ASSISTANT\FIREFOX
    CHR - plugin: vShare.tv plug-in (Enabled) = C:\Users\Lucas.fatima-PC\AppData\Local\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj\1.3_0\chvsharetvplg.dll
    CHR - plugin: vShare.tv plug-in (Enabled) = C:\Program Files (x86)\Mozilla Firefox\plugins\npvsharetvplg.dll
    O2:[b]64bit:/b - BHO: (VshareComplete) - {08337871-0e50-4031-9110-3bd21ca3c065} - C:\Users\fatima\AppData\Roaming\VshareComplete\64\VshareComplete64.dll File not found
    O3 - HKU\S-1-5-21-3291338433-4259670663-2427899147-1000\..\Toolbar\WebBrowser: (no name) - {05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E} - No CLSID value found.
    O4 - HKU\S-1-5-21-3291338433-4259670663-2427899147-1000..\Run: [Startup] C:\Users\fatima\AppData\Roaming\Mining\svchost.exe File not found
    O4 - HKU\S-1-5-21-3291338433-4259670663-2427899147-1000..\Run: [HKCU] C:\Users\fatima\AppData\Roaming\Windir\svchost.exe ()
    O20:[b]64bit:/b - AppInit_DLLs: (c:\progra~3\wincert\win32c~1.dll) - c:\ProgramData\Wincert\win32cert.dll ()
    O20:[b]64bit:/b - AppInit_DLLs: (C:\PROGRA~3\Wincert\WIN64C~1.DLL) - C:\ProgramData\Wincert\win64cert.dll ()
    O20 - AppInit_DLLs: (c:\progra~3\wincert\win32c~1.dll) - c:\ProgramData\Wincert\win32cert.dll ()
    [2013/05/24 16:18:57 | 000,000,000 | ---D | C] -- C:\ProgramData\StarApp
    [2013/05/24 16:18:43 | 000,000,000 | ---D | C] -- C:\ProgramData\BetterSoft
    [2013/05/24 16:18:25 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\WebSearch
    [2013/05/24 16:18:18 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\ContinueToSave
    [2011/11/27 16:57:48 | 000,853,104 | ---- | C] (Babylon Ltd.) -- C:\Program Files (x86)\toolbar.exe
    [2010/12/17 21:54:08 | 001,169,224 | ---- | C] (Microsoft Corporation) -- C:\Users\fatima\AppData\Roaming\firefox.exe
    [2013/05/25 20:07:21 | 000,000,418 | -H-- | M] () -- C:\Windows\tasks\schedule!3036567561.job
    :files
    C:\ProgramData\BetterSoft\OptimizerPro\
    :Commands
    [emptytemp]
    [emptyflash]
    [resethosts]
    [reboot]

    * redemarre le pc sous windows et poste le rapport ici

    ~~~

    Zip le dossier C:\_OTL
    Ouvre Mon Ordinateur / Poste de travail => Disque C
    Clic droit / Envoyer vers dossier compressé.
    Cela va créer un fichier C:\_OTL.zip
    Envoie ce fichier _OTL.zip sur http://upload.malekal.com

    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Lucas59
     
    http://pjjoint.malekal.com/files.php?id=20130526_i125t5t10k13 voila le rapport .
    et oui Norton est a jour et fonctionnel !

    Je n'arrive pas a zipper le fichier OTL , cela m indique " write error in the file _OTL.zip.Probably the disk is full . Acces refusé
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      tu dois avoir C:\_OTL\MovedFiles\C\Users\fatima\AppData\Roaming\Windir\svchost.exe
      C'est celui ci qu'il faudrait envoyer sur http://upload.malekal.com
      0
    2. Lucas59
       
      Oui c'est bon j ai réussi l'upload
      0
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Quel est ton antivirus ?

    Car le fichier que tu as envoyé est vraiment bien détecté...

    https://www.virustotal.com/gui/file/b80b78e463ea19e536526c834904f583610eb466addaaaf9275b2f0a589def1c

    SHA256: b80b78e463ea19e536526c834904f583610eb466addaaaf9275b2f0a589def1c
    Nom du fichier : svchost.exe
    Ratio de détection : 27 / 47
    Date d'analyse : 2013-05-26 12:40:38 UTC (il y a 0 minute)

    AntiVir TR/Dropper.MSIL.Gen 20130526
    Avast Win32:Dropper-gen [Drp] 20130526
    BitDefender Trojan.Generic.KDV.357054 20130526
    Comodo UnclassifiedMalware 20130526
    Emsisoft Trojan.Generic.KDV.357054 (B) 20130526
    ESET-NOD32 a variant of MSIL/Injector.HZ 20130526
    F-Secure Trojan.Generic.KDV.357054 20130526
    Fortinet MSIL/Injector.HZ!tr 20130526
    GData Trojan.Generic.KDV.357054 20130526
    Ikarus Virus.ILCrypt 20130526
    Jiangmin Trojan/Jorik.ifp 20130526
    Kaspersky HEUR:Trojan.Win32.Generic 20130526
    Kingsoft Win32.Troj.Undef.(kcloud) 20130506
    Malwarebytes RiskWare.Tool.CK 20130526
    McAfee Artemis!84C92A8F0B87 20130526
    McAfee-GW-Edition Artemis!84C92A8F0B87 20130526
    MicroWorld-eScan Trojan.Generic.KDV.357054 20130526
    NANO-Antivirus Trojan.Win32.Injector.bjlcnv 20130526
    Norman Troj_Generic.IJHFK 20130525
    nProtect Trojan.Generic.KDV.357054 20130525
    Panda Trj/CI.A 20130526
    Sophos Mal/Generic-S 20130522
    Symantec WS.Reputation.1 20130526
    TrendMicro TROJ_SPNR.08DA13 20130526
    TrendMicro-HouseCall TROJ_SPNR.08DA13 20130526
    VIPRE Trojan.Win32.Generic!BT 20130526

    0
  8. Lucas59
     
    http://pjjoint.malekal.com/files.php?id=20130526_r13s15n6c11j10 voila le rapport OTL .

    J'ai Norton internet security . Oui le fichier a chaque fois est détecté mais il ne cesse de revenir !
    0
  9. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Il est un peu c*nc*n Norton :)

    Ca semble bon.

    Peut-être désinstaller les programmes Vshares et les supprimer de Google Chrome.

    ~~

    Tu as été infecté par un Rat (Remote Administration Tools).
    => http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/

    Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, MultiUpload etc).
    Vous cliquez, téléchargez et executer.
    Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc.

    Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été volés par ce Rat.

    Faire attention à ce que vous téléchargez
    0
  10. Lucas59
     
    D'accord je vais changer tout ca de suite :) Je te remercie beaucoup pour ton aide :D
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Pas de prb :)
      0