Probleme virus svchost.exe
Résolu/Fermé
Lucas59
-
25 mai 2013 à 13:11
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 28 mai 2013 à 11:22
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 28 mai 2013 à 11:22
A voir également:
- Probleme virus svchost.exe
- Svchost.exe - Guide
- Youtu.be virus - Guide
- Faux message virus iphone ✓ - Forum iPhone
- Faux message virus ordinateur - Guide
- Tinyurl.com virus - Forum Virus
10 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
25 mai 2013 à 13:12
25 mai 2013 à 13:12
Salut,
Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
puis :
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
puis :
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
26 mai 2013 à 09:58
26 mai 2013 à 09:58
Beaucoup beaucoup de programmes parasites ont été installés.
AdwCleaner en a supprimé mais il en reste.
Sinon le PC est infecté aussi, donc tous tes mots de passe ont été volés.
Le contrôle du PC est possible par un pirate.
Est-ce que Norton est à jour et fonctionnel ?
Désinstalle AVG Secure Search
Sert à rien.
Relance OTL.
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\PROGRAM FILES\WEB ASSISTANT\FIREFOX
CHR - plugin: vShare.tv plug-in (Enabled) = C:\Users\Lucas.fatima-PC\AppData\Local\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj\1.3_0\chvsharetvplg.dll
CHR - plugin: vShare.tv plug-in (Enabled) = C:\Program Files (x86)\Mozilla Firefox\plugins\npvsharetvplg.dll
O2:[b]64bit:/b - BHO: (VshareComplete) - {08337871-0e50-4031-9110-3bd21ca3c065} - C:\Users\fatima\AppData\Roaming\VshareComplete\64\VshareComplete64.dll File not found
O3 - HKU\S-1-5-21-3291338433-4259670663-2427899147-1000\..\Toolbar\WebBrowser: (no name) - {05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E} - No CLSID value found.
O4 - HKU\S-1-5-21-3291338433-4259670663-2427899147-1000..\Run: [Startup] C:\Users\fatima\AppData\Roaming\Mining\svchost.exe File not found
O4 - HKU\S-1-5-21-3291338433-4259670663-2427899147-1000..\Run: [HKCU] C:\Users\fatima\AppData\Roaming\Windir\svchost.exe ()
O20:[b]64bit:/b - AppInit_DLLs: (c:\progra~3\wincert\win32c~1.dll) - c:\ProgramData\Wincert\win32cert.dll ()
O20:[b]64bit:/b - AppInit_DLLs: (C:\PROGRA~3\Wincert\WIN64C~1.DLL) - C:\ProgramData\Wincert\win64cert.dll ()
O20 - AppInit_DLLs: (c:\progra~3\wincert\win32c~1.dll) - c:\ProgramData\Wincert\win32cert.dll ()
[2013/05/24 16:18:57 | 000,000,000 | ---D | C] -- C:\ProgramData\StarApp
[2013/05/24 16:18:43 | 000,000,000 | ---D | C] -- C:\ProgramData\BetterSoft
[2013/05/24 16:18:25 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\WebSearch
[2013/05/24 16:18:18 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\ContinueToSave
[2011/11/27 16:57:48 | 000,853,104 | ---- | C] (Babylon Ltd.) -- C:\Program Files (x86)\toolbar.exe
[2010/12/17 21:54:08 | 001,169,224 | ---- | C] (Microsoft Corporation) -- C:\Users\fatima\AppData\Roaming\firefox.exe
[2013/05/25 20:07:21 | 000,000,418 | -H-- | M] () -- C:\Windows\tasks\schedule!3036567561.job
:files
C:\ProgramData\BetterSoft\OptimizerPro\
:Commands
[emptytemp]
[emptyflash]
[resethosts]
[reboot]
* redemarre le pc sous windows et poste le rapport ici
~~~
Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier C:\_OTL.zip
Envoie ce fichier _OTL.zip sur http://upload.malekal.com
AdwCleaner en a supprimé mais il en reste.
Sinon le PC est infecté aussi, donc tous tes mots de passe ont été volés.
Le contrôle du PC est possible par un pirate.
Est-ce que Norton est à jour et fonctionnel ?
Désinstalle AVG Secure Search
Sert à rien.
Relance OTL.
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\PROGRAM FILES\WEB ASSISTANT\FIREFOX
CHR - plugin: vShare.tv plug-in (Enabled) = C:\Users\Lucas.fatima-PC\AppData\Local\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj\1.3_0\chvsharetvplg.dll
CHR - plugin: vShare.tv plug-in (Enabled) = C:\Program Files (x86)\Mozilla Firefox\plugins\npvsharetvplg.dll
O2:[b]64bit:/b - BHO: (VshareComplete) - {08337871-0e50-4031-9110-3bd21ca3c065} - C:\Users\fatima\AppData\Roaming\VshareComplete\64\VshareComplete64.dll File not found
O3 - HKU\S-1-5-21-3291338433-4259670663-2427899147-1000\..\Toolbar\WebBrowser: (no name) - {05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E} - No CLSID value found.
O4 - HKU\S-1-5-21-3291338433-4259670663-2427899147-1000..\Run: [Startup] C:\Users\fatima\AppData\Roaming\Mining\svchost.exe File not found
O4 - HKU\S-1-5-21-3291338433-4259670663-2427899147-1000..\Run: [HKCU] C:\Users\fatima\AppData\Roaming\Windir\svchost.exe ()
O20:[b]64bit:/b - AppInit_DLLs: (c:\progra~3\wincert\win32c~1.dll) - c:\ProgramData\Wincert\win32cert.dll ()
O20:[b]64bit:/b - AppInit_DLLs: (C:\PROGRA~3\Wincert\WIN64C~1.DLL) - C:\ProgramData\Wincert\win64cert.dll ()
O20 - AppInit_DLLs: (c:\progra~3\wincert\win32c~1.dll) - c:\ProgramData\Wincert\win32cert.dll ()
[2013/05/24 16:18:57 | 000,000,000 | ---D | C] -- C:\ProgramData\StarApp
[2013/05/24 16:18:43 | 000,000,000 | ---D | C] -- C:\ProgramData\BetterSoft
[2013/05/24 16:18:25 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\WebSearch
[2013/05/24 16:18:18 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\ContinueToSave
[2011/11/27 16:57:48 | 000,853,104 | ---- | C] (Babylon Ltd.) -- C:\Program Files (x86)\toolbar.exe
[2010/12/17 21:54:08 | 001,169,224 | ---- | C] (Microsoft Corporation) -- C:\Users\fatima\AppData\Roaming\firefox.exe
[2013/05/25 20:07:21 | 000,000,418 | -H-- | M] () -- C:\Windows\tasks\schedule!3036567561.job
:files
C:\ProgramData\BetterSoft\OptimizerPro\
:Commands
[emptytemp]
[emptyflash]
[resethosts]
[reboot]
* redemarre le pc sous windows et poste le rapport ici
~~~
Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier C:\_OTL.zip
Envoie ce fichier _OTL.zip sur http://upload.malekal.com
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
http://pjjoint.malekal.com/files.php?id=20130526_i125t5t10k13 voila le rapport .
et oui Norton est a jour et fonctionnel !
Je n'arrive pas a zipper le fichier OTL , cela m indique " write error in the file _OTL.zip.Probably the disk is full . Acces refusé
et oui Norton est a jour et fonctionnel !
Je n'arrive pas a zipper le fichier OTL , cela m indique " write error in the file _OTL.zip.Probably the disk is full . Acces refusé
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
26 mai 2013 à 14:25
26 mai 2013 à 14:25
tu dois avoir C:\_OTL\MovedFiles\C\Users\fatima\AppData\Roaming\Windir\svchost.exe
C'est celui ci qu'il faudrait envoyer sur http://upload.malekal.com
C'est celui ci qu'il faudrait envoyer sur http://upload.malekal.com
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
26 mai 2013 à 14:35
26 mai 2013 à 14:35
okay refais un scan OTL : https://forums.commentcamarche.net/forum/affich-27881236-probleme-virus-svchost-exe#1
donne le rapport de scan :)
donne le rapport de scan :)
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
26 mai 2013 à 14:43
26 mai 2013 à 14:43
Quel est ton antivirus ?
Car le fichier que tu as envoyé est vraiment bien détecté...
https://www.virustotal.com/gui/file/b80b78e463ea19e536526c834904f583610eb466addaaaf9275b2f0a589def1c
SHA256: b80b78e463ea19e536526c834904f583610eb466addaaaf9275b2f0a589def1c
Nom du fichier : svchost.exe
Ratio de détection : 27 / 47
Date d'analyse : 2013-05-26 12:40:38 UTC (il y a 0 minute)
AntiVir TR/Dropper.MSIL.Gen 20130526
Avast Win32:Dropper-gen [Drp] 20130526
BitDefender Trojan.Generic.KDV.357054 20130526
Comodo UnclassifiedMalware 20130526
Emsisoft Trojan.Generic.KDV.357054 (B) 20130526
ESET-NOD32 a variant of MSIL/Injector.HZ 20130526
F-Secure Trojan.Generic.KDV.357054 20130526
Fortinet MSIL/Injector.HZ!tr 20130526
GData Trojan.Generic.KDV.357054 20130526
Ikarus Virus.ILCrypt 20130526
Jiangmin Trojan/Jorik.ifp 20130526
Kaspersky HEUR:Trojan.Win32.Generic 20130526
Kingsoft Win32.Troj.Undef.(kcloud) 20130506
Malwarebytes RiskWare.Tool.CK 20130526
McAfee Artemis!84C92A8F0B87 20130526
McAfee-GW-Edition Artemis!84C92A8F0B87 20130526
MicroWorld-eScan Trojan.Generic.KDV.357054 20130526
NANO-Antivirus Trojan.Win32.Injector.bjlcnv 20130526
Norman Troj_Generic.IJHFK 20130525
nProtect Trojan.Generic.KDV.357054 20130525
Panda Trj/CI.A 20130526
Sophos Mal/Generic-S 20130522
Symantec WS.Reputation.1 20130526
TrendMicro TROJ_SPNR.08DA13 20130526
TrendMicro-HouseCall TROJ_SPNR.08DA13 20130526
VIPRE Trojan.Win32.Generic!BT 20130526
Car le fichier que tu as envoyé est vraiment bien détecté...
https://www.virustotal.com/gui/file/b80b78e463ea19e536526c834904f583610eb466addaaaf9275b2f0a589def1c
SHA256: b80b78e463ea19e536526c834904f583610eb466addaaaf9275b2f0a589def1c
Nom du fichier : svchost.exe
Ratio de détection : 27 / 47
Date d'analyse : 2013-05-26 12:40:38 UTC (il y a 0 minute)
AntiVir TR/Dropper.MSIL.Gen 20130526
Avast Win32:Dropper-gen [Drp] 20130526
BitDefender Trojan.Generic.KDV.357054 20130526
Comodo UnclassifiedMalware 20130526
Emsisoft Trojan.Generic.KDV.357054 (B) 20130526
ESET-NOD32 a variant of MSIL/Injector.HZ 20130526
F-Secure Trojan.Generic.KDV.357054 20130526
Fortinet MSIL/Injector.HZ!tr 20130526
GData Trojan.Generic.KDV.357054 20130526
Ikarus Virus.ILCrypt 20130526
Jiangmin Trojan/Jorik.ifp 20130526
Kaspersky HEUR:Trojan.Win32.Generic 20130526
Kingsoft Win32.Troj.Undef.(kcloud) 20130506
Malwarebytes RiskWare.Tool.CK 20130526
McAfee Artemis!84C92A8F0B87 20130526
McAfee-GW-Edition Artemis!84C92A8F0B87 20130526
MicroWorld-eScan Trojan.Generic.KDV.357054 20130526
NANO-Antivirus Trojan.Win32.Injector.bjlcnv 20130526
Norman Troj_Generic.IJHFK 20130525
nProtect Trojan.Generic.KDV.357054 20130525
Panda Trj/CI.A 20130526
Sophos Mal/Generic-S 20130522
Symantec WS.Reputation.1 20130526
TrendMicro TROJ_SPNR.08DA13 20130526
TrendMicro-HouseCall TROJ_SPNR.08DA13 20130526
VIPRE Trojan.Win32.Generic!BT 20130526
http://pjjoint.malekal.com/files.php?id=20130526_r13s15n6c11j10 voila le rapport OTL .
J'ai Norton internet security . Oui le fichier a chaque fois est détecté mais il ne cesse de revenir !
J'ai Norton internet security . Oui le fichier a chaque fois est détecté mais il ne cesse de revenir !
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
26 mai 2013 à 16:12
26 mai 2013 à 16:12
Il est un peu c*nc*n Norton :)
Ca semble bon.
Peut-être désinstaller les programmes Vshares et les supprimer de Google Chrome.
~~
Tu as été infecté par un Rat (Remote Administration Tools).
=> http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/
Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, MultiUpload etc).
Vous cliquez, téléchargez et executer.
Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc.
Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été volés par ce Rat.
Faire attention à ce que vous téléchargez
Ca semble bon.
Peut-être désinstaller les programmes Vshares et les supprimer de Google Chrome.
~~
Tu as été infecté par un Rat (Remote Administration Tools).
=> http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/
Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, MultiUpload etc).
Vous cliquez, téléchargez et executer.
Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc.
Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été volés par ce Rat.
Faire attention à ce que vous téléchargez
D'accord je vais changer tout ca de suite :) Je te remercie beaucoup pour ton aide :D
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
28 mai 2013 à 11:22
28 mai 2013 à 11:22
Pas de prb :)
