Svchost.exe ME TORTURE !!!!

Résolu/Fermé
HostHATeR Messages postés 48 Date d'inscription jeudi 19 avril 2018 Statut Membre Dernière intervention 29 août 2018 - 19 avril 2018 à 17:38
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 20 avril 2018 à 12:49
Bonjour,

Dans un premier temps je tiens a mettre en avant LA PTN DE HAINE QUE J'AI en ce moment, donc si je suis un peu désagréable, ou que j'ai l'air offensant je vous prie d'excuser mes PULSIONS OMICIDAIRES. Tout d'abord le problème a commencer quand un ami a moi (dans ma cave actuellement) s'est permis de m'installer un programme d'hacking du nom de "njRAT" sur mon pc . Et a lancer les Trojan depuis mon ordinateur laissant plusieurs serveur en arrière plan que je me suis empressé de supprimer. Maintenant 2 processus "invisibles" se lancent dés que je permet a ma machine d'avoir accès a internet, qui quand on ouvre l'emplacement résultent "svchost.exe" et prennent 100% du processeur ; une des 2 reste inactive et l'autre balance du CPU a volonté. Mais avant cela la "Console Host Window" se lance juste avant...Ce qui est ma foi étrange car avant cela (étant un de ces fameux paranos du gestionnaire de T ) il n'y avais ni de processus invisible ni de "Console Host Window"... Je me suis permis d'aller dans les "Détails" du gestionnaire de tache, et bingo ; au-moins une 20aine voir plus de processus en cours "svchost.exe".
Ce qui me laisse penser que c'est un virus, c'est que dés que les 2 invisible mans se lancent, dés que je lance ou que je cherche sur internet "RogueKiller" (qui est un anti-malware spécialisé dans la suppression des Trojan que nous donne "njRAT") la page chrome se ferme instantanément..Je l'ai donc installé a partir d'un autre pc (clef USB) et il ne se lance pas.... Mais dés que je coupe internet et que je relance mon pc, magie il se lance.. Bref cela fait 3j non stop que je bataille avec 25738990974 antivirus testés "AdwCleaner , Avast, RogueKiller, Bitdefender, CCleaner(nettoyage de registre), ZHPCleaner, njRAT Detect". Ce que j'ai seulement remarqué c'est que "RogueKiller" dans les Host il m'indique en rouge "localhost 127.0.0.1"...

Donc j'aimerais bien trouver une solution... En cas extrême je pourrais réinitialiser mon pc mais je pense pas que ce soit la solution..

Cordialement.

14 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
19 avril 2018 à 17:41
Bonsoir,

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ afin de les partager.
En retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

0
HostHATeR Messages postés 48 Date d'inscription jeudi 19 avril 2018 Statut Membre Dernière intervention 29 août 2018 2
19 avril 2018 à 17:44
Bonsoir,

Êtes vous un bot ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > HostHATeR Messages postés 48 Date d'inscription jeudi 19 avril 2018 Statut Membre Dernière intervention 29 août 2018
19 avril 2018 à 17:45
non je suis un humain avec deux bras et deux jambes et des doigts pour taper au clavier.
0
HostHATeR Messages postés 48 Date d'inscription jeudi 19 avril 2018 Statut Membre Dernière intervention 29 août 2018 2
19 avril 2018 à 17:45
Ha pardon, je croyais vu vôtre nom, navré je m'execute.
0
  • rire*
0
Guillaumeys Messages postés 76 Date d'inscription jeudi 19 avril 2018 Statut Membre Dernière intervention 21 avril 2018 11
19 avril 2018 à 17:46
Bonjour à toi,

Tout d'abord, il faut que tu sache que tout les problèmes avec un disque dur sont souvent réglés en réinitialisant ton disque dur.
Je pense donc qu'il serait bon de réinitialiser ton disque dur.
0
HostHATeR Messages postés 48 Date d'inscription jeudi 19 avril 2018 Statut Membre Dernière intervention 29 août 2018 2
19 avril 2018 à 17:49
Bonsoir, non car j'ai envoyé réparer mon pc a une connaissance qui travaille comme ingénieur informatique et il ne trouvais pas de problèmes depuis sa connexion internet...
0
HostHATeR Messages postés 48 Date d'inscription jeudi 19 avril 2018 Statut Membre Dernière intervention 29 août 2018 2
19 avril 2018 à 17:59
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
19 avril 2018 à 18:04
ZHPCleaner, ne vire pas les trojans.
Rien d'anormal sur les rapports.
C'est auss normal, d'avoir plusieurs processus svchost.exe, voir : https://www.malekal.com/plusieurs-processus-chrome-exe-firefox-exe-svchost-exe/

CCleaner et Driver Booster sont inutiles, tu peux les désinstaller.


Mets Process Explorer sur ton bureau : https://www.malekal.com/process-explorer-gestionnaire-taches-avance/
Lance le par un clic droit et exécuter en tant qu'administrateur
Mets ta souris sur le svchost.exe qui bouffe la CPU
Donne une capture d'écran.

0
HostHATeR Messages postés 48 Date d'inscription jeudi 19 avril 2018 Statut Membre Dernière intervention 29 août 2018 2
19 avril 2018 à 18:05
Driver booster sa fait un bout de temps que je l'ai desinstaller...
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié le 19 avril 2018 à 18:13
ha oui, j'ai regardé un peu trop vite, il reste une tâche planifiée.
et il y a bien des malwares.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

CreateRestorePoint:
CloseProcesses:
Task: {22B88B07-486C-489F-A697-3AE4BFEBC016} - System32\Tasks\{29A379FF-CC67-ABAD-635D-63AC42D61F30} => C:\Windows\SysWOW64\OmjVYEuECly.exe [1601-01-03] (Microsoft Corporation)
C:\Windows\SysWOW64\OmjVYEuECly.exe
Task: {E3838FDA-0169-4EEB-B1FC-4DA378D9D374} - \Driver Booster Scheduler -> Pas de fichier <==== ATTENTION
Task: {2AEE7D07-A1B0-4EB4-B168-49BBC448A032} - System32\Tasks\Driver Booster SkipUAC (samue) => C:\Program Files (x86)\IObit\Driver Booster\5.3.0\DriverBooster.exe
C:\Program Files (x86)\IObit\Driver Booster
Task: {EA46AB7E-4876-49EC-B9D6-D66E63244D16} - System32\Tasks\{C0A202D5-9801-7CF1-B34D-74E0363CC962} => C:\Program Files (x86)\Common Files\iABefIntXGL.exe [1601-01-03] (Microsoft Corporation)
1601-01-03 21:33 - 1601-01-03 21:33 - 000174592 ____N (Microsoft Corporation) C:\Users\samue\Eliuicuw.exe
1601-01-03 21:33 - 1601-01-03 21:33 - 000059904 ____N (Microsoft Corporation) C:\Program Files (x86)\Common Files\iABefIntXGL.exe
1624-02-24 06:22 - 1624-02-24 06:22 - 000059904 ____N (Microsoft Corporation) C:\Program Files (x86)\Common Files\iojiT.exe
1624-02-24 06:22 - 1624-02-24 06:22 - 000174592 _____ (Microsoft Corporation) C:\Users\samue\AppData\Local\oBiA.exe
2018-04-17 14:58 - 2018-04-17 14:58 - 000194048 _____ () C:\Users\samue\AppData\Local\plsxc.dll
C:\Program Files (x86)\Common Files\iABefIntXGL.exe
RemoveProxy:
Reboot:


Enregistre le contenu par le menu fichier puis enregistrer.

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

0
HostHATeR Messages postés 48 Date d'inscription jeudi 19 avril 2018 Statut Membre Dernière intervention 29 août 2018 2
19 avril 2018 à 18:17
"Enregistre le contenu par le menu fichier puis enregistrer.

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message. "

Heu, il m'affiche qu'il ne trouve pas le fichier...
0
HostHATeR Messages postés 48 Date d'inscription jeudi 19 avril 2018 Statut Membre Dernière intervention 29 août 2018 2
19 avril 2018 à 18:18
Et "Processus hôte pour les services Windows a cessé de fonctioner" viens de s'afficher, si je le ferme le pc plante..
0
HostHATeR Messages postés 48 Date d'inscription jeudi 19 avril 2018 Statut Membre Dernière intervention 29 août 2018 2
19 avril 2018 à 18:19
Et FRST64.exe impossible de le lancer il se ferme de suite...
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > HostHATeR Messages postés 48 Date d'inscription jeudi 19 avril 2018 Statut Membre Dernière intervention 29 août 2018
19 avril 2018 à 18:23
fais la correction en mode sans échec au pire.
0
HostHATeR Messages postés 48 Date d'inscription jeudi 19 avril 2018 Statut Membre Dernière intervention 29 août 2018 2
19 avril 2018 à 18:20
Le pc viens d'afficher ecran bleu..
0
HostHATeR Messages postés 48 Date d'inscription jeudi 19 avril 2018 Statut Membre Dernière intervention 29 août 2018 2
19 avril 2018 à 18:24
Re, j'ai réussi a faire ce que vous m'avez indiqué.
Le pc a redémarre.
0
HostHATeR Messages postés 48 Date d'inscription jeudi 19 avril 2018 Statut Membre Dernière intervention 29 août 2018 2
19 avril 2018 à 18:24
fixlog.txt s'affiche
0
HostHATeR Messages postés 48 Date d'inscription jeudi 19 avril 2018 Statut Membre Dernière intervention 29 août 2018 2
19 avril 2018 à 18:26
Il y a nettement moins de processus svchost.exe dans les détails.
0
HostHATeR Messages postés 48 Date d'inscription jeudi 19 avril 2018 Statut Membre Dernière intervention 29 août 2018 2
19 avril 2018 à 18:27
Je retire ce que j'ai dit.... :/
0
HostHATeR Messages postés 48 Date d'inscription jeudi 19 avril 2018 Statut Membre Dernière intervention 29 août 2018 2
Modifié le 19 avril 2018 à 18:34
Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 15.04.2018
Exécuté par samue (19-04-2018 18:22:30) Run:1
Exécuté depuis C:\Users\samue\OneDrive\Bureau
Profils chargés: samue (Profils disponibles: samue)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
Task: {22B88B07-486C-489F-A697-3AE4BFEBC016} - System32\Tasks{29A379FF-CC67-ABAD-635D-63AC42D61F30} => C:\Windows\SysWOW64\OmjVYEuECly.exe [1601-01-03] (Microsoft Corporation)
C:\Windows\SysWOW64\OmjVYEuECly.exe
Task: {E3838FDA-0169-4EEB-B1FC-4DA378D9D374} - \Driver Booster Scheduler -> Pas de fichier <==== ATTENTION
Task: {2AEE7D07-A1B0-4EB4-B168-49BBC448A032} - System32\Tasks\Driver Booster SkipUAC (samue) => C:\Program Files (x86)\IObit\Driver Booster\5.3.0\DriverBooster.exe
C:\Program Files (x86)\IObit\Driver Booster
Task: {EA46AB7E-4876-49EC-B9D6-D66E63244D16} - System32\Tasks{C0A202D5-9801-7CF1-B34D-74E0363CC962} => C:\Program Files (x86)\Common Files\iABefIntXGL.exe [1601-01-03] (Microsoft Corporation)
1601-01-03 21:33 - 1601-01-03 21:33 - 000174592 N (Microsoft Corporation) C:\Users\samue\Eliuicuw.exe
1601-01-03 21:33 - 1601-01-03 21:33 - 000059904 N (Microsoft Corporation) C:\Program Files (x86)\Common Files\iABefIntXGL.exe
1624-02-24 06:22 - 1624-02-24 06:22 - 000059904 N (Microsoft Corporation) C:\Program Files (x86)\Common Files\iojiT.exe
1624-02-24 06:22 - 1624-02-24 06:22 - 000174592 _ (Microsoft Corporation) C:\Users\samue\AppData\Local\oBiA.exe
2018-04-17 14:58 - 2018-04-17 14:58 - 000194048 _ () C:\Users\samue\AppData\Local\plsxc.dll
C:\Program Files (x86)\Common Files\iABefIntXGL.exe
RemoveProxy:
Reboot:


Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{22B88B07-486C-489F-A697-3AE4BFEBC016}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{22B88B07-486C-489F-A697-3AE4BFEBC016}" => supprimé(es) avec succès
"C:\Windows\System32\Tasks{29A379FF-CC67-ABAD-635D-63AC42D61F30}" => non trouvé(e)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree{29A379FF-CC67-ABAD-635D-63AC42D61F30} => impossible à supprimer. Accès refusé.
C:\Windows\SysWOW64\OmjVYEuECly.exe => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{E3838FDA-0169-4EEB-B1FC-4DA378D9D374}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E3838FDA-0169-4EEB-B1FC-4DA378D9D374}" => supprimé(es) avec succès
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Driver Booster Scheduler => impossible à supprimer. Accès refusé.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{2AEE7D07-A1B0-4EB4-B168-49BBC448A032}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2AEE7D07-A1B0-4EB4-B168-49BBC448A032}" => supprimé(es) avec succès
C:\Windows\System32\Tasks\Driver Booster SkipUAC (samue) => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Driver Booster SkipUAC (samue)" => supprimé(es) avec succès
C:\Program Files (x86)\IObit\Driver Booster => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{EA46AB7E-4876-49EC-B9D6-D66E63244D16}" => supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EA46AB7E-4876-49EC-B9D6-D66E63244D16}" => supprimé(es) avec succès
"C:\Windows\System32\Tasks{C0A202D5-9801-7CF1-B34D-74E0363CC962}" => non trouvé(e)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree{C0A202D5-9801-7CF1-B34D-74E0363CC962} => impossible à supprimer. Accès refusé.
C:\Users\samue\Eliuicuw.exe => déplacé(es) avec succès
C:\Program Files (x86)\Common Files\iABefIntXGL.exe => déplacé(es) avec succès
C:\Program Files (x86)\Common Files\iojiT.exe => déplacé(es) avec succès
C:\Users\samue\AppData\Local\oBiA.exe => déplacé(es) avec succès
C:\Users\samue\AppData\Local\plsxc.dll => déplacé(es) avec succès
"C:\Program Files (x86)\Common Files\iABefIntXGL.exe" => non trouvé(e)

========= RemoveProxy: =========

"HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2362190774-3955144196-234382763-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2362190774-3955144196-234382763-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 19-04-2018 18:23:45)


Résultats de la suppression planifiée des clés après redémarrage:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree{29A379FF-CC67-ABAD-635D-63AC42D61F30} => impossible à supprimer. Accès refusé.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Driver Booster Scheduler => impossible à supprimer. Accès refusé.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree{C0A202D5-9801-7CF1-B34D-74E0363CC962} => impossible à supprimer. Accès refusé.

Fin de Fixlog 18:23:46

0
HostHATeR Messages postés 48 Date d'inscription jeudi 19 avril 2018 Statut Membre Dernière intervention 29 août 2018 2
19 avril 2018 à 18:35
Désoler j'avais pas envoyer en entier..
0
HostHATeR Messages postés 48 Date d'inscription jeudi 19 avril 2018 Statut Membre Dernière intervention 29 août 2018 2
19 avril 2018 à 18:38
And now ?
0
HostHATeR Messages postés 48 Date d'inscription jeudi 19 avril 2018 Statut Membre Dernière intervention 29 août 2018 2
19 avril 2018 à 19:01
C'est normal que Console Windows Host se lance et disparaît?
Car a part ça le problème a l'air réglé mais j'ai toujours un doute...
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
19 avril 2018 à 19:38
Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur https://pjjoint.malekal.com/ et donne le lien ici.

et change tous tes mots de passe, car ton pote les as récup.
0
HostHATeR Messages postés 48 Date d'inscription jeudi 19 avril 2018 Statut Membre Dernière intervention 29 août 2018 2
19 avril 2018 à 22:22
Mais je pense pas, il l
0
HostHATeR Messages postés 48 Date d'inscription jeudi 19 avril 2018 Statut Membre Dernière intervention 29 août 2018 2
19 avril 2018 à 22:23
la lancé en reseau local il voulais hacher mon autre pc..
0
HostHATeR Messages postés 48 Date d'inscription jeudi 19 avril 2018 Statut Membre Dernière intervention 29 août 2018 2
19 avril 2018 à 22:23
hacker *
0
HostHATeR Messages postés 48 Date d'inscription jeudi 19 avril 2018 Statut Membre Dernière intervention 29 août 2018 2
20 avril 2018 à 00:10
Voila ça trouver un Adware, j'attend pour supprimer..

https://pjjoint.malekal.com/files.php?id=20180420_x10o7k9k12l7
0
HostHATeR Messages postés 48 Date d'inscription jeudi 19 avril 2018 Statut Membre Dernière intervention 29 août 2018 2
20 avril 2018 à 09:14
Je l'ai supprimer du coup..
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
20 avril 2018 à 10:15
change bien tes mots de passe.
0
HostHATeR Messages postés 48 Date d'inscription jeudi 19 avril 2018 Statut Membre Dernière intervention 29 août 2018 2
Modifié le 20 avril 2018 à 10:36
Mais du coup la c'est bon ? De toute façon les seul mots de passe que j'ai utilisé( parce que je m'en doutais )
est sur "Comment sa marche" et mon mdp Microsoft (je m'en sert que pour login au démarrage)...
Vous pensez que le problème est réglé ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
20 avril 2018 à 12:49
oui fais un scan régulier avec ton antivirus.
Supprime le dossier C:\FRST
0