Svchost.exe un cheval de troie ?

Salut,

svchost.exe c'est l’hôte des services Windows

Tu peux analyser pour des virus ou programmes nuisibles avec RegRun Reanimator

https://greatis.com/security/reanimator.html

> Fix Problems
> Fix Malware Issues

Il est important de bien trier, par recherches et déductions et/ou analyses VirusTotal* pour ne supprimer que des virus ou choses inutiles, parce qu'il détecte tout et n'importe quoi, bon ou pas, important ou pas, ce n'est pas un "antivirus" avec une grande base de données virale, mais plutôt un outil d'analyse qui permet de voir des détails techniques qui ne sont pas faciles à voir sans / ou qui peuvent se cacher de la vue de l'utilisateur/utilisatrice lambda.

Il montre bien les détails comme les noms et la localisation des fichiers, ce qui peut servir des indices pour les avertis.

Que ce soit marqué en rouge, jaune, bleu ou vert, c'est l'utilisateur qui doit juger de la pertinence de ce qu'il détecte.

Si il ne détecte pas assez tu peux utiliser le Inspection Mode pour tout voir.

Ou > On-Line Multi-Antivirus Scan

-----------------------------------------------------­------------------------­---------------------------------------------------------------------------------

Le programme VirusTotal Uploader *Download the App here*

https://support.virustotal.com/hc/en-us/articles/115002179065-Desktop-Apps

Pour (Un fichier) > Envoyer vers > Virustotal

Pour avoir les résultats en plus de l'onglet détails pour voir si le fichier est signé et vérifié ou pas, d'analyses VirusTotal (Par une soixantaine d'antivirus) du fichier.

On peut utiliser l'option Reupload pour obtenir une nouvelle analyse du fichier en cas de fichier récent très peu analysé.

Puis tu diras si c'est résolu.

Nouveau : j'ai relancé une analyse avec malware bytes et j'ai des menaces. Je les ai mise en quarantaine. J'ai relancé une analyse : à nouveau des menaces. J'enchaîne les analyses mais à chaque fois j'ai de nouvelles menaces...

Essaies Reanimator, plus efficace.

Puis svchost.exe c'est l’hôte des services Windows, c'est un service non Windows qui utilise un outil Windows (svchost.exe)

Regardes dans Services avec Reanimator mais fait bien le tour, ton PC devrait être propre ensuite.

Voici les 10 menaces que j'ai à chaque analyse de malware bytes. J'ai beau les mettre en quarantaine et redémarrer l'ordi, à chaque fois elles reviennent.

Arrêtes de les supprimer à chaque redémarrage avec Malwarebytes

Tu ne pourra pas les détecter avec Reanimator si ils sont en quarantaine.

J'arrive difficilement à croire que Reanimator ne détecte rien autrement.

Ça prend du temps vérifier de mon côté.

Tu utilises un VPN, MaskVPN, OpenVPN de la les détections ProxyEnable de Malwarebytes

McAfee, Malwarebytes...

Soit c'est les VPN qui crée des services APPSERVICEX ou APPSERVICEC ou APPSERVICEM qui change tout le temps de nom, soit je sais pas.

Tu peux refaire Malwarebytes après désinstallations.

Qu'il fix les ProxyEnable dans le registre.

J'ai redirigé ton sujet dans la section Virus/Sécurité, peut être que quelqu’un y verra plus clair.

Bonjour

On va commencer par un diagnostic du PC :
 

Bien lire toute la procédure avant de poster les rapports
Ne pas les poster directement dans les messages car ils sont illisibles et incomplets

Sont attendus les rapports FRST.txt et Addition.txt

Tous les rapports doivent être hébergés sur https://security-x.fr/up/ et tu indiques les liens obtenus dans ta réponse

---------------------------------------------------------------------------------------------

--> Le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

---------------------------------------------------------------------------------------------

--> Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau

--> Pour un système en 32 bits
--> Pour un système en 64 bits

Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?


--> Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
--> Ferme toutes les applications, y compris ton navigateur
--> Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
--> Sous Vista, Windows 7 / 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
--> Attendre qu'il indique L'outil est prêt à fonctionner
--> Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse
--> A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
--> Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs

RE_

OK , les détections reviennent . Relances un scan FRST en décochant de liste blanche : Registre / services / processus

Postes les deux nouveaux rapports

RE_

Oui , c'est un trojan qui remet un service et un pilote lorsqu'il est supprimé en changeant juste une lettre .

Il faut maintenant le trouver :

S2 AppServiceq; C:\WINDOWS\system32\YXS3CMI5FW.tmp

Puis je voyais une tâche planifiée sur un setup Visual Studio

[Scheduled Tasks 2] C:\WINDOWS\SYSNATIVE\TASKS\Microsoft\VisualStudio\Updates\BackgroundDownload=C:\Program Files (x86)\Microsoft Visual Studio\Installer.43526b3416454d7f9b259a6ea8035493\resources\app\ServiceHub\Services\Microsoft.VisualStudio.Setup.Service\BackgroundDownload.exe

Puis dans FRST  comme WMI Provider il y a

Microsoft Visual Studio Setup WMI Provider (HKLM-x32\...\{04D4A254-7BC6-4533-8B05-9458A76E02F1}) (Version: 3.3.2152.31801 - Microsoft Corporation) Hidden

Je ne sais pas si c'est lié au trojan

Une version craquée de Visual Studio qui en fait contient un trojan ?

RE_

Non , c'est lié et signé Microsoft => https://visualstudio.microsoft.com/fr/downloads/

BackgroundDownload.exe => https://www.freefixer.com/library/file/BackgroundDownload.exe-297375/

J'ai Not found or not visible donc je n'ai pas son sha256

Multi-AV Report

Le premier en haut: https://www.cjoint.com/c/LIlqCEPKFEs

RE_

Comme ceux d'en dessous qui sont des fichiers système certainement protégés

RE_

Je remets mon message pour qu'il s'y retrouve => https://forums.commentcamarche.net/forum/affich-37683682-svchost-exe-un-cheval-de-troie#33

RE_

OK , il a trouvé de nouveaux éléments . Après redémarrage , relances une analyse normale et vois s'il trouve encore les détections.

Si oui , procédure à faire :

=> Copie / Colles FRST64.exe sur une clé USB

=> Éjectes la clé

=> Redémarres le PC sur le CMD des paramètres Avancés , pour cela :

=> Tu appuie la touches shift (Fleche vers le haut au dessus de ctrl en bas à gauche)
=> En maintenant appuyé , tu redémarres le PC
=> Tu vas arriver sur les options de démarrage , tu relaches shift
=> Clic sur Dépannage => Options avancées => Invite de commande

=> Tapes c:

=> Tapes dir et vérifie que tu vois FRST64 sinon , essaie avec D:   etc...

=> Quand tu as trouvé la clé , Tapes frst64 et valides

=> Cliques sur Analyser et attends qu'il indique que le rapport FRST est créé

=> Tapes exit pour sortir de l'invite, puis touches ESC pour revenir en arrière => Continuer

=> Une fois revenu sous Windows , postes le rapport qui se trouve sur la clé

RE_

Désolé de répondre en saccadé , mais je suis en plein dans les travaux en ce moment ,-)

Bon, le fichier TEMP nuisible de system32 n'apparait pas dans le rapport , est ce que tu avais relancé un scan Malwarebytes avant de faire la procédure invite de commandes ?

Si oui et que tu avais toujours les détections , essaie ce qui suit ,

=> ouvres le gestionnaire des tâches (clic droit barre des tâches)
=> onglet démarrage , désactives tout sauf l'antivirus (Windows Defender)
=> Redémarres le PC

PUIS :

=> Touches Windows + R , tapes MSconfig
=> Dans la fenêtre , cliques sur l'onglet services
=> Coches Masquer tout les services Microsoft
=> Fais des captures d'écran pour remettre ensuite ce que tu auras désactivé
=> Cliques sur Désactiver tout
=> Redémarres le PC
 

Supprime l'exclusion dans WD , lances une analyse Malwarebytes (normale , sans cocher rootkit) , redémarres , vérifie et supprime si l'exclusion est revenue , et relances une analyse et dis moi si les détections reviennent

RE_

Le rapport Malwarebytes , c'est APRES la désactivation ?

Si tu relances une analyse , tu les as encore ?