Svchost.exe un cheval de troie ?
FerméMisteryBean Messages postés 8802 Date d'inscription jeudi 19 décembre 2019 Statut Modérateur, Contributeur sécurité Dernière intervention 17 décembre 2024 - 17 sept. 2022 à 20:31
- Supprimer svchost.exe
- Svchost.exe - Guide
- Supprimer une page word - Guide
- Supprimer compte instagram - Guide
- Supprimer pub youtube - Accueil - Streaming
- Impossible de supprimer un fichier - Guide
26 réponses
Modifié le 10 sept. 2022 à 19:08
Salut,
svchost.exe c'est l’hôte des services Windows
Tu peux analyser pour des virus ou programmes nuisibles avec RegRun Reanimator
https://greatis.com/security/reanimator.html
> Fix Problems
> Fix Malware Issues
Il est important de bien trier, par recherches et déductions et/ou analyses VirusTotal* pour ne supprimer que des virus ou choses inutiles, parce qu'il détecte tout et n'importe quoi, bon ou pas, important ou pas, ce n'est pas un "antivirus" avec une grande base de données virale, mais plutôt un outil d'analyse qui permet de voir des détails techniques qui ne sont pas faciles à voir sans / ou qui peuvent se cacher de la vue de l'utilisateur/utilisatrice lambda.
Il montre bien les détails comme les noms et la localisation des fichiers, ce qui peut servir des indices pour les avertis.
Que ce soit marqué en rouge, jaune, bleu ou vert, c'est l'utilisateur qui doit juger de la pertinence de ce qu'il détecte.
Si il ne détecte pas assez tu peux utiliser le Inspection Mode pour tout voir.
Ou > On-Line Multi-Antivirus Scan
--------------------------------------------------------------------------------------------------------------------------------------------------------------
Le programme VirusTotal Uploader *Download the App here*
https://support.virustotal.com/hc/en-us/articles/115002179065-Desktop-Apps
Pour (Un fichier) > Envoyer vers > Virustotal
Pour avoir les résultats en plus de l'onglet détails pour voir si le fichier est signé et vérifié ou pas, d'analyses VirusTotal (Par une soixantaine d'antivirus) du fichier.
On peut utiliser l'option Reupload pour obtenir une nouvelle analyse du fichier en cas de fichier récent très peu analysé.
Puis tu diras si c'est résolu.
10 sept. 2022 à 18:56
Nouveau : j'ai relancé une analyse avec malware bytes et j'ai des menaces. Je les ai mise en quarantaine. J'ai relancé une analyse : à nouveau des menaces. J'enchaîne les analyses mais à chaque fois j'ai de nouvelles menaces...
10 sept. 2022 à 19:00
J'ai l'impression que c'est à chaque démarrage que j'ai des fichiers menaçants qui s'installent...
Modifié le 10 sept. 2022 à 19:00
Essaies Reanimator, plus efficace.
Puis svchost.exe c'est l’hôte des services Windows, c'est un service non Windows qui utilise un outil Windows (svchost.exe)
Regardes dans Services avec Reanimator mais fait bien le tour, ton PC devrait être propre ensuite.
10 sept. 2022 à 19:03
D'accord, je suis en train de l'utiliser.
10 sept. 2022 à 19:06
Prends ton temps, bien faire les choses.
10 sept. 2022 à 19:09
Même reanimator ne trouve rien...
Modifié le 10 sept. 2022 à 19:11
Cliquer sur l'onglet Send Report > Make Report now
Quand une fenêtre Upload RegRunLog to Support Center s'ouvre, fermes la.
Envoies le rapport crée sur le bureau nommé regrunlog.txt sur le site cjoint.com https://www.cjoint.com/
Et fournis nous le lien en retour.
Modifié le 10 sept. 2022 à 19:14
Le voici le lien : https://www.cjoint.com/c/LIkrnU0nckT .
10 sept. 2022 à 19:25
Voici les 10 menaces que j'ai à chaque analyse de malware bytes. J'ai beau les mettre en quarantaine et redémarrer l'ordi, à chaque fois elles reviennent.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre questionModifié le 10 sept. 2022 à 19:30
Arrêtes de les supprimer à chaque redémarrage avec Malwarebytes
Tu ne pourra pas les détecter avec Reanimator si ils sont en quarantaine.
J'arrive difficilement à croire que Reanimator ne détecte rien autrement.
Ça prend du temps vérifier de mon côté.
10 sept. 2022 à 19:33
Reanimator me détecte ça.
Modifié le 10 sept. 2022 à 19:46
HPPrintscandoctor en bas est bon, je crois, tu as bien une imprimantee HP ?
Les deux autres sont mauvais, ou sont des services pas clairs.coches juste les deux en rouge, appuies sur le bouton Rouge, en suite en bas à droite > Next, voir ce qui suit, avant de redémarrer quand tous les mauvais seront sélectionnés pour suppression.
10 sept. 2022 à 19:52
C'est ce que j'ai fait.
Modifié le 10 sept. 2022 à 19:40
Tu utilises un VPN, MaskVPN, OpenVPN de la les détections ProxyEnable de Malwarebytes
McAfee, Malwarebytes...
10 sept. 2022 à 19:46
J'ai pas compris. Je n'utilise par MaskVPN ou OpenVPN
10 sept. 2022 à 19:52
Dans Uninstall, tu as ça
[Applications] :HKLM OpenVPN=C:\Program Files\OpenVPN\Uninstall.exe
### OpenVPN 2.4.9-I601-Win10 - (25) 03-2022
[Applications] :HKLM {4A4ACF2E-4A98-4D18-80E3-5A5E5706F81E}_is1="C:\Program Files (x86)\MaskVPN\unins000.exe" /SILENT
Ils ont des fichiers associés.
Tu peux essayer de tout désinstaller ça avec Revo Uninstaller Portable
10 sept. 2022 à 20:06
C'est bon.
10 sept. 2022 à 20:06
Soit c'est les VPN qui crée des services APPSERVICEX ou APPSERVICEC ou APPSERVICEM qui change tout le temps de nom, soit je sais pas.
Modifié le 10 sept. 2022 à 20:08
Tu peux refaire Malwarebytes après désinstallations.
Qu'il fix les ProxyEnable dans le registre.
10 sept. 2022 à 20:16
J'ai relancé une analyse avec Malware...J'ai toujours les 10 mêmes fichiers...
J'ai relancé Reanimator pour faire Fix Problems Fix Malware Issues. J'ai les même fichiers que dans mon screen posté le 10 sept. 2022 à 19:33.
Je ne sais plus quoi faire.
Modifié le 10 sept. 2022 à 21:07
Edit: Sinon tu peux cliquer sur Inspection Mode à un moment, tu vois tout en principe, dans toutes les sections.
C'est plus facile quand tu connais ton système.
Tu peux aussi utiliser l'option de la deuxième fenêtre > Reanimator > Anti Spyware Full Check...
Tu peux analyser en mode sans échec, et en Offline aussi.
(Choose another Windows from Hard Drive...)
10 sept. 2022 à 21:08
Je vois ça marqué comme mauvais C:\Users\lucas\AppData\Local\SERVICEHUB\
Modifié le 10 sept. 2022 à 20:20
J'ai redirigé ton sujet dans la section Virus/Sécurité, peut être que quelqu’un y verra plus clair.
11 sept. 2022 à 13:57
D'accord, merci.
10 sept. 2022 à 21:09
Bonjour
On va commencer par un diagnostic du PC :
Bien lire toute la procédure avant de poster les rapports
Ne pas les poster directement dans les messages car ils sont illisibles et incomplets
Sont attendus les rapports FRST.txt et Addition.txt
Tous les rapports doivent être hébergés sur https://security-x.fr/up/ et tu indiques les liens obtenus dans ta réponse
---------------------------------------------------------------------------------------------
--> Le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même
---------------------------------------------------------------------------------------------
--> Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau
--> Pour un système en 32 bits
--> Pour un système en 64 bits
Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?
--> Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
--> Ferme toutes les applications, y compris ton navigateur
--> Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
--> Sous Vista, Windows 7 / 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
--> Attendre qu'il indique L'outil est prêt à fonctionner
--> Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse
--> A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
--> Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs
10 sept. 2022 à 21:24
Bonsoir, merci de répondre.
Bonne continuation.
@+
11 sept. 2022 à 11:56
Salut,
J'étais allé me coucher, je reprends les manip.
11 sept. 2022 à 12:09
Bonjour,
voici le fichier FRST : https://up.security-x.fr/file.php?h=R71860cbf8305143c6ce997f0e13d4ef9
Et le fichier addition : https://up.security-x.fr/file.php?h=Rcf4f8bb3509ada53da03511a2b71d56a
Merci de l'aide.
11 sept. 2022 à 15:04
RE_
Ouvres Malwarebytes -> Paramètres -> Sécurité -> Centre de sécurité Windows -> décoches "Toujours ajouter Malwarebytes dans le centre de sécurité Windows" --> Redémarres l'ordinateur
**********
***********************
--> Copie ce qui se trouve ici https://textup.fr/649060zp de start:: à end:: (sans le coller nulle part)
--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger
Si FRST semble se bloquer ou ne répond pas , laisse tourner
--> Le PC va redémarrer
--> Un fichier fixlog est créé au même endroit que FRST , postes le comme les autres rapports
--> Dis moi si tu as toujours le problème .
****************
*********************************
Lances une analyse Malwarebytes et postes le rapport :
=> /!\ Sous Vista, Windows 7 et 8,il faut lancer le fichier par clic-droit ==>> Exécuter en tant qu'administrateur
=> mettre à jour le logiciel avant le scan.
=> Lance la détection par Analyser Maintenant
=> A la fin du scan, si des infections ont été trouvées , clique sur Quarantaine sélectionnée
=> Le PC va redémarrer
=> Après le redémarrage, ouvres à nouveau MBAM.
=> Clique sur l'onglet Compte-rendu
=> Sélectionne le fichier correspondant --> Clic sur afficher le compte rendu
=> Clique sur exporter --> Fichier Texte (TXT)
=> La boîte de dialogue Enregistrer le fichier s'ouvre
=> Donne un nom et enregistre le sur le Bureau
=> Héberge le rapport et poste le lien dans ta prochaine réponse.
11 sept. 2022 à 16:04
Salut, voici le fichier :
fixlog : https://up.security-x.fr/file.php?h=R21eeebe6c76c41dc2aecec33c7c9a4c4
Et le fichier compte rendu de MalwareBytes : https://up.security-x.fr/file.php?h=R34b1944708b0f22c68104ad86133d943
11 sept. 2022 à 16:33
RE_
OK , les détections reviennent . Relances un scan FRST en décochant de liste blanche : Registre / services / processus
Postes les deux nouveaux rapports
11 sept. 2022 à 16:41
Pour info, que j'ai pas trop compris, RegRun m'indiquait quelque chose avec WMI !!!
Modifié le 14 sept. 2022 à 09:17
Re,
Le fichier FRST : https://up.security-x.fr/file.php?h=R772acedfaeaa71cebf5db283f3112cdd
Le fichier Addition : https://up.security-x.fr/file.php?h=R887199a51a8af5f888d2152fbae09536
12 sept. 2022 à 17:48
RE_
je regardes tout à l'heure
en attendant ,fais une capture d'ecran de :
protection contre les virus => paramètres de protection => exclusions
13 sept. 2022 à 10:45
Re,
j'ai mis la capture d'écran.
13 sept. 2022 à 11:00
RE_
OK , si ce n'est pas toi qui les as mises , cliques sur chaque , puis la flèche vers le bas => Supprimer
Une fois fais , relances une analyse Malwarebytes et mets tout en quarantaine .
Redémarres le PC , relances une analyse Malwarebytes et vois si tu as toujours les détections
11 sept. 2022 à 16:47
RE_
Oui , c'est un trojan qui remet un service et un pilote lorsqu'il est supprimé en changeant juste une lettre .
Il faut maintenant le trouver :
S2 AppServiceq; C:\WINDOWS\system32\YXS3CMI5FW.tmp
12 sept. 2022 à 06:54
Je dois supprimer ça ? Ou c'est un exemple de fichier que le trojan remet ?
Modifié le 11 sept. 2022 à 18:10
Puis je voyais une tâche planifiée sur un setup Visual Studio
[Scheduled Tasks 2] C:\WINDOWS\SYSNATIVE\TASKS\Microsoft\VisualStudio\Updates\BackgroundDownload=C:\Program Files (x86)\Microsoft Visual Studio\Installer.43526b3416454d7f9b259a6ea8035493\resources\app\ServiceHub\Services\Microsoft.VisualStudio.Setup.Service\BackgroundDownload.exe
Puis dans FRST comme WMI Provider il y a
Microsoft Visual Studio Setup WMI Provider (HKLM-x32\...\{04D4A254-7BC6-4533-8B05-9458A76E02F1}) (Version: 3.3.2152.31801 - Microsoft Corporation) Hidden
Je ne sais pas si c'est lié au trojan
Une version craquée de Visual Studio qui en fait contient un trojan ?
12 sept. 2022 à 06:55
Non VS je l'ai download depuis le site windows.
Modifié le 11 sept. 2022 à 18:13
RE_
Non , c'est lié et signé Microsoft => https://visualstudio.microsoft.com/fr/downloads/
BackgroundDownload.exe => https://www.freefixer.com/library/file/BackgroundDownload.exe-297375/
Modifié le 11 sept. 2022 à 18:30
J'ai Not found or not visible donc je n'ai pas son sha256
Multi-AV Report
Le premier en haut: https://www.cjoint.com/c/LIlqCEPKFEs
11 sept. 2022 à 18:33
RE_
Comme ceux d'en dessous qui sont des fichiers système certainement protégés
11 sept. 2022 à 18:48
RE_
Je remets mon message pour qu'il s'y retrouve => https://forums.commentcamarche.net/forum/affich-37683682-svchost-exe-un-cheval-de-troie#33
14 sept. 2022 à 10:34
RE_
OK , il a trouvé de nouveaux éléments . Après redémarrage , relances une analyse normale et vois s'il trouve encore les détections.
Si oui , procédure à faire :
=> Copie / Colles FRST64.exe sur une clé USB
=> Éjectes la clé
=> Redémarres le PC sur le CMD des paramètres Avancés , pour cela :
=> Tu appuie la touches shift (Fleche vers le haut au dessus de ctrl en bas à gauche)
=> En maintenant appuyé , tu redémarres le PC
=> Tu vas arriver sur les options de démarrage , tu relaches shift
=> Clic sur Dépannage => Options avancées => Invite de commande
=> Tapes c:
=> Tapes dir et vérifie que tu vois FRST64 sinon , essaie avec D: etc...
=> Quand tu as trouvé la clé , Tapes frst64 et valides
=> Cliques sur Analyser et attends qu'il indique que le rapport FRST est créé
=> Tapes exit pour sortir de l'invite, puis touches ESC pour revenir en arrière => Continuer
=> Une fois revenu sous Windows , postes le rapport qui se trouve sur la clé
Modifié le 14 sept. 2022 à 16:24
re,
Voici le rapport : https://up.security-x.fr/file.php?h=Rcb65a5e07bc8c7a28e678256d39ade09
Modifié le 14 sept. 2022 à 20:37
RE_
Désolé de répondre en saccadé , mais je suis en plein dans les travaux en ce moment ,-)
Bon, le fichier TEMP nuisible de system32 n'apparait pas dans le rapport , est ce que tu avais relancé un scan Malwarebytes avant de faire la procédure invite de commandes ?
Si oui et que tu avais toujours les détections , essaie ce qui suit ,
=> ouvres le gestionnaire des tâches (clic droit barre des tâches)
=> onglet démarrage , désactives tout sauf l'antivirus (Windows Defender)
=> Redémarres le PC
PUIS :
=> Touches Windows + R , tapes MSconfig
=> Dans la fenêtre , cliques sur l'onglet services
=> Coches Masquer tout les services Microsoft
=> Fais des captures d'écran pour remettre ensuite ce que tu auras désactivé
=> Cliques sur Désactiver tout
=> Redémarres le PC
Supprime l'exclusion dans WD , lances une analyse Malwarebytes (normale , sans cocher rootkit) , redémarres , vérifie et supprime si l'exclusion est revenue , et relances une analyse et dis moi si les détections reviennent
14 sept. 2022 à 21:42
Re,
Le compte Rendu Malware Bytes : https://up.security-x.fr/file.php?h=R745afdddb9c2e1acc9379a1ceeb1df57
Addition : https://up.security-x.fr/file.php?h=R0d8f89ea048133e2426320685d197469
FRST : https://up.security-x.fr/file.php?h=R68be38858754a6ae7ca8d8768d5d5dbe
14 sept. 2022 à 23:21
RE_
Le rapport Malwarebytes , c'est APRES la désactivation ?
Si tu relances une analyse , tu les as encore ?
16 sept. 2022 à 13:03
Oui c'est après la désactivation
16 sept. 2022 à 13:06
L'exclusion n'apparaît plus cela dit.