Svchost.exe un cheval de troie ?
MisteryBean Messages postés 8876 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
depuis quelques heures MalwareBytes m'affiche souvent des pop up indiquant un cheval de troie. C'est souvent lié à svchost.exe :
Or il me semble que c'est un processus windows. De plus quand je lance une analyse avec MalwareBytes ce dernier ne trouve rien.
Savez vous ce que je dois faire ?
Merci.
Bonne soirée.
- Supprimer svchost.exe
- Supprimer rond bleu whatsapp - Guide
- Svchost.exe - Guide
- Supprimer page word - Guide
- Supprimer pub youtube - Accueil - Streaming
- Fichier impossible à supprimer - Guide
26 réponses
Salut,
svchost.exe c'est l’hôte des services Windows
Tu peux analyser pour des virus ou programmes nuisibles avec RegRun Reanimator
https://greatis.com/security/reanimator.html
> Fix Problems
> Fix Malware Issues
Il est important de bien trier, par recherches et déductions et/ou analyses VirusTotal* pour ne supprimer que des virus ou choses inutiles, parce qu'il détecte tout et n'importe quoi, bon ou pas, important ou pas, ce n'est pas un "antivirus" avec une grande base de données virale, mais plutôt un outil d'analyse qui permet de voir des détails techniques qui ne sont pas faciles à voir sans / ou qui peuvent se cacher de la vue de l'utilisateur/utilisatrice lambda.
Il montre bien les détails comme les noms et la localisation des fichiers, ce qui peut servir des indices pour les avertis.
Que ce soit marqué en rouge, jaune, bleu ou vert, c'est l'utilisateur qui doit juger de la pertinence de ce qu'il détecte.
Si il ne détecte pas assez tu peux utiliser le Inspection Mode pour tout voir.
Ou > On-Line Multi-Antivirus Scan
--------------------------------------------------------------------------------------------------------------------------------------------------------------
Le programme VirusTotal Uploader *Download the App here*
https://support.virustotal.com/hc/en-us/articles/115002179065-Desktop-Apps
Pour (Un fichier) > Envoyer vers > Virustotal
Pour avoir les résultats en plus de l'onglet détails pour voir si le fichier est signé et vérifié ou pas, d'analyses VirusTotal (Par une soixantaine d'antivirus) du fichier.
On peut utiliser l'option Reupload pour obtenir une nouvelle analyse du fichier en cas de fichier récent très peu analysé.
Puis tu diras si c'est résolu.
Nouveau : j'ai relancé une analyse avec malware bytes et j'ai des menaces. Je les ai mise en quarantaine. J'ai relancé une analyse : à nouveau des menaces. J'enchaîne les analyses mais à chaque fois j'ai de nouvelles menaces...
Essaies Reanimator, plus efficace.
Puis svchost.exe c'est l’hôte des services Windows, c'est un service non Windows qui utilise un outil Windows (svchost.exe)
Regardes dans Services avec Reanimator mais fait bien le tour, ton PC devrait être propre ensuite.
Cliquer sur l'onglet Send Report > Make Report now
Quand une fenêtre Upload RegRunLog to Support Center s'ouvre, fermes la.
Envoies le rapport crée sur le bureau nommé regrunlog.txt sur le site cjoint.com https://www.cjoint.com/
Et fournis nous le lien en retour.
Voici les 10 menaces que j'ai à chaque analyse de malware bytes. J'ai beau les mettre en quarantaine et redémarrer l'ordi, à chaque fois elles reviennent.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Arrêtes de les supprimer à chaque redémarrage avec Malwarebytes
Tu ne pourra pas les détecter avec Reanimator si ils sont en quarantaine.
J'arrive difficilement à croire que Reanimator ne détecte rien autrement.
Ça prend du temps vérifier de mon côté.
HPPrintscandoctor en bas est bon, je crois, tu as bien une imprimantee HP ?
Les deux autres sont mauvais, ou sont des services pas clairs.coches juste les deux en rouge, appuies sur le bouton Rouge, en suite en bas à droite > Next, voir ce qui suit, avant de redémarrer quand tous les mauvais seront sélectionnés pour suppression.
Tu utilises un VPN, MaskVPN, OpenVPN de la les détections ProxyEnable de Malwarebytes
McAfee, Malwarebytes...
Dans Uninstall, tu as ça
[Applications] :HKLM OpenVPN=C:\Program Files\OpenVPN\Uninstall.exe
### OpenVPN 2.4.9-I601-Win10 - (25) 03-2022
[Applications] :HKLM {4A4ACF2E-4A98-4D18-80E3-5A5E5706F81E}_is1="C:\Program Files (x86)\MaskVPN\unins000.exe" /SILENT
Ils ont des fichiers associés.
Tu peux essayer de tout désinstaller ça avec Revo Uninstaller Portable
Soit c'est les VPN qui crée des services APPSERVICEX ou APPSERVICEC ou APPSERVICEM qui change tout le temps de nom, soit je sais pas.
Tu peux refaire Malwarebytes après désinstallations.
Qu'il fix les ProxyEnable dans le registre.
J'ai relancé une analyse avec Malware...J'ai toujours les 10 mêmes fichiers...
J'ai relancé Reanimator pour faire Fix Problems Fix Malware Issues. J'ai les même fichiers que dans mon screen posté le 10 sept. 2022 à 19:33.
Je ne sais plus quoi faire.
Edit: Sinon tu peux cliquer sur Inspection Mode à un moment, tu vois tout en principe, dans toutes les sections.
C'est plus facile quand tu connais ton système.
Tu peux aussi utiliser l'option de la deuxième fenêtre > Reanimator > Anti Spyware Full Check...
Tu peux analyser en mode sans échec, et en Offline aussi.
(Choose another Windows from Hard Drive...)
Bonjour
On va commencer par un diagnostic du PC :
Bien lire toute la procédure avant de poster les rapports
Ne pas les poster directement dans les messages car ils sont illisibles et incomplets
Sont attendus les rapports FRST.txt et Addition.txt
Tous les rapports doivent être hébergés sur https://security-x.fr/up/ et tu indiques les liens obtenus dans ta réponse
---------------------------------------------------------------------------------------------
--> Le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même
---------------------------------------------------------------------------------------------
--> Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau
--> Pour un système en 32 bits
--> Pour un système en 64 bits
Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?
--> Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
--> Ferme toutes les applications, y compris ton navigateur
--> Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
--> Sous Vista, Windows 7 / 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
--> Attendre qu'il indique L'outil est prêt à fonctionner
--> Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse
--> A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
--> Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs
RE_
Ouvres Malwarebytes -> Paramètres -> Sécurité -> Centre de sécurité Windows -> décoches "Toujours ajouter Malwarebytes dans le centre de sécurité Windows" --> Redémarres l'ordinateur
**********
***********************
--> Copie ce qui se trouve ici https://textup.fr/649060zp de start:: à end:: (sans le coller nulle part)
--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger
Si FRST semble se bloquer ou ne répond pas , laisse tourner
--> Le PC va redémarrer
--> Un fichier fixlog est créé au même endroit que FRST , postes le comme les autres rapports
--> Dis moi si tu as toujours le problème .
****************
*********************************
Lances une analyse Malwarebytes et postes le rapport :
=> /!\ Sous Vista, Windows 7 et 8,il faut lancer le fichier par clic-droit ==>> Exécuter en tant qu'administrateur
=> mettre à jour le logiciel avant le scan.
=> Lance la détection par Analyser Maintenant
=> A la fin du scan, si des infections ont été trouvées , clique sur Quarantaine sélectionnée
=> Le PC va redémarrer
=> Après le redémarrage, ouvres à nouveau MBAM.
=> Clique sur l'onglet Compte-rendu
=> Sélectionne le fichier correspondant --> Clic sur afficher le compte rendu
=> Clique sur exporter --> Fichier Texte (TXT)
=> La boîte de dialogue Enregistrer le fichier s'ouvre
=> Donne un nom et enregistre le sur le Bureau
=> Héberge le rapport et poste le lien dans ta prochaine réponse.
RE_
OK , les détections reviennent . Relances un scan FRST en décochant de liste blanche : Registre / services / processus
Postes les deux nouveaux rapports
Re,
Le fichier FRST : https://up.security-x.fr/file.php?h=R772acedfaeaa71cebf5db283f3112cdd
Le fichier Addition : https://up.security-x.fr/file.php?h=R887199a51a8af5f888d2152fbae09536
RE_
Oui , c'est un trojan qui remet un service et un pilote lorsqu'il est supprimé en changeant juste une lettre .
Il faut maintenant le trouver :
S2 AppServiceq; C:\WINDOWS\system32\YXS3CMI5FW.tmp
Puis je voyais une tâche planifiée sur un setup Visual Studio
[Scheduled Tasks 2] C:\WINDOWS\SYSNATIVE\TASKS\Microsoft\VisualStudio\Updates\BackgroundDownload=C:\Program Files (x86)\Microsoft Visual Studio\Installer.43526b3416454d7f9b259a6ea8035493\resources\app\ServiceHub\Services\Microsoft.VisualStudio.Setup.Service\BackgroundDownload.exe
Puis dans FRST comme WMI Provider il y a
Microsoft Visual Studio Setup WMI Provider (HKLM-x32\...\{04D4A254-7BC6-4533-8B05-9458A76E02F1}) (Version: 3.3.2152.31801 - Microsoft Corporation) Hidden
Je ne sais pas si c'est lié au trojan
Une version craquée de Visual Studio qui en fait contient un trojan ?
RE_
Non , c'est lié et signé Microsoft => https://visualstudio.microsoft.com/fr/downloads/
BackgroundDownload.exe => https://www.freefixer.com/library/file/BackgroundDownload.exe-297375/
J'ai Not found or not visible donc je n'ai pas son sha256
Multi-AV Report
Le premier en haut: https://www.cjoint.com/c/LIlqCEPKFEs
RE_
Je remets mon message pour qu'il s'y retrouve => https://forums.commentcamarche.net/forum/affich-37683682-svchost-exe-un-cheval-de-troie#33
RE_
OK , il a trouvé de nouveaux éléments . Après redémarrage , relances une analyse normale et vois s'il trouve encore les détections.
Si oui , procédure à faire :
=> Copie / Colles FRST64.exe sur une clé USB
=> Éjectes la clé
=> Redémarres le PC sur le CMD des paramètres Avancés , pour cela :
=> Tu appuie la touches shift (Fleche vers le haut au dessus de ctrl en bas à gauche)
=> En maintenant appuyé , tu redémarres le PC
=> Tu vas arriver sur les options de démarrage , tu relaches shift
=> Clic sur Dépannage => Options avancées => Invite de commande
=> Tapes c:
=> Tapes dir et vérifie que tu vois FRST64 sinon , essaie avec D: etc...
=> Quand tu as trouvé la clé , Tapes frst64 et valides
=> Cliques sur Analyser et attends qu'il indique que le rapport FRST est créé
=> Tapes exit pour sortir de l'invite, puis touches ESC pour revenir en arrière => Continuer
=> Une fois revenu sous Windows , postes le rapport qui se trouve sur la clé
RE_
Désolé de répondre en saccadé , mais je suis en plein dans les travaux en ce moment ,-)
Bon, le fichier TEMP nuisible de system32 n'apparait pas dans le rapport , est ce que tu avais relancé un scan Malwarebytes avant de faire la procédure invite de commandes ?
Si oui et que tu avais toujours les détections , essaie ce qui suit ,
=> ouvres le gestionnaire des tâches (clic droit barre des tâches)
=> onglet démarrage , désactives tout sauf l'antivirus (Windows Defender)
=> Redémarres le PC
PUIS :
=> Touches Windows + R , tapes MSconfig
=> Dans la fenêtre , cliques sur l'onglet services
=> Coches Masquer tout les services Microsoft
=> Fais des captures d'écran pour remettre ensuite ce que tu auras désactivé
=> Cliques sur Désactiver tout
=> Redémarres le PC
Supprime l'exclusion dans WD , lances une analyse Malwarebytes (normale , sans cocher rootkit) , redémarres , vérifie et supprime si l'exclusion est revenue , et relances une analyse et dis moi si les détections reviennent