svchost.exe un cheval de troie ? Fermé

Question

Bonjour,

depuis quelques heures MalwareBytes m'affiche souvent des pop up indiquant un cheval de troie. C'est souvent lié à svchost.exe :

Or il me semble que c'est un processus windows. De plus quand je lance une analyse avec MalwareBytes ce dernier ne trouve rien.

Savez vous ce que je dois faire ?

Merci.
Bonne soirée.

fabul · Answer

Salut,

svchost.exe c'est l’hôte des services Windows

Tu peux analyser pour des virus ou programmes nuisibles avec RegRun Reanimator

https://greatis.com/security/reanimator.html

> Fix Problems
> Fix Malware Issues

Il est important de bien trier, par recherches et déductions et/ou analyses VirusTotal* pour ne supprimer que des virus ou choses inutiles, parce qu'il détecte tout et n'importe quoi, bon ou pas, important ou pas, ce n'est pas un "antivirus" avec une grande base de données virale, mais plutôt un outil d'analyse qui permet de voir des détails techniques qui ne sont pas faciles à voir sans / ou qui peuvent se cacher de la vue de l'utilisateur/utilisatrice lambda.

Il montre bien les détails comme les noms et la localisation des fichiers, ce qui peut servir des indices pour les avertis.

Que ce soit marqué en rouge, jaune, bleu ou vert, c'est l'utilisateur qui doit juger de la pertinence de ce qu'il détecte.

Si il ne détecte pas assez tu peux utiliser le Inspection Mode pour tout voir.

Ou > On-Line Multi-Antivirus Scan

-----------------------------------------------------­------------------------­---------------------------------------------------------------------------------

Le programme VirusTotal Uploader *Download the App here*

https://support.virustotal.com/hc/en-us/articles/115002179065-Desktop-Apps

Pour (Un fichier) > Envoyer vers > Virustotal

Pour avoir les résultats en plus de l'onglet détails pour voir si le fichier est signé et vérifié ou pas, d'analyses VirusTotal (Par une soixantaine d'antivirus) du fichier.

On peut utiliser l'option Reupload pour obtenir une nouvelle analyse du fichier en cas de fichier récent très peu analysé.

Puis tu diras si c'est résolu.

thomaseight · Answer

Nouveau : j'ai relancé une analyse avec malware bytes et j'ai des menaces. Je les ai mise en quarantaine. J'ai relancé une analyse : à nouveau des menaces. J'enchaîne les analyses mais à chaque fois j'ai de nouvelles menaces...

fabul · Answer

Essaies Reanimator, plus efficace.

Puis svchost.exe c'est l’hôte des services Windows, c'est un service non Windows qui utilise un outil Windows (svchost.exe)

Regardes dans Services avec Reanimator mais fait bien le tour, ton PC devrait être propre ensuite.

thomaseight · Answer

Voici les 10 menaces que j'ai à chaque analyse de malware bytes. J'ai beau les mettre en quarantaine et redémarrer l'ordi, à chaque fois elles reviennent.

fabul · Answer

Arrêtes de les supprimer à chaque redémarrage avec Malwarebytes

Tu ne pourra pas les détecter avec Reanimator si ils sont en quarantaine.

J'arrive difficilement à croire que Reanimator ne détecte rien autrement.

Ça prend du temps vérifier de mon côté.

fabul · Answer

Tu utilises un VPN, MaskVPN, OpenVPN de la les détections ProxyEnable de Malwarebytes

McAfee, Malwarebytes...

fabul · Answer

Soit c'est les VPN qui crée des services APPSERVICEX ou APPSERVICEC ou APPSERVICEM qui change tout le temps de nom, soit je sais pas.

fabul · Answer

Tu peux refaire Malwarebytes après désinstallations.

Qu'il fix les ProxyEnable dans le registre.

fabul · Answer

J'ai redirigé ton sujet dans la section Virus/Sécurité, peut être que quelqu’un y verra plus clair.

MisteryBean · Answer

Bonjour

On va commencer par un diagnostic du PC :

Bien lire toute la procédure avant de poster les rapports
Ne pas les poster directement dans les messages car ils sont illisibles et incomplets

Sont attendus les rapports FRST.txt et Addition.txt

Tous les rapports doivent être hébergés sur https://security-x.fr/up/ et tu indiques les liens obtenus dans ta réponse

---------------------------------------------------------------------------------------------

--> Le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

---------------------------------------------------------------------------------------------

--> Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau

--> Pour un système en 32 bits
--> Pour un système en 64 bits

Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?

--> Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
--> Ferme toutes les applications, y compris ton navigateur
--> Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
--> Sous Vista, Windows 7 / 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
--> Attendre qu'il indique L'outil est prêt à fonctionner
--> Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse
--> A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
--> Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs

MisteryBean · Answer

RE_

OK , les détections reviennent . Relances un scan FRST en décochant de liste blanche : Registre / services / processus

Postes les deux nouveaux rapports

MisteryBean · Answer

RE_

Oui , c'est un trojan qui remet un service et un pilote lorsqu'il est supprimé en changeant juste une lettre .

Il faut maintenant le trouver :

S2 AppServiceq; C:\WINDOWS\system32\YXS3CMI5FW.tmp

fabul · Answer

Puis je voyais une tâche planifiée sur un setup Visual Studio

[Scheduled Tasks 2] C:\WINDOWS\SYSNATIVE\TASKS\Microsoft\VisualStudio\Updates\BackgroundDownload=C:\Program Files (x86)\Microsoft Visual Studio\Installer.43526b3416454d7f9b259a6ea8035493\resources\app\ServiceHub\Services\Microsoft.VisualStudio.Setup.Service\BackgroundDownload.exe

Puis dans FRST  comme WMI Provider il y a

Microsoft Visual Studio Setup WMI Provider (HKLM-x32\...\{04D4A254-7BC6-4533-8B05-9458A76E02F1}) (Version: 3.3.2152.31801 - Microsoft Corporation) Hidden

Je ne sais pas si c'est lié au trojan

Une version craquée de Visual Studio qui en fait contient un trojan ?

MisteryBean · Answer

RE_

Non , c'est lié et signé Microsoft => https://visualstudio.microsoft.com/fr/downloads/

BackgroundDownload.exe => https://www.freefixer.com/library/file/BackgroundDownload.exe-297375/

fabul · Answer

J'ai Not found or not visible donc je n'ai pas son sha256

Multi-AV Report

Le premier en haut: https://www.cjoint.com/c/LIlqCEPKFEs

MisteryBean · Answer

RE_

Comme ceux d'en dessous qui sont des fichiers système certainement protégés

MisteryBean · Answer

RE_

Je remets mon message pour qu'il s'y retrouve => https://forums.commentcamarche.net/forum/affich-37683682-svchost-exe-un-cheval-de-troie#33

MisteryBean · Answer

RE_

OK , il a trouvé de nouveaux éléments . Après redémarrage , relances une analyse normale et vois s'il trouve encore les détections.

Si oui , procédure à faire :

=> Copie / Colles FRST64.exe sur une clé USB

=> Éjectes la clé

=> Redémarres le PC sur le CMD des paramètres Avancés , pour cela :

=> Tu appuie la touches shift (Fleche vers le haut au dessus de ctrl en bas à gauche)
=> En maintenant appuyé , tu redémarres le PC
=> Tu vas arriver sur les options de démarrage , tu relaches shift
=> Clic sur Dépannage => Options avancées => Invite de commande

=> Tapes c:

=> Tapes dir et vérifie que tu vois FRST64 sinon , essaie avec D:   etc...

=> Quand tu as trouvé la clé , Tapes frst64 et valides

=> Cliques sur Analyser et attends qu'il indique que le rapport FRST est créé

=> Tapes exit pour sortir de l'invite, puis touches ESC pour revenir en arrière => Continuer

=> Une fois revenu sous Windows , postes le rapport qui se trouve sur la clé

MisteryBean · Answer

RE_

Désolé de répondre en saccadé , mais je suis en plein dans les travaux en ce moment ,-)

Bon, le fichier TEMP nuisible de system32 n'apparait pas dans le rapport , est ce que tu avais relancé un scan Malwarebytes avant de faire la procédure invite de commandes ?

Si oui et que tu avais toujours les détections , essaie ce qui suit ,

=> ouvres le gestionnaire des tâches (clic droit barre des tâches)
=> onglet démarrage , désactives tout sauf l'antivirus (Windows Defender)
=> Redémarres le PC

PUIS :

=> Touches Windows + R , tapes MSconfig
=> Dans la fenêtre , cliques sur l'onglet services
=> Coches Masquer tout les services Microsoft
=> Fais des captures d'écran pour remettre ensuite ce que tu auras désactivé
=> Cliques sur Désactiver tout
=> Redémarres le PC

Supprime l'exclusion dans WD , lances une analyse Malwarebytes (normale , sans cocher rootkit) , redémarres , vérifie et supprime si l'exclusion est revenue , et relances une analyse et dis moi si les détections reviennent

MisteryBean · Answer

RE_

Le rapport Malwarebytes , c'est APRES la désactivation ?

Si tu relances une analyse , tu les as encore ?

MisteryBean · Answer

SUITE :

--> Copie ce qui se trouve ici https://textup.fr/649591EZ de start:: à end:: (sans le coller nulle part)

--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger
Si FRST semble se bloquer ou ne répond pas , laisse tourner

--> Le PC va redémarrer

--> Un fichier fixlog est créé au même endroit que FRST , postes le comme les autres rapports

***********************************

=> Télécharges Kaspersky Virus Removal Tool sur le bureau <= Important

Si le navigateur bloque le téléchargement , passe outre et autorise le

=> Appuie les touches Windows + R et fait glisser l'exécutable Kaspersky dans la fenêtre exécuter

=> à la fin de la ligne , mets un espace puis copie/colle -dontencrypt

=> Le programme se lance , si tu as une alerte de Windows Defender , cliques dessus , Actions , sélectionnes Autoriser sur l'appareil

=> Coches les trois cases

=> Cliques sur Accept puis Change parameters

=> Coches tout les éléments présents => OK

=> Cliques sur START SCAN

A la fin de l'analyse, si des entrées sont trouvées, il y aura des options

Si "Cure" est proposé laisse tel quel.

Pour toutes les autres options, passes à « Supprimer », puis sélectionne « Continuer »

Si rien n'a été trouvé, sélectionne « Fermer »

Les rapports sont enregistrés ici  C:\KVRT2020_Data\Reports et ressemblent à report_20210123_113021.klr
Fait un clic droit directement sur ce rapport => ouvrir avec => Bloc -notes .

Enregistre ce fichier et postes-le dans ta réponse.

MisteryBean · Answer

RE_

L'exclusion n'apparaît plus cela dit.

Tu avais vus les procédures que j'ai ajouté ?

https://forums.commentcamarche.net/forum/affich-37683682-svchost-exe-un-cheval-de-troie?page=2#62

MisteryBean · Answer

OK , pas de soucis

MisteryBean · Answer

RE_

Ce qui est étonnant , c'est que les détections Kaspersky sont toutes sur le logiciel Atom .

Est ce que tu l'as téléchargé sur un site spécial ? est ce qu'il fonctionne toujours après les suppressions ?

Que donne une analyse Malwarebytes ?

thomaseight · Answer

Malwarebytes ne détecte rien !! Je crois que tu as réussi à sauver mon ordi !

MisteryBean · Answer

RE_

OK, deux solutions , soit l'infection est totalement éradiquée , soit , elle n'est pas réactivée à la suite des manips Msconfig et programmes désactivés dans l'onglet démarrage .

On peux soit réactiver tout ça pour voir si l'infection se réactive , soit laisser comme ça et laisser le sujet ouvert au cas où.

Si tu veux tester , il faut commencer par réactiver dans l'onglet démarrage , redémarrer le PC et relancer Malwarebytes.

Dis moi ce que tu préfères et on fera en fonction

Svchost.exe un cheval de troie ?

26 réponses