Svchost.exe => Virus? [Résolu]

bonjour,
Svchost est un élement légitime de windows, mais qui peut être utilisé par les infections !

on va voir si ton pc contient une infection :

* Télécharge ZHPDiag sur ton bureau :
http://telechargement.zebulon.fr/zhpdiag.html

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://www.cijoint.fr/

Bonjour,

Merci pour ce tuto, mais j'ai eu un petit problème... Je lance ZHPDiag, puis je clique sur la loupe (« Lancer le diagnostic »). Mais malheureusement, le programme ne répondait plus, et donc j'ai du le fermer... Mais lorsque je le relance, l'icone de la loupe n'y est plus!

Que faire?

Bonjour ,

essayer de lancer une analyse d'antivirus en ligne , style bitdefender

Cé Un Virus Qui S'Est Injecté Dans Le Processus, Fais Un Scan En Mode Sans Echec

tu as cliqué sur l'icone de zhpfix !!!

clique sur l'icone de zhpdiag et tout va bie se dérouler :-)

Voici le Rapport: http://www.cijoint.fr/cjlink.php?file=cj201007/cijzGpnxIB.txt

Etant donné que je n'y comprend rien à ce qui est marqué dessus, j'espère que tu pourras m'éclairer :)

tu as une version non officielle de windows !!!


une infection par support externe, puis une infection par toolbar : Askbardis ... etc !

les tolbars ne sont pas obligatoires !!!

*Télécharge USBFIX sur ton bureau (Merci à El Desaparecido/C_XX)
http://chiquitine.changelog.fr/UsbFix.exe

ou :

http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe

OU :

http://chiquitine.changelog.fr/UsbFix.exe


/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

- Double-clique sur l'icône Usbfix située sur ton Bureau.
- Sur la page, clique sur le bouton :
« Suppression »

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

- puis clique sur OK
- Laisse travailler l'outil.

- Poste le rapport qui apparaît à la fin.
le rapport se trouve sur C:\ UsbFix.txt
Note : A la fin de l'option nettoyage, il est recommandé de redémarrer le pc


* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

Miroir:

http://forum-aide-contre-virus.be/download/C_XX/AD-R.exe

/!\ Ferme toutes applications en cours /!\

- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « Nettoyer »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

ces lignes sont issues de ton rapport :

o4 - hkus\s-1-5-18\..\runonce: [nltide_3] rundll32 advpack.dll,launchinfsectionex nlite.inf,c,,4,n

o4 - hkus\s-1-5-18\..\runonce: [nltide_3] rundll32 advpack.dll,launchinfsectionex nlite.inf,c,,4,n

o4 - hkus\s-1-5-19\..\runonce: [nltide_3] rundll32 advpack.dll,launchinfsectionex nlite.inf,c,,4,n

o4 - hkus\s-1-5-20\..\runonce: [nltide_3] rundll32 advpack.dll,launchinfsectionex nlite.inf,c,,4,n

ceci signifie que ta version de windows est soit :
piratée ou modifiée, à toi de voir la chose comme tu l'entends !!!

perso, je ne mets pas de nom là dessus, juste une version non officielle :-)

déjà je comprends pas pourquoi il y a : rundll32 advpack.dll,launchinfsectionex nlite.inf,c,,4,n ?


le nlite me choque

Mmh, j'ai acheté mon ordinateur sur une brocante, c'est donc sûrement lui qui m'a du mettre cette version "pirater"!!! Je me suis fais avoir :( Je n'ai plus qu'a m'acheter un nouvel ordi alors...

non tu peux aussi installer un système alternatif , linux

pas de panique, les versions dite "non officielles" n'ont rien de plus des autres vesions !
le problème, c'est que vu la non autentification par microsoft, elles reçoivent, sous forme de mise à jour, tous les fonds de tiroires de micosoft pour les obliger à achter la licence d'utilisation autentique !!!

les failles de sécurité sont grandes ouvertes vers les infections, je préfère te le dire au lieu que tu l'ignores !!!

de plus, certains outils de désinfection ne fonctionneent pas sur ces versions !!!

donc pour passer à une version non officielle, il suffit de demander à microsoft, moyennant une certaine somme, la clé de licence, ou acheter une cd de windws et installater ta propore version sur ton pc !


pour revenir à notre désinfection, passe usbfix et ADR, mais ceci dit qu'il se peut qu'ils ne fonctionnent pas, vu ta version !

à voir ...

c'est déjà arivé !

P.S : attention, nous n'avons pas d'outils pour désinfecter les autres os comme MAc ou Linux !!!

Usbfix a très bien marché (je crois) mais je n'ai ni clé USB ni Disque dur Externe... Je crois que ca n'a pas servi à grand chose...

passe le en cliquant sur suppression,

puis passe à ADR :-)

C'est fait! Mais que fait-il exactement?
J'aimerai savoir ce que je fais :P

je vois qu'il y a un moinsoyeur qui est passé par ici !!!

les postes un peu plus haut sont tous noté en" - "!!!???


bref,
je ne vois pas de rapport suppression ADR, ni de Usbfix !!!

repasse una utre zhpdiag, aide toi de ce lien, tu n'as pas besoin de retélecharger zhp :

http://www.commentcamarche.net/forum/affich-18600875-svchost-exe-virus#1

Effectivement... Je vais mettre un "+" a chaque moins pour "corriger" ca ^^

Voici les 2 rapports:

======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 21/07/10 à 14:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 16:51:09 le 25/07/2010, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86)
Michael@MICHAEL-CE48266 ( )

============== ACTION(S) ==============


0,Fichier supprimé: C:\WINDOWS\system32\w32apiw.dll
0,Fichier supprimé: C:\DOCUME~1\Michael\LOCALS~1\Temp\ASKSUTBLOG
0,Fichier supprimé: C:\DOCUME~1\Michael\LOCALS~1\Temp\Del_AskHPRFF.VBS
0,Dossier supprimé: C:\Program Files\Ask.com
0,Dossier supprimé: C:\Documents and Settings\Michael\Application Data\AskToolbar
0,Dossier supprimé: C:\Documents and Settings\Michael\Local Settings\Application Data\Conduit
0,Dossier supprimé: C:\Program Files\Conduit

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Documents and Settings\Michael\Application Data\Mozilla\FireFox\Profiles\vb6hotuh.default\Prefs.js --
Ligne supprimée: user_pref("CT2542115.SearchEngine", "Recherche||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_...
Ligne supprimée: user_pref("CT2542115.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT254...
-- Fichier Fermé --


3,Clé supprimée: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\3Bv_BZO
0,Clé supprimée: HKLM\Software\Classes\Toolbar.CT2542115
0,Clé supprimée: HKLM\Software\Classes\Toolbar.CT2552113
0,Clé supprimée: HKLM\Software\Conduit
0,Clé supprimée: HKCU\Software\Ask.com
0,Clé supprimée: HKCU\Software\AskToolbar
0,Clé supprimée: HKCU\Software\Conduit
0,Clé supprimée: HKCU\Software\AppDataLow\AskToolbarInfo
0,Clé supprimée: HKCU\Software\AppDataLow\HavingFunOnline
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}

0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.8 (fr)] **

-- C:\Documents and Settings\Michael\Application Data\Mozilla\FireFox\Profiles\vb6hotuh.default\Prefs.js --
browser.search.defaultenginename, Search
browser.search.defaulturl, hxxp://flvdirect.iamwired.net/websearch.php?src=tops&search=
browser.search.selectedEngine, NouvelObs.com
browser.startup.homepage, hxxp://www.google.fr/
browser.startup.homepage_override.mstone, rv:1.9.2.8
keyword.URL, hxxp://flvdirect.iamwired.net/websearch.php?src=tops&search=

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 17 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 25/07/2010 (1359 Octet(s))

Fin à: 16:53:01, 25/07/2010

============== E.O.F ==============




VOICI LE 2EME RAPPORT:



############################## | UsbFix 7.017 | [Suppression]

Utilisateur: Michael (Administrateur) # MICHAEL-CE48266 [ ]
Mis à jour le 22/07/10 par El Desaparecido / C_XX
Lancé à 16:43:44 | 25/07/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Celeron(R) M processor 1.50GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: ESET Smart Security 4.0 4.0 [(!) Disabled | Updated]
Firewall: Pare-feu personnel d'ESET 4.0.314.0 [(!) Disabled]
RAM -> 1014 Mo
C:\ (%systemdrive%) -> Disque fixe # 56 Go (20 Go libre(s) - 35%) [] # NTFS
D:\ -> CD-ROM
E:\ -> CD-ROM

################## | Éléments infectieux |

Supprimé! C:\Documents and Settings\Michael\winbrd.jpg
Supprimé! C:\WINDOWS\winbrd.jpg

################## | Registre |

Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoResolveSearch

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{4a4bf649-8286-11df-9abf-0014a438983d}

################## | Listing |

[29/04/2010 - 20:23:22 | HD ] C:\$AVG
[23/03/2010 - 23:10:19 | A | 0] C:\AUTOEXEC.BAT
[30/04/2010 - 10:07:59 | D ] C:\AVGTemp
[24/05/2010 - 15:52:50 | SH | 212] C:\boot.ini
[03/10/2001 - 00:20:05 | RASH | 4952] C:\Bootfont.bin
[21/07/2010 - 12:34:58 | D ] C:\Config.Msi
[23/03/2010 - 23:10:19 | A | 0] C:\CONFIG.SYS
[23/03/2010 - 23:17:11 | D ] C:\Documents and Settings
[26/03/2010 - 14:24:06 | D ] C:\e48203bd5afb35cc95cac7b8c2
[06/07/2010 - 18:12:24 | D ] C:\Game
[25/07/2010 - 13:04:03 | ASH | 1063768064] C:\hiberfil.sys
[25/03/2010 - 12:20:11 | D ] C:\Intel
[23/03/2010 - 23:10:19 | RASH | 0] C:\IO.SYS
[20/07/2010 - 18:07:15 | D ] C:\logs
[23/03/2010 - 23:10:19 | RASH | 0] C:\MSDOS.SYS
[10/05/2010 - 12:51:35 | RHD ] C:\MSOCache
[03/08/2004 - 23:38:34 | RASH | 47564] C:\NTDETECT.COM
[21/04/2010 - 10:38:50 | RASH | 252240] C:\ntldr
[25/07/2010 - 13:04:00 | ASH | 1598029824] C:\pagefile.sys
[25/07/2010 - 11:23:23 | RD ] C:\Program Files
[25/07/2010 - 16:45:31 | SHD ] C:\RECYCLER
[23/03/2010 - 23:12:46 | SHD ] C:\System Volume Information
[24/04/2010 - 18:24:41 | D ] C:\THE_KID_FILM
[25/07/2010 - 16:45:36 | D ] C:\UsbFix
[25/07/2010 - 16:45:43 | A | 1003] C:\UsbFix.txt
[25/07/2010 - 16:45:31 | D ] C:\WINDOWS

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_MICHAEL-CE48266.zip
http://chiquitine.changelog.fr/Sample/Upload.php
Merci de votre contribution.

################## | E.O.F |

super :-)

envoie fichier, ceci permet d'améliorer usbfix :

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_MICHAEL-CE48266.zip
http://chiquitine.changelog.fr/Sample/Upload.php

Merci de ta contribution.


relance ADRemove, clique su Désinstaller,



* Pour désinstaller les outils de désinfection qu'on a utilisés :

Telecharge ToolsCleaner2
--> http://pc-system.fr/TC/ToolsCleaner2.exe
-Une fois téléchargé, installe-le et lance-le
-Clique sur Recherche et laisse le scan se terminer
-Clique sur SUPPRESSION
-Clique sur Quitter pour que le rapport puisse se créer
-Poste moi le rapport se trouvant ici--> C:\TCleaner.txt
Note : si certains outils restent sur ton pc, il faut les supprimer manuellement

je te conseille de conserver MBAM sur ton pc, lance une mise à jour avant chaque utilisation :-)



* Désactivation, puis Réactivation de la restauration système après désinfection :

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés :
Pour XP : http://www.commentcamarche.net/faq/sujet-5097-virus-system-volume-information



c'est le moment de la vérité !

fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat :-)

Merci! Je te tiendrais au courant!
Heureusement que tu es tombé sur ma question :P Je dois dire que c'est grâce à toi que ces merd*s ont été (peut etre?) virées :)

Merci encore!

je connaissais ton prénom dés le premier rapport, mais ce n'est pas ça qui m'intéresse :-)

je suis un passionné d'informatique, je partage ma passion avec les internautes en difficulté !

il faut aider son prochain :-)

on est tous des bénévoles, donc pas de profile en vu ;-)

pour ce qui conserne ton pc, j'en ai vu pire !!!

mdr