J'ai 8 svchost.exe dans mon gestionnaire dont a 99% UC + exmudole.exe
J'ai 8 svchost.exe dans mon gestionnaire dont a 99% UC + exmudole.exe - Sécurité - Windows & Software
Marsh Posté le 06-09-2006 à 17:54:58
Reply
Marsh Posté le 06-09-2006 à 17:54:59
Bonjour
Avoir plusieurs svchost n'est pas toujours un signe d'infection.
Mais les fichiers exmudole oui.
Commence par faire ceci.
1 Télécharge
CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.
Ewido
http://www.ewido.net/en/download/
Lance Ewido et clique sur le bouton Update (barre d'outils - au haut).
Sous Manual Update clique Start update. Patiente jusqu'à l'affichage "Update successful".
2 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.
3 Lance le nettoyage avec CCleaner.
4 Lance Ewido.
Clique sur le bouton Scanner (de la barre d'outils)
Puis sur l'onglets Settings, pour How to Act. Clique sur Recommanded Actions. Sélectionne Quarantine.
Reviens a l'onglet Scan. Clique Complete system Scan
A la fin du scan, choisis l'option " Apply All Actions " en bas.
Clique sur "Save Report", puis "Save Report As". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit facile à retrouver.
5 Redémarre normalement et poste (sur le forum) le rapport d'Ewido avec un nouveau HijackThis.
Marsh Posté le 06-09-2006 à 20:32:05
| kaman a écrit : T'as fait un scan AV et Spyware histoire de? |
j'ai fait en mode sans echec un Spybot et adware plu santi virus bitdefender
Marsh Posté le 06-09-2006 à 21:51:53
en ligne de commande, tu peux voir les services qui tournent derriere tes svchost.exe
"tasklist /svc"
Marsh Posté le 09-09-2006 à 12:19:50
J'ai fait dans le mode sans echec un cccleaner et j'ai lancé un scan complete ewido.
La 1ere fois j'ai oublié de faire un rapport mais j'ai vu 2 virus/trojan proxy.horst.av et backdoor.cradoor.13 , j'ai aussi remarqué que quand le svchost monte a 99% y a des exmudole.exe avec des numeros qui se lancent et quan dje ferme le svchost ils partent.
J'ai refait un ewido et il a trouvé que C:\WINDOWS\system32\XjSVgjl124.ini -> Backdoor.Ciadoor.13 : No action taken.
Il a du mettre l'autre en quarantaine.
Donc ça viens de backdoor alors mon souci
bizarre j'ai windows a jour et un anti-virus plus kerio 
Marsh Posté le 09-09-2006 à 12:44:43
J'ai fait un scan du dossier system 32 ou le virus a été detecté Bitdefendre a trouvé ça mais ne le supprime pas
C:\WINDOWS\system32\XjSVgjl124.ini Infecté avec: DeepScan:Generic.Malware.SLMDBCbg.EF7C6526
Y a un patch ou logiciel pour s'en debarasser svp 
C'est donc ce truc qui est lié a tous mes soucis de svchost a 99%?
Marsh Posté le 09-09-2006 à 14:12:22
Bonjour
Télécharge le logiciel HijackThis v1.99.1
http://pchelpbordeaux.free.fr/logiciels.html
Tutorial
http://pchelpbordeaux.free.fr/tuto.html
Démo en image
http://pageperso.aol.fr/balltrap34/demohijack.htm
Fais un scan et poste l'analyse.
Marsh Posté le 09-09-2006 à 16:56:24
je l'ai mis dans la 1ere page voila:
http://membres.lycos.fr/gaymers/hijackthis.log
Mais c'était avant que je passe le ccleaner et exido donc voici le nouveau sachant que le probleme n'est pas résolu:
http://membres.lycos.fr/gaymers/hijackthis2.log
je vais essayer d'en faire un quand le svchost.exe monte a 99%
Y a un truc bizarre aussi, j'ai qu'une seule session quand j'ai installé WindowsXP mais quand je fais un mode sans echec j'ai une session admin qui est proposé en plus de la mienne
Message édité par gaymer's le 09-09-2006 à 17:01:04
Marsh Posté le 09-09-2006 à 17:17:38
Les deux liens ne fonctionnent pas.
Poste le nouveau rapport sur le forum.
Edit : Pour la session supplémentaire en mode sans échec, c'est normal.
Message édité par chercheurbis le 09-09-2006 à 17:18:23
Marsh Posté le 09-09-2006 à 17:18:49
| chercheurbis a écrit : Les deux liens ne fonctionnent pas. |
Ben moi les liens fonctionnent 
Marsh Posté le 09-09-2006 à 17:34:46
| Citation : Logfile of HijackThis v1.99.1 |
Marsh Posté le 09-09-2006 à 17:35:13
| kaman a écrit : Ben moi les liens fonctionnent |
Je viens de réessayer, "Impossible de trouver ..."
Edit : Je viens de voir le rapport sur le forum.
Des lignes infectieuses.
Je reviens.
Message édité par chercheurbis le 09-09-2006 à 17:36:20
Marsh Posté le 09-09-2006 à 17:35:39
j'ai fait un scan online kaspersky et il a trouvé
Nombre de virus trouvés : 8
Nombre d'objets infectés : 12
et il en est qu'a 92%
Marsh Posté le 09-09-2006 à 17:37:16
Poste le rapport de Kaspersky sur le forum, je ferais alors une manip plus complète.
Marsh Posté le 09-09-2006 à 17:53:45
Je peux faire a la place un scan complet avec bitdefender en mode sans echec?
Ou alors kaspersky detecte plus de virus
Message édité par gaymer's le 09-09-2006 à 17:54:10
Marsh Posté le 09-09-2006 à 18:03:36
| gaymer's a écrit :
|
Kaspersky en détecte + mais bon la différence est pas immense non plus.
Marsh Posté le 09-09-2006 à 18:06:26
Voici le rapport de ma partition C ou y a tous les programmes, y a effectivement les trojan detectés par ewido
| Citation : Saturday, September 09, 2006 5:57:50 PM |
Je vais faire un scan bitdefender (après mise a jour) complet en mode sans echec
je dois choisir ma session principale ou l'admin bizarre qui apparait seulement en mode sans echec?
Message édité par gaymer's le 09-09-2006 à 18:08:15
Marsh Posté le 09-09-2006 à 18:51:16
Bitdefender en a trouvé 4 mais bizarrement il les detruit pas
C:\Documents and Settings\**\Local Settings\Temp\32exssd32.3.exe Infecté avec: Trojan.Proxy.Horst.AN
C:\Documents and Settings\**\Local Settings\Temp\51exhdd.5.exe Infecté avec: Trojan.Zlob.Gen
C:\Documents and Settings\**\Local Settings\Temp\75exmodul32s.6.exe Infecté avec: Trojan.Proxy.Horst.HQ
C:\WINDOWS\system32\XjSVgjl124.ini Infecté avec: DeepScan:Generic.Malware.SLMDBCbg.EF7C6526
Marsh Posté le 09-09-2006 à 22:44:15
Re
Une partie de la procédure se déroulera sans avoir accès à internet, prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant cette désinfection.
Les manipulations sont à faire sans interruption et dans l'ordre.
Si tu ne comprends pas quelque chose, demande des explications avant de commencer.
1 Télécharge Killbox.
http://www.downloads.subratam.org/KillBox.zip
Place le programme dans le répertoire qui te plaît.
2 Clique sur Démarrer
Clic droit sur le Poste de Travail - Propriétés - Restauration du systéme - Cocher la case Désactiver la restauration du systéme et cliquer sur Appliquer.
3 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.
4 Relance un scan HijackThis et coche les lignes ci-dessous :
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O23 - Service: DirectX Service (DirectHyfb) - Unknown owner - c:\windows\system32\directx.exe (file missing)
Ferme toutes les fenêtres Windows, Internet explorer, Outlook,sauf le logiciel Hijackthis et clique sur « Fix checked »
5 Tu clique sur Démarrer puis Exécuter, tu tapes services.msc et tu cliques sur OK.
Dans la liste des services, cherche et sélectionne
"DirectX Service" / double clique sur la ligne
/ vérifie dans Chemin d'accès des fichiers exécutables qu'il
s'agit bien de "c:\windows\system32\directx.exe" / dans Type de démarrage,
sélectionne Désactiver / valide la modification.
6 Lance le nettoyage avec CCleaner.
7 Lance Pocket Killbox.
--- choisis l'option Delete on Reboot
--- copie la liste ci-dessous, des fichiers à supprimer (Ctrl-C) et File / Paste from Clipboard
C:\WINDOWS\system\smss.exe
C:\WINDOWS\system32\XjSVgjl124.ini
c:\windows\system32\directx.exe
C:\Documents and Settings\All Users\Documents\setup.exe
* les boutons "Single File" et "All Files" deviennent actifs mais "Single File" est activé par défaut.
Il faut alors impérativement activer (cliquer sur) "All Files", impérativement, sinon seul le premier de la liste sera supprimé.
--- vérifie que tous les fichiers sont enregistrés, par la liste déroulante "Full Path of File to Delete"
--- clique sur la croix blanche sur fond rouge (Delete File) :
- "File will be Removed on Reboot, Do you want to reboot now?", réponds OUI si tu es prêt à procéder
8 Redémarre normalement
9 Clique sur Démarrer
Clic droit sur le Poste de Travail - Propriétés - Restauration du systéme - Décocher la case Désactiver la restauration du systéme et cliquer sur Appliquer.
10 Supprime les fichiers/dossiers incriminés (s'ils existent encore) :
C:\Documents and Settings\All Users\Documents
Poste un nouveau log HijackThis.
Marsh Posté le 10-09-2006 à 11:16:54
J'ai tout suivi a la lettre et donc voici mon nouveau hijackhis
| Citation : Logfile of HijackThis v1.99.1 |
Marsh Posté le 10-09-2006 à 11:30:15
Bien, HijackThis est propre.
Refais un scan avec Kaspersky pour voir s'il trouve encore quelque chose.
Marsh Posté le 10-09-2006 à 12:28:22
Oki je vais scanner, je peux faire un scan bitdefender a la place?
En tout cas merci beaucoup pour ton aide, c'est dingue ce genre de soucis je pensais que l'anti virus pouvait s'en charger mais finalement non.
Tu penses que l'infection a pu venir d'ou? En général je fais très attention aux mail et j'ai kerio qui bloque tout.
Marsh Posté le 10-09-2006 à 14:00:58
bah mine kaspersky me sort ça:
C:\!KillBox\smss.exe Infecté : Trojan-Proxy.Win32.Horst.av ignoré
C:\!KillBox\smss.exe( 3) Infecté : Trojan-Proxy.Win32.Horst.av ignoré
C:\!KillBox\XjSVgjl124.ini Infecté : Backdoor.Win32.Ciadoor.13 ignoré
C:\!KillBox\XjSVgjl124.ini( 2) Infecté : Backdoor.Win32.Ciadoor.13 ignoré
Pourtant j'ai tout suivi a la lettre 
Marsh Posté le 10-09-2006 à 15:22:52
Supprime C:\!KillBox
C'est la sauvegarde de KillBox.
Donc plus d'infection.
As tu encore des dysfonctionnements ?
Marsh Posté le 10-09-2006 à 15:51:39
Non plus de soucis apparemment, merci infiniment chercheurbis
C'est la demache a suivre pour chaque virus ou trojan que j'arrive pas a effacer?
Detecter l'emplacement des problemes et les resouvre comme indiqué pour mon ancien probleme
Message édité par gaymer's le 10-09-2006 à 15:52:10
Marsh Posté le 10-09-2006 à 17:11:47
Oui, tu peux les retrouver avec les scans en ligne et les supprimer manuellement.
Mais pour certaines infections, il faut des outils spécifiques.
Marsh Posté le 11-09-2006 à 13:23:16
| kaman a écrit : T'as fait un scan AV et Spyware histoire de? |
Je pense que ça peut etre pas mal, car tu as pas mal de processus bizarre.
Marsh Posté le 11-09-2006 à 16:16:25
| kOrt3zZz a écrit : Je pense que ça peut etre pas mal, car tu as pas mal de processus bizarre. |
Lesquels ?
Sujets relatifs:
- solution svchost.exe et win2K
- Probleme d'affichage: poste de travail, gestionnaire de peripherique
- help svchost
- Regardez mon gestionnaire de taches ... ? ?
- svchost.exe...
- Gestionnaire d'absence du bureau [Exchange]
- gestionnaire de périphériques
- Erreur svchost -> plus de son - étrange
- [PB] - Svchost 100% cpu démarage
- plantage avec svchost.exe
Marsh Posté le 06-09-2006 à 16:42:26
j'ai un souci en ce moment mon PC rame grave et dans le gestionnaire de tache je me rends compte que svchost.exe prends 99% de l'UC proc.
Voici mon gestionnaire de taches, je suis sûr qu'il y a pas mal de .exe qui servent a rien vous en pensez quoi ? (comme le cli.exe, y en a 3 parfois)
Je le retire et tout va mieux mais pourquoi j'en ai 8 et d'où peux venir le problème svp
J'ai aussi souvent cette page d'erreur qui concerne encore svchost
J'ai aussi au moment ou le svchost a 99% des .exe exmudole avec differents chiffres qui se lancent
qq1 peut m'aider svp
j'ai WindowsXp pro sp2
Voici mon hijackthis.log:
http://membres.lycos.fr/gaymers/hijackthis.log