Bonjour à tous,
 
Je pense que le titre est clair : j'ai un svchost.exe qui fait ramer énormément mon PC et je n'arrive pas à m'en débarrasser.
Pour situer un peu plus, j'ai lancé dogecoin-qt sur mon PC (je n'ai installé aucun autre logiciel relatif au dogecoin...) et c'est au redémarrage suivant que tout a commencé. J'ai jeté un oeil avec processexplorer et la commande exécutée est la suivante :

et le svchost concerné semble être exécuté depuis le dossier suivant :

 
Visiblement c'est un pool de minage qui utilise mon PC à mon insu (ou pas du coup, je kill le process à chaque démarrage...) puisque l'utilisateur indiqué n'est pas l'une de mes adresses.
J'ai essayé de supprimer de le supprimer mais je trouve aucun entrée nul part ayant trait au dogecoin, je m'en remet donc à vous.
 
Merci

Salut,
 
Tu peux faire un diagnostic, on va voir si le rapport montre quelque chose.
 
Scan ZHPDiag  
 
 

• Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau)

• Double clique sur le fichier téléchargé, puis installe le avec les paramètres par défaut (N'oublie pas de cocher Créer une icône sur le bureau)
• Pour Vista, Seven et windows 8 clic droit sur le fichier téléchargé et "Exécuter en tant qu'administrateur"
• Lance ZHPDiag en double cliquant sur son icône présente sur le bureau
• Pour Vista, Windows 7 et Windows 8 clic droit sur le raccourci de ZHPDiag et "Exécuter en tant  qu'administrateur"

• Cette fenêtre va s'ouvrir :

• (1) Clique sur "configurer"
• (2) Clique en bas à gauche sur "la loupe"("lancer le diagnostic" )
• Clique sur "OUI" à l'invite

• Laisse le scan se dérouler
• Le scan terminé, ferme le fichier bloc-note qui vient de s'ouvrir. Il est sauvegardé sur ton bureau sous le nom de ZHPDiag.txt
• Copie/colle le lien ci-joint du rapport de ZHPDiag que tu auras hébergé dans ta prochaine réponse.

• Note : le rapport se trouvera également ici ==>  

•  XP : C:\Documents and Settings\username\Application Data\ZHP\ZHPDiag.txt
• Vista/7 et 8 : C:\Users\username\AppData\Roaming\ZHP\ZHPDiag.txt

Merci pour le coup de pouce.
Voilà donc mon rapport : http://cjoint.com/data/0LwpMiuEK67.htm

Si j'ai bien compris, tu souhaite supprimer ton programme de litcoin/dogecoin ?

On peut essayer pour voir si c'est bien lui qui pose problème, oui. Sachant que j'ai rien installé, c'est un zip à désarchiver mais il m'a possiblement mis je ne sais quoi sur le PC pour s'exécuter. Ce qui m'étonne c'est que beaucoup utilisent dogecoin-qt et que personne ne s'en plaint mais on peut toujours essayer
(Juste dogecoin si possible dans un premier temps, le litecoin/bitcoin je les ai depuis longtemps sur ma machine sans le moindre porblème)

Okay, uniquement dogecoin.
 
Je te propose en passant de désinfecter ton pc qui est touché par des logiciels publicitaire, je ferai un script ciblé pour supprimer dogecoin et les restes des véroles.
 
 
==> AdwCleaner
 

• Télécharges Adwcleaner (de Xplode) sur ton Bureau !

• Lance AdwCleaner par un clique droit "Exécuter en tant qu'administrateur" (sauf sous XP)
• Clique sur  Scanner, patiente le temps du scan
• Une fois le scan fini, clique sur Nettoyer
• Accepte l'avertissement en cliquant sur OK

• Accepte les avertissements/informations en cliquant sur OK
• Ton pc va redémarrer et un rapport va apparaitre. Héberge le rapport sur Cjoint et copie/colle le lien dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S0].txt
 
Un tutoriel pour t'aider à l'utiliser => ICI
 
==> Malwarebytes Anti-Malwares - programme de sécurité généraliste
 
Ce programme est déjà installé sur ton ordinateur :
 

• Lance malwarebytes et mets le à jour => TRES IMPORTANT
• Dans l'onglet Paramètres, configure le comme indiqué ci-dessous :

• Dans l'onglet Recherche coche la case Exécuter un examen rapide si ce n'est pas déjà fait
• clique sur Rechercher
• Si MalwareByte's n'a rien détecté, clique sur Ok Un rapport va apparaître ferme-le.

=> Si MalwareByte's a détecté des infections :

• Clique sur Afficher les résultats
• Coche toutes les cases si ce n'est pas déjà fait
• Ensuite sur Supprimer la sélection

• Héberge le rapport sur ci-joint et copie/colle le lien créé dans ta prochaine réponse
• Le rapport de MalwareByte's peut être retrouvé sous l'onglet Rapports/logs
• Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok
• Aide pour MalwareByte's => ICI

 
==> refais une analyse avec ZHPdiag et envoies le lien Cjoint de ce nouveau rapport, tu vas ensuite supprimer dogecoin

Alors voilà le rapport ADWCleaner : http://cjoint.com/data/0LwrDTdfio4.htm
 
Pour MalwareBytes : http://cjoint.com/data/0Lwsfl3BqJS.htm
L'élément supprimé ressemble assez à ce qui pourrait poser problème mais visiblement ça n'a pas suffit puisque le fameux svchost.exe posant problème était toujours là après redémarrage. J'ai scanné de nouveau avec MalwareBytes et ce Trojan.BitCoinMiner est toujours présent alors que je choisi bien "Supprimer la sélection".
 
Autre chose, depuis qu'on a commencé à traiter tout ça, Avira se plaint d'un Trojan (dldr.AutoIt.NLZ.9) situé dans le fichier : C:\Users\Alex\AppData\Roaming\Microsoft\SystemCertificates\My\Updater\SearchIndexer.exe. Fichier qui se trouve au même endroit que svchost posant problème. Je ne sais pas si c'est lié mais dans le doute...
 
edit : Et j'ai oublié le ZHP, je fais ça tout de suite !
 
edit2 : Voilà pour ZHPDiag : http://cjoint.com/data/0LwsyAwIURu.htm

L'alerte d'Avira correspond bien à la même vérole. Tu vas t'en occuper :
 
==> RogueKiller - en mode scan  
 

• Télécharges RogueKiller (de Tigzy) sur ton Bureau.
• Choisis la version correspondant à ton système d'exploitation (32 ou 64 bits)
• Sous windows Vista, seven et huit, lance RogueKiller, par un clique droit "Exécuter en tant qu'administrateur"  

    Note : Attends que le PreScan soit fini.
 
 

• Clique sur Scan.
• Une fois le scan terminé rends toi sur le bureau, le rapport RKreport[X]¤S¤.txt a été créé.
• Héberge le rapport RKreport[X]¤S¤.txt sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

Et le nouveau rapport RogueKiller : http://cjoint.com/data/0LwtoTK9R7H.htm

La suite :
 
==> RogueKiller : Suppression
 

• Lance RogueKiller par un clique droit "Exécuter en tant qu'administrateur" sous Windows : 7/8 et Vista

    Note : Attends que le PreScan ait fini.
 
 

• Clique sur Scan.
• Clique sur Supression

• Une fois le scan terminé rends toi sur le bureau, le rapport RKreport[X]¤D¤.txt à été créé.
• Héberge le rapport RKreport[X]¤D¤.txt sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

   
 
 
==> Refais une analyse avec ZHPDiag et envoies le lien Cjoint du rapport stp.
 

Le nouveau rapport RogueKiller : http://cjoint.com/data/0LwutmWjRtk.htm
Et le ZHP : http://cjoint.com/data/0Lwu5QBmDWa.htm
 
J'en profite pour te remercier pour le temps que tu prends pour m'aider  

Re,
 
Je n'arrive pas à exploiter le rapport ZHPdiag à un moment toutes les lignes sont collées, pas évident.
 
peux tu héberger à nouveau le rapport ZHPDiag tel quel sans apporter de modifications, merci.
 
En parallèle, fais une nouvelle analyse avec malwarebytes en mode d'examen rapide et envoies le rapport même s'il est vierge.
 
++

Je vais retenter le rapport ZPH, je n'ai apporter aucune modification à celui-ci mais il a en effet été bien plus long que les précédents à générer, ZPH plante de temps en temps en cours de route alors que ce n'était pas le cas sur les premiers rapports. J'ai peur que le résultat soit le même sur le prochain rapport.
Rebelote pour celui que je suis entrain de faire là, j'ai peur que le résultat final soit le même. En attendant que j'y parvienne, voilà le rapport MalwareBytes avec toujours le fameux BitcoinMiner    
 
Voilà le rapport MalwareBytes : http://cjoint.com/data/0LwvH73WO2t.htm
 
Edit : Le rapport ZHP : http://cjoint.com/data/0Lwv0rD7jsf.htm

Juste pour dire que ma copine a exactement le même problème et qu'elle n'arrive pas à s'en débarrasser.  
À la différence qu'elle n'a jamais utilisé de logiciel de minage...  
(Du coup on suit ce post attentivement...)

Ok Rhalph, mais à partir d'ici il y a du script donc propre au pc de alexyu, à ne pas reproduire.
 
-----------
 
Bon va falloir faire un combo pour éliminer la bête.
 
On sait que roguekiller permet de stopper la tâche planifiée qui n'est pas visible dans le rapport, ce qu'il faut éviter, c'est un redémarrage du pc après roguekiller. Si ça ne fonctionne pas, j'ai encore des ressources, mais je préfère tente comme ça.
 
 
==> RogueKiller : Suppression
 

• Lance RogueKiller par un clique droit "Exécuter en tant qu'administrateur" sous Windows : 7/8 et Vista

    Note : Attends que le PreScan ait fini.
 
 

• Clique sur Scan.
• Clique sur Supression

• Une fois le scan terminé rends toi sur le bureau, le rapport RKreport[X]¤D¤.txt à été créé.
• Héberge le rapport RKreport[X]¤D¤.txt sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

   
 
 
 
Sans redémarrage :
 
 
=> Script ZHPFix
 
Tu vas exécuter ce script pour parfaire le nettoyage de ton ordinateur.
 
Attention, ce script a été écrit spécifiquement pour l'ordinateur de alexyu, il n'est pas transposable sur un autre ordinateur.
 
Le temps de téléchargement du script a été volontairement limité à 4 jours
 

• Clique sur ce lien http://cjoint.com/?3LwwfOxxQSV
• Sur la page qui s'ouvre clic droit et [Tout sélectionner]
• Refais un clic droit et [Copier]
• Double clic sur le raccourci de ZHPFix qui est sur le bureau.
• Pour Vista et Seven fais un clic droit sur le raccourci de ZHPFix et [Exécuter en tant qu'administrateur]

• Sur La fenêtre qui s'ouvre clique sur [IMPORTER]

• Le texte copié dans le presse papiers s'affichera dans la fenêtre de ZHPFix
• Clique sur [Go]

• A la demande, confirme le nettoyage des données en cliquant sur [OUI]

• Patiente le temps du traitement.
• ZHPFix va te demander si tu souhaite vider ta corbeille, clique sur ton choix (le traitement peut être long suivant la quantité de données à supprimer)

• Un rapport nommé ZHPFixReport.txt sera créé et sauvegardé sur le bureau  
• Ce rapport se trouve aussi ici C:\ZHP\ZHPFix[R1].txt

• Ferme ZHPFix - Redémarre ton ordinateur

• Héberge le rapport sur ci-joint et copie/colle le lien créé dans ta nouvelle réponse.

 
==> lance à nouveau malwarebytes en mode d'examen rapide, et envoies le lien Cjoint du rapport
 
 
==> Refais un scan avec ZHPDiag poste le lien ci-joint du rapport dans ta réponse
 
 
 
Note : Tu as donc 4 rapports à poster.  
 

Le rapport RK : http://cjoint.com/data/0Lxj1BRSzIu.htm
 
Je crois que mon PC a définitivement un problème avec ZHP, il a planté sur la commande "EmptyTemp" (et ça à chaque essaie), je l'ai donc arrêté après quelques heures. J'ai donc supprimé les fichiers temporaires avec CCleaner puis relancé le script ZHP qui cette fois s'est déroulé sans encombre. Je ne sais pas si le rapport va t'être utile du coup mais le voilà : http://cjoint.com/data/0LxjY1fKLa2.htm
 
Je redémarre donc mon PC et visiblement le svchost ne s'exécute plus au démarrage    
 
Rien sous MalwareBytes : http://cjoint.com/data/0Lxkfd6ee3S.htm
 
Et le rapport ZHPDiag : http://cjoint.com/data/0LxkxY3nhPv.htm
 
Tout à l'air de rentrer dans l'ordre, mais j'attends ton expertise avant de sauter de joie

On a viré tout ça avec RogueKiller uniquement et le svchost ne s'éxecutait plus non plus au démarrage ... mais il a fini par revenir -_-
(Saute pas trop de joie, donc)

Salut alexyu,
 
Ok plus de traces de dogecoin, je pense que tu as réussi à killer la bestiole.
 
Je t'invite à modifier tous les mots de passe que tu utilises sur internet : banque, sécu, caf,.....
 
Mises à jour de sécurité :
 
En informatique, il est très important de maintenir ses programmes sensibles à jour tout comme son système d'exploitation et son antivirus. Un programme qui n'est pas maintenu à jour et qui se connecte sur internet (adobe reader, java, adobe flash player) expose le pc de l'utilisateur à des infections qui s'infiltrent par ses failles de sécurité.
 
1- Adobe Reader: N'est pas à jour, c'est une faille de sécurité importante.
 
Je te propose deux solutions :
 
- si tu souhaites conserver adobe reader sur ton pc, désinstalles ta version actuelle. Télécharges et installes la nouvelle mouture d'adobe reader => ICI
N'oublies pas avant le téléchargement de décocher la case te proposant le sponsor McAfee dans les offres facultatives, ce programme ne sert à rien.
 

 
- Ou alors, tu désinstalles adobe reader et tu installes un lecteur PDF alternatif, plus léger pour ton système, qui ne fait pas l'objet d'attaque des pirates => Sumatra PDF
 
 
2- Java :
 
La version de java installée sur ton ordinateur n'est pas à jour, c'est aussi une faille de sécurité. Rends toi sur le site de java et télécharges la nouvelle version (7 update 45) => site de java (clique sur téléchargement gratuit de java).
Lors de l'installation du programme, n'oublies pas de décocher la case qui te propose d'installer la barre d'outils Ask, elle ne sert à rien et transmet des informations sur tes habitudes de surf à ton insu...
Une fois l'installation de Java 7 update 45 effectuée, supprimes de ton ordinateur les versions Java 7 Update 21, Java 6 Update 31 devenues obsolètes.

 
3- Adobe flash player :
 
La version présente sur ton ordinateur date, c'est encore une fois une faille de sécurité importante qu'il faut combler.
Désinstalles la version actuelle présente sur ton ordinateur.  
Rends toi ensuite sur le site de l'éditeur ICI.  
Télécharges et installes la nouvelle version à jour.  
Penses à fermer ton navigateur avant son installation.
N'oublies pas avant le téléchargement de décocher la case te proposant le sponsor McAfee dans les offres facultatives, ce programme ne sert à rien.
 
4- Mets à jour tous tes navigateurs pour pallier les failles de sécurité, pour Internet explorer sers toi de windows update, il te proposera la version 11 de ce navigateur.
 
 
==> SFTGC – Nettoyage des fichiers temporaires :
 

• Télécharge SFTGC sur ton bureau.
• Lance le programme
• Sous Windows Vista/Seven/8, clique droit sur SFTGC.exe puis sur "Exécuter en tant qu'administrateur"
• Le logiciel s'initialise puis s'ouvre.
• Clique alors sur le bouton Go pour supprimer les fichiers temporaires inutiles :

• Un rapport du nom de SFT.txt est alors créé sur ton bureau.
• Héberge le rapport sur Cjoint et copie/colle le lien obtenu dans ta prochaine réponse.

 
==> DelFix
 
Cet outil va te permettre d'un part de supprimer tous les outils de désinfection utilisés lors du nettoyage de ton ordinateur et d'autre part de purger la restauration système. La purge de la restauration système est importante, elle permet de supprimer tous les points de restauration potentiellement infectés et de créer un nouveau point de restauration exempt de nuisible. En cas de besoin, tu pourras l'utiliser sans problème.
 
• Télécharge DelFix de Xplode sur ton bureau.
• Lance DelFix :
• coche Supprimer les outils de désinfection
• coche Purger la restauration système
• Clique sur Exécuter
 

 
 
• Copie/colle le contenu du rapport de DelFix dans ta prochaine réponse.
 
 
Conseils de base  pour mieux sécuriser son ordinateur :
 
1- Comment maintenir à jour son ordinateur
 

• Je t'invite à lire ce tutoriel réalisé par neo***, sur les mises à jour de sécurité

2- Sécuriser ta navigation sur internet
 
2.1- Comment bloquer les publicités jugées dangereuses :
 
Si tu le souhaites, tu peux installer le bloqueur de publicités Adblock plus sur ton/tes navigateur(s), c'est un module complémentaire très pratique :
 

• Pour chrome => clique ICI
• Pour Mozilla Firefox => clique ICI
• Pour Internet Explorer => clique ICI
• Pour Opéra => clique ICI

Tutoriel pour démarrer avec Adblock Plus
 
2.2 - Sécuriser tes recherches :
 
Il existe pour cela un module complémentaire Web Of Trust (WOT), valable pour tous les navigateurs.
 
Tutoriel pour démarrer avec WOT
 
3- Comment éviter d'infecter à nouveau ton pc :
 
Adopter les bonnes pratiques :
 

• Comment j'infecte mon ordinateur
• Les barres d'outils ce n'est pas obligatoire
• Sécuriser son ordinateur et connaître les menaces
• Attention aux Ransomwares
• Les dangers des réseaux de partage
• Le danger des cracks
• Principes de la sécurité informatique

@ralph,
 
Peux-tu me transmettre les rapports de :
 
- roguekiller
- malwarebytes  
 
et m'envoyer un rapport ZHPDiag, le tout via Cjoint, on va s'occuper de ce pb :
 
Comment héberger un rapport sur ci-joint :
 

• Clique sur ce lien : http://www.cjoint.com/
• Clique sur Parcourir... et cherche le fichier du rapport que tu souhaites me transmettre.
• Clique sur Ouvrir.
• Clique sur "Créer le lien Cjoint" pour déposer le fichier.
• Un lien de cette forme, http://cjoint.com/?CFnaaobHAob, est ajouté dans la nouvelle page.
• Copie-colle ce lien dans ta réponse.

Aide en image => ICI
 
Scan ZHPDiag  
 
 

• Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau)

• Double clique sur le fichier téléchargé, puis installe le avec les paramètres par défaut (N'oublie pas de cocher Créer une icône sur le bureau)
• Pour Vista, Seven et windows 8 clic droit sur le fichier téléchargé et "Exécuter en tant qu'administrateur"
• Lance ZHPDiag en double cliquant sur son icône présente sur le bureau
• Pour Vista, Windows 7 et Windows 8 clic droit sur le raccourci de ZHPDiag et "Exécuter en tant  qu'administrateur"

• Cette fenêtre va s'ouvrir :

• (1) Clique sur "configurer"
• (2) Clique en bas à gauche sur "la loupe"("lancer le diagnostic" )
• Clique sur "OUI" à l'invite

• Laisse le scan se dérouler
• Le scan terminé, ferme le fichier bloc-note qui vient de s'ouvrir. Il est sauvegardé sur ton bureau sous le nom de ZHPDiag.txt
• Copie/colle le lien ci-joint du rapport de ZHPDiag que tu auras hébergé dans ta prochaine réponse.

• Note : le rapport se trouvera également ici ==>  

•  XP : C:\Documents and Settings\username\Application Data\ZHP\ZHPDiag.txt
• Vista/7 et 8 : C:\Users\username\AppData\Roaming\ZHP\ZHPDiag.txt
 
 

Bon, pas eu le temps de faire ça plutôt, voilà les rapports demandés précédemment :
SFT : http://cjoint.com/data3/3Lxwc10C6xq.htm
DelFix : http://cjoint.com/data3/3LxwgF0A20m.htm
 
Encore merci d'avoir pris de ton temps pour m'aider et des conseils qui vont avec

Re,
 

 
Ce fut un plaisir, cela me change un peu des pubs intempestives et autres véroles par support amovibles que je traite ici .....  
 
Je te souhaite un joyeux Noël, profites bien de tes proches pendant ce réveillon.
 
 
++

Un petit message pour dire que ça a fini par être réglé en lançant plusieurs fois Roguekiller et l'antivirus jusqu'à ce que tout soit supprimé définitivement.
Merci de ton aide !

Bonsoir,
 
Merci du retour.  
 
Je ne trouve pas de logique dans la méthodologie, mais si cela te satisfait, c'est le principal.  
 
Meilleurs vœux pour 2014  

Salut,
 
J'ai oublié de vous passer une info qui pourrait vous intéresser, je pense que l'infection qui se trouvait sur vos pc est liée à ce type d'attaque du fait de son comportement => Info sur attaque dogecoin - Piratage dogecoin
 
++