Discussion :

[Javamar]

Salut à tous,
J'avais supprimé par mégarde le fichier C:\windows\system32\svchost.exe par qu'il me posait énormement de problème.Mon ordinateur est paralysé en partie (plus de barre de taches par eemple, plus d'internet,...).Par je peux en effet trouver la copie de ce fichier dans C:\Windows\system32\dllcache\svchost.exe.J'arrive bien à copier svchost.exe dans C:\windows\system32\ et quand je redemarre l'ordinateur, la barre de taches réapparaît mais au bout d'un instant il apparaît une fenêtre " m'indiquant que l'ordinateur va redemarrer dans 60s, cet arrêt a été initié par AUTORITE NT\ SYSTEME.Et après redemarage de mon ordinateur, quand je regarde dans le repertoire C:\windows\system32 il n'y a plus de fichier svchost.exe et la barre de taches a disparu.J'aimerais savoir à quel type de virus cela pourrait correspondre.J'ai essayé de desinfecter mon pc avec fixblast au cas où le virus est blast.Là le message donné par ce logiciel c'est que "pas de blaster trouvé"
Je vous envoie le rapport de mon scan:

[supersnail]

Bonjour,

En fait svchost.exe est un processus système, donc si tu l'as dégagé, je crains qu'il faille réinstaller XP .

Sinon,si tu as un CD d'XP sous la main, tu peux toujours essayer de récupérer le fichier svchost.ex_ du CD, l'extraire (via expand svchost.ex_) et copier le fichier décompressé dans le répertoire système (pour être sûr de ne pas récupérer un fichier infecté...).

Edit: j'ai repéré ça dans ton rapport hijackthis:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\dodo\rliaee.exe \o

Ce fichier (rliaee.exe), est-ce toi qui l'a créé ou ça n'a rien à voir?

[Javamar]

Non ce n'est pas moi qui l'ai crée.
dodo c'est mon neveu, il ne s'y connaît pas en informatique.Il télécharge n'importe quoi sur mon ordinateur.
C'est bizzare ce fichier rliaee.exe?

[sevyc64]

rliaee.exe est un executable qui apparemment inconnu de Google.

Si ce n'est pas un executable que tu as créé toi (ou ton neuveu), c'est probablement pas quelque chose de très bon.

Si tu sais à quel moment le problème est apparu tente une restauration système à une date antérieure.

Sinon, si tu sais comment éditer la base de registre, supprime dans cette entrée, la partie du chemin qui correspond à cet executable.

Ensuite il te faudra faire un scan complet du poste avec un antivirus à jour, puis un antimalware/antispyware à jour.

Par la suite il faudra effectivement restaurer le fichier svchost depuis un cd de XP (c'est plus sur), dans System32, mais aussi probablement (et commencer d'ailleurs) dans dllcache si la surveillance des fichiers systèmes est active.

Le fichier svchost de XP SP3 porte les caractéristique suivantes :

[IMG]file:///C:/Users/Casy/AppData/Local/Temp/moz-screenshot.png[/IMG]

[Javamar]

Ton idée de récuperer svchost.exe à partir du CD est bonne.Je crois maintenant que le fichier svchost.exe qui est sur mon ordinateur pourrait être infecté.En fait dans mon ordinateur, j'ai un logiciel fix-it utility 9 qui permet de reparer, booster un ordi.Il y a aussi un antivirus. il me signale à tout moment que le fichier svchost.exe est eroné et il l'a mis en quarantaine.J'ai dû desinstaller ce logiciel pour voir si le problème ne provenait pas de lui.Mais ça persiste.

Mais comment s'y prendre pour récuperer le fichier svchost.exe à partir du CD d'installation ?

[sevyc64]

Déja vérifier sur ton disque dans le dossier C:\Windows\i386 que tu n'as pas un fichier nommé svchost.ex_
Si c'est le cas, tu ouvre une fenêtre de la console d'administration (abusivement appelée fenêtre DOS) dans ce dossier.

Si c'est pas la cas, tu mets ton cd dans le lecteur et tu ouvre une fenêtre de la console dans le dossier i386 du cd.

Ensuite dans la console, tu tappe la commande suivante

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

expand svchost.ex_ c:\windows\system32\dllcache\svchost.exe

et tu valide, puis

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

expand svchost.ex_ c:\windows\system32\svchost.exe

et tu valide

[Javamar]

Salut Sevyc64,

J'ai essayé ce que tu m'as dit de faire.Mais le problème persite.J'ai par contre scanné la copie des fichiers contenus dans C:\Windows\system32 avec un antivirus puissant sur une autre machine.J'ai ceci:
F=clé usb

F:\Inpjnis.dll a variant of win32\Trojanclicker.Delf.NBx trojan
F:\mnapzrqc.dll win32\bho.nyb trojan
F:\sshnas21.dll a variant of win32\kryptik.dux trojan
F:wgigkip.exe a variant of win32\skintrim.AJ trojan

Il ya peut être aussi des virus dans d'autres parties de l'ordinateur.Tu me conseilles quel antivirus?

J'aimerais comprendre comment détruire completement un virus manuellement.Je sais déjà qu'il taper la commande "del +nom du fichier".Mais ce que je ne sais pas c'est comment savoir que tel fichier est lié à tel rEgistre POUR jouer aussi sur le registre?

[Javamar]

Une autre question!

Quand tu fais la commande:

expand svchost.ex_ C:\windows\system32\svchost.exe

si je comprend bien svchost.ex_ n'est autre que svchost.exe mais compressé ?

[sevyc64]

Tu me conseilles quel antivirus

Tout antivirus bénéficiant un tant soit peu connu et bénéficiant d'un minimum de réputation (Kapersky, Avira, Symantec/Norton, Panda, TrendMicro, .......), pourvu que tant le moteur de l'antivirus que la base de signatures soient tous les 2 à jours à la dernière version.

La pluspart des éditeurs sérieux proposent d'ailleurs sur leur site en général la possibilité de faire un scan en ligne plus ou moins complet.

Passe aussi un antispyware style Windows Defender de Microsoft ou Malwarebytes Antispyware.

C'est quoi cette clé usb F: et les fichiers qui y sont dessus ????
Ces dll ne sont, à priori pas connues.

Pour détruire un virus, cela dépend du virus.
Il faut retenir dans un premier temps retenir le nom. Dans un second temps laissez-faire l'antivirus puis redémarrer la machine. Si malgré l'action de l'antivirus, le virus revient, il faut chercher sur internet à partir du nom du virus s'il n'existe pas un fix à appliquer (comme pour blaster). Certains virus sont fait de sorte que l'antivirus ne détecte que la partie infectée et pas la partie infectante qui se charge de réinfecter la machine à chaque démarrage

si je comprend bien svchost.ex_ n'est autre que svchost.exe mais compressé ?

Oui

[Javamar]

Salut Sevyc64,
J'ai scanné mon PC avec ComboFix, près de 2000 fichiers infectés (trojan, rootkid, vundo, ....).Je trouve que l'état de mon ordinateur s'est amelioré un peu.Desormais, je peux copier et coller.Je peux aller sur internet quand le svchost.exe est dans le system32 ou dllcache.En effet le svchost.exe disparaît dès que je redemarre l'ordinateur.Je crois que le svchost.exe est attaqué par le BLASTER qui se manifeste par un compte à rebours engendré par AUTORITE NT/SYSTEME qui dit que windows ferme dans 60 secondes.Les anti-blaster utilisés jusque là ne me permettent pas d'éradiquer cette bête.Ce BLASTER detruit le svchost.exe.Je n'arrive pas à localiser ce BLASTER.
j'ai une question:

Dans quelle clé de la base de registre, je peux trouver le groupe de services liés à svchost.exe pour voir leur valeur.en d'autres termes, je me demande si le virus n'est pas logé dans la base de registre.En fait, je ne maîtrise pas bien la base de registre.

[sevyc64]

Pour le compte à rebours, lorsque il se déclenche, tu peux l'annuler en faisant Menu démarrer/exécuter, tu tape shutdown.exe -a et tu valide.
Ca arrete le compte à rebours encours et annule l'action d'arrêt du pc, mais ça n'enlève pas le virus.


Pour avoir autant de virus ça signifie que tu n'avais pas d'antivirus sur ta machine, ou que celui-ci n'était plus à jour depuis très longtemps. Je te conseille vivement d'en mettre un, de le tenir à jour, et surtout si tu vas souvent sur des sites louches ou infectés, de prendre un antivirus avec un module de protection temps réel.

Pour ton problème, il faut vraiment que tu trouve le virus, car svchost est un fichier essentiel au fonctionnement de windows. svchost est un conteneur qui sert d'environnement d'exécution à plus de la moitié des services lancé sous windows. il peut exister en plusieurs instances en mémoire et sur certaine machines héberger plus d'une 100ène de services.

Sinon la solution qui va te rester va être de faire un formatage complet de la partition et une réinstallation à neuf de ta machine.

[Javamar]

Salut Sevyc64,
C'est impossible de localiser ce blaster.J'ai decidé de formater mon ordinateur mais je ne sais pas comment s'y prendre.On me parle de disquette de boot pour formater mais alors que je n'ai pas de lecteur de disquette sur mon ordinateur.J'ai fait un clic droit sur le disque dur pour formater mais ça ne marche pas.Je ne sais pas si tu peux m'aider pour faire le formatage.

[sevyc64]

sinon avec le cd d'installation de ton OS. Normalement durant la phase d'installation il y a un écran te permettant de choisir la partition d'installation et le suivant te demandant si tu veux la formater.

[Javamar]

Salut sevyc64,
Merci pour tes conseils.J'ai utilisé le CD d'installation pour formater mon PC.Sauf que ce CD n'était pas bootable.J'ai dû le rendre bootable avec nero7.Maintenant mon pc fonctionne bien.