Forum Clubic

Alerte avast win32:rootkit-gen sur fichier SVCHOST.EXE

Bonjour,

Suite avertissement avast : win32:rootkit-gen [Rtk] has been found in c:\windows\system32\svchost.exe j’ai eu la très mauvaise idée de faire “supprimer” et là je suis dans le caca !

2 amis viennent de me signaler la même alerte dont 1 qui a fait la meme betise que moi et qui se retrouve avec pc en vrac.

S’agit-il d’un pb général des utilisateurs d’avast ?

J’ai récupéré le fichier svchost.exe d’un autre pc et je l’ai péniblement recollé sous dos car le copier/ coller souris ne fonctionne plus mais çà ne change rien
Plein de symptomes plutot inquiétants :
plus de barre de tache
avast désactivé au niveau protection résidente
plus de réseau dans les connexions réseau donc plus d’internet !
disque dur non reconnu dans le bios alors meme qu’il fonctionne puisque j’arrive à lancer le pc !
réparation windows impossible suite message disque dur non reconnu
restauration du systeme impossible suite message “restauration du systeme ne peut protéger votre ordinateur”
dans gestion de l’ordinateur impossible d’accéder à stockage suite message : le serveur RPC n’est pas disponible

Si quelqu’un a une idée pour me sortir de ce merdier en évitant un formatage complet !

Merci d’avance

Yo,

Une restaturation de système à 1 Mois et ensuite un log de Hijack This :wink:

Comme indiqué dans les symptomes, restauration inaccessible

Sinon voici ma log mais je ne vois rien de spécial :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:54:09, on 03/06/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Fichiers communs\Autodata Limited Shared\Service\ADCDLicSvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Spamihilator\spamihilator.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\mmc.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: Aide pour le lien d’Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 7\SnagItIEAddin.dll
O4 - HKLM…\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM…\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM…\Run: [ZoneAlarm Client] “C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe”
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [Spamihilator] “C:\Program Files\Spamihilator\spamihilator.exe”
O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKCU…\Run: [H/PC Connection Agent] “C:\Program Files\Microsoft ActiveSync\wcescomm.exe”
O4 - HKUS\S-1-5-21-682003330-484061587-1801674531-1003…\Run: [H/PC Connection Agent] “C:\Program Files\Microsoft ActiveSync\wcescomm.exe” (User ‘?’)
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘?’)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’)
O4 - .DEFAULT User Startup: CamTrack.lnk = C:\Program Files\DigitalPeers\CamTrack\camtrack.exe (User ‘Default user’)
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Convertir en Adobe PDF - C:\Program… Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - C:\Program… Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - C:\Program… Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - C:\Program… Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - C:\Program… Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - C:\Program… Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - C:\Program… Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - C:\Program… Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE…
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Allocam Multi Vision - {2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:\PROGRA~1\ALLOCA~1\allocam.exe (file missing)
O9 - Extra ‘Tools’ menuitem: Allocam Multi Vision - {2D6B57BF-71FA-41A3-BDC5-3B5A25813D2E} - C:\PROGRA~1\ALLOCA~1\allocam.exe (file missing)
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra ‘Tools’ menuitem: Créer un favori mobile… - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra ‘Tools’ menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra ‘Tools’ menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - activex.camfrogweb.com…
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - www.nvidia.com…
O23 - Service: Active Common Service - Unknown owner - C:\WINDOWS\System32\commserv.exe (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodata Limited License Service - Autodata Limited - C:\Program Files\Fichiers communs\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


End of file - 8981 bytes

ho la bourde d avast si c est un faux positif !!! et y a de fortes chance (svchost.exe est bien situé ds system32…), va y avoir du sport …

si vous avez le cd d xp
demarrer executer >>>cmd >>>>SFC/scannow

repare xp
Edité le 03/06/2008 à 23:21

J’ai eu le même souci sur deux pc sous xp, avast qui détecte que svchost.exe est un rootkit, puis au redemarrage plus moyen de faire une restauration, plus moyens d’ouvrir correctement des fichiers word ou excel, pas de son, pas de réseau, avast qui est désactivé, par contre mon disque est reconnu, ma partie vista boot bien sans problème. J’ai regardé sur quelque forum on dirait que ce virus a été lancé aujourd’hui car il y a beaucoup de question à ce sujet qui date d’aujourd’hui. Si quelqu’un a une solution je suis preneur merci.

je doute fortement que se soit un virus , là c’est avast le virus :wink:
Edité le 03/06/2008 à 23:41

J’ai effectivement réinstallé windows après avoir remis les pilotes sata sinon j’avais droit à un bel écran bleu C0xF898563C !

Tout semble ok désormais.

Par contre effectivement il serait intéressant de savoir si d’autres personnes sont touchées car j’en ai déjà 2 autres autour de moi…

Cordialement

J’ai le même problème.
Avast a détecté un Rootkit-gen dans svchost. Je l’ai supprimé sans douter.
Depuis:

  • Plus de barre des tâches (enfin si une ligne grise toute fine)
  • Plus de son
  • Plus de copier/coller.
  • Peut-etre d’autres symptômes non décelés.
    Je viens de m’inscrire sur le site (je vous raconte pas le boxon pour ecrire le code d’activation sans copier coller).

@calgero : que veux tu dire exactement par reinstaller Windows? cela me fait un peu peur.

J’ai mon CD d’XP. Dois-je faire réparer?

Merci beaucoup d’avance de votre aide…

Je vais laisser mon PC allumé en attendant votre aide… :((
Edité le 04/06/2008 à 00:19

de mon coté j’ai réinstallé windows mais sans formater en bootant sur le cd d’XP par contre comme mon disque SATA n’était plus reconnu j’ai dû réinstaller le pilote (touche F6 à la réinstallation de windows) à partir de la disquette qui accompagnait ma carte mère.
je n’ai pas tenté une simple réparation mais c’est peut-etre suffisant.
Pendant l’installation de windows il m’a demandé l’accord pour l’installation de certains pilotes non certifiés qui devaient etre sur ma machine j’ai dit oui à tout.
A l’arrivée j’ai juste un soucis avec ma clé USB qu’il détecte bien mais que je ne vois pas dans poste de travail pour le reste çà semble ok.

Merci de ta réponse.
Ceci veut dire que tous tes fichiers de c:\ sont intacts ?
Et tu as récupéré le son, ta barre des taches, et ton copier coller ?
Edité le 04/06/2008 à 00:37

oui tout semble ok mais c’est qd même pas cool. Je viens de compléter une alerte sur le forum d’avast.

tant que tu ne formates pas, pas d’inquiétude pour tes données. A l’arrivée il faudra peut-etre réinstaller quelques pilotes comme la carte graphique pour moi mais rien de bien grave à priori à part la frayeur !

bon courage

C’est clair que c’est pas cool !

Sinon en bootant sur le CD d’XP, je vois bien mon install existante sur C:\ et il me dit que l’install de plusieurs systemes d’exploitations n’est pas recommandée. As-tu eu ce message aussi? que faire?

j’ai booté sur le cd puis choisis installer windows sans me poser de question. au passage j’ai réinstallé les pilotes sata (au moment du F6 qui s’affiche). Il faut installer windows sur ta version précédente à priori ce n’est pas un pb.

Merci bcp vraiment.
Bon bah banco.
Je reviendrai dire un mot si tout va bien.

Ce serait-ce un problème ne concernant que les utilisateurs d’ Avast , Je pense que je vais voir ailleurs

effectivement sans doute ce que l’on appelle un “faux positif” mais qui peut être grave car pour les non initiés çà va être dur de remettre les machines d’aplomb !

Oui je pense comme toi c’est lié à Avast, j’ai déjà désinstallé Avast et installé Antivir, mais bon le mal est fait !!!

Sinon pour ma réinstall, je désespère, j’ai vraiment l’impression que j’ai pas eu les memes ecrans que toi :
D’abord, je dois appuyer C pour Continuer et ignorer les avertissements comme quoi windows est déjà installé.
Ensuite il me dit que si je l’installe par dessus (sur C:\WINDOWS ) tous les fichiers, sous-dossiers, applications pour cette installation de Windows seront perdus, ce qui est fort comme message; il me dit appuyer sur S pour supprimer et confirmer.
Il dit que je peux aussi l’installer dans un autre répertoire mais ce n’est pas conseillé.

Est ce que le mode ‘R’ réparer est sans risque ?
Edité le 04/06/2008 à 01:14

Je ne pense pas qu’un faux positif puisse faire autant de dégâts, au début j’y ai crue donc j’ai enlevé les svchost.exe de quarantaine et j’ai redémarrer et là catastrophe (avec tout les symptômes précedent) j’ai pris un svchost.exe sur une machine saine pour mettre dans le system32 rien à faire toujours la même chose.
ça ma l’air d’être délibéré parce que le fait que Avast soit désactivé et que la restauration soit impossible ça ma tout l’air d’être un virus.
Edité le 04/06/2008 à 01:26

@ palmss
evidemment tu n’a pas fait ces manip avec le mode sans echec ?

sinon je me repete pour réparer windows

vous allez ds demarrer ( en bas a gauche ds la barre des taches ) puis executer , puis vous tappez cmd , puis entrée , ds la fenetre noir qui s ouvre , vous tappez la commande SFC/scannow puis entrée avec le cd d’xp ds le lecteur
Edité le 04/06/2008 à 01:21

Le remplacement du svchost.exe je l’ai pas fait en mode sans echec, mais meme la restauration n’est pas accessible en mode sans échec.