svchost.exe forte utilisation CPU et Trojan

Un Trojan qui pose quelques problèmes aux internautes ces derniers temps.
Ce dernier se propage par des faux sites de cracks, rien de vraiment exceptionnel de ce côté là.
Comme d’habitude, les internautes qui téléchargent n’importe qui vont infecter leurs ordinateurs.
Ici le malware est un Trojan Stealer détecté en Win32/Spy.Socelars.F par ESET mais aussi un trojan BitCoin.
Ce malware semble viser notamment Facebook.

svchost.exe forte utilisation CPU et Trojan

Comme d’habitude, avec les PUPs, y en a partout, parmi les programmes potentiellement indésirables installés, on trouve du PandaViewer, SearchAwesome

svchost.exe forte utilisation CPU et Trojan

Côté navigateur internet, cela installe une extension parasite Quick Searcher sur Firefox et Chrome

svchost.exe forte utilisation CPU et Trojan

Le but étant de forcer le moteur de recherche Quick Searcher au démarrage du navigateur internet.
Un Browser Hijacker des plus classiques.

svchost.exe forte utilisation CPU et Trojan

D’autres malwares comme Wajam / Social2Searche est présent (avec les fichiers aléatoires dans le dossier Windows), ce dernier force un proxy.
On trouve aussi d’autres malwares qui changent dans le temps.

svchost.exe forte utilisation CPU et Trojan

svchost.exe forte utilisation CPU et Trojan

Enfin un Trojan Miner à travers Chrome ainsi que svchost.exe qui bouffe pas mal la CPU.
L’adresse de connexion est de-mi-nis-ner.info, à l’heure où sont écrites ces lignes, seules trois moteurs détectent cette adresse comme malveillante.

de-mi-nis-ner.info trojan miner

Un des aspects sympas de cette infection est que les sites internet d’outils comme FRST, AdwCleaner par exemple se ferment automatiquement lorsque vous tentez d’accéder à ces derniers.

Un mot sur svchost.exe

Afin qu’il n’y est pas de confusion, quelques informations rapides qui sont déjà données dans divers articles du site.

Dans le cas précis, il s’agit d’un fichier DLL malveillant qui est chargé le processus rundll32.exe qui lui aussi est légitime.
Les utilisateurs rapportent alors une utilisation constante et forte de la CPU par le processus svchost.exe.
La difficulté est que cela bloque pas mal l’ordinateur et les navigateurs internet semblent aussi se fermer tout seul lors de tentative de téléchargement de programmes de désinfection.
A noter, que le malware ne touche qu’une session précise, donc si vous avez un autre utilisateur administrateur, vous pouvez tenter une désinfection avec Malwarebytes Anti-Malware (MBAM).

 

svchost.exe et utilisation CPU

Le service svchost.exe qui cause des problèmes de CPU, lance le malware : %LOCALAPPDATA%\XService\Xservice.dll
Ce dernier est un trojan Stealer Trj/GdSda.A ou TrojanSpy.Socelars!.
Pour le fonctionnement des malwares via de services Windows, lire la page : Comment supprimer un services Windows liés à un virus

svchost.exe forte utilisation CPU et Trojan

svchost.exe forte utilisation CPU et Trojan

Au moment où sont écrites ces lignes, Malwarebytes ne le détecte pas, mais je vais faire en sorte que ce soit plus le cas.

svchost.exe forte utilisation CPU et Trojan

svchost.exe forte utilisation CPU et Trojan

Une variante est arrivée plus tard qui fonctionne un peu différemment.
Ce dernier se lance en userland et à partir d’un sous-dossier dans %TEMP%

Le lancement se fait à partir de msiexec.exe qui lance un fichier fltmgr.zip, ce dernier est décompressé dans le dossier TEMP.

 

Les dossier est composé des fichier data.bin, fltmgr.cpl, pmain.zip et unzip.exe.
Une fois svchost.exe lancé, le dossier est vidé.

Les détections sont de 5 à 6 :

https://www.virustotal.com/#/file/e0255e08d4999e5a25d1885744198291837f9d33f10b545d3d934d181c2bd601/detection
https://www.virustotal.com/#/file/ba0ba1d0f87a4ef8e69740a7540b9bb2b2819246a360b9c4a73800dc6d013a5a/detection

Tout ceci est présenté dans cette vidéo :

Comment supprimer le Trojan forte utilisation svchost.exe

Deux méthodes sont données, la première consiste à démarrer en mode sans échec… si vous n’y parvenez pas pour X raisons, une autre méthode est donnée.
Notamment pour ceux en Windows 10 qui éprouve des difficultés pour aller en mode sans échec.

Avec le mode sans échec

La procédure pour supprimer ce Trojan est relativement simple.

  1. Démarrer l’ordinateur en mode sans échec
  2. Une fois en mode sans échec, ouvrez l’explorateur de fichiers
  3. Dans la barre d’adresse, saisissez : %LOCALAPPDATA%Comment supprimer le Trojan forte utilisation svchost.exe
  4. Vous devriez alors voir des fichiers DLL suivants, ici alldpxdf.dll et pkunop.dll, supprimez ces derniers
  5. Si un dossier XService est présent, supprimez le aussi.
    Comment supprimer le Trojan forte utilisation svchost.exe
  6. Ouvrez la console de gestion des services  :
    1. Pour cela, sur votre clavier, appuyez sur la touche Windows + R
    2. Dans la fenêtre exécuter, saisissez services.msc puis OK.
  7. Cherchez dans la liste, WinService, double-cliquez dessus, puis positionnez le démarrage en Désactiver.
    Comment supprimer le Trojan forte utilisation svchost.exe
  8. Redémarrez Windows

Sans le mode sans échec

Voici la procédure pour supprimer ce trojan qui provoque des pics d’utilisation CPU de svchost.exe, dans le cas où vous ne parvenez pas à démarrer en mode sans échec.

  1. Telecharger.malekal.com » Process Explorer
  2. Décompressez ce dernier et placez le sur le bureau.
  3. Lancez Process Explorer par un clic droit puis exécuter en tant qu’administrateur
  4. Cherchez en bas le processus rundll32.exe puis faites un clic droit Kill Process dessus.
  5. Sur le svchost.exe qui bouffe la CPU, faites un clic droit puis suspendComment supprimer le Trojan forte utilisation svchost.exe
  6. Vous devez donc avoir le svchost.exe en gris.
  7. Ouvrez l’explorateur de fichiers puis dans la barre d’adresse, saisissez : %LOCALAPPDATA%Comment supprimer le Trojan forte utilisation svchost.exe
  8. Vous devriez alors voir des fichiers DLL suivants, ici alldpxdf.dll et pkunop.dll
  9. Si un dossier XService est présent, supprimez le aussiComment supprimer le Trojan forte utilisation svchost.exe
  10. Ouvrez la console de gestion des services  :
    1. Pour cela, sur votre clavier, appuyez sur la touche Windows + R
    2. Dans la fenêtre exécuter, saisissez services.msc puis OK.
  11. Cherchez dans la liste, WinService, double-cliquez dessus, puis positionnez le démarrage en Désactiver.
    Comment supprimer le Trojan forte utilisation svchost.exe
  12. Redémarrez Windows

Finir le nettoyage

Au redémarrage, vous devriez obtenir une erreur RunDLL.
Cela est normal, nous avons supprimés les fichiers DLL malveillant mais le point de chargement au démarrage de Windows est toujours actif.
Il ne trouve plus les DLL Et une erreur est alors affichée.

Comment supprimer le Trojan forte utilisation svchost.exe

Ces erreurs RunDLL sont classiques d’un nettoyage partielle, la page suivante en parle : Les erreurs RunDLL
Il ne reste plus qu’à supprimer le point de chargement, ce que vous pouvez faire :

Vous devriez alors trouver une entrée avec un nom bidon comme ci-dessous qui pointe sur rundll32.exe avec en paramètre une des deux DLL précédemment supprimées.
Plus de détails pour supprimer un programme au démarrage de Windows, lire la page : Comment supprimer un programme au démarrage de Windows.

Comment supprimer le Trojan forte utilisation svchost.exe

Après cela, procédez à un nettoyage Malwarebytes Anti-Malware (MBAM).
Une fois la désinfection terminée, vous pouvez par sécurité changer vos mots de passe dans le cas où ce dernier les vole.
Si vous rencontrez des difficultés, n’hésitez pas à venir demander de l’aide sur le forum : Forum d’entraide informatique

Et enfin, si vous ne savez pas choisir vos cracks, keygen ou autres, évitez d’en télécharger…

(Visité 1 288 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet