svchost.exe et forte utilisation CPU et Trojan : les solutions

Les trojans ou cheval de troie sont une plaie pour les internautes, ils permettent aux pirates de voler les données, accéder à votre PC à votre insu.
Parfois ils provoquent des dysfonctionnements du PC.
Dans ce tutoriel, nous allons intéresser à l’utilisation CPU importante de svchost.exe dont l’origine est un cheval de troie.

Voici les solutions pour résoudre l’utilisation importante du processeur de svchost.exe à cause d’un trojan.

Qu’est-ce que svchost.exe ?

Afin qu’il n’y est pas de confusion, quelques informations rapides qui sont déjà données dans divers articles du site.

• svchost.exe n’est pas malveillant, C:\Windows\system32\svchost.exe est un processus légitime de Windows. Voir la page : Le processus svchost.exe. Ce n’est pas parce que vous le voyez bouffer la CPU que c’est le trojan.
• Il est aussi normal d’avoir plusieurs svchost.exe dans le gestionnaire de tâches. Ces aspects sont évoqués sur la page : FAQ – Pourquoi plusieurs processus chrome.exe, firefox.exe

Dans le cas précis, il s’agit d’un fichier DLL malveillant qui est chargé le processus rundll32.exe qui lui aussi est légitime.
Les utilisateurs rapportent alors une utilisation constante et forte de la CPU par le processus svchost.exe.
La difficulté est que cela bloque pas mal l’ordinateur et les navigateurs internet semblent aussi se fermer tout seul lors de tentative de téléchargement de programmes de désinfection.
A noter, que le malware ne touche qu’une session précise, donc si vous avez un autre utilisateur administrateur, vous pouvez tenter une désinfection avec Malwarebytes Anti-Malware (MBAM).

Exemple de forte utilisation CPU svchost.exe à cause d’un trojan : les solutions

Le service svchost.exe qui cause des problèmes de CPU, lance le malware : %LOCALAPPDATA%\XService\Xservice.dll
Ce dernier est un trojan Stealer Trj/GdSda.A ou TrojanSpy.Socelars!.
Pour le fonctionnement des malwares via de services Windows, lire la page : Comment supprimer un services Windows liés à un virus

Au moment où sont écrites ces lignes, Malwarebytes ne le détecte pas, mais je vais faire en sorte que ce soit plus le cas.

Une variante est arrivée plus tard qui fonctionne un peu différemment.
Ce dernier se lance en userland et à partir d’un sous-dossier dans %TEMP%

Le lancement se fait à partir de msiexec.exe qui lance un fichier fltmgr.zip, ce dernier est décompressé dans le dossier TEMP.

 

Les dossier est composé des fichier data.bin, fltmgr.cpl, pmain.zip et unzip.exe.
Une fois svchost.exe lancé, le dossier est vidé.

Les détections sont de 5 à 6 :

https://www.virustotal.com/#/file/e0255e08d4999e5a25d1885744198291837f9d33f10b545d3d934d181c2bd601/detection
https://www.virustotal.com/#/file/ba0ba1d0f87a4ef8e69740a7540b9bb2b2819246a360b9c4a73800dc6d013a5a/detection

Tout ceci est présenté dans cette vidéo :

Comment supprimer le Trojan qui provoque la forte utilisation svchost.exe

Désinfecter son PC

Pour supprimer tous les logiciels malveillants de votre PC, suivez ce tutoriel :

Il existe aussi un dossier complet qui présente différents outils de désinfection (RogueKiller, HitMan Pro, MBAM, …) : Supprimer les virus et désinfecter son PC

Vérifiez ensuite si cela résout les fortes utilisations CPU de svchost.exe
N’hésitez pas à faire plusieurs scans dans les prochains jours pour s’assurer que tous les malwares sont bien éradiqués.
Sinon demandez de l’aide sur le forum.

Après la désinfection

Pensez à changer tos vos mots de passe car ils ont été probablement récupéré par les pirates.
Ils peuvent alors accéder à votre compte internet à votre insu.

Par la suite, vous pouvez sécuriser votre PC pour éviter les malwares :