Matheo

bonjour, je viens de tout formater et de réinstaller l'essentiel, dont AVG et ZA, un scan direct d'AVG m'a trouvé VBS/Redlof.A sur 8 fichiers (mais il y a une dizaine de fichier non testé car AVG n'a pas pu les ouvrir) Voila, est-ce que cela vous donne d'autres idées?

Re, Hélas, j'ai testé la plupart des procédures indiqué mais je n'ai toujours rien trouvé. Je vais tenter un formatage complet et toute une réinstallation, avez vous des conseils à me donner?

j'ai fait deux scan : un sans faire shutdown -a, et un après, rien. quand je fais shutdown -a après avoir arrêter svchost, mon ordi a quelques symptômes : les liens marche plus, plus de copier coller, et plus de net... entre autres. Je crois que je suis bon pour un formatage, si vous avez d'autres idées encore, je remerci ceux qui ont tenté de m'aider en tout cas!

Merci je suis en cours de scan..

Ca n'inspire personne d'autres?

Ca ne marche toujours pas!!!! J'ai tout fait : a², hijack, schredder, je suis passé à ZA en firewall au cas ou (et il me bloque bien svchost... le soucis c que du coup j'ai plus d'accès internet, vu que c le generic host process, mais je le laisse passer... c'est la cata!!!) spybot aussi, là je récupère adaware mais bon, j'y crois plus trop... une correction windows "SFC /scannow" en exécution n'a rien donné non plus.... Je suis un cas n'est-ce pas???

moi ça m'a fait ça y'a pas longtemps aussi... en fait je cliquais dessus et rien ne se passais, il tournait dans le vide... Puis c'est passé... euh... maintenant j'ai un soucis avec svchost... de là à dire qu'il y a un lien.

oui ce sont deux PC différents en réseaux... le second c'est un portable.

erratum des symptômes... Je viens juste de lancer winamp. et ça m'a lancé svchost à fond, ca me rebouffe mon tout mon processeur. J'ose pas le fermer car ça va éteindre mon pc....

svp ne m'oubliez pas plz!!! Si quelqu'un pouvait m'aider à décrypter ces deux logs ça serait hyper ultra sympa!!!!

Bon, ça n'a rien changé chez moi. J'ai toujours svchost dans mon gestionnaire de tâche en quatre exemplaires, et si je le ferme ça me met toujours la même fenêtre (d'extinction de l'ordi dans une minute comme sasser)... Sur mon second pc, qui a aussi svchost en 4 exemplaire (mais quand je le ferme ça ne plante pas l'ordi), voici le log fait avec hijack : Logfile of HijackThis v1.97.7 Scan saved at 11:50:18, on 20/06/2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\Grisoft\AVG6\avgserv.exe C:\WINDOWS\System32\atiptaxx.exe C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\Compaq\EAB\EabServr.exe C:\PROGRA~1\NORTON~1\Navapw32.exe C:\Program Files\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe C:\WINDOWS\System32\rmctrl.exe C:\Program Files\Grisoft\AVG6\avgcc32.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\MSlti32.exe C:\WINDOWS\System32\ssms.exe C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe C:\Documents and Settings\Sandrine\Bureau\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.net/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://desktop.presario.net/scripts/redire...1c02&lc=040c&ac R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/redirec...=search&ap=b204 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirec...=search&ap=b204 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wanadoo.fr R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.presario.net/scripts/redirec...=search&ap=b204 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://store.presario.net/scripts/redirect...&c=2C01&lc=040c O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\Compaq\EAB\EabServr.exe /Start O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe O4 - HKLM\..\Run: [Cpqset] c:\compaq\cpqsetup\cpqset.exe O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\Navapw32.exe O4 - HKLM\..\Run: [LWBMOUSE] C:\Program Files\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe O4 - HKLM\..\Run: [cvmonitor.exe] cvmonitor.exe O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\bggaito.exe O4 - HKLM\..\Run: [Microsoft AUT Update] MSlti32.exe O4 - HKLM\..\Run: [lsasss.exe] C:\WINDOWS\lsasss.exe O4 - HKLM\..\Run: [scan Register] ssms.exe O4 - HKLM\..\Run: [AVG_CC] C:\Program Files\Grisoft\AVG6\avgcc32.exe /startup O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\RunServices: [cvmonitor.exe] cvmonitor.exe O4 - HKLM\..\RunServices: [Microsoft AUT Update] MSlti32.exe O4 - HKLM\..\RunServices: [scan Register] ssms.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet O4 - HKCU\..\Run: [Microsoft AUT Update] MSlti32.exe O4 - HKCU\..\Run: [scan Register] ssms.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Sites Perso (HKLM) O9 - Extra 'Tools' menuitem: Compaq France (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Yahoo! Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.fr O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/cha...t/c381/chat.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab

Ok merci beaucoup, je vais voir si ça bug encore après ça!!!

OK, ca donne ça : Logfile of HijackThis v1.97.7 Scan saved at 10:31:31, on 20/06/2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Sygate\SPF\smc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVG6\avgserv.exe C:\WINDOWS\System32\CTsvcCDA.exe C:\Program Files\Canon\MultiPASS4\MPSERVIC.EXE C:\WINDOWS\system32\pctspk.exe C:\Program Files\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe C:\Program Files\Grisoft\AVG6\avgcc32.exe C:\PROGRA~1\MESSAG~1\StartMessager.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe C:\Program Files\Outlook Express\msimn.exe C:\Program Files\Internet Explorer\iexplore.exe D:\Fichiers d'extraction temporaire\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file) O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file) O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Lwbmouse] C:\Program Files\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe O4 - HKLM\..\Run: [AVG_CC] C:\Program Files\Grisoft\AVG6\avgcc32.exe /startup O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe" O4 - HKLM\..\Run: [iMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Stop Pub (HKLM) O9 - Extra 'Tools' menuitem: Stop Pub (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwa...director/sw.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6...922/wmv9VCM.CAB O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...StatsClient.cab O16 - DPF: {BD11A280-2E73-11CF-B6CF-00AA00A74DAE} - file://C:\Info_sex4.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{19CA1183-5C2D-4937-9E81-546182BCE363}: NameServer = 80.10.246.1 80.10.246.132

hijackthis, j'ai rien compris au programme... Comment je vous envoie le log?

Salut, J'ai essayer hier tout ce qu'il disait sur welchia je n'ai réussi qu'à planter mortellement mon windows et à le réinstaller... Bref, je vais plutôt tenter Hijack, Schredder et spybot, je suis en plein scan de sasser (j'ai suivi ton lien ipl)... Mok, est-ce que tu peux me dire ce qui t'es arrivé car visiblement tu me disais que tu avais eu pareil? Merci encore!

MERCI BEAUCOUP!!! Je vais essayer tout ça et je vous dis si ça semble avoir marché ou pas, sinon je reviendrais!!!

ok, bah merci pour l'info en tout cas.

non, c'est bien sVChost, il est indiqué 2 fois dans le gestionnaire de tâche comme inactif sous le SYSTEM (je suis sous ma première connection là, ça ne bug qu'à la seconde), et encore deux fois en service local et service réseau.

Lol! En fait avant d'utiliser sygate j'utilisais ZA, qui était beaucoup mieux et qui ne m'a jamais fait défaut. Malheureusement j'ai hérité de Sasser en tentant de l'enlever d'un autre pc... je l'ai fait avec un prog fait spécialement pour ça, puis viré avec AVG. En ce qui concerne la recherche SVCHOST : deux résultats : svchost.exe dans windows\system32 (13Ko) le 28/08/2001 svchost.exe-3530f672.pf (???????) dans windows\prefetch (13Ko) le 18/06/2004 Hum... je vire le second???

Ok merci pour l'info, mais dis moi, tu a mis un correctif ou tu as juste fais une réparation à partir du CD d'install?

euh, ce n'est pas que je ne tenterais pas, mais si possible, j'aimerai ne pas trop polluer encore plus qu'il ne l'ai visiblement mon pc... enfin tu me diras que je pourrais toujours les virer après... Mais est-ce vraiment nécessaire sachant que j'ai déjà a², mis à jour? Qu'est-ce qui les différencie?

Les seules mise à jour que j'ai faite sont le correctif "contre" sasser et IE 6.

Bonsoir à tous, Je fais appel à quelques malins pour essayer de me trouver la source de mes problèmes : je m'explique : - J'ai une connection Adsl que j'utilise à temps plein, en firewall sygate, en antivirus AVG, et dernièrement en antitrojan a², tous mis à jour. Je me suis battu dernièrement avec Sasser, comme beaucoup d'entre vous je pense. J'ai réussi à l'avoir avec AVG. J'ai dl le correctif microsoft. Dernièrement j'ai aussi mis à jour mon IE à la version 6. Seulement, j'ai remarqué aujourd'hui les symptômes suivants : - Lorsque je démarre mon pc, que je me connecte à internet, aucun problème. si je déconnecter et que je tente une seconde connection, ma ligne est comme "disparue", la connection est établie (connection manuelle), mais lorsque je lance IE, rien, Outllok, rien... si je reboot mon modem, toujours rien... A ce moment, si je vérifie mon gestionnaire de tâche, je remarque que SVCHOST me prend toute ou presque l'utilisation de mon processeur... et, comble du comble, si je tente de fermer l'application, une jolie fenêtre apparait pour m'indiquer que mon ordinateur fermera dans une minute, soit la même fenêtre qui précisait l'extinction des feux avec Sasser.... Or, j'ai refais un scan a², AVG, et RIEN. Pouvez vous m'aider??? Merci d'avance à quicconque aurai une idée pour me tirer de cette merde!!! A+ Matheo