svchost.exe qui upload! bizarre / aide pour log hijackthis

[Fancyfree]

Voilà j'ai remarqué il y a peu de temps que j'avais des d'upload avec l'utilitaire eye on network que je n'avais hier encore, j'ai téléchargé pas mal ces derniers temps et installer 2 - 3 cochonneries de programmes a la c.. ! Et je me suis rendu compte que 1 de mes svchost.exe via le gest de taches, 6 au total d'ailleurs! normal ? bref un de mes svchost upload en permanence a environ 5,5 ko/s. Je suis persuadé qu'hier encore il y avait ZÉRO trafic quand je ne fais rien avec mon ordi, mais comme tout le monde je crois, j'aime pas ça ! vraiment pas du tout, j'ai donc fait un hijackthis dont voici le rapport, a savoir que ni Kaspersky ni spybot ne me retourne quelque intrusion que ce soit, mais bon. Si quelqu'un sait me dire pourquoi subitement 1 svchost se met a uploader et downloader aussi et me traduire le log ça serait tres sympa, avant le coup de marteau sur le modem, ou le pc, j'hésite encore ! Merci en tout cas !

 

le log:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:43:15, on 01/04/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

D:\UTILITAIRES\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe

D:\UTILITAIRES\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

D:\UTILITAIRES\Eye On Network\Eye On Network.exe

C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

D:\UTILITAIRES\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://recherche.neuf.fr/ie/default.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://recherche.neuf.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://recherche.neuf.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://recherche.neuf.fr/ie/default.html

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file)

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\UTILITAIRES\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx

O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [AVP] "D:\UTILITAIRES\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"

O4 - HKLM\..\Run: [Eye On Network] D:\UTILITAIRES\Eye On Network\Eye On Network.exe

O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"

O4 - HKCU\..\Run: [Neuf Media Center] "C:\Program Files\Neuf\Media Center\MediaCenter.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] D:\UTILITAIRES\Spybot - Search & Destroy\TeaTimer.exe

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe

O8 - Extra context menu item: Ajouter à Kaspersky Anti-Banner - D:\UTILITAIRES\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\UTILIT~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\UTILITAIRES\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll

O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\utilitaires\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\utilitaires\Microsoft ActiveSync\inetrepl.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\utilitaires\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\UTILIT~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\UTILITAIRES\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\UTILITAIRES\Spybot - Search & Destroy\SDHelper.dll

O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} - http://www.creative.com/softwareupdate/su2...15035/CTPID.cab

O20 - AppInit_DLLs: D:\UTILIT~1\KASPER~1\KASPER~1.0\adialhk.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - D:\UTILITAIRES\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: NetLimiter (nlsvc) - Locktime Software - D:\UTILITAIRES\NetLimiter 2 Monitor\nlsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PDAgent - Raxco Software, Inc. - D:\UTILITAIRES\PerfectDisk8\PDAgent.exe

O23 - Service: PDEngine - Raxco Software, Inc. - D:\UTILITAIRES\PerfectDisk8\PDEngine.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

 

--

End of file - 6127 bytes

[Fancyfree]

Salut !!

 

Y a quelqu'un qui peut me dire si mon LOG Hijackthis est ok ou si il contient des problèmes !! J'ai bien des doutes sur certains trucs mais je ne suis pas sur ! A l'aide SVP !

[Invité Rotergold]

Bonsoir

rien de sorcier dans ton log

tu peux supprimer les lignes

O2 - BHO: (no name) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file)

O2 - BHO: (no name) - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

sinon tt est Ok

 

Rotergold

[jacmanou]

Bonsoir,

 

Sur le site Virus Total, fais analyser le fichier situé ici :

C:\WINDOWS\System32\svchost.exe

 

Poste nous le rapport.

[Mirage3C]

En regardant le traffic de mon ordinateur avec NetLimiter 2 Pro je constate que svchost.exe me download quelque chose tout comme toi. Parfois ça utilise toutes ma bande passante en upload.

J'ai redémarré mon PC avec le minimun de services ouvert pour savoir si ce download, n'était pas en faite un upload qui venait de l'un de mes programmes ou un page Internet, mais après avoir tou fermé le svchost semble continuer à télécharger quelque chose sur mon PC.

J'ai donc en attendant de trouver une solution limité le download de svchost.exe à 1ko/s (ralentissant les dégâts ^^).

Voici le rapport jacmanou sur mon svchost.exe avec Virus Total:

 

Antivirus Version Dernière mise à jour Résultat

a-squared 4.0.0.101 2009.03.31 -

AhnLab-V3 5.0.0.2 2009.03.31 -

AntiVir 7.9.0.129 2009.03.31 -

Antiy-AVL 2.0.3.1 2009.03.31 -

Authentium 5.1.2.4 2009.03.30 -

Avast 4.8.1335.0 2009.03.30 -

AVG 8.5.0.285 2009.03.31 -

BitDefender 7.2 2009.03.31 -

CAT-QuickHeal 10.00 2009.03.31 -

ClamAV 0.94.1 2009.03.31 -

Comodo 1092 2009.03.31 -

DrWeb 4.44.0.09170 2009.03.31 -

eSafe 7.0.17.0 2009.03.31 -

eTrust-Vet 31.6.6427 2009.03.31 -

F-Prot 4.4.4.56 2009.03.30 -

F-Secure 8.0.14470.0 2009.03.31 -

Fortinet 3.117.0.0 2009.03.31 -

GData 19 2009.03.31 -

Ikarus T3.1.1.49.0 2009.03.31 -

K7AntiVirus 7.10.687 2009.03.31 -

Kaspersky 7.0.0.125 2009.03.31 -

McAfee 5570 2009.03.31 -

McAfee+Artemis 5570 2009.03.31 -

McAfee-GW-Edition 6.7.6 2009.03.31 -

Microsoft 1.4502 2009.03.31 -

NOD32 3977 2009.03.31 -

Norman 6.00.06 2009.03.31 -

nProtect 2009.1.8.0 2009.03.31 -

Panda 10.0.0.14 2009.03.31 -

PCTools 4.4.2.0 2009.03.31 -

Prevx1 V2 2009.03.31 -

Rising 21.23.12.00 2009.03.31 -

Sophos 4.40.0 2009.03.31 -

Sunbelt 3.2.1858.2 2009.03.31 -

Symantec 1.4.4.12 2009.03.31 -

TheHacker 6.3.3.9.296 2009.03.30 -

TrendMicro 8.700.0.1004 2009.03.31 -

VBA32 3.12.10.1 2009.03.31 -

ViRobot 2009.3.31.1669 2009.03.31 -

VirusBuster 4.6.5.0 2009.03.31 -

Information additionnelle

File size: 22016 bytes

MD5...: 10da15933d582d2fedcf705efe394b09

SHA1..: 00beb64af60255d5eb76b2edbd30b46de681da32

SHA256: 9b1619ac80379456c6d51780409e3c418dd5aa38d0a62b7f47dcd6fc3a947926

SHA512: 40a08181299642beb511ec6b835a8de83641d273369b26a67307fca249c99652

74ee47794a89f47f7b1c1514d225e52a8abdd0e23a9d0aeb77a28a256e432f05

ssdeep: 384:Yz/3Bn2LShtVMZvFsvRRVL58rXId3bi9luJ1I2GgzyW9yCBbWYG+o:y34LSX

2ZtsvRFGouq1IqfBn

 

PEiD..: -

TrID..: File type identification

Win32 Executable MS Visual C++ (generic) (65.2%)

Win32 Executable Generic (14.7%)

Win32 Dynamic Link Library (generic) (13.1%)

Generic Win/DOS Executable (3.4%)

DOS Executable Generic (3.4%)

PEInfo: PE Structure information

 

( base data )

entrypointaddress.: 0x20bf

timedatestamp.....: 0x4549adc4 (Thu Nov 02 08:35:16 2006)

machinetype.......: 0x14c (I386)

 

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x3a80 0x3c00 6.22 21471d844ce211f5f40c084c3ab67645

.data 0x5000 0x5f0 0x600 0.82 dea90489b2dcadccde0a28b407e85510

.rsrc 0x6000 0x818 0xa00 3.74 ea687881916c825c6e630832222325a0

.reloc 0x7000 0x404 0x600 5.25 73b2f62822a04c23026b8c70653b8969

 

( 5 imports )

> KERNEL32.dll: ExpandEnvironmentStringsW, CreateActCtxW, ReleaseActCtx, LCMapStringW, lstrlenW, lstrcmpiW, DelayLoadFailureHook, InterlockedExchange, HeapSetInformation, SetUnhandledExceptionFilter, GetModuleHandleA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, RegisterWaitForSingleObject, ExitProcess, GetCommandLineW, InitializeCriticalSection, GetProcessHeap, SetErrorMode, HeapAlloc, HeapFree, WideCharToMultiByte, LocalFree, CloseHandle, LocalAlloc, LoadLibraryA, InterlockedCompareExchange, FreeLibrary, Sleep, GetProcAddress, DeactivateActCtx, LoadLibraryExW, GetLastError, ActivateActCtx, LeaveCriticalSection, lstrcmpW, EnterCriticalSection

> msvcrt.dll: __p__commode, _adjust_fdiv, __setusermatherr, _amsg_exit, _initterm, exit, __p__fmode, _exit, memcpy, memset, __set_app_type, _terminate@@YAXXZ, _except_handler4_common, _controlfp, _cexit, __wgetmainargs, _XcptFilter

> ADVAPI32.dll: GetTokenInformation, InitializeSecurityDescriptor, SetSecurityDescriptorOwner, SetSecurityDescriptorGroup, SetEntriesInAclW, SetSecurityDescriptorDacl, StartServiceCtrlDispatcherW, RegDisablePredefinedCacheEx, EventRegister, EventEnabled, EventWrite, RegQueryValueExW, RegOpenKeyExW, RegCloseKey, RegisterServiceCtrlHandlerW, SetServiceStatus, OpenProcessToken

> ntdll.dll: RtlSubAuthoritySid, RtlFreeHeap, RtlCopySid, RtlSubAuthorityCountSid, RtlLengthRequiredSid, RtlAllocateHeap, RtlInitializeSid, RtlImageNtHeader, RtlSetProcessIsCritical, RtlUnhandledExceptionFilter, RtlInitializeCriticalSection

> RPCRT4.dll: RpcServerListen, RpcServerUnregisterIf, RpcMgmtWaitServerListen, RpcMgmtSetServerStackSize, RpcMgmtStopServerListening, RpcServerUnregisterIfEx, RpcServerRegisterIf, RpcServerUseProtseqEpW, I_RpcMapWin32Status

 

( 0 exports )

 

RDS...: NSRL Reference Data Set

-

 

En clair ils n'ont rien trouvés.

Modifié le 8 avril 2009 par Mirage3C

[Falkra]

Bonjour Mirage3C, il vaut mieux créer ton propre sujet stp, là tu réponds à un ancien sujet, et pour mieux s'occuper des machines, on garde un sujet par machine.

 

Utilise le bouton pour créer le sujet.

[Mirage3C]

Bonjour Mirage3C, il vaut mieux créer ton propre sujet stp, là tu réponds à un ancien sujet, et pour mieux s'occuper des machines, on garde un sujet par machine.

 

Utilise le bouton pour créer le sujet.

 

Mon problème est le même que Fancyfree, même si ce message date il n'y a toujours pas eu de réponse favorable donc je fais que relancer le topic. A quoi bon de recréer un topic dans ce cas, à part augmenter le stats du nombre de topics du forum ?! Un peu de bon sens voyons ^^ !

[Falkra]

Un peu de bon sens, voyons, si un modo te le propose (sans t'engueuler), c'est qu'il y a une raison, puisqu'il est censé savoir comment sont classés les messages, non ?

Ce n'est pas pour t'embêter.

 

Si tu veux savoir pourquoi, voici : chaque procédure de désinfection concerne une machine, et une seule.

Si vous avez la même infection, ou des symptômes qui ressemblent beaucoup à ce que vous lisez ici ou ailleurs, ne fais pas la même chose à la maison, ça peut :

- ne rien donner

- être dangereux pour votre OS

- planter windows

- laisser d'autres infections en place

Et dans tous les cas, cela rend votre désinfection plus difficile car des éléments infectieux auront déjà disparu, mais pas forcément tous, et éliminer les restes n'est pas toujours facile, et fait bipper soudainement les antivirus. Créer un sujet pour une analyse personnalisée permet une intervention sur-mesure, pour votre machine, spécifiquement.

 

Lorsque vous essayez de reproduire une procédure pour une autre machine, si vous avez une infection de plus (ou de moins), ou des programmes, une version de windows, des réglages de windows différents, au mieux ça ne marchera pas, au pire vous plantez votre machine suivant l'outil utilisé.

Dans certaines infections il ne faut surtout pas redémarrer en mode sans échec, par exemple, mais ce ne sera écrit nulle part.