Gros problème avec SVCHOST

[Invité tesgaz]

passes un coup d'hijackthis,

 

et regardes le tuto pour savoir a quoi ca correspond

http://www.zebulon.fr/articles/HijackThis.php

[Matheo]

C'est pire en fait.. depuis que j'ai bloqué les ports, si je laisse mon pc tourner et que je vais faire un ptit tour, quand je reviens tout rame à mort, et même les prog répondent plus, j'ai du rebooté quelques fois là...

 

Je sais plus quoi faire.

[megataupe]

Salut. D'après ce que j'ai pu voir ça et là, il faut après réinstall charger le pack 1 (ou 1a) et surtout appliquer tous les patchs. As-tu suivi toute la procédure ?

 

Je continue d'explorer les solutions possibles.

 

Megataupe

[Invité tesgaz]

verifies si tu as ce patch n° Q811493 de microsoft sur ton OS,

 

si c'est le cas, il fait ramé l'OS, donc il suffit juste de le desinstaller

[megataupe]

Salut Tesgaz. Et si c'était ce joyeux cafard vu sur secuser car, le port 135 était grand ouvert sur le PC de Matheo ???

 

Megataupe

 

 

DECOUVERTE :

11/02/2004

 

DESCRIPTION DETAILLEE :

Welchia.B est une variante du virus Welchia.A (= Nachi.A). Si une machine connectée à Internet n'est pas à jour dans ses correctifs, Welchia.B l'infecte via le port TCP 135 en utilisant notamment la faille RPC de Microsoft : il provoque le téléchargement d'un fichier SVCHOST.EXE dans le répertoire C:\ Windows\ System32\ drivers\, puis son exécution à distance à l'insu de l'utilisateur. Le virus peut également exploiter la faille WebDAV des serveurs Microsoft IIS, ainsi que les failles Service Workstation. et Service Locator.

 

15/02/04 : une variante mineure Welchia.C (= Nachi.C) a été identifiée. Il n'y a pas de différence fonctionnelle avec Welchia.B. Un utilitaire de désinfection gratuit est néanmoins disponible contre Welchia.C.

[Matheo]

tesgaz >> je n'ai pas installé d'autre patch microsoft que celui pour mettre à jour IE 6.

 

Megataupe : je viens de tester le FixWelch de secuser contre welchia, et il ne m'a rien trouvé non plus... c'est dommage j'y croyais sur ce coup là (aussi : je viens de relire sur secuser la description :

"si ce dernier se trouve sur la machine infectée. Le nom du fichier infectant est SVCHOT.EXE, mais il ne doit pas être confondu avec un fichier système portant le même nom"

ils ont oublié un S?

Modifié le 24 juin 2004 par Matheo

[Invité tesgaz]

ils n'ont pas oublié le S, le fichier virus fait semblant d'etre le même que celui d'origine, comme la majeur partie des internautes ne connait pas les processus qui tournent sur leur machine, c'est une facon de faire croire que c'est un processus normal

 

enfin, ca ne resoud pas ton problème

[megataupe]

Une manip de la dernière chance pour trouver l'intrus :

 

 

Tape Tasklist /SVC, puis touche ENTRÉE.

 

La liste des tâches affiche la liste des processus actifs.

 

Le commutateur /SVC affiche la liste des services actifs dans chaque processus.

 

Pour plus d'informations sur un processus, tape la commande suivante, puis touche ENTRÉE :

 

Tasklist /FI "PID eq processID " (avec les guillemets)

 

Megataupe

[Matheo]

Malheureusement, et ca va faire 7 pages de recherches

 

En tout cas merci à tous pour vos conseils, même si pour le moment ils ont été infructueux, c'est très gentil de perséverer!!

[Matheo]

Ok, mégataupe, voici la seconde version de tasklist après les dernière modifications que j'ai faite (fermeture de port...)