Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

services.exe


Messages recommandés

bonjour

sous w2k serveur mon profil bureau se charge tres lentement et avec procexpl.exe je m'apercois que services.exe prend 99% du cpu.

de meme lors de la connexion au net aucun probleme mais ensuite le message "enregistrement de votre PC sur le reseau" reste affiché longtemps (sercices.exe prend 99% du cpu)puis l'enregistrement se fait sans que l'icone de connexion apparaisse dans la barre des taches et lors du lancement de IE la connexion est coupée.comment y remedier?

merci

Lien à poster
Partager sur d’autres sites

Salut. Ca sent le spyware ce 99% de CPU. Appliques ce que je préconisais dans le post précédent :

 

Afin d'en savoir un peu plus sur ce fantôme, passe un coup d'Hijacthis en mode sans échec et restauration système désactivée puis, fixes les lignes qu'il t'indiquera dans le rapport que tu auras envoyé pour analyse.

 

http://hijackthis.de/index.php?langselect=french

Lien à poster
Partager sur d’autres sites
Salut. Ca sent le spyware ce 99% de CPU. Appliques ce que je préconisais dans le post précédent :

 

Afin d'en savoir un peu plus sur ce fantôme, passe un coup d'Hijacthis en mode sans échec et restauration système désactivée puis, fixes les lignes qu'il t'indiquera dans le rapport que tu auras envoyé pour analyse.

 

http://hijackthis.de/index.php?langselect=french

424361[/snapback]

 

mon log apres avoir executer hijach this.exe

Logfile of HijackThis v1.98.2

Scan saved at 19:02:15, on 21/11/2004

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\userinit.exe

C:\WINNT\Explorer.EXE

C:\Documents and Settings\Administrateur\Unzip\Hijack This\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\AVG6\avgcc32.exe /STARTUP

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/068fa131dac46d...RdxIE601_fr.cab

O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/es/SysWebTelecom.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{63BEF3A1-04F7-43B8-A462-320E38FC97AB}: NameServer = 127.0.0.1

Lien à poster
Partager sur d’autres sites

SAlut,

Une petite question ... tu utilises un antivirus ? Car dans le log de hijack this il devrait apparaitre dans les processus ( et ailleurs ) et là je ne le vois pas.

Sinon ton log est "ok" sauf peut être ca ( sauf si tu connais le site )

O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/es/SysWebTelecom.cab

Modifié par [email protected]
Lien à poster
Partager sur d’autres sites

Il faut fixer celui là après un nouveau scan d'Hijacthis :

 

c'est qoi ce ControleActiveX : SysWebTelecomInt Class

identicateur : {EFB22865-F3BC-4309-ADFA-C8E078A7F762}

provenance : "http://www.sponsoradulto.com/fr/SysWebTelecom.cab"

ça modifie IE 6.0 ?

 

C'est le web-dialer d'un site espagnol.

 

 

" ...Ce que l'on dénomme Webdialer, ce sont des programmes qui se reconnaissent plus ou moins facilement (ce sont souvent des programmes .EXE proposés au téléchargement dans votre navigateur web en passant sur des liens douteux). Ces derniers cherchent à s'installer sur votre PC automatiquement, en profitant de votre inattention. Leur but est d'ajouter une nouvelle connexion réseau à distance par défaut. Cette nouvelle connexion "d'accès réseau à distance" fait que le consommateur ne passe plus par son fournisseur d'accès Internet habituel pour surfer, mais passe par un fournisseur ayant un service téléphonique 0900 et ceci à un tarif prohibitif !

Dans de nombreux cas, le programme Dialer (composeur tél. auto.) démarre en même temps que l'ordinateur, établit la liaison automatiquement et reste en ligne en tâche de fond aussi longtemps que dure votre session Windows. Si une connexion Internet doit être établie, le dialer la fait passer par son n° 0900 coûtant bien plus cher qu'une connexion Internet standard ..."

 

Il vaut mieux t'en débarrasser avant l'éventuelle explosion de tes factures de téléphone.

Lien à poster
Partager sur d’autres sites
Invité confidentiels

a virer :

 

O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/es/SysWebTelecom.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{63BEF3A1-04F7-43B8-A462-320E38FC97AB}: NameServer = 127.0.0.1

 

il a une clef de demarrage pour avg , mais il ne tourne pas au moment du log ...

 

et il semble que ces problemes soit liés a un virus car certain virus comme W32/Surila-A ou W32/Agobot-KZ trifouillent le localhost d'IP 127.0.0.1 (Les ordinateurs ont leur propre adresse IP connue en tant que localhost avec l'adresse IP 127.0.0.1 qui est utilisée pour se référer à lui-même)

 

c'est peut etre le reste d'une precedente desinfection

Modifié par confidentiels
Lien à poster
Partager sur d’autres sites
il a une clef de demarrage pour avg , mais il ne tourne pas au moment du log ...
Bien vu. J'espère qu'il tourne chez patja en ce moment.

424410[/snapback]

 

j'ai un multiboot (w2k serveur et xp) et lorsque j'ai rencontré ce probleme sur W2k serveur j'ai supprimé tous les antivirus par contre sur xp ,sur lequel je me connecte sur leweb, avg est activé.

Lien à poster
Partager sur d’autres sites
Invité confidentiels

bon alors ne touche pas a ça

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{63BEF3A1-04F7-43B8-A462-320E38FC97AB}: NameServer = 127.0.0.1

 

c'est peut etre utile pour ton reseau ... cherche dans ton registre a quoi correspond ça :{63BEF3A1-04F7-43B8-A462-320E38FC97AB} avant

Lien à poster
Partager sur d’autres sites
bon alors ne touche pas a ça

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{63BEF3A1-04F7-43B8-A462-320E38FC97AB}: NameServer = 127.0.0.1

 

c'est peut etre utile pour ton reseau ... cherche dans ton registre a quoi correspond ça :{63BEF3A1-04F7-43B8-A462-320E38FC97AB} avant

424419[/snapback]

j'ai supprimé DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) que j'ai trouvé dans windows\downloaded program files

peut il y avoir des traces ailleurs parce que ca ne change rien.

merci

Lien à poster
Partager sur d’autres sites

Join the conversation

You are posting as a guest. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...