services.exe

[patja]

bonjour

sous w2k serveur mon profil bureau se charge tres lentement et avec procexpl.exe je m'apercois que services.exe prend 99% du cpu.

de meme lors de la connexion au net aucun probleme mais ensuite le message "enregistrement de votre PC sur le reseau" reste affiché longtemps (sercices.exe prend 99% du cpu)puis l'enregistrement se fait sans que l'icone de connexion apparaisse dans la barre des taches et lors du lancement de IE la connexion est coupée.comment y remedier?

merci

[megataupe]

Salut. Ca sent le spyware ce 99% de CPU. Appliques ce que je préconisais dans le post précédent :

 

Afin d'en savoir un peu plus sur ce fantôme, passe un coup d'Hijacthis en mode sans échec et restauration système désactivée puis, fixes les lignes qu'il t'indiquera dans le rapport que tu auras envoyé pour analyse.

 

http://hijackthis.de/index.php?langselect=french

[patja]

Salut. Ca sent le spyware ce 99% de CPU. Appliques ce que je préconisais dans le post précédent :

 

Afin d'en savoir un peu plus sur ce fantôme, passe un coup d'Hijacthis en mode sans échec et restauration système désactivée puis, fixes les lignes qu'il t'indiquera dans le rapport que tu auras envoyé pour analyse.

 

http://hijackthis.de/index.php?langselect=french

424361[/snapback]

 

mon log apres avoir executer hijach this.exe

Logfile of HijackThis v1.98.2

Scan saved at 19:02:15, on 21/11/2004

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\userinit.exe

C:\WINNT\Explorer.EXE

C:\Documents and Settings\Administrateur\Unzip\Hijack This\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\AVG6\avgcc32.exe /STARTUP

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

O12 - Plugin for .wav: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/068fa131dac46d...RdxIE601_fr.cab

O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/es/SysWebTelecom.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{63BEF3A1-04F7-43B8-A462-320E38FC97AB}: NameServer = 127.0.0.1

[L@urendo]

SAlut,

Une petite question ... tu utilises un antivirus ? Car dans le log de hijack this il devrait apparaitre dans les processus ( et ailleurs ) et là je ne le vois pas.

Sinon ton log est "ok" sauf peut être ca ( sauf si tu connais le site )

O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/es/SysWebTelecom.cab

Modifié le 21 novembre 2004 par L@urendo

[megataupe]

Il faut fixer celui là après un nouveau scan d'Hijacthis :

 

c'est qoi ce ControleActiveX : SysWebTelecomInt Class

identicateur : {EFB22865-F3BC-4309-ADFA-C8E078A7F762}

provenance : "http://www.sponsoradulto.com/fr/SysWebTelecom.cab"

ça modifie IE 6.0 ?

 

C'est le web-dialer d'un site espagnol.

 

 

" ...Ce que l'on dénomme Webdialer, ce sont des programmes qui se reconnaissent plus ou moins facilement (ce sont souvent des programmes .EXE proposés au téléchargement dans votre navigateur web en passant sur des liens douteux). Ces derniers cherchent à s'installer sur votre PC automatiquement, en profitant de votre inattention. Leur but est d'ajouter une nouvelle connexion réseau à distance par défaut. Cette nouvelle connexion "d'accès réseau à distance" fait que le consommateur ne passe plus par son fournisseur d'accès Internet habituel pour surfer, mais passe par un fournisseur ayant un service téléphonique 0900 et ceci à un tarif prohibitif !

Dans de nombreux cas, le programme Dialer (composeur tél. auto.) démarre en même temps que l'ordinateur, établit la liaison automatiquement et reste en ligne en tâche de fond aussi longtemps que dure votre session Windows. Si une connexion Internet doit être établie, le dialer la fait passer par son n° 0900 coûtant bien plus cher qu'une connexion Internet standard ..."

 

Il vaut mieux t'en débarrasser avant l'éventuelle explosion de tes factures de téléphone.

[Invité confidentiels]

a virer :

 

O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/es/SysWebTelecom.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{63BEF3A1-04F7-43B8-A462-320E38FC97AB}: NameServer = 127.0.0.1

 

il a une clef de demarrage pour avg , mais il ne tourne pas au moment du log ...

 

et il semble que ces problemes soit liés a un virus car certain virus comme W32/Surila-A ou W32/Agobot-KZ trifouillent le localhost d'IP 127.0.0.1 (Les ordinateurs ont leur propre adresse IP connue en tant que localhost avec l'adresse IP 127.0.0.1 qui est utilisée pour se référer à lui-même)

 

c'est peut etre le reste d'une precedente desinfection

Modifié le 21 novembre 2004 par confidentiels

[L@urendo]

il a une clef de demarrage pour avg , mais il ne tourne pas au moment du log ...

Bien vu. J'espère qu'il tourne chez patja en ce moment.

[patja]

il a une clef de demarrage pour avg , mais il ne tourne pas au moment du log ...

Bien vu. J'espère qu'il tourne chez patja en ce moment.

424410[/snapback]

 

j'ai un multiboot (w2k serveur et xp) et lorsque j'ai rencontré ce probleme sur W2k serveur j'ai supprimé tous les antivirus par contre sur xp ,sur lequel je me connecte sur leweb, avg est activé.

[Invité confidentiels]

bon alors ne touche pas a ça

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{63BEF3A1-04F7-43B8-A462-320E38FC97AB}: NameServer = 127.0.0.1

 

c'est peut etre utile pour ton reseau ... cherche dans ton registre a quoi correspond ça :{63BEF3A1-04F7-43B8-A462-320E38FC97AB} avant

[patja]

bon alors ne touche pas a ça

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{63BEF3A1-04F7-43B8-A462-320E38FC97AB}: NameServer = 127.0.0.1

 

c'est peut etre utile pour ton reseau ... cherche dans ton registre a quoi correspond ça :{63BEF3A1-04F7-43B8-A462-320E38FC97AB} avant

424419[/snapback]

j'ai supprimé DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) que j'ai trouvé dans windows\downloaded program files

peut il y avoir des traces ailleurs parce que ca ne change rien.

merci