Processus

[megataupe]

Bonsoir Jibi. Le problème en fait, c'est que ce Rundll32.exe un peu touche à tout est à surveiller de près en cas de troubles machine car plusieurs vers et Trojan l'utilisent, Sophos en donne ci-dessous un exemple qui rappelle de la nécessité de bloquer le port 445 (avec Zebprotect notamment) :

 

W32/Deloder-A est un ver réseau et un cheval de Troie de porte dérobée.

 

Lorsqu'il est exécuté pour la première fois, le ver place les fichiers Psexec.exe et inst.exe dans le dossier courant et crée dans la base de registre l'entrée suivante pour que le ver soit exécuté automatiquement à chaque fois que Windows démarre :

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

messnger = <chemin vers le ver>

 

W32/Deloder-A essaie de se connecter, par le port 445, sur d'autres ordinateurs Windows 2000 et XP du réseau local. Le ver peut donc uniquement se propager sur les ordinateurs exécutant Windows 2000 et XP.

 

W32/Deloder-A se copie dans les partages sous le nom de fichier Dvldr32.exe et essaie d'installer le composant cheval de Troie de porte dérobée, inst.exe, dans les dossiers de démarrage :

 

C$\WINNT\All Users\Start Menu\Programs\Startup\

C\WINDOWS\Start Menu\Programs\Startup\

C$\Documents and Settings\All Users\Start Menu\Programs\Startup\inst.exe

 

pour que le fichier inst.exe soit automatiquement exécuté à chaque fois que Windows est lancé.

 

W32/Deloder-A interroge l'ordinateur distant pour obtenir un nom utilisateur valide et essaie de se connecter en utilisant la manière forte pour cracker le mot de passe. Ceci implique l'utilisation de mots de passe triviaux.

 

Si le ver n'est pas capable d'obtenir un nom utilisateur valide, il essaie de se connecter via le partage IPC$.

 

Le ver utilise l'utilitaire légitime Psexec.exe pour paramétrer à distance sur lecture seule les attributs des fichiers inst.exe et Dvldr32.exe, afin d'exécuter inst.exe et Dvldr32.exe et de désactiver les partages réseau C$, D$, E$, F$, IPC$ et ADMIN$.

 

Lorsqu'il est exécuté, le composant de porte dérobée inst.exe place les fichiers explorer.exe, VNCHooks.dll, omnithread_rt.dll et rundll32.exe dans le dossier Fonts et le fichier cygwin1.dll dans le dossier System32 puis crée dans la base de registre les entrées suivantes pour que explorer.exe et rundll32.exe soient automatiquement exécutés au démarrage :

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

Explorer = %Fonts%\explorer.exe

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\

TaskMan = %Fonts%\rundll32.exe,

 

%Fonts%\rundll32.exe est un cheval de Troie qui permet des accès non autorisés sur l'ordinateur via des canaux IRC.

 

A chaque fois que %Fonts%\rundll32.exe est exécuté, le cheval de Troie essaie de se connecter sur un serveur IRC distant et de joindre un canal spécifique.

 

%Fonts%\rundll32.exe s'exécute alors en fond de tâche comme processus serveur, attendant des commandes à exécuter.

 

%Fonts%\explorer.exe est l'application valide 'VNC server for Win32'.

 

Le ver peut uniquement s'exécuter sous les systèmes d'exploitation Windows 2000 et XP, mais les composants de porte dérobée peuvent aussi être exécutés sous Windows 95/98/Me et Windows NT.

[ricou33]

Merci de vos réponses.

Donc pour l'instant j'ai supprimé "dragdiag" et "mdm" et j'ai mis "pctspk" en manuel.

Le processus "cdac11ba" sert apparement à débloquer un jeu que j'ai acheté sur internet.

Pour le scan antivirus conseillé par Megataupe je verrai demain et je vous dirai ce qu'il en est.

Ensuite il faudra que je pense à désinstaller l'espace wanadoo qui lance 3 processus à son ouverture : "espace wanadoo", "comcomp" et "watch".

 

C'est déjà ça, donc je viens de redémarrer mon PC et j'ai pas moins de 37 processus, de quoi battre un record, et encore il me manque néro avec Incd que j'ai désinstaller pour cause de conflit mais que je vais remettre et quelques processus qui démarrent au lancement d'un programme mais qui ne s'arrêtent pas à sa fermeture. Alors voila mes petits :

alg

ccapp

ccevtmgr

ccsetmgr

cdac11ba

cnxmon

csrss

ctfmon

daemon : daemon tools bien pratique

explorer

fah502-console : un peu de folding ca fait pas de mal

fahcore_78

jusched

lsass

msmsgs : faudra que je le supprime

navapsvc : eh oui j'utilise norton antivirus

persfw

processus inactif

remoterm : télécommande de la carte télé, j'arrive pas à le faire démarrer que si besoin

rundll32

rudll32

savscan : encore norton

services

smss

soundman : apparement ce serait le son 3D de la carte son, je doute de son utilité ?

speedfan : c'est pratique la temp dans la barre des taches

supercopier : soft indispensable

svchost : system

svchost : service réseau : j'utilise ce PC comme passerelle mais pas tous les jours

svchost : system

svchost : service réseau : j'ai vraiment besoin de tout ça ?

svchost : service local

system

taskbaricon

taskmgr

winbar : petit soft très pratique

winlogon

 

Je ne vois pas ce dont je pourrais me débarrasser d'autre, et vous ?

[Invité tesgaz]

Salut,

 

tu peux supprimer :

jusched => environnement java

ctfmon => barre des langues

taskbaricon => ne sert pas à grand chose, a toi de voir

 

pour svchost, tu dois pouvoir faire le ménage en fermant quelques services qui ne servent à rien et te retrouver avec 3 process au lieu de 5, fait un tour ici pour voir a quoi ils corespondent :

http://clement.reinier.free.fr/modules.php...showpage&pid=12

 

pour rundll32.exe => as-tu fais un log hijackthis pour savoir ce qu'ils démarrent comme applications ?

 

pour rudll32, j'espere que tu as fait une faute de frappe, sinon, à supprimer car probablement virus

 

 

les autres processus à quoi correspondent ils :

alg => permet de faire fonctionner ta passerelle internet "gateway"

les 3 autres servent à norton

ccapp

ccevtmgr

ccsetmgr

 

cnxmon => connexion modem

 

persfw => parefeu tiny

 

les autres non cité sont obligatoires

Modifié le 24 décembre 2004 par tesgaz

[ricou33]

Salut,

pour rudll32, j'espere que tu as fait une faute de frappe, sinon, à supprimer car probablement virus

437428[/snapback]

C'est bien une faute de frappe, en faite j'ai 2 fois rundll32.

 

pour rundll32.exe  => as-tu fais un log hijackthis pour savoir ce qu'ils démarrent comme applications ?

437428[/snapback]

Je viens de faire le log, donc derrière les 2 rundll32 j'ai :

04 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarIni

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

A quoi correspond le premier ?

Le deuxième j'utilise daemon tools mais a-t-il besoin du rundll32 en plus de son processus ?

 

Sinon j'ai également posté le log sur ce site et il ne trouve aucune erreur à part tout ce qui se réfaire à wanadoo, totaluninstall et supercopier donc pas de quoi s'alarmer.

[Invité jibi049]

Je ne pense pas que ce soit daemon car avec mes drivers nvidia j'avais ce "nvcpl.dll" donc ca doit etre ca... pareil pour le premier ca doit etre l'icone de la barre de tache

[Invité tesgaz]

salut,

 

et bien , tu peux parfaitement t'en passer de ses 2 processus,

fixes les lignes dans hijackthis

[ricou33]

Je ne pense pas que ce soit daemon car avec mes drivers nvidia j'avais ce "nvcpl.dll" donc ca doit etre ca... pareil pour le premier ca doit etre l'icone de la barre de tache

437709[/snapback]

Bien vu, je ne savais pas que l'icône nvidia prenait un processus mais hier je l'avais supprimé ne m'en servant pas et effectivement je n'ai plus qu'un seul processus rundll32.

Quand au deuxième je viens de vérifier et il sert aux options nView que j'utilise souvent donc je le garde.

Et je suis bête car je viens à nouveau de regarder la liste de démarrage de regcleaner et les processus rundll32 sont détaillés.

 

Il ne me reste plus que les Svchost, j'ai essayé la commande tasklist /svc mais il me marque qu'elle n'ait pas reconnu, même après avoir téléchargé le fichier tasklist.exe (lorque je double clic dessus une fenêtre dos s'ouvre pendant une demi-seconde et c'est tout) et la commande tasklist ne fonctionne toujours pas. Comment faire ?

[Invité tesgaz]

salut,

 

commences par executer la commande => cmd

et ensuite : tasklist /svc

Modifié le 25 décembre 2004 par tesgaz

[ricou33]

Salut Tesgaz,

 

Il y a des fois je me demande si je réfléchis, il suffit de déplacer le fichier "tasklist.exe" dans le dossier windows.

 

Donc derrière les svchost il y a :

DcomLaunch, TermService : je ne pense pas en avoir besoin

 

RpcSs : Est-il utile pour le partage de connexion internet, je ne crois pas ?

 

AudioSrv, Browser, CryptSvc, Dhcp, ERSvc, EventSystem, FastUserSwitchingCompatibility, helpsvc, lanmanserver, lanmanworkstation, Netman, Nla, Rasman, Schedule, seclogon, SENS, SharedAccess, ShellHWDetection, srservice, TapiSrv, Themes, Trkwks, Winmgmt, wscsvc, wuauserv : Je pense qu'il ait obligatoire

 

Dnscache : J'utilise un serveur DNS mais occasionnellement, puis-je le faire démarer seulement quand j'en ai besoin ?

 

Alerter, LnHosts, SSDPSRV, WebClient : je crois qu'il est obligatoire

 

Pourrais-tu me dire ce que tu en penses STP.

[Invité tesgaz]

RpcSs : Est-il utile pour le partage de connexion internet, je ne crois pas ?

ce processus est obligatoire, c'est le port mapper celui qui dispatche toutes les connexions

Si tu l'arrêtes, tu n'auras plus de connexion internet, et te sera obligé de faire une réparation avec la console de récupération pour le réactiver

 

Alerter, LnHosts, SSDPSRV, WebClient : je crois qu'il est obligatoire

ceux-la ne servent à rien

 

 

AudioSrv, Browser, CryptSvc, Dhcp, ERSvc, EventSystem, FastUserSwitchingCompatibility, helpsvc, lanmanserver, lanmanworkstation, Netman, Nla, Rasman, Schedule, seclogon, SENS, SharedAccess, ShellHWDetection, srservice, TapiSrv, Themes, Trkwks, Winmgmt, wscsvc, wuauserv : Je pense qu'il ait obligatoire

 

Certains services peuvent être fermer, comme Schedule, SENS, wuauserv,

mais bien sur, c'est à toi de voir en fonction de l'utilisation de ton OS

 

 

donc, en principe tu te retrouveras avec 3 svchost dans ton gestionnaire des taches

Modifié le 25 décembre 2004 par tesgaz