Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

un énième probleme avec svchost et un virus

fongus

Par fongus
dans Software

 Partager

Messages recommandés

fongus Junior Member

fongus

Posté(e)
Posté(e)

bonjour,

 

voici ma configuration actuel

pc formaté et mise à jour avec windows update

antivurus : antiviral tool kit pro mise à jour d'aujourd'hui

firewall kerio

 

je suis allé surfer sur votre forum pour trouver réponse à mes questions et je n'ai rien trouver qui puisse me faire avancer ces donc par désespoir que je demande un petit cou de main

 

Après avoir détecter plusieurs processus similaire tels svchost qui est en 4 exemplaires sur mon pc et apres avoir verifier si c'est normal j'ai essayer d'en supprimer certain sachant à quoi chacun servait.

 

bref quand j'ai fait un ctrl+alt+suppr voici le descriptif de mes 4 svchost.

 

nom imge nom util process util mem

svchost.exe system 00 2892ko

svchost.exe system 00 16336ko

svchost.exe service reseau 00 1992ko

svchost.exe service local 00 3472ko

 

lorsque j'ai terminé le premier processus svchost, celui de deux mega.

j'ai le compte à rebour du virus sasser ou blaster qui utilise la faille de securité rpc qui s'est mis en route.

apres avoir fait un shutdown -a je me suis mis à la recherche de ce virus.

 

apres avoir mise à jour mon antivirus et windows update, je ne l'ais toujours pas trouvé.

apres avoir utilisé les utilitaires de symantec je ne l'ais pas trouvé.

apres être allez dans la base de registre dans :

hklm/software/microsoft/windows/currentversion/run je n'ai rien trouvé de suspect

mais il est toujours la.

j'ai donc décider de formater et de re sécuriser mon pc.

j'ai refait les étapes précédentes et il est toujours la.

 

j'ai utilisé hijackthis et cherché qque chose qui cloche avec les informations données sur votre site mais je ne crois pas avoir trouvé qques choses.

 

si vous pouviez m'aidez dans ma recherche et trouvé ce qui ne va pas j'en serais bien heureux.

 

voila le log de hijackthis :

 

Logfile of HijackThis v1.99.0

Scan saved at 18:27:01, on 08/02/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

G:\avp\avpcc.exe

C:\WINDOWS\System32\devldr32.exe

G:\avp\avpcc.exe

G:\avp\avpm.exe

G:\Personal Firewall 4\kpf4ss.exe

G:\Personal Firewall 4\kpf4gui.exe

G:\Personal Firewall 4\kpf4gui.exe

G:\mozilla\firefox.exe

C:\Documents and Settings\Administrateur\Bureau\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat Reader\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [OfficeGuard RegChecker] G:\avp\ogrc.exe

O4 - HKLM\..\Run: [AVPCC] G:\avp\avpcc.exe /wait

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1107864844273

O23 - Service: AVP Control Centre Service - Kaspersky Labs. - G:\avp\avpcc.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: KAV Monitor Service - Kaspersky Labs. - G:\avp\avpm.exe

O23 - Service: Kerio Personal Firewall 4 - Kerio Technologies - G:\Personal Firewall 4\kpf4ss.exe

O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Prise en charge des cartes à puces - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

 

voila j'espere que vous pourrait m'aider à me débarasser de ca.

et encore merci d'avance pour les futurs réponses

ps : je sais l'orthographe c'est pas mon truc.

Invité tesgaz

Invité tesgaz

Posté(e)
Posté(e)

Salut,

 

c'est normal que quand tu tentes de supprimer un processus svchost, la commande du compte à rebours se met en route, ca n'a rien à voir avec sasser, c'est Sasser ou Blaster qui utilisait cette commande qui existe d'origine pour fermer ce type de service

 

sinon ton log est propre, tu peux juste fixer ceci :

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Clafouti Extrem Member

Clafouti

Posté(e)
Posté(e)

Normal que ton ordi reboote si tu tue le processus RPC !

Sasser n'a rien à voir avec cela, c'est Windows qui n'aime pas qu'on tue ses processus et qui provoque le reboot de l'ordi. Le fait que ça ressemble à un symptome du virus Sasser est dû au fait que Sasser faisait planter le processus RPC, ce qui faisait redémarrer l'ordi.

fongus Junior Member

fongus

Posté(e)
  • Auteur
Posté(e)

merci pour ta réponse,

 

mais lors de mon premier formate car ils furent nombreux... il lancait qd meme cette tentative de redémarrage de mon pc alors que je venais de tous réinstallé. est ce que ca est normal ????

 

 

merci en encore.

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...