worm via svchost ?
worm via svchost ? - Sécurité - Windows & Software
Marsh Posté le 20-04-2004 à 16:42:51
une recherche un peu approfondie t'aurait permis de trouver quelques réponses et outils, notamment hijackthis qui nous permettrait de savoir ce qui tourne sur ta machine...
Marsh Posté le 20-04-2004 à 16:51:54
Voici ce que m'affichait Hijackthis
Logfile of HijackThis v1.97.7
Scan saved at 17:35:07, on 16/04/2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\mgabg.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Program Files\WebDrive\wdservice.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\Smtray.exe
C:\WINNT\System32\Promon.exe
C:\WINNT\System32\PDesk\PDesk.exe
C:\Program Files\ScanSoft\OmniPagePro11.0\opware32.exe
C:\Program Files\WebDrive\webdrive.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Program Files\Microsoft Office\Office\OUTLOOK.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\FlashGet\flashget.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O1 - Hosts: 81.211.105.5 www.0190-dialer.com
O1 - Hosts: 81.211.105.5 www.22469.com
O1 - Hosts: 81.211.105.5 www.3wisp.com
O1 - Hosts: 81.211.105.5 www.adult-cinema.org
O1 - Hosts: 81.211.105.5 www.adultfreehosting.com
O1 - Hosts: 81.211.105.5 www.adulthosting.com
O1 - Hosts: 81.211.105.5 www.adultlinks1.com
O1 - Hosts: 81.211.105.5 www.adultmegamovies.com
O1 - Hosts: 81.211.105.5 www.adultsexmovie.net
O1 - Hosts: 81.211.105.5 www.adultwall.com
O1 - Hosts: 81.211.105.5 www.afro-sex.com
O1 - Hosts: 81.211.105.5 www.agreathost.net
O1 - Hosts: 81.211.105.5 www.alehina.com
O1 - Hosts: 81.211.105.5 www.allnichestgp.com
O1 - Hosts: 81.211.105.5 www.allowednet.com
O1 - Hosts: 81.211.105.5 www.amateurlips.com
O1 - Hosts: 81.211.105.5 www.amateurnudephoto.com
O1 - Hosts: 81.211.105.5 www.amateursgonebad.com
O1 - Hosts: 81.211.105.5 www.ambersamateurhardcore.com
O1 - Hosts: 81.211.105.5 www.anyamateur.com
O1 - Hosts: 81.211.105.5 www.apornhost.com
O1 - Hosts: 81.211.105.5 www.findmodels.com
O1 - Hosts: 81.211.105.5 www.asianscum.com
O1 - Hosts: 81.211.105.5 www.awethumbs.com
O1 - Hosts: 81.211.105.5 www.badassxxx.com
O1 - Hosts: 81.211.105.5 www.badbimbo.com
O1 - Hosts: 81.211.105.5 www.beautifulbondage.com
O1 - Hosts: 81.211.105.5 www.bestpornhost.com
O1 - Hosts: 81.211.105.5 www.biggestdickinporn.net
O1 - Hosts: 81.211.105.5 www1.3wisp.com
O1 - Hosts: 81.211.105.5 www1.kinghost.com
O1 - Hosts: 81.211.105.5 www1.ndhosting.com
O1 - Hosts: 81.211.105.5 www1.sexls.com
O1 - Hosts: 81.211.105.5 www1.smutserver.com
O1 - Hosts: 81.211.105.5 www1.toptgphost.com
O1 - Hosts: 81.211.105.5 www1.xfreehosting.com
O1 - Hosts: 81.211.105.5 www10.kinghost.com
O1 - Hosts: 81.211.105.5 www10.smutserver.com
O1 - Hosts: 81.211.105.5 www11.kinghost.com
O1 - Hosts: 81.211.105.5 www11.smutserver.com
O1 - Hosts: 81.211.105.5 www12.kinghost.com
O1 - Hosts: 81.211.105.5 www12.smutserver.com
O1 - Hosts: 81.211.105.5 www13.smutserver.com
O1 - Hosts: 81.211.105.5 www14.smutserver.com
O1 - Hosts: 81.211.105.5 www15.smutserver.com
O1 - Hosts: 81.211.105.5 www16.smutserver.com
O1 - Hosts: 81.211.105.5 www17.smutserver.com
O1 - Hosts: 81.211.105.5 www18.smutserver.com
O1 - Hosts: 81.211.105.5 www19.smutserver.com
O1 - Hosts: 81.211.105.5 www2.3wisp.com
O1 - Hosts: 81.211.105.5 www2.kinghost.com
O1 - Hosts: 81.211.105.5 www2.ndhosting.com
O1 - Hosts: 81.211.105.5 www2.smutserver.com
O1 - Hosts: 81.211.105.5 www2.toptgphost.com
O1 - Hosts: 81.211.105.5 www2.xfreehosting.com
O1 - Hosts: 81.211.105.5 www2.zpornstars.com
O1 - Hosts: 81.211.105.5 www20.smutserver.com
O1 - Hosts: 81.211.105.5 www21.smutserver.com
O1 - Hosts: 81.211.105.5 www22.smutserver.com
O1 - Hosts: 81.211.105.5 www23.smutserver.com
O1 - Hosts: 81.211.105.5 www24.smutserver.com
O1 - Hosts: 81.211.105.5 www25.smutserver.com
O1 - Hosts: 81.211.105.5 www26.smutserver.com
O1 - Hosts: 81.211.105.5 www27.smutserver.com
O1 - Hosts: 81.211.105.5 www28.smutserver.com
O1 - Hosts: 81.211.105.5 www29.smutserver.com
O1 - Hosts: 81.211.105.5 www3.kinghost.com
O1 - Hosts: 81.211.105.5 www3.ndhosting.com
O1 - Hosts: 81.211.105.5 www3.smutserver.com
O1 - Hosts: 81.211.105.5 www3.xfreehosting.com
O1 - Hosts: 81.211.105.5 www3.zpornstars.com
O1 - Hosts: 81.211.105.5 www30.smutserver.com
O1 - Hosts: 81.211.105.5 www31.smutserver.com
O1 - Hosts: 81.211.105.5 www32.smutserver.com
O1 - Hosts: 81.211.105.5 www4.kinghost.com
O1 - Hosts: 81.211.105.5 www4.smutserver.com
O1 - Hosts: 81.211.105.5 www4.xfreehosting.com
O1 - Hosts: 81.211.105.5 www4.zpornstars.com
O1 - Hosts: 81.211.105.5 www5.kinghost.com
O1 - Hosts: 81.211.105.5 www5.smutserver.com
O1 - Hosts: 81.211.105.5 www6.kinghost.com
O1 - Hosts: 81.211.105.5 www6.smutserver.com
O1 - Hosts: 81.211.105.5 www7.kinghost.com
O1 - Hosts: 81.211.105.5 www7.smutserver.com
O1 - Hosts: 81.211.105.5 www8.kinghost.com
O1 - Hosts: 81.211.105.5 www8.smutserver.com
O1 - Hosts: 81.211.105.5 www9.kinghost.com
O1 - Hosts: 81.211.105.5 www9.smutserver.com
O1 - Hosts: 81.211.105.5 www.bigmovies.com
O1 - Hosts: 81.211.105.5 www.bigpornvideos.com
O1 - Hosts: 81.211.105.5 www.big-xxx-movies.com
O1 - Hosts: 81.211.105.5 www.samplehosting.com
O1 - Hosts: 81.211.105.5 www.blinghosting.com
O1 - Hosts: 81.211.105.5 www.blitz-hosting.com
O1 - Hosts: 81.211.105.5 www.boyanxxx.com
O1 - Hosts: 81.211.105.5 www.bustyx.com
O1 - Hosts: 81.211.105.5 www.cleanadulthost.com
O1 - Hosts: 81.211.105.5 www.cleanpornhost.com
O1 - Hosts: 81.211.105.5 www.cyberxxxhost.com
O1 - Hosts: 81.211.105.5 www.dialcom.com
O1 - Hosts: 81.211.105.5 www.eldererotica.tv
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Smapp] Smtray.exe
O4 - HKLM\..\Run: [Promon.exe] Promon.exe
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPagePro11.0\opware32.exe
O4 - HKLM\..\Run: [WebDriveTray] C:\Program Files\WebDrive\webdrive.exe /trayicon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - Startup: WiziWYG Startup.lnk = C:\Program Files\Praxisoft, LLC\WiziWYG\WiziWYG.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: Capturer ! (HKLM)
O9 - Extra 'Tools' menuitem: Capturer ce web (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://www.bitstream.com/wfplayer/tdserver.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/download/ipixx.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub [...] tor/sw.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/5 [...] taller.exe
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://creator.amenworld.com/app/s [...] msxml4.cab
O16 - DPF: {BD092CD7-AA66-4FF6-8CE1-D4E01489ED2B} (VacPro.UserControl1) - http://www.7adpower.com/dialer/EMSAT.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
Message édité par faffi le 20-04-2004 à 16:58:09
Marsh Posté le 20-04-2004 à 16:53:31
C'est le virus Blaster ou une de ses variantes. Il faut que tu installes les mises à jour KB823980 et KB824146 de Microsoft. Et ensuite, un nettoyage antivirus en profondeur...
Marsh Posté le 20-04-2004 à 16:53:33
et maintenant j'ai ça:
Logfile of HijackThis v1.97.7
Scan saved at 16:53:10, on 20/04/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\mgabg.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Program Files\WebDrive\wdservice.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Smtray.exe
C:\WINNT\system32\Promon.exe
C:\Program Files\ScanSoft\OmniPagePro11.0\opware32.exe
C:\Program Files\WebDrive\webdrive.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINNT\System32\PDesk\PDesk.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
C:\WINNT\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\FlashGet\flashget.exe
C:\Program Files\Adobe\Photoshop CS\Photoshop.exe
C:\Program Files\Microsoft Office\Office\OUTLOOK.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Smapp] Smtray.exe
O4 - HKLM\..\Run: [Promon.exe] Promon.exe
O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPagePro11.0\opware32.exe
O4 - HKLM\..\Run: [WebDriveTray] C:\Program Files\WebDrive\webdrive.exe /trayicon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - Startup: WiziWYG Startup.lnk = C:\Program Files\Praxisoft, LLC\WiziWYG\WiziWYG.exe
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Tout télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Télécharger en utilisant FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub [...] tor/sw.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft. [...] 2174074074
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub [...] wflash.cab
Message édité par faffi le 20-04-2004 à 16:58:48
Sujets relatifs:
- svchost
- SVP AIDE POUR ELIMINEE WORM
- Un worm que j'arrive pas à éradiquer...avec fichiers en *.exe.tmp
- Lovsan.F Worm Blaster effacé mais toujours présent!
- Welchia worm et svchost ?
- svchost et notsknrl
- scusez moi mais c encore svchost
- variante de blaster qui se declenche que quand arret de svchost!! :'(
- Virus WORM/NACHI.B
Marsh Posté le 20-04-2004 à 16:41:47
Salut,
Tout d'abord j'ai parcouru le forum mais je n'ai pas trouvé exactement mon pb...
J'ai régulièrement des erreurs svchost.exe qui m'empêchent après tout copier coller, tout déplacement de fichiers...
Mon Pc redemmare tout seul mais moi je n'ai aucun message d'alerte windows avant le redemarrage...
Je suis en réseau au boulot et il n'y a pas que mon Pc qui fait ça ...
J'imagine que c'est une variante de blaster mais norton fix blast n'a rien trouvé, stinger non plus, j'ai executé HIjackthis qui a trouvé que je faisais plein de logs sur des sites de Cul et que j'avait pas mal d'espion j'ai nettoyé tout ça via HIjack mais mon Pc redemarre encore...
Le redemarrage ne se fait pas toutes les 5 min. ou toutes les 30min...mais j'ai quand même redémarré 2 fois aujourd'hui...
Et Les jours où svchost se met à planter ce qui m'oblige à redémarrer pour pouvoir a nouveau importer, copier,coller depuis illustrator ou Photoshop c'est l'horreur...
En + mon ordi rame souvent
Please help, je sature...
Merci