Encore un pb svchost ...

Question

Bonsoir ... Je lis régulièrement le forum, mais là pour une fois je n'y trouve pas la réponse, ou tout du moins je ne voudrais pas faire d'erreur ...Donc au bout d'un moment, un processus svchost pompe la quasi totalité de mon UC, normal. J'ai utilisé HijackThis, voilà le résultat quand tout 'va bien' :Logfile of HijackThis v1.99.1Scan saved at 20:25:39, on 14/06/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:D:\WINDOWS\System32\smss.exeD:\WINDOWS\system32\winlogon.exeD:\WINDOWS\system32\services.exeD:\WINDOWS\system32\lsass.exeD:\WINDOWS\system32\svchost.exeD:\WINDOWS\System32\svchost.exeD:\WINDOWS\system32\logonui.exeD:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeD:\WINDOWS\Explorer.EXED:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeD:\WINDOWS\system32\spoolsv.exeD:\WINDOWS\System32pcclient.exeC:\Program Files\Norton AntiVirus
avapsvc.exeD:\WINDOWS\System32	askmgr.exeC:\Program Files\Hijack This\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.frR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.frR0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.frR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO4 - HKLM\..\Run: [ccApp] D:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeO4 - HKLM\..\Run: [ccRegVfy] D:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exeO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
avapsvc.exeO23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner - D:\WINDOWS\System32pcclient.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exeSi je devais faire comme indiqué dans les problèmes similaires et solutions exposées, je devrais à un moment cocher les cases correspondant à HKLM/../ Run, mais elles semblent coincider avec les applications Symantec (Norton) pour deux d'entre elles, et la dernière pour un process nommé 'dumprep' qui à priori n'est pas dangeureux (je dis bien à priori ...).Je viens donc chercher conseil auprès de vous. A noter que j'ai récemment eu affaire avec le trojan laissant msdirectx.sys comme marque de fabrique, mais que l'affaire semble résolue.

Duncan Idaho · Answer

Bon je vais répondre de suite ... Voilà que le process en question refait des siennes. Malheureusement impossible de sauver le log lorsque ce problème survient, seules les entrées registres me sont possibles, et elles ne changent pas.

Duncan Idaho · Answer

J'ai tenté quelque chose : demander la sauvegarde du log, puis tuer le processus svchost incriminé. Il apparaît que j'ai alors

D:\WINDOWS\System32\devldr32.exe

en plus, devldr32 étant il me semble pourtant un process pour la prise en charge du son (mais il n'apparaît pas avant, et maintenant il est dans la liste de process du gestionnaire de taches...)

balltrap34 · Answer

salut
imprime ceci pour ne rien oublier et tous faire
tous faire dans l ordre imperativement
-------------------------
tous da bord telecharge ces programmes si tu ne les a pas et met les a jour mais ne les utilise pas encore
adaware (1)
spyboot (2)
(ici) http://www.florensac-chasse-trap.com/ section virus
et aussi ceci
CleanUp312.exe (3)

demo de CleanUp http://pageperso.aol.fr/balltrap34/democleanup.htm

a2
http://www.emsisoft.net/fr/
penser a le metre a jour avant de scanner le pc

----------------
desactive ta restauration systeme
pour ça tu fais clic droit sur poste de travail
propriété tu clique sur onglet restauration système
tu coche la case désactiver la restauration et applique
------------

demarre en mode sans echec
mode sans echec pour cela tu tapote la touche f8
des le debut de l allumage du pc sans t arreter
une fenetre vas souvrir tute deplace avec les fleches du clavier sur demarreren mode sans echec
une fois sur le bureau il ni auras pas toutes les couleurs et autres c est normal.si f8 ne marche pas utilise la touche f5
-------------------------

assure toi de ceci
Affiche tous les fichiers et dossiers :
cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.

Et appliquer
----------------------
vide tes fichiers temps et tempory internet file sur tous les utilisateur
utilise ceci pour le faire
http://pageperso.aol.fr/Balltrap34/CleanUp312.exe

--------------------
relance hijack coche ces lignes et ensuite clik sur fix
O23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner - D:\WINDOWS\System32\rpcclient.exe

----------------------
recherche et suppr ceci
attention seulement les fichiers
D:\WINDOWS\System32\rpcclient.exe

---------------
clik sur Démarrer->exécuter->tape: services.msc

Double-clique: Remote Procedure Call
Règle-le sur "Arrêté" et "Désactivé".

-------------------------

passe adaware et vire tous se qu il trouve
----------
passe spy boot et vire tous se qu il trouvent
-------------

tu vide ta poubelle et tu redemarre en mode normal et refait un hijack

et precise ou en sont tes soucis

--

jean38 · Answer

salmut,

le process svchost est valide il ne faut pas le stopper.

par contre tu devrais fixer dans hoijack:
O23 - Service: Remote Procedure Call (RPC) Client (RpcClient) - Unknown owner - D:\WINDOWS\System32\rpcclient.exe

ensuite tu vas dans
Dans le menu Demarrer>Executer >tape: Services.msc
recherche le service avec cette orthographe exacte:
Remote Procedure Call
Double clic dessus et clic sur arreter puis dans type de demarrage selectionne désactivé

et di snous ou tu en es de tes pb

Duncan Idaho · Answer

Ok c'est parti :) Merci, je te tiens au courant dès que c'est fait !

balltrap34 · Answer

griller

jean38 · Answer

c'est pas la premiere fosi que tu me fume la mergues mais je t'aurais.... lol

balltrap34 · Answer

un jour je te laisserais gagner

jean38 · Answer

non je gagnerai....enfin faut avoir le temps parcque c'est pas demain...lucide tout de memejean

Duncan Idaho · Answer

Plusieurs problèmes :

Le premier, je pense qu'il faudra le noter pour que d'autres ne tombent pas dans le panneau, RegCleanUp efface tout ce qui se trouve dans les répertoires temporaires. Conclusion j'ai perdu tout ce qui se trouvait dans C:\Temp, mais bon ... au moins je le saurai pour la prochaine fois ;)

Ensuite impossible d'enlever le RPC avec Hijack : je la fix, je rescan, elle est toujours là...

Par conséquent ... hé bien par conséquent ...

Duncan Idaho · Answer

Est ce cela pourrait etre du à une question d'autorisation, et qu'en allant manuellement dans le registre avec RegEdit il soit possible de forcer le contrôle total (donc permettre la suppression) sur cette clé ou entrée ?

Duncan Idaho · Answer

Il existe bien une clé rpcclient dans HKLM/System/Controlset001/Control/SafeBoot/Minimal/Rpcclient
HKLM/System/Controlset001/Control/SafeBoot/Minimal/Rpcclient
HKLM/System/Controlset001/Control/Enum/Root/LEGACY_RPCCLIENT/0000/Control
HKLM/System/Controlset001/Service/Rpcclient
et j'en passe ...

dont le contrôle n'est pas activé.

(Je m'excuse pour mes messages en plusieurs parties ...)

balltrap34 · Answer

il faut bien lire il faut faire aussi ceci
clik sur Démarrer->exécuter->tape: services.msc

Double-clique: Remote Procedure Call
Règle-le sur "Arrêté" et "Désactivé".

et suppr aussi le fichier
D:\WINDOWS\System32\rpcclient.exe --
la chasse et le balltrap ma vrai passion
voir site perso dans profil

Duncan Idaho · Answer

D'accord, mais l'étape qui coince se trouve avant celle que tu mentionnes !?

Duncan Idaho · Answer

Qui plus est le fichier ne peut etre supprimé car un processus l'utilise toujours.

balltrap34 · Answer

oui il faut tous faire a la suite et le scan hijack de verif apres

Duncan Idaho · Answer

En effet, il suffisait de faire les manips indiquées, juste inverser l'arrêt des process et l'effacement du fichier ... mea culpa :)

Pour le moment ca a l'air de tenir la route, je vous tiens au courant !

balltrap34 · Answer

pas grave tes soucis en sont ou

Duncan Idaho · Answer

Le problème semble résolu ... mais en voilà un autre qui pointe sa tête. Au bout d'un certain temps il m'est impossible de lancer quoi que ce soit. Notamment le gestionnaire de tache, et l'explorateur ne marche pas (plus exactement, je peux l'ouvrir, mais il cherche le poste de travail en boucle). Décidemment c'est pas mon  soir.

balltrap34 · Answer

oki
Faite scan en ligne et coller le rapport ici sur le post
utiliser l'antivirus en ligne suivant :
http://www.ravantivirus.com/scan/
Cliquer sur "To continue without subscribing click here" et attendre quelques minutes.

Lorsque "Ready" est affiché dans "status", cocher la case "Autoclean" puis cliquer sur "Scan my PC"
A la fin de l'analyse, copier/coller le rapport ici.
------------------------------

Duncan Idaho · Answer

D'accord c'est parti ! Merci encore :)Scan started at 15/06/2005 00:28:35 Scanning memory...Scanning boot sectors...Scanning files...C:\Program Files\Netscape\Users\default\Mail\Trash->(part0472:läsas.exe) - Win32/Magistr.B@mm -> InfectedC:\Program Files\Netscape\Users\default\Mail\Trash->(part0475:détestes.com) - Win32/Magistr.B@mm -> InfectedC:\Program Files\Netscape\Users\default\Mail\Trash->(part0477:client.com) - Win32/Magistr.B@mm -> InfectedC:\Program Files\Netscape\Users\default\Mail\Inbox->(part0686:client.com) - Win32/Magistr.B@mm -> InfectedC:\Program Files\Netscape\Users\default\Mail\Inbox->(part0688:détestes.com) - Win32/Magistr.B@mm -> InfectedC:\Program Files\Netscape\Users\default\Mail\Inbox->(part0690:läsas.exe) - Win32/Magistr.B@mm -> InfectedC:\Jeux\Pinball\HELPME.EXE - Tai-Pan.438.E.remnants -> SuspiciousScanned============================	Objects: 28161	Directories: 2469	Archives: 685	Size(Kb): 348018	Infected files: 6Found============================	Viruses found: 1	Suspicious files: 1	Disinfected files: 0	Mail files: 259Ce qui m'étonne car je ne me suis pas servi de Netscape comme serveur mail depuis une éternité... Enfin.Je me demande aussi si ce problème ne pourrait pas venir de la mise en veille de windows car je n'ai ce problème qu'après un retour de veille (ce qui serait quand même bizarre) J'ai désactivé la mise en veille des fois que ...

balltrap34 · Answer

vas dant ta boite de nescape et vire tous le mailset refait un hijack

Duncan Idaho · Answer

Désolé, je me suis endormi :pLogfile of HijackThis v1.99.1Scan saved at 02:42:33, on 15/06/2005Platform: Windows XP  (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:D:\WINDOWS\System32\smss.exeD:\WINDOWS\system32\winlogon.exeD:\WINDOWS\system32\services.exeD:\WINDOWS\system32\lsass.exeD:\WINDOWS\system32\svchost.exeD:\WINDOWS\System32\svchost.exeD:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeD:\WINDOWS\system32\spoolsv.exeD:\WINDOWS\Explorer.EXED:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeD:\WINDOWS\System32\wuauclt.exeC:\Program Files\Norton AntiVirus
avapsvc.exeD:\Program Files\Internet Explorer\IEXPLORE.EXED:\WINDOWS\System32\devldr32.exeC:\Program Files\Hijack This\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.frR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.frR0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.frR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = LiensO4 - HKLM\..\Run: [ccApp] D:\Program Files\Fichiers communs\Symantec Shared\ccApp.exeO4 - HKLM\..\Run: [ccRegVfy] D:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exeO16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://data.jeuxclassiques.com/npwwg.cabO16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cabO23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exeO23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus
avapsvc.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exeO23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Duncan Idaho · Answer

Mmmm visiblement j'avais aussi un fichier c:\web.exe caractéristique d'un certain virus (dont je n'ai pas noté le nom), ce qui m'ennuie c'est qu'il n'était pas détecté par les AV (norton ou RAV)

jean38 · Answer

salut,t'as bien fait pour web.maintenant qu'il ne soit pas detecté... toujours est il , pas bon celui là.t'en es ou de tes blemes, log rassauf eventuellement si pas usuel, fixeO16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://data.jeuxclassiques.com/npwwg.cab jean

Duncan Idaho · Answer

D'acc je vais tenter ca. Si ca ne marche ps, je ferai un formatage du disque système et je réinstallerai tous les outils nécessaires rapidement histoire d'être peut etre plus à l'abri

jean38 · Answer

pourquoi, tu as encore des problemes??

Duncan Idaho · Answer

Oui ... mais je ne pense pas que ca vienne d'un virus cette fois... ce qui m'embête c'est que je viens de reformater le disque système et je ne vois pas d'où ca peut venir.Grosso modo, je joue à warcraft 3 quelques heures et lorsque que je rebascule sur le bureau ou une autre tache, impossible de lancer quoique ce soit, y compris le gestionnaire de taches. La barre de taches plante, impossible d'utiliser les fenetres internet ouvertes, la totale.

jean38 · Answer

c'est domage d'avoir reformaté car ton log etait clean, on se serait plutôt orienter sur le patos.peut etre un post sur le forum materiel.chauffe du processeur??

Duncan Idaho · Answer

J'utilise le même HW depuis 3 ans et pas de problème (j'ai juste déplacé un HD récemment après avoir remonté le PC).Il semblerait que j'ai une erreur dans l'observateur d'évènement :Le système d'événements de COM+ n'a pas pu déclencher la méthode ConnectionMade de l'abonnement {8403C938-4626-4C86-AD43-BC96A541CB60}-{00000000-0000-0000-0000-000000000000}-{00000000-0000-0000-0000-000000000000}. L'abonné a renvoyé HRESULT 80004001.Mais je ne sais pas ni ce que ca veut dire ni comment réparer. J'ai posté dans la section Windows du forum, et je vais farfouiller sur le net pour voir ce que ca peut être ... En tout cas avec ce que j'ai pu lire et récupérer ici, je suis plus confiant, merci à tous :)

Duncan Idaho · Answer

A noter qu'au final le PC ne freeze pas mais extrêmement ralenti, toujours avec une utilisation UC de 100% ... impossible d'ouvrir l'explorateur, mais je peux néanmoins accéder aux outils d'administration avec un peu de patience.Dans la liste des services je vois un service 'accès du Registre à distance', me conseilleriez vous de le bloquer ?

Duncan Idaho · Answer

Enfin (j'oublie toujours quelque chose, désolé), est il normal que dans la liste des services, je vois sans arrêt wuaueng.dll (1424) SUS20ClientDataStore: Le moteur de base de données a arrêté une instance (0). ?

Duncan Idaho · Answer

C'est bon j'ai trouvé !! Donc, j'avais bien un problème de virus que vous m'avez aidé à réparer, mais le problème svchost venait lui de COM+ qui essayait sans réussir de faire tout seul l'upgrade de Messenger. Une fois cet upgrade fait manuellement tout a roulé tout seul !Merci à tous pour m'avoir aidé sur la partie 'virus',  ca m'a appris déjà quelques 'techniques' en plus avant d'appeler à l'aide, et m'a fait connaitre qqs outils qui semblent bien utiles :) Encore merci ^^

Encore un pb svchost ...

33 réponses

Votre réponse

Discussions similaires

Newsletters