Débordement tampon svchost Fermé

Question

Bonjour, 

Depuis deux jours, mon firewall (Sunbelt personal) me détecte sans arrêt des débordements de tampon dans svchost. Et le PC fini bien sûr par planter au bous d'un moment, obligé de rebooter. Kapersky, Malewarebytes et Spybot me trouvent rien. Je vois rien de spécial dans le hijack (ci dessous). Est ce que ce genre de problème vient forcément d'un virus ? Est ce que c'est le svchost.exe qui aurait été infecté ?
Merci pour votre aide.

Configuration: Windows XP / Firefox 3.6.13

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:46:40, on 06/01/2011
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Cobian Backup 8\cbInterface.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\FastStone Capture\FSCapture.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Sizer\sizer.exe
C:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE
C:\Program Files\APC\APC PowerChute Personal Edition\apcsystray.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\APC\APC PowerChute Personal Edition\mainserv.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32
vsvc32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ups.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Program Files\HijackThis	est.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ne/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [Cobian Backup 8 interface] "C:\Program Files\Cobian Backup 8\cbInterface.exe" -service
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: APC UPS Status.lnk = C:\Program Files\APC\APC PowerChute Personal Edition\Display.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: FastStone Capture.lnk = C:\Program Files\FastStone Capture\FSCapture.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: MonacoGamma.lnk = C:\Program Files\X-Rite\Tools\MonacoGamma\MonacoGamma.exe
O4 - Global Startup: Sizer.lnk = C:\Program Files\Sizer\sizer.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statistiques d'Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O15 - Trusted Zone: http://sports2nature.com/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: APC UPS Service - American Power Conversion Corporation - C:\Program Files\APC\APC PowerChute Personal Edition\mainserv.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Cobian Backup 8 service (CobBMService) - Luis Cobian - C:\Program Files\Cobian Backup 8\cbService.exe
O23 - Service: EpsonBidirectionalService - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe

Asgarel · Answer

Un petit up au cas ou quelqu'un pourrait m'aider...

Déjà, sachant que le débordement est signalé dans svchost, est ce que le problème vient forcément d'un des services démarré ?

Dans la liste de mes services Windows, je ne compte que 28 services démarrés, alors que la commande tasklist m'en liste 29. Est ce que ça pourrait être une piste ?

Merci d'avance...

Lyonnais92 · Answer

Bonjour,

le SP1 et IE6 ??????????

On corrigera ça quand l'ordi sera stable.

===

Pour en savoir plus, fais ceci :

Télécharge la dernière version de ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.

pour vista et Seven : fais un clic droit  sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur Cijoint

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Asgarel · Answer

Merci. Voilà:
http://www.cijoint.fr/cjlink.php?file=cj201101/cijcz36jrb.txt

(NB: pour IE6, je ne le conserve que pour un usage très particulier sur une appli perso. Pour la navigation web je ne me sers que de Firefox (3.6.13))

Lyonnais92 · Answer

Re,

je comprends pour IE6. Ca reste une faille de sécurité. Tu n'as pas l"intention de migrer l'application vers un multi-onglet ?

===

On vérifie un fichier :

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\xvs_ilop.dll 

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant

Si nécessaire, affiche les fichiers et dossiers cachés et les fichiers système. Tu les recacheras en fin de désinfection.

===

Tu as une page de démarrage bizarre :

hxxp://ne/  

Tu sais de quoi il retourne ?

===

Tu connais 

 C:\WINDOWS\Tasks\yokdohbb.job      (tâche planifiée automatique) ?

Asgarel · Answer

1) Voilà l'analyse de virustotal pour xvs_ilop.dll:

Antivirus 	Version 	Last Update 	Result
AhnLab-V3	2011.01.07.04	2011.01.07	-
AntiVir	7.11.1.53	2011.01.07	-
Antiy-AVL	2.0.3.7	2011.01.07	-
Avast	4.8.1351.0	2011.01.07	-
Avast5	5.0.677.0	2011.01.07	-
AVG	9.0.0.851	2011.01.07	-
BitDefender	7.2	2011.01.07	-
CAT-QuickHeal	11.00	2011.01.07	-
ClamAV	0.96.4.0	2011.01.07	-
Command	5.2.11.5	2011.01.07	-
Comodo	7325	2011.01.07	-
DrWeb	5.0.2.03300	2011.01.07	-
eSafe	7.0.17.0	2011.01.06	-
eTrust-Vet	36.1.8086	2011.01.07	-
F-Prot	4.6.2.117	2011.01.06	-
F-Secure	9.0.16160.0	2011.01.07	-
Fortinet	4.2.254.0	2011.01.07	-
GData	21	2011.01.07	-
Ikarus	T3.1.1.90.0	2011.01.07	-
Jiangmin	13.0.900	2011.01.07	-
K7AntiVirus	9.75.3461	2011.01.06	-
Kaspersky	7.0.0.125	2011.01.07	-
McAfee	5.400.0.1158	2011.01.07	-
McAfee-GW-Edition	2010.1C	2011.01.07	-
Microsoft	1.6402	2011.01.07	-
NOD32	5766	2011.01.07	-
Norman	6.06.12	2011.01.07	-
nProtect	2011-01-07.01	2011.01.07	-
Panda	10.0.2.7	2011.01.07	-
PCTools	7.0.3.5	2011.01.07	-
Prevx	3.0	2011.01.07	-
Rising	22.81.04.04	2011.01.07	-
Sophos	4.61.0	2011.01.07	-
SUPERAntiSpyware	4.40.0.1006	2011.01.07	-
Symantec	20101.3.0.103	2011.01.07	-
TheHacker	6.7.0.1.111	2011.01.06	-
TrendMicro	9.120.0.1004	2011.01.07	-
TrendMicro-HouseCall	9.120.0.1004	2011.01.07	-
VBA32	3.12.14.2	2011.01.06	-
VIPRE	7987	2011.01.07	-
ViRobot	2011.1.7.4242	2011.01.07	-
VirusBuster	13.6.132.0	2011.01.06	-

2) Pour la page de démarrage //ne/ dans IE6, je sais pas ce que c'est, je l'ai supprimé (je passe jamais par la page de démarrage sous IE6).

3) pour la tache planifiée, ça me semble plus embêtant car je ne me sers jamais des taches. yorkdohbb lance le fichier "C:\WINDOWS\system32\rundll32.exe "C:\WINDOWS\System32\opnkhefC.dll",ShellPath" une fois par jour. Mais la planification existe depuis le 01/01/2007 apparemment. donc ça doit pas être la source de mon problème. Là, je l'ai juste désactivée pour l'instant.

Lyonnais92 · Answer

Re,

tu scan sur VirusTotal C:\WINDOWS\System32\opnkhefC.dll

La date peut être fausse.

Asgarel · Answer

En fait, il y a pas (plus ?) de fichier opnkhefC.dll dans le répertoire System32. J'ai aussi fait une recherche sur tout C: mais introuvable...

Lyonnais92 · Answer

Re,

on va supprimer proprement la tâche.

Copie dans le Presse-papier cette ligne (sélectionne la avec la souris et fais simultanément Ctrl et C)


O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\yokdohbb.job

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

===

Tu fais redémarrer l'ordi.

Ton souci est toujours là ?

(il est possible que tu ne puisses pas répondre tout de suite).

Asgarel · Answer

Voici le rapport:

Rapport de ZHPFix 1.12.3236 par Nicolas Coolman, Update du 05/01/2011
Fichier d'export Registre : 
Run by sports2nature at 07/01/2011 16:00:23
Windows XP Professional Service Pack 1 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Fichier(s) ==========
c:\windows	asks\yokdohbb.job  => Supprimé et mis en quarantaine


========== Récapitulatif ==========
1 : Fichier(s)


End of the scan

*****

malheureusement le problème est toujours là...

Et cette DLL xvs_ilop.dll qui date du 2 janvier, justement à peu près le début de mes problèmes, ce serait pas quand même une bonne piste? Je crois pas avoir rien installé de nouveau de mon côté, à part une mise à jour de Firefox (vers la 3.6.13).

Lyonnais92 · Answer

Re,

renomme le C:\WINDOWS\xvs_ilop.dll.old

Asgarel · Answer

je l'ai renommée, j'ai rebooté, la dll n'est pas revenue mais le problème est toujours là. Donc fausse piste certainement. 

Et côté services, tout est normal ? Rien à tester ou tenter ?

dans mon journal HIPS du Firewall, j'ai deux types de message:
- Buffer Overflow in process svchost.exe
- Invalid Instruction - Suspicious call instruction in process svchost.exe

Ça veut pas dire que c'est un des services démarré qui provoque le problème ?

Lyonnais92 · Answer

Re,

2 pistes :

- si tu te déconnectes d'Internet (pas seulement fermer les navigateurs, couper la connexion, wifi ou cable ?), tu as toujours le problème ?

- que donne comme information Process explorer.

Fais ceci :

Ouvre ce lien et télécharge ProcessExplorer.zip de Sysinternals sur ton Bureau :

https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer?redirectedfrom=MSDN

Dézippe le et lance le.

Clique sur View puis sur Select columns.

Dans l'onglet Process image, coche Description et Company name puis OK

Dans Process performances, coche Cpu usage, Io writes, Io delta writes et Io others puis OK

Est ce que un des processus svchost a un comportement "bizarre" ?

Si oui, lequel (passe la souris dessus) et, si il y a lieu, clique sur le + pour visualiser les processus qui en dépendent.

Asgarel · Answer

Le seul svchost qui tourne en permanence est: 
stiscv - Acquisition d'images Windows (WIA) - svchost.exe -k imgsvc 

tous les autres svchost sont au repos 

Sinon, un comportement bizarre ça pourrait être quoi ?
 Par exemple, dans un autre svchost, il y a Wmiprvse.exe qui apparait de temps en temps surligné en rouge, puis qui disparait.

Je n'ai pas encore essayé sans la connexion internet (freebox)...

Lyonnais92 · Answer

Re,

vérifie pour ceux qui ont un + devant que les processus en aval sont "sages" eux aussi.

Kill le processus (il reviendra au reboot) et dis moi si cela change quelque chose.

Asgarel · Answer

Bon, j'ai désactivé le service stiscv (acquisition d'image windows), déconnecté internet et laissé tourné le PC une heure => plus aucune erreur. 

Ensuite, j'ai juste rebranché internet sans rien toucher, et le problème est toujours là. Ce n'est dons pas stiscv qui est en cause. Mais le problème disparait sans connexion internet. 

Pour l'arborescence sous Process Explorer, tout est déjà développé, donc je n'ai pas de "+", que des "-". 

services.exe est régulièrement actif, mais sur les 4 svchost.exe qui restent, je ne vois pas d'activité régulière. 

En fait, je ne sais plus trop quoi chercher...

Lyonnais92 · Answer

Re,

ouvre ton parefeu.

Mets toi sous l'onglet "Overview" (celui le plus en haut) puis Connexions;

Tu dois avoir une ligne Generic Host Process ....

Clique sur le +

Qu'est ce qui apparaît (je pense que c'est un de ceux là qui posent problème) ?

Est ce que tu sais vers quels ip tu es connecté (toujours dans un onglet du parefeu) ?

Lyonnais92 · Answer

re,

tu feras ça aussi :

relance ZHPDiag, clique sur le tournevis, clique sur Aucun.

Coche les cases devant les lignes O1, O62, O65 et O66.

Poste le rapport dans ta réponse (directement ou dans un lien Cijoint suivant le nombre de lignes).

Asgarel · Answer

Voilà déjà la nouvelle analyse ZHPDiag:  
http://www.cijoint.fr/cjlink.php?file=cj201101/cijAdE7xEq.txt 

*** 
Je te mets un screen de mon Firewall sur le Generic Host Process: 
http://www.cijoint.fr/cjlink.php?file=cj201101/cijKqYu3nH.jpg

Je ne vois pas d'information sur les IP connectés. Est ce que tu peux préciser la question ?

Lyonnais92 · Answer

Bonjour,

as tu essayé de mettre à jour Windows (SP2 puis SP3) ?

tu as le CD de Windows ?

Si oui, installe la console de récupération.

Tutorielici :

https://www.commentcamarche.net/faq/1968-installer-et-optimiser-la-console-de-recuperation-sous-xp

Tu l'installes et tu l'optimises.

Il n'est pas nécessaire de désactiver l'écran de démarrage.

===

Asgarel · Answer

J'ai essayé une fois de passer au SP2, mais ça ma mis en l'air ma config pour travailler en local sur IIS (développement web en local). Impossible de trouver une nouvelle config de travail qui fonctionne. Donc, je suis revenu au SP1 pour pouvoir travailler. ET puis bon, ça fait des années que ça fonctionne comme ça.

Sinon, j'ai remarqué un truc, c'est que Firefox s'ouvre en aval de Itouch (clavier Logitech) dans l'arborescence de Process Explorer. C'est normal ? La dernière chose que j'ai quand même fait sur ce PC avant les problèmes, c'est la MAJ de Firefox...

(PS: sinon oui, j'ai bien le CD de Windows XP Pro, version officielle....)

Lyonnais92 · Answer

Re,

quand tu as installé la console de récupération, tu fais ça :

On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

N'oublie pas de te déconnecter d'Internet pour avoir un ordi stable.


* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.

Asgarel · Answer

Problèmes avec ComboFix... 

J'ai installé la console de récupération => elle apparait bien en choix pendant le Boot, mais ComboFix me dit qu'elle n'est pas intallée (Comme ma connexion internet est coupée, j'ai répondu non à la proposition de réinstallation). 

Mais surtout => Ecran bleu avant la fin des étapes d'analyse, donc pas de COMBOFIX.TXT de créé (je n'ai jamais d'écran bleu sur ce PC habituellement).

...par contre, il me reste un dossier bizarre ComboFix sur la racine de C: (surement un répértoire temporaire).

Lyonnais92 · Answer

Re,

essaye de relancer Combofix en mode sans échec.

Asgarel · Answer

J'ai réinstallé une 2ème fois la console (au cas ou...). J'ai relancé ComboFix en mode sans échec. Il me signale toujours qu'il ne trouve pas la console, mais il termine l'analyse. Voici le fichier Combofix.txt:

http://www.cijoint.fr/cjlink.php?file=cj201101/cijqVVnruf.txt

Apparemment, il a effacé certaines fichiers mais le problème est toujours là.

Lyonnais92 · Answer

Re,

CF a aussi mis en évidence l'absence de 2 fichiers.

On va les remettre.

Déplace Combofix sur ton Bureau.

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

FCopy::
c:\windows\SoftwareDistribution\Download\70ccc3de7e94865059fbcf2f809c03b1\wscntfy.exe | c:\windows\System32\wscntfy.exe
c:\windows\SoftwareDistribution\Download\70ccc3de7e94865059fbcf2f809c03b1\xmlprov.dl | c:\windows\System32\xmlprov.dl

Enregistre ce fichier sous le nom CFscript

Redémarre en mode sans échec sur ta session habituelle.


Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher.

Redémarre en mode normal et poste son contenu.

Il se trouve ici > C:\ComboFix.txt

Asgarel · Answer

Voilà le nouveau rapport:
http://www.cijoint.fr/cjlink.php?file=cj201101/cijSStKCuH.txt

Lyonnais92 · Answer

Re,

le script n'a fonctionné qu'à moitié (ma faute, j'ai mangé un l dans la copie).

Recommence avec :

FCopy::
c:\windows\SoftwareDistribution\Download\70ccc3de7e94865059fbcf2f809c03b1\xmlprov.dl | c:\windows\System32\xmlprov.dll

Asgarel · Answer

the new one: 
http://www.cijoint.fr/cjlink.php?file=cj201101/cij889c5Gd.txt

problème toujours là, hélas...

Lyonnais92 · Answer

Re,

encore un l qui manque. je dors aujourd'hui.

Le bon script :

FCopy::
c:\windows\SoftwareDistribution\Download\70ccc3de7e94865059fbcf2f809c03b1\xmlprov.dll | c:\windows\System32\xmlprov.dll

Asgarel · Answer

avec tous les l: 
http://www.cijoint.fr/cjlink.php?file=cj201101/cij7RBFVMe.txt

Et toujours pas résolu...

Lyonnais92 · Answer

Re,

pour le moment, je cherche à rectifier toutes les imperfections que je peux trouver, sans certitude que cela règlera le problème.

Il y a  des traces de 3 services très suspects (2 inconnus et un clairement malware) pour lesquels il n'y a pas de fichier associé (les outils de sécurité ont fait une partie du travail).

On va compléter.

Tu exécutes ce nouveau script Combofix (en mode normal si possible, en mode sans échec si nécessaire) (mais toujours avec les mêmes précautions)  :

Driver::
SVCHOSTS32
Cd20srv
Symddtpd

Asgarel · Answer

Rapport en mode sans échec (toujours écran bleu en mode normal):
http://www.cijoint.fr/cjlink.php?file=cj201101/cijbprTrI9.txt

Lyonnais92 · Answer

Re,

bien que tu ne l'ais pas écrit, je pense que le problème est toujours là.

Mets à jour Kaspersky et fais un scan complet.

Mets à jour MBAM et fais un scan complet (ce sera assez long).

Je pense qu'ils ne trouveront rien. Sinon tu postes les rapports.

Asgarel · Answer

oui, le problème est toujours là.

Je relancerais tout ça demain, avec un coup de Spybot en plus, mais bon, j'ai déjà lancé ces bestioles plusieurs fois pour rien...

J'ai essayé de killer tout les processus killables(!), mais pas d'amélioration. Il y a vraiment que la coupure internet qui rend le PC stable. Quand même incroyable ce truc là!!

Asgarel · Answer

Effectivement, RAS après analyse...

Lyonnais92 · Answer

Bonjour,

je voudrais tester si le problème est lié à Firefox ou à la connexion Internet.

Si tu te connectes à Internet Firefox fermé, est ce que le problème existe ?

(tu te déconnectes d'Internet, tu fais redémarrer, tu vérifies que Firefox est fermé et tu te connectes).

Tu ouvres Firefox, tu vérifies si il est ouvert sous Logitech.

Si oui, tu killes le processus et tu le réouvres;

Il est toujours ouvert sous Logitech ?

Asgarel · Answer

Bonjour,  

Quand Firefox n'est pas ouvert, le problème existe (en fait le problème existe dès l'ouverture, avec seulement les autostarts ouverts).  

Firefox s'ouvre toujours sous Itouch.exe (Logitech). Lorsque je supprime le prcessus Firefox et que je l'ouvre à nouveau, il vient se remettre sous Itouch. Lorsque je supprime Itouch, Firefox ne s'ouvre plus (quand même étrange, ça).  

Et même quand Itouch est fermé, le problème persiste.

... à tout hasard, je retéléchargé Itouch chez Logitech et je l'ai réinstallé, mais idem.

Lyonnais92 · Answer

Re,

je m'intéresse à la localisation de ton Firefox (le mien est sous explorer.exe).

Je te propose ceci :

Tu télécharges firefox ici :

http://www.frenchmozilla.fr/

Tu l'enregistres.

Tu te déconnectes d'Internet.

Tu fermes Itouch (si possible).

Tu désinstalles Firefox.

Tu redémarres et tu refermes Itouch.

Tu réinstalles Firefox (par double clic sur le fichier téléchargé).

Tu le lances et tu regardes où il est localisé.

Tu relances Itouch, tu fermes Firefox et tu le relances.

Localisation ?

Tu te reconnectes à Internet.

Résultat.

Asgarel · Answer

C'est fait. J'ai eu le droit à un peu tout:   
- premier relancement de Firefox après l'installation => Firefox directement à la racine.   
- En refermant et relançant Firefox => Firefox sous Explorer (rappel: pas d'Itouch)   
- Je ferme Firefox et relance Itouch = Itouch à la racine   
- Je relance enfin Firefox => Firefox sous explorer, iTouch toujours à la racine.   

et maintenant je redémarre et...  
...PC planté, obliger de faire un hard-reboot (donc problème idem)  

après redémarrage, Firefox vient se remettre sous iTouch (qui est sous explorer) comme avant.  

apparement, c'est comme si Firefox utilisait 4 DLL Logitech:  
lgscroll.dll  
LGMSGHK.dll  
itchhk.dll  
KbdHook.dll 

mais avec iTouch fermé, Firefox se lance bien maintenant (sous explorer), et bien sur sans aucune DLL Logitech... 

C'est un truc bizarre mais bon, le problème est là avec iTouch et Firefox fermés...

Asgarel · Answer

je m'aperçois aussi que la DLL xvs_ilop est revenue. Cette fois, elle ne fait plus que 148 octets (444 avant).

Lyonnais92 · Answer

Re,

1) rescanne la dll sur Virus total et poste le rapport (y compris avec une ligne qui donne le MD5 du fichier

2) est ce que Combofix a créé C:\WINDOWS\ERDNT (avec 2 répertoires à l'intérieur et des fichiers) ?

Asgarel · Answer

Bonjour,

1) Voilà le rapport de xvs_ilop.dll:

Antivirus 	Version 	Last Update 	Result
AhnLab-V3	2011.01.10.00	2011.01.09	-
AntiVir	7.11.1.60	2011.01.10	-
Antiy-AVL	2.0.3.7	2011.01.10	-
Avast	4.8.1351.0	2011.01.09	-
Avast5	5.0.677.0	2011.01.09	-
AVG	9.0.0.851	2011.01.10	-
BitDefender	7.2	2011.01.10	-
CAT-QuickHeal	11.00	2011.01.10	-
ClamAV	0.96.4.0	2011.01.10	-
Command	5.2.11.5	2011.01.10	-
Comodo	7349	2011.01.10	-
DrWeb	5.0.2.03300	2011.01.10	-
Emsisoft	5.1.0.1	2011.01.10	-
eSafe	7.0.17.0	2011.01.06	-
eTrust-Vet	36.1.8087	2011.01.07	-
F-Prot	4.6.2.117	2011.01.09	-
F-Secure	9.0.16160.0	2011.01.10	-
Fortinet	4.2.254.0	2011.01.10	-
GData	21	2011.01.10	-
Ikarus	T3.1.1.90.0	2011.01.10	-
Jiangmin	13.0.900	2011.01.10	-
K7AntiVirus	9.75.3472	2011.01.07	-
Kaspersky	7.0.0.125	2011.01.10	-
McAfee	5.400.0.1158	2011.01.10	-
McAfee-GW-Edition	2010.1C	2011.01.10	-
Microsoft	1.6402	2011.01.10	-
NOD32	5772	2011.01.09	-
Norman	6.06.12	2011.01.09	-
nProtect	2011-01-10.01	2011.01.10	-
Panda	10.0.2.7	2011.01.09	-
PCTools	7.0.3.5	2011.01.10	-
Prevx	3.0	2011.01.10	-
Rising	22.82.00.01	2011.01.10	-
Sophos	4.61.0	2011.01.10	-
SUPERAntiSpyware	4.40.0.1006	2011.01.10	-
Symantec	20101.3.0.103	2011.01.10	-
TheHacker	6.7.0.1.112	2011.01.09	-
TrendMicro	9.120.0.1004	2011.01.10	-
TrendMicro-HouseCall	9.120.0.1004	2011.01.10	-
VBA32	3.12.14.2	2011.01.06	-
VIPRE	8014	2011.01.10	-
ViRobot	2011.1.10.4245	2011.01.10	-
VirusBuster	13.6.136.0	2011.01.09	-
Additional information
Show all
MD5   : 8ed10474d59315de5d01640e8a090729
SHA1  : 771b4c884f7b333f2c2782a51667925a0bb34463
SHA256: ca9e0299dc80889e5fd7ca135fe57e574d1e7e22be132d1cf1fbd241ed089050
ssdeep: 3:y2mQpC8SFSEPLT4y2XjLNAn5iqr7H7dM5bmBBtUda2XjLNAn5iqr7Hg:yDTR50XvNI5z7HqIB
tEa2XvNI5z7Hg
File size : 148 bytes
First seen: 2011-01-10 09:09:41
Last seen : 2011-01-10 09:09:41
TrID:
Generic INI configuration (100.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
ExifTool:
file metadata
Error: File format error
FileSize: 148 bytes

VT Community

0

    This file has never been reviewed by any VT Community member. Be the first one to comment on it! 

**************

2) ComboFix a bien créé le répertoire ERDNT, avec 3 sous répertoires et un fichier:
cache
subs
Hiv-backup

CFrecovery.bat

Lyonnais92 · Answer

Bonjour,

est ce que tu peux trouver l'instance de svchost qui apparait lorsque tu te connectes à Internet ?

procédure :

déconnexion d'Internet

redémarrage de l'ordi

ouverture de Process Explorer

tri sur le nom des processus (en cliquant sur la colonne) (pour revenir à la vue "normale" View et Show process tree)

connexion à Internet

est ce que une nouvelle instance est apparue, si oui laquelle

si non, une a-t-elle changé ?

Asgarel · Answer

En tout, je n'ai jamais que 4 instances de svchost, qu'internet soit ouvert ou fermé. Voici 2 screen de process explorer sur les svchost avant/après connexion:

avant:
http://www.cijoint.fr/cjlink.php?file=cj201101/cijrgLFAmv.jpg

après:
http://www.cijoint.fr/cjlink.php?file=cj201101/cijngXB0nm.jpg

pendant la connexion, le 2ème svchost réagit en premier, le deuxième ensuite. Les 3ème et 4ème ne bougent pas (c'est à dire que je ne vois pas d'activité CPU, mais les I/O changent un peu).

J'ai déjà essayé de killer les 3èmes et 4èmes svchost, mais le problème reste le même. Evidemment, on ne peut pas supprimer les 2 principaux sans que l'ordi reboote.

Lyonnais92 · Answer

Re,

on va changer de stratégie.

L'idée est d'installer le SP3 en se donnant tous les moyens de l'annuler.

1) tu télécharges le SP3 ici 

https://www.commentcamarche.net/telecharger/systemes-d-exploitation/20759-sp3-windows-xp/

et tu l'enregistre sans l'exécuter.

2) on supprime la version actuelle de Combofix comme ça :

Démarrer, Exécuter, Parcourir

 cherche Combofix sur ton Bureau puis clique sur Ouvrir

dans la zone de saisie de Exécuter, tape  /uninstall, vérifie qu'il y a un espace entre .exe et /uninstall puis clique sur OK.

Tu dois avoir la barre d'exécution de Combofix puis l'indication que la désinstallation a réussi.

3) tu télécharges la dernière version de Combofix sur ton Bureau et tu l'exécutes en mode sans échec.

Tu vérifies que les répertoires ERDNT se sont bien recréés

4) tu prends un point de restauration via Aide et support

5) tu installes le SP3 par double clic sur le fichier téléchargé en 1

===

Indépendamment des soucis que tu peux avoir, est ce que cela résoud le problème du débordement de tampon ?

Si cela bloque des fonctionnalités, retour en arrière sur le point de restauration créé au 4

Asgarel · Answer

me voilà en SP3...  

L'analyse ComboFix:  
http://www.cijoint.fr/cjlink.php?file=cj201101/cijid8fXIR.txt  

Le répertoire ERDNT a été recréé mais ne contient plus que 2 sous répertoires (cache et Hiv-backup).  

Pour l'instant je laisse tourner un peu... 

Pas encore de plantage, mais le message: 

Generic Host Process for Win32 Services a rencontré un problème et doit fermer. 

Je ne trouve plus le service IIS (que j'avais fermé). C'est normal ?

(revenir au point de restauration ne pourrait pas recréer le problème ?)

Lyonnais92 · Answer

Re,

si tu redémarres, tu as de nouveau le message

Generic Host Process for Win32 Services a rencontré un problème et doit fermer.

?

Tu ne le trouves quand tu fais démarrer, exécuter, services.msc et OK ?

Si oui, dans Panneau de configuration, Ajout/suppression de programmes, Installer des composants Windows, il te dit quoi à propos de IIS ?

Je pense que tu en sais plus que moi sur cette application.

Tu connais 

http://www.tutoriaux-excalibur.com/iis.htm

https://www.mmt-fr.org/

Asgarel · Answer

Malheur! le problème est revenu. J'y ai cru pendant 20 minutes sans alertes.

L'erreur Generic Host processe est pas revenue pour l'instant. Maintenant, j'ai 5 process svchost au lieu de 4.

Pour IIS, il est coché et donc installé dans la liste des composants Windows, mais n'apparait plus dans la liste des services (je l'avait désactivé hier pour voir).

Ce qui est nouveau, c'est que iTouch ne se lance plus au démarrage, je suis obligé de le relancer manuellement. Il est pourtant bien dans la liste des autostarts. Il y a d'ailleurs d'autres trucs qui ne se lancent plus au démarrage comme Daemon tool. Le démarrage est difficile.

Lyonnais92 · Answer

Re,

refais un scan ZHPDiag et poste le rapport dans un lien Cijoint.

===

Essaye ça :


4. Cliquez sur "Ajouter / Supprimer des composants Windows" dans le "Ajouter ou supprimer des programmes" fenêtre.

5. Recherchez «Internet Information Services" dans la fenêtre pop-up et cliquez sur la case à côté de lui. Cliquez sur "OK" et vous serez invité à redémarrer votre système après l'installation de IIS.


Si la case est cochée, décoche puis recoche.

Lyonnais92 · Answer

Re,

quand tu es sur IIS, clique pour développer et vérifier qu'il ne manque pas un composant.

Asgarel · Answer

Oula, frayeur!  
Comme c'était le bordel, j'ai tenté une restauration système avant le SP3. Et là pas bon. Plus d'accès web, plus de bureau, plus rien. Et l'annulation de restauration qui échoue! heureusement, il restait un point de restauration après SP3 qui marche. Me voilà donc revenu au point de départ.  

Voilà pour le rapport ZHPDiag:  
http://www.cijoint.fr/cjlink.php?file=cj201101/cijQB2ctYD.txt 

Argh! Quest ce que je vois dans le rapport ? Service pack 1 !!!???

J'y comprends rien. Le SP3 c'est installé correctement et j'ai restauré sur un point qui s'appelle justement "Le SP3 a été installé sur votre système". Il est passé où le SP3??

Lyonnais92 · Answer

Re,

les 4 fichiers 

C:\Windows\Explorer.exe
C:\Windows\System32\Winlogon.exe 
 C:\Windows\System32\drivers\atapi.sys
 C:\Windows\System32\drivers
tfs.sys

sont les mêmes que dans ton premier rapport ZHPDiag.

Soit le titre du point de restauration était faux soit l'installation s'était mal passé.

Fais moi le point de

dépassement de tampon

IIS

Itouch

firefox et Itouch

Asgarel · Answer

J'ai créé un point à 15h43 nommé "avant SP3" - la restauration sur ce point s'est pas bien passée du tout, ni l'annulation de restauration.

Windows m'a créer un point à 15h49 "Le Service Pack 3 pour Windows XP a été installé." C'est le point de restauration sur lequel je suis actuellement.

Pour le dépassement de tampon, c'est toujours pareil.

Je n'ai plus IIS, mais je m'en préoccupe pas trop pour l'instant. Une réinstallation future devrait faire l'affaire (j'espère). 

Itouch se relance bien tout seul comme ce matin, et Firefox vient se mettre sagement dessous comme d'hab.

Bref, le passage sous SP3 aura duré 30 minutes. Mais pendant ces 30 minutes, c'était pas terrible: problème=idem + erreur windows svchost + autostarts qui startent pas + PC qui rame complet...

Lyonnais92 · Answer

Re,

je voudrais bien voir ce que donne une réinstallation de IIS.

Le temps de mise à jour vers le SP3 me laisse perplexe.

Asgarel · Answer

pour IIS c'est bon, il a fallut que je désinstalle/réinstalle 2 fois mais là c'est OK.

Pour les 6 minutes entre les deux points, ça me semble bizarre aussi. J'ai l'impression que ça a pris plus de temps que ça. Ce qui est sûr, c'est qu'à la fin j'ai eu le message pour installation correcte, et quand ça a rebooté j'ai eu un écran avec un petit logo Windows juste après le grand logo pleine page (celui avec la barre qui défile en dessous). J'ai pensé que c'était nouveau avec le SP3.

Et puis l'erreur svchost, là aussi j'ai aussi pensé que c'était nouveau avec le SP3...

Lyonnais92 · Answer

Re,

analyse C:\Windows\System32\svchost.exe sur Virus Total.

===

    Ouvre le registre et navigue avec les + et les - jusqu'à la clé

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Nt \CurrentVersion\svchost

    Clique successivement sur Fichier puis sur Exporter et choisis un nom (XXXXXX par exemple). Tu retiens le nom du répertoire (Mes documents par défaut).

    Ferme le registre et ouvre l'explorateur Windows.

    Clique droit sur le fichier et choisis Modifier.

    Le bloc-notes s'ouvre avec le contenu de la clé.

    Copie le dans ta réponse.

Asgarel · Answer

Bon, j'ai 3 svchost dans system32, nommés svchost, svcchost(2), svchost(3)(2). tous font 13k et ont l'air d'être identiques.  

Voici déjà le virustotal du 1er:  

Antivirus  Version  Last Update  Result  
AhnLab-V3 2011.01.11.00 2011.01.10 -  
AntiVir 7.11.1.81 2011.01.11 -  
Antiy-AVL 2.0.3.7 2011.01.11 -  
Avast 4.8.1351.0 2011.01.10 -  
Avast5 5.0.677.0 2011.01.10 -  
AVG 9.0.0.851 2011.01.11 -  
BitDefender 7.2 2011.01.11 -  
CAT-QuickHeal 11.00 2011.01.11 -  
ClamAV 0.96.4.0 2011.01.11 -  
Command 5.2.11.5 2011.01.11 -  
Comodo 7360 2011.01.11 -  
DrWeb 5.0.2.03300 2011.01.11 -  
Emsisoft 5.1.0.1 2011.01.11 -  
eSafe 7.0.17.0 2011.01.10 -  
eTrust-Vet 36.1.8092 2011.01.11 -  
F-Prot 4.6.2.117 2011.01.10 -  
F-Secure 9.0.16160.0 2011.01.11 -  
Fortinet 4.2.254.0 2011.01.10 -  
GData 21 2011.01.11 -  
Ikarus T3.1.1.90.0 2011.01.11 -  
Jiangmin 13.0.900 2011.01.11 -  
K7AntiVirus 9.75.3497 2011.01.10 -  
Kaspersky 7.0.0.125 2011.01.11 -  
McAfee 5.400.0.1158 2011.01.11 -  
McAfee-GW-Edition 2010.1C 2011.01.10 -  
Microsoft 1.6402 2011.01.11 -  
NOD32 5776 2011.01.10 -  
Norman 6.06.12 2011.01.11 -  
nProtect 2011-01-11.01 2011.01.11 -  
Panda 10.0.2.7 2011.01.10 -  
PCTools 7.0.3.5 2011.01.11 -  
Prevx 3.0 2011.01.11 -  
Rising 22.82.01.01 2011.01.11 -  
Sophos 4.61.0 2011.01.11 -  
SUPERAntiSpyware 4.40.0.1006 2011.01.11 -  
Symantec 20101.3.0.103 2011.01.11 -  
TheHacker 6.7.0.1.113 2011.01.11 -  
TrendMicro 9.120.0.1004 2011.01.11 -  
TrendMicro-HouseCall 9.120.0.1004 2011.01.11 -  
VBA32 3.12.14.2 2011.01.11 -  
VIPRE 8027 2011.01.11 -  
ViRobot 2011.1.11.4247 2011.01.11 -  
VirusBuster 13.6.138.1 2011.01.10 -  
Additional information  
Show all  
MD5   : 333a4db8410d8e24db06d6aebecdc7c2  
SHA1  : 1eeb0e284d1e141e549f810fa2bd3f436a9d5ff2  
SHA256: 17746fbf9cf9a51e0bf89076f8207712674245c44b3caea170a86dae3304c42f 

***** je mets l'analyse du 2ème, mais ça a l'air d'être les mêmes fichiers: 

Antivirus  Version  Last Update  Result 
AhnLab-V3 2011.01.11.00 2011.01.10 - 
AntiVir 7.11.1.81 2011.01.11 - 
Antiy-AVL 2.0.3.7 2011.01.11 - 
Avast 4.8.1351.0 2011.01.10 - 
Avast5 5.0.677.0 2011.01.10 - 
AVG 9.0.0.851 2011.01.11 - 
BitDefender 7.2 2011.01.11 - 
CAT-QuickHeal 11.00 2011.01.11 - 
ClamAV 0.96.4.0 2011.01.11 - 
Command 5.2.11.5 2011.01.11 - 
Comodo 7360 2011.01.11 - 
DrWeb 5.0.2.03300 2011.01.11 - 
Emsisoft 5.1.0.1 2011.01.11 - 
eTrust-Vet 36.1.8092 2011.01.11 - 
F-Prot 4.6.2.117 2011.01.10 - 
F-Secure 9.0.16160.0 2011.01.11 - 
Fortinet 4.2.254.0 2011.01.10 - 
GData 21 2011.01.11 - 
Ikarus T3.1.1.90.0 2011.01.11 - 
Jiangmin 13.0.900 2011.01.11 - 
K7AntiVirus 9.75.3497 2011.01.10 - 
Kaspersky 7.0.0.125 2011.01.11 - 
McAfee 5.400.0.1158 2011.01.11 - 
McAfee-GW-Edition 2010.1C 2011.01.10 - 
Microsoft 1.6402 2011.01.11 - 
NOD32 5776 2011.01.10 - 
Norman 6.06.12 2011.01.11 - 
nProtect 2011-01-11.01 2011.01.11 - 
Panda 10.0.2.7 2011.01.10 - 
PCTools 7.0.3.5 2011.01.11 - 
Prevx 3.0 2011.01.11 - 
Rising 22.82.01.01 2011.01.11 - 
Sophos 4.61.0 2011.01.11 - 
SUPERAntiSpyware 4.40.0.1006 2011.01.11 - 
TheHacker 6.7.0.1.113 2011.01.11 - 
TrendMicro 9.120.0.1004 2011.01.11 - 
TrendMicro-HouseCall 9.120.0.1004 2011.01.11 - 
VBA32 3.12.14.2 2011.01.11 - 
VIPRE 8027 2011.01.11 - 
ViRobot 2011.1.11.4247 2011.01.11 - 
VirusBuster 13.6.138.1 2011.01.10 - 
Additional information 
Show all 
MD5   : 333a4db8410d8e24db06d6aebecdc7c2 
SHA1  : 1eeb0e284d1e141e549f810fa2bd3f436a9d5ff2 
SHA256: 17746fbf9cf9a51e0bf89076f8207712674245c44b3caea170a86dae3304c42f

****

Et voilà la clé du registre svchost:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
"LocalService"=hex(7):41,00,6c,00,65,00,72,00,74,00,65,00,72,00,00,00,57,00,65,\
  00,62,00,43,00,6c,00,69,00,65,00,6e,00,74,00,00,00,4c,00,6d,00,48,00,6f,00,\
  73,00,74,00,73,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,52,00,65,00,67,\
  00,69,00,73,00,74,00,72,00,79,00,00,00,75,00,70,00,6e,00,70,00,68,00,6f,00,\
  73,00,74,00,00,00,53,00,53,00,44,00,50,00,53,00,52,00,56,00,00,00,00,00
"NetworkService"=hex(7):44,00,6e,00,73,00,43,00,61,00,63,00,68,00,65,00,00,00,\
  00,00
"netsvcs"=hex(7):36,00,74,00,6f,00,34,00,00,00,41,00,70,00,70,00,4d,00,67,00,\
  6d,00,74,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,42,\
  00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,43,00,72,00,79,00,70,00,74,00,\
  53,00,76,00,63,00,00,00,44,00,4d,00,53,00,65,00,72,00,76,00,65,00,72,00,00,\
  00,44,00,48,00,43,00,50,00,00,00,45,00,52,00,53,00,76,00,63,00,00,00,45,00,\
  76,00,65,00,6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,46,00,61,\
  00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\
  69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\
  00,69,00,74,00,79,00,00,00,48,00,69,00,64,00,53,00,65,00,72,00,76,00,00,00,\
  49,00,61,00,73,00,00,00,49,00,70,00,72,00,69,00,70,00,00,00,49,00,72,00,6d,\
  00,6f,00,6e,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,53,00,65,00,72,00,\
  76,00,65,00,72,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,57,00,6f,00,72,\
  00,6b,00,73,00,74,00,61,00,74,00,69,00,6f,00,6e,00,00,00,4d,00,65,00,73,00,\
  73,00,65,00,6e,00,67,00,65,00,72,00,00,00,4e,00,65,00,74,00,6d,00,61,00,6e,\
  00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,00,\
  00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,69,\
  00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,00,\
  74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,73,\
  00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,00,\
  63,00,65,00,73,00,73,00,00,00,53,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,\
  00,00,00,53,00,65,00,63,00,6c,00,6f,00,67,00,6f,00,6e,00,00,00,53,00,45,00,\
  4e,00,53,00,00,00,53,00,68,00,61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,\
  00,73,00,73,00,00,00,53,00,52,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,\
  00,00,54,00,61,00,70,00,69,00,73,00,72,00,76,00,00,00,54,00,68,00,65,00,6d,\
  00,65,00,73,00,00,00,54,00,72,00,6b,00,57,00,6b,00,73,00,00,00,57,00,33,00,\
  32,00,54,00,69,00,6d,00,65,00,00,00,57,00,5a,00,43,00,53,00,56,00,43,00,00,\
  00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,70,00,\
  00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,54,00,65,00,72,00,6d,\
  00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,00,00,77,00,75,00,61,00,75,00,\
  73,00,65,00,72,00,76,00,00,00,42,00,49,00,54,00,53,00,00,00,53,00,68,00,65,\
  00,6c,00,6c,00,48,00,57,00,44,00,65,00,74,00,65,00,63,00,74,00,69,00,6f,00,\
  6e,00,00,00,68,00,65,00,6c,00,70,00,73,00,76,00,63,00,00,00,75,00,70,00,6c,\
  00,6f,00,61,00,64,00,6d,00,67,00,72,00,00,00,49,00,70,00,36,00,46,00,77,00,\
  48,00,6c,00,70,00,00,00,00,00
"rpcss"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
"imgsvc"=hex(7):53,00,74,00,69,00,53,00,76,00,63,00,00,00,00,00
"termsvcs"=hex(7):54,00,65,00,72,00,6d,00,53,00,65,00,72,00,76,00,69,00,63,00,\
  65,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\LocalService]
"CoInitializeSecurityParam"=dword:00000001
"AuthenticationCapabilities"=dword:00002000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
etsvcs]
"CoInitializeSecurityParam"=dword:00000001
"AuthenticationCapabilities"=dword:00003020

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\PCHealth]
"CoInitializeSecurityParam"=dword:00000002
"AuthenticationCapabilities"=dword:00000040

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost	ermsvcs]
"CoInitializeSecurityParam"=dword:00000001
"DefaultRpcStackSize"=dword:00000008

Asgarel · Answer

J'ai été voir sur windows update, et 2 vieilles MAJ de sécurité étaient manquantes (pourtant le PC était à jour de ce coté là). Je les ai réinstallées...   

Ah, et xvs_ilop est revenu. Il fait plus que 74 octets ce coup ci. A force de fondre il va bien finir par disparaitre...  

Je lui ai fait un virustotal, mais RAS:  
MD5   : 0cb6afc748ed8d3843e9b1506cf4187a  
SHA1  : a94462287c71224409e914b227c0fd83deb049ec  
SHA256: a59635864888d99cf2bdcd3dc405ca43cfb24ec471fc8124bbe5b8b10d7fbfac

***

Bon, j'y ai cru 1/2 heure, mais c'est revenu...

Lyonnais92 · Answer

Bonjour,

je ne vais pas avoir de temps pour continuer avant ce soir.

Je voudrais que tu te fabriques un CD de Windows avec le SP3 d'intégré.

La procédure est décrite ici :

https://www.pcastuces.com/pratique/windows/xp_sp3/page1.htm

===

Tu peux aussi lancer une procédure sfc /scannow :

https://forums.cnetfrance.fr/tutoriels-logiciels-et-applis/431-sfc-scannow-verifier-les-fichiers-systemes

===

Plus les choses avancent, plus je pense que l'obsolescence de Windows est la cause fondamentale des soucis.

Asgarel · Answer

Bonjour, 

J'ai lancé sfc /scannow, j'ai l'impression que ça m'a rajouter ou corriger quelques fichiers. 

Sinon, j'ai commencé la procédure de création du CD WinSP3, mais contrairement à ce qui est indiqué dans la procédure, le programme nlite nécessite le Framework 2.0 et pas le 1.1. Or, le Framework 2.0 nécessite le SP3, ça tourne en rond... 

A part ça, j'ai supprimé Kapersky 7.0 qui de toute façon m'a jamais servi à rien. Depuis, l'ordi est plus stable, j'ai moins de plantage (Au début, FireFox se chargeait même sous Explorer et je suis bien resté 1 heure sans Buffer overflow, internet ouvert. Après c'est revenu avec Firefox sous iTouch et débordement de tampon (possible que les 2 soient liés...)).

Je devrais peut être retenter de mettre le SP3 directement malgré l'expérience d'hier. Peut-être que sans Kapersky ça marcherait mieux...

Lyonnais92 · Answer

Re,

tu l'as remplacé par quel antivirus ?

Avant de retenter le SP3 (et enchaîner sur les mises à jour de Windows car il y en a), il faut :

désinstaller Combofix

le retélécharger et le reéxécuter (en mode sans échec)

reprendre un point de restauration manuel.

Asgarel · Answer

Bon, alors voilà ou j'en suis:       

1) en désinstallant combofix, j'ai oublié une lettre dans /uninstall, et combofix s'est donc éxécuter au lieu de se suppripmer. L'éxécution s'est bien déroulée en mode normal (pas d'écran bleu), mais Combofix a virer mon firewall et avant que je m'en aperçoive, j'ai pris une (ou plusieurs ?) saloperie: serivces.exe (i et v inversé). Voilà quand même le résultat de l'analyse:       

http://www.cijoint.fr/cjlink.php?file=cj201101/cija1gbpPm.txt      

2) J'ai quand même réussit à désinstaller, retélécharger et exécuter le nouveau Combofix, toujours en mode normal sans écran bleu. Voilà le résultat:      

http://www.cijoint.fr/cjlink.php?file=cj201101/cijfu3JvUR.txt     

3) J'ai installé le SP3, installé le tout nouveau Kapersky 2011, et lancé une analyse complète avec toutes les options d'analyse réglées au max. Résultat: RAS! (MBAM idem RAS) Par contre, il y a une nouvelle option "recherche des vulnérabilités", et là il me propose des trucs, mais pour l'instant j'ai pas approfondi.       

4) Avant de remettre internet, j'ai fait un ZHPDiag:       

http://www.cijoint.fr/cjlink.php?file=cj201101/cijTgF22yQ.txt     

5) Je tente maintenant de faire les MAJ Windows update, mais pour l'instant ça marche pas (ça patine dans la semoule...)       

6) Dès que je branche internet, j'ai à nouveau l'erreur Windows host comme avant hier.       

Donc me voilà de nouveau en SP3, pour l'instant pas tellement plus avancé...

Lyonnais92 · Answer

Bonsoir,

tu exécutes ZHPFix avec ce script :

[MD5.AADA169A1CBD822E1402991E6A9C9238] - (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\serivces.exe   [47616]
O23 - Service:  (PlugPlayCM) . (.Pas de propriétaire - Pas de description.) - C:\WINDOWS\system32\serivces.exe
O44 - LFC:[MD5.AADA169A1CBD822E1402991E6A9C9238] - 12/01/2011 - 14:33:14 R---- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\serivces.exe   [47616]
O64 - Services: CurCS - C:\WINDOWS\system32\serivces.exe - Plug and Play Manager (PlugPlayCM)  .(.Pas de propriétaire - Pas de description.) - LEGACY_PLUGPLAYCM
SR - | Auto 12/01/2011 47616 |  (PlugPlayCM) . (.Pas de propriétaire.) - C:\WINDOWS\system32\serivces.exe
O44 - LFC:[MD5.8737F6F4C8EC1E2A9EA5516F1B3AE1AD] - 12/01/2011 - 15:08:53 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\004329_.tmp

Il faut que tu installes un antivirus, sinon tu vas courir d'infections en infections;

Tu referas démarrer l'ordi et remettrras un rapport ZHPDiag après.

===

Il y a une nécessité à ce que hxxp.sports2nature.com soit en zone de confiance ?

Asgarel · Answer

Voilà le rapport:

http://www.cijoint.fr/cjlink.php?file=cj201101/cij6b9V29e.txt

Pour l'antivirus, là j'ai donc Kapersky 2011. Mais bon, j'ai eu KAV 7 pendant 3 ans et il m'a jamais rien trouvé. Donc à par ralentir le sytème...
Le plus efficace c'est quand même le Firewall, là tu vois le résultat. Mais dès qu'il est débranché tu vois le résultat aussi ;)

Pour la zone de confiance, je sais plus trop pourquoi je l'ai mis dedans, il devait y avoir une raison. Mais bon, je peux supprimer.

Sinon, là je suis à jour de partout: SP3 à jour + Framework 4 + IE8. Je laisse tourner un peu pour voir si les erreurs host reviennent, ou les dépassements de buffer (hope).

Lyonnais92 · Answer

Re,

je croise les doigts aussi.

Où en es tu avec IIS ?

Asgarel · Answer

Bonjour, 

Bon, la bonne nouvelle c'est que je n'ai plus de dépassement de tampon ni d'erreur windows host depuis hier. Super. 

Par contre, l'ordi est pas très stable. Les autostarts s'affichent pas tous dans la barre des taches, des fois il faut faire les choses en double pour que ça marche... 

Et puis j'ai plein de répertoires, je sais pas ce que c'est. Certains doivent appartenir à Combofix (Qoobox ?), mais y a des trucs comme D:\NetworkService.AUTORITE NT qui doivent pas être sains. Bref, j'aimerais bien remettre un peu d'ordre...

Lyonnais92 · Answer

Bonsoir,

bonne nouvelle pour le dépassement de tampon.

désinstalle Combofix (ça éliminera Qbboox et d'autres).

Procédure : démarrer, exécuter, rechercher combofix sur le Bureau et ajouter /uninstall sans oublier l'espace.

A faire déconnecter d'Internet.

Tu refais un rapport ZHPDiag (avant, tu le mets à jour avec la flèche verte).

Tu mets le rapport dans un lien Cijoint.

Ca me faciliterait que tu me fasses la liste de ce qui ne fonctionne pas bien (ou pas du tout).

Il faut peut âtre aussi que tu vois avec PSI ce qui n'est pas à jour :

https://www.commentcamarche.net/telecharger/securite/19879-secunia-personal-software-inspector/

Asgarel · Answer

1) J'ai désinstallé ComboFix. Je vois qu'il reste les répertoires c:\combofix et c:\windows\ERDNT\cache. Est ce qu'il faudra que je les supprime à la main quand ce sera terminé (c'est à dire pas maintenant) ?  

2) Voici le nouveau ZHP:  
http://www.cijoint.fr/cjlink.php?file=cj201101/cijTgfMrJq.txt  

3) xvs_ilop.dll est revenu aujourd'hui (à 10h30 comme d'hab, c'est son heure).  

4) C'est pas exactement qu'il y a quelque chose qui fonctionne pas, c'est plutôt le comportement général du PC. J'ai quand même fait un hard-reboot dans la journée, et puis certaines actions ne se font pas ou sont très lentes. Les fenêtres se ferment des fois au ralenti, le premier clic de souris sert des fois à rien, il faut que je clique 2 fois pour avoir l'action, enfin plein de petits trucs qui font que le PC est pas sain. En fait, je pense que le problème est toujours là, même si il y a plus de dépassement de tampon. Le problème est comme étouffé par le SP3. Ou plutôt les MAJ du SP3, parce que avec seulement l'install du SP3, le problème était toujours là.  

4) Les D:\LocalService.AUTORITE NT et D:\NetworkService.AUTORITE NT, il faut que je les vire à la main en mode sans échec ?  

4 bis) depuis l'install du SP3, j'ai ctfmon.exe dans les startup. J'ai vu que c'était normalement un truc de windows, mais quand je le supprime du startup il revient. Ca doit pas être très utile ce truc. 

5) Demain, je me pencherai sur PSI...

Lyonnais92 · Answer

Re,

1) pour xvs_ilop.dll, on essaye comme ça :

ouvre le Bloc-Notes, tape aaaaa dans un nouveau fichier que tu enregistres sous 

xvs_ilop.dll

Tu vérifies demain que le fichier n'est pas modifié.

Si c'est le cas, on essayera en modifiant les attributs de sécurité.

2) 2 valeurs de clé sont dans un état "anormal". On va rétablir la valeur par défaut.

Ouvre le Bloc Notes et copie les lignes ci-dessous :

Regedit4

 [ HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoSMMyDocs"=dword:0     
"NoSMMyPictures"=dword:0

Clique sur "Fichier", "Enregistrer sous".
Clique sur Bureau (dans la colonne de gauche)
Dans Nom du fichier tu écris fix.reg
Pour Type tu choisis "tous les fichiers" avec le menu déroulant.
Tu cliques sur Enregistrer.
Tu fermes le Bloc-notes

Sur ton bureau, tu double-clique sur l'icône de Fix.reg
Tu acceptes l'avertissement concernant la fusion
Le fix va travailler sans se manifester.
A la fin, tu vas voir un message disant que la fusion est terminée. Tu valides.

3) Dans tous ces logiciels, tu les connais tous et tu en as tous besoin :

 Casper XP  de Future Systems Solutions, Inc..
 Files Compare Tool 
 Loop Recorder Pro 
 MonacoPROFILER 4.7.2 
 RawShooter essentials 2005 der Pixmantec
 Startup Manager 1.5

Lyonnais92 · Answer

Bonjour,

le rapport ZHPDiag mentionne que la restauration système est désactivée.

Je t'incite à vérifier et à la réactiver si c'est bien le cas.

Asgarel · Answer

Bonjour,

1) J'ai créé le xvs_ilop aaaa

2) Quand j'éxécute le fix.reg, il me dit "Impossible d'importer fix.reg: le fichier n'est pas un script du registre. Vous pouvez importer uniquement des fichiers binaires à partir de l'éditeur du registre"

Les clé dans le registre valent:
0000  01 00 00 00
Je les modifie à la main ?

3) Tous les logiciels sont connus

4) J'ai réactivé la restauration système sur C:

Lyonnais92 · Answer

Bonjour,

mon fix.reg n'était pas bien écrit.

essaye avec 

Regedit4

[HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoSMMyDocs"=dword:0     
"NoSMMyPictures"=dword:0

Pour le fichier xvs_ilop tu l'as bien appellé xvs_ilop.dll  (aaaa est son contenu) ?

Asgarel · Answer

Non, le fix.reg passe toujours pas (même erreur). J'ai essayé sans ligne d'espace après regedit4, mais idem:

Regedit4
[HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoSMMyDocs"=dword:0     
"NoSMMyPictures"=dword:0

Sinon, oui c'est bien xvs_ilop.dll => aaaa

Lyonnais92 · Answer

Re,

essaye en manuel pour les valeurs de clé.

Asgarel · Answer

Le problème du fix.reg vient sûrement du fait que les clés actuelles sont de type REG_BINARY. Faudrait peut-être juste les supprimer et les recréer en DWORD. Mais je sais pas ce que c'est ces clés. C'est pas normal qu'elles soient déclarées en Binary ?

***

Croisement de messages. Je les laisse en Binary à 00 00 00 00 ou bien je les recrèe en DWORD à 0 ?

Lyonnais92 · Answer

Re,

elles devraient être en REG_Dword : http://secretswindows.com/index.php?rubrique=reg&cat=explorer&ID=207&path=/HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/&page=./registre/explorer.php

Avant de modifier, tu peux regarder comment sont les autres valeurs de la même clé (HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Policies\explorer).

Asgarel · Answer

Bon OK, je les ai mises à 0 en DWORD

Lyonnais92 · Answer

Re, 

Secunia PSI te propose des mises à jour (attention, il faut parfois chercher une mise à jour en français) ?

Il y a eu quelque chose de changé sur xvs_ilop.dll ou tu as toujours le même contenu ? 
@+ 
Science sans conscience n'est que ruine de l'âme. Rabelais

Asgarel · Answer

xvs_ilop a déjà été modifié. Voici le nouveau contenu:

aaaa
[QIaySZK5Lg8hJrytQdC57ajO/OTEdpCbDQ]
1SZSXPF3Enhe93rLzoEunw=amAL2q8MWKU
[e2bqESmMz2qFX6h5pducCDzjTcH3lhzycQ]
1SZSXPF3Enhe93rLzoEunw=amAL2q8MWKU

Je vais essayer de lancer PSI dans l'après midi...

Lyonnais92 · Answer

Re,

PSI, il faut prendre son temps.

Qui est propriétaire de xvs_ilop et quelles sont les autorisations ?

Asgarel · Answer

XVS_ilop:
propriété tout le monde
autorisation toutes
voir: http://www.cijoint.fr/cjlink.php?file=cj201101/cijXVGgBlK.jpg

Lyonnais92 · Answer

Re,

qui est propriétaire (clique sur Avancé et Propriétaire pour voir) ?

Asgarel · Answer

voilà:
http://www.cijoint.fr/cjlink.php?file=cj201101/cijrfhi3IQ.jpg

Lyonnais92 · Answer

Re,

OK.

Alors, tu laisses les droits du propriétaire (sports2nature) sur Contrôle total.

Pour tous les autres, y compris System (si tu peux) tu ne laisses que les droits de lecture.

Un redémarrage devrait être nécessaire.

Asgarel · Answer

C'est fait. Refusé pour tout le monde sauf sports2nature. Rebooté. Vérifié que tout était resté sur refusé.

Lyonnais92 · Answer

Re,

prochain acte demain matin ...

Tu avances sur PSI secunia à ton rythme.

On regardera aussi les drivers (sauf si tu me dis que tout va bien).

Asgarel · Answer

Bon, voilà, j'ai mis à jour tout ce que j'ai pu sur PSI.
Sinon, je m'aperçois aussi que j'ai des demandes de connexions entrantes de svchost.

Lyonnais92 · Answer

Re,

elles viennent de quelle IP ?

gen-hackman · Answer

salut un truc qui peut faire avancer lyonnais à son retour demain :

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/tmp/svc.bat

telecharge et execute ceci , puis poste le rapport que tu trouveras dans C:\svc.txt

Asgarel · Answer

J'ai exécuté svc.bat, voilà le résultat! 

svchost.exe                 1712 DcomLaunch                                     
svchost.exe                 1788 RpcSs                                          
svchost.exe                 1940 AudioSrv, BITS, Browser, CryptSvc, Dhcp,       
dmserver, ERSvc, EventSystem, helpsvc,         
lanmanserver, lanmanworkstation, Netman,       
Nla, RasMan, Schedule, seclogon, SENS,         
SharedAccess, ShellHWDetection, srservice,     
TapiSrv, Themes, W32Time, winmgmt, wuauserv,   
WZCSVC                                         
svchost.exe                  256 Dnscache                                       
svchost.exe                  464 LmHosts, SSDPSRV

Asgarel · Answer

L'IP entrante du svchost: 
78.251.29.242 (sur le port 4413)
C'est une adresse Free.

Lyonnais92 · Answer

Re,

tu es chez Free (et en Rhone Alpes) ?

Asgarel · Answer

Oui, Free et RH (Mais c'est pas mon IP)

Lyonnais92 · Answer

Re, 

bloque la connexion et dis moi ce qui se passe. 
@+ 
Science sans conscience n'est que ruine de l'âme. Rabelais

Lyonnais92 · Answer

Re,

plutôt, car l'ip peut changer, bloque le port :

https://www.vulgarisation-informatique.com/bloquer-ports.php

Asgarel · Answer

Bonjour,    

Effectivement, L'IP change, mais le port aussi. J'ai bloqué le 4413, et maintenant j'ai une nouvelle demande entrante sur le 3423 venant de l'IP 78.57.167.46   

... C'est sûrement autre chose, ça vient de Lithuanie et c'est pas Free.  

...J'en ai toutes les 5 minutes de ce truc Lithuanien. Port et IP différentes à chaque fois.  

Et puis encore un nouveau:  
IP = 189.126.113.82 port 6000 (Brésil). Bref, j'arrête là la collection.

Lyonnais92 · Answer

Bonjour,

OK, alors on laisse de côté. Débloque le port 4413.

Tu préviens quand tu es à jour avec Secunia PSI (même si c'est le tonneau des Danaîdes, car il y a beaucoup de MAJ).

Pour les drivers, tu as un site qui donne une analyse ici :

https://www.touslesdrivers.com/index.php?v_page=29

Tu les fais un à un et tu vérifies que tu n'as pas dégradé le fonctionnement de l'ordi. En cas de souci, retour au driver précédent (via le Gestionnaire de périphériques).

Asgarel · Answer

Au niveau de PSI, je suis à jour (j'avais qu'une quinzaine de MAJ à faire, pas plus).

xvs_ilop à pas bougé depuis qu'on l'a bloqué (le problème doit toujours être là, mais au moins il est plus visible).

Par contre, j'ai essayé de réactiver mon réseau local aujourd'hui, et ça marche plus du tout malgré tout mes efforts. Je sais pas si c'est dû à l'installation du SP3.

Sans Firewall, le réseau Ping dans les 2 sens, mais dès que je remet Sunbelt, le ping entrant est bloqué alors que je n'ai rien touché dans la config:

- LSA Shell + File & Printing sharing autorisés.
- Les IP de mon réseau en zone sécurisée.

J'ai beau chercher dans tous les sens, impossible de recevoir le ping du PC en réseau...

Asgarel · Answer

Pour le controle des Drivers, impossible de lancer l'analyse même en autorisant tous les ActiveX.

Sinon, j'ai aussi des attaques entrantes sur Netbios (file and printer sharing) qui justement était ouvert jusque là pour permettre le réseau local. Quelle plaie ce truc. Pourquoi j'ai autant de demande entrante  partout ?

Lyonnais92 · Answer

Re,

il faut m'en dire un peu plus sur le réseau.

Si il a un lien avec ton site web, il vaut peut être mieux que tu me répondes par mp (messages personnels), mais ça va t'obliger à t'inscrire sur ccm.

Combien d'ordis sont concernés ?

Est ce que ton site est hébergé sur un ordi du réseau ?

Les ip du réseau sont fixes ou variables ?

Il y a un routeur ?

Les autres ordis du réseau fonctionnent normalement ?

Asgarel · Answer

Non, c'est juste un réseau local personnel sans routeur entre 2 PC (IP fixes 192.168.0.1 et 2). Je l'avais déconnecté depuis le début des problèmes sur l'ordi principal, j'ai essayé de le réactivé aujourd'hui. Rien à voir avec mon site qui est hébergé ailleurs (heureusement...).  

Je crois vraiment que la faille, c'était netbios qui était ouvert en permanence (in out).

Lyonnais92 · Answer

Re,

est ce que ce tuto t'apporte quelque chose pour résoudre ce problème :

https://www.vulgarisation-informatique.com/kerio.php

Asgarel · Answer

Bonjour,

Oui, je connais ce tuto. Hier j'ai passé l'après midi à consulter toutes les pages web de la planète sur les problèmes de Kerio et de réseau local. Mais bon, la configuration était bonne avant et je ne vois vraiment pas ce qui se passe. Je vois bien dans le journah HIPS les tentatives de ping bloquées, mais je ne vois pas quelle règle les bloque. J'ai mis des alertes sur tout ce qui est bloquant et rien ne se déclenche. J'ai rajouté des filtrages qui autorisent mes adresses IP, ou bien le port 139, mais rien...

Lyonnais92 · Answer

Bonjour,

je n'utilise plus Kerio, ce qui ne me facilite pas la tâche pour t'aider.

Je suppose que redémarrer les 2 ordis ne change rien.

Je suppose aussi que le deuxième ordi se connecte à Internet via le premier.

Je suppose aussi que les 2 ordis appartiennent au même réseau (MsHome par défaut).

Tu es connecté à Internet par Modem ?

Un petit test pour voir l'état de certains de tes ports :

http://www.zebulon.fr/outils/scanports/test-securite.php

Idéalement, tout devrait être masqué.

Asgarel · Answer

Le PC 1, le principal, se connecte au net via une Freebox sur rj45. Le PC 2 se connecte au PC 1 en rj45, réseau adhoc. L'internet du PC 1 est donc partagée, mais là je ne parle même pas d'internet, juste du réseau local (internet coupé).
Sunbelt désactivé => le réseau fonctionne (ping dans les 2 sens).
Sunbelt activé => Les ping entrants sont interceptés et refusés par Sunbelt.

Le test Zebulon m'indique que j'ai des ports fermés, non masqués. Mais le port 139 est bien masqué, lui, et c'est peut-être le problème. Mais même en ajoutant des règles de filtrage pour autoriser le 139, je n'ai pas de réseau.

Lyonnais92 · Answer

Re,

ce topic est bien vieux mais il semble bien concerner ton problème :

https://www.generation-nt.com/reponses/partage-fichiers-bloque-avec-kerio-entraide-58708.html

Asgarel · Answer

Oui, j'avais vu ce topic. Mais la dernière version de Sunbelt crèe de toute façon automatiquement une ligne 192.168.0/255.255.255.0 dans la zone sécurisée. Même si on l'efface ou la corrige, la ligne est recrée. Avec cette ligne seule, ça marche plus (ça eu marché), et en essayant d'ajouter des plages 192.168.0.1/192.168.0.255, ça marche pas plus.

Lyonnais92 · Answer

Re,

il ne coûte pas grand chose de refaire tourner  l'Assistant Configuration réseau sur les 2 ordis.

Clique sur Démarrer, puis sur Panneau de configuration, puis double-clique sur Connexions réseau. Sous Tâches, clique sur Créer un réseau domestique ou un réseau de petite entreprise.


2 points me semblent important :

- bien attribuer le même nom

- bien choisir le cas de figure (un accès à Internet via une connexion et un accès via un autre ordinateur du réseau, si je me souviens bien).

Si rien ne change, je te proposerai de changer de parefeu. J'utilise On Line Armor sur mon propre réseau avec W Xp, W Vista et W7 derrière une livebox.

Asgarel · Answer

Bonjour,

Bon, j'ai finalement réussi a reconfigurer Sunbelt pour que l'accès réseau fonctionne (ping + internet), et en interdisant les entrées sur NetBios. Dans tous les tutoriels parlant de réseau sous Kerio/Sunbelt, il est précisé qu'il faut autoriser netbios (file and printer sharing) pour que ça marche. Or, c'est une grosses erreur, car il y a des tonnes d'appels entrants malveillants sur netbios (en tous cas chez moi). Il faut plutôt créer des règles de filtrage autorisant seulement les machines locales à utiliser netbios (port 139).

A propos de mon problème initial maintenant, j'aimerais comprendre si le fait que xvs_ilpop revient tout seul signifie qu'il y a un Malware actif sur le disque (dans les services ?), ou bien s'il est justement possible que xvs_ilop soit injecté depuis l'extérieur par un port ouvert.

Dernière question, j'ai des appels entrants provenant d'une adresse locale 192.168.0.133, alors que mes 2 PC s"appellent .1 et .2. Je ne sais pas ce que c'est que ce .133 (c'est une adresse pingable). Peut être une adresse créee par la Freebox ? Je ne sais pas si je dois autoriser pour le bon fonctionnement du système ou interdire.

Lyonnais92 · Answer

Bonjour,

l'adresse interne de la freebox est atteignable.

normalement, c'est 192.168.0.1

tu y accèdes par ton navigateur (http://192.168.0.1) ce qui te permet de la configurer (et de changer certains réglages).

Ce .133 est suspect.

J'ai déjà fait utiliser ce logiciel pour un cas de suspicion de "passager clandestin") :

Ouvre ce lien :

http://www.laboratoire-microsoft.org/logiciels/13732/ et téléharge le fichier .zip.

Enregistre le sur ton Bureau.

Dézippe le et double clique sur le .exe généré.

Suis les instructions (si tu es d'accord avec la licence)

Autorise les connexions au net si ton parefeu le demande.

En fin d'installation, décoche la case devant Look@Host.

Look@lan va démarrer. 

Refuse de télécharger la nouvelle version (tu le feras plus tard si tu conserves le logiciel).

Clique sur Create New profile.

Donne lui un nom (Box) et choisis dans Interface List l'ip de ton PC (celle donnée par ipconfig).

Clique sur Next puis sur Hide pour cacher la petite fenêtre.

Maintenant, il faut identifier toute la liste des ip qui apparaissent.

Il y a ton PC (déjà connu).

Il y a la box (normalement son ip se finit par 1.

Il y a ton autre PC (allume le et connecte le pour voir ce qui se passe quand tu cliques sur refresh).

Y a t-il un intrus ?

===

Je pense que xvs_ilop est injecté de l'extérieur.

Il a encore été modifié ?

Asgarel · Answer

Mon ordinateur principal s'appelle déjà 192.168.0.1, donc la Freebox doit avoir un autre nom. Je ne peux pas y accéder avec ton lien.

Par contre, quand je vais sur http://192.168.0.133, il me demande de m'identifier avec un mot de passe.

Avec Look@LAN, je n'ai que mon PC dans la liste (192.168.0.1), rien d'autre.

***

Pour xvs_ilop, j'ai redonné les autorisations à tout le monde pour voir. Comme je n'ai plus aucune autorisation entrante sur Sunbelt, sauf celles des règles de filtrage spécifiques, je vais voir si ça bouge ou pas.

Lyonnais92 · Answer

Re,

tu dois avoir un manuel d'utilisation de la freebox.

il dit quoi pour y accéder ?

Si tes 2 ordis sont connectés et en réseau, il me semble que les 2 ip devraient apparaître.

Mais il est vrai que ta config n'est pas la mienne (connexion à l'autre ordi, pas à la freebox).

Lyonnais92 · Answer

Re,

tu connais peut être ceci :

https://www.clubic.com/article-89432-1-configuration-freebox-expliquee-detail.html

Visiblement, la freebox et la livebox ne fonctionnent pas exactement de la même manière.

Il te faut tes identifiants et mot de passe de Free.

Asgarel · Answer

Ma freebox n'est pas configurée en routeur, donc je sais pas si on peut y accéder comme ça par http. J'ai cherché sur le net mais rien trouvé à ce propos.

Sinon, dans LookLan, quand je lance une analyse de 192.168.0.133 il me donne le nom de l'ordi N° 2, et quand j'analyse 192.168.0.2, il trouve rien, aucun résultat. C'est quand même curieux...

Lyonnais92 · Answer

Re,

je te laisse regarder ce que tu peux tirer du lien que je t'ai donné.

Asgarel · Answer

Bonjour,

Mes problèmes de réseau et d'IP semblent être rentrés dans l'ordre ce matin. 

Par contre, xvs_ilop.dll a de nouveau été modifié (j'avais ouvert les droits hier pour voir). Comme je n'ai plus de port d'ouvert, c'est qu'il doit quand même rester un malware sur le poste (dans les services certainement). Est ce qu'il n'y a pas un moyen de surveiller les accès à une DLL. J'aimerais bien me débarrasser de ce truc même si les symptômes ont pour l'instant disparus avec le SP3.

Lyonnais92 · Answer

Bonsoir,

le contenu de xvs_ilop.dll est toujours le même ?

Si ni ton antivirus ni MBAM ne décèle rien, il y a peu de chances qu'il y ait un fichier malware.

Mais on va creuser (mais je veux être sur du contenu du fichier).

Asgarel · Answer

Bonjour,  

Voilà le nouveau contenu de xvc_ilop:  

aaaa  
[QIaySZK5Lg8hJrytQdC57ajO/OTEdpCbDQ]  
1SZSXPF3Enhe93rLzoEunw=mPom6KPGioY 

(pour rappel, la dernière fois c'était: 
aaaa 
[QIaySZK5Lg8hJrytQdC57ajO/OTEdpCbDQ] 
1SZSXPF3Enhe93rLzoEunw=amAL2q8MWKU 
[e2bqESmMz2qFX6h5pducCDzjTcH3lhzycQ] 
1SZSXPF3Enhe93rLzoEunw=amAL2q8MWKU 
)

Lyonnais92 · Answer

Bonjour,

on va voir ce que cette recherche nous donne :

lance ZHPDiag,

clique sur les jumelles pour ouvrir ZHPSearch

coche toutes les case des ruches du registre (en bas à gauche)

coche (dans mode de recherche) registre, détaillé et récursif

recopie ces lignes dans la fenêtre 

xvc_ilop
QIaySZK5Lg8hJrytQdC57ajO/OTEdpCbDQ
1SZSXPF3Enhe93rLzoEunw
mPom6KPGioY
amAL2q8MWKU
e2bqESmMz2qFX6h5pducCDzjTcH3lhzycQ

clique sur la loupe pour lancer l'analyse.

Poste le résultat dans ta réponse.

Asgarel · Answer

résultat: Rien!

Lyonnais92 · Answer

Re,

j'ai recopié à tort.

Relance une recherche avec

xvs_ilop

Asgarel · Answer

voilà:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]:c="C:\WINDOWS\xvs_ilop.dll"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dll]:a="C:\WINDOWS\xvs_ilop.dll"
[HKEY_USERS\S-1-5-21-1844237615-926492609-839522115-1009\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]:c="C:\WINDOWS\xvs_ilop.dll"
[HKEY_USERS\S-1-5-21-1844237615-926492609-839522115-1009\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dll]:a="C:\WINDOWS\xvs_ilop.dll"
C:\WINDOWS\xvs_ilop.dll

Lyonnais92 · Answer

Re,

les clés ne mènent à rien, cela montre seulement que tu as ouvert le fichier.

Est ce que ceci sera plus informatif :

Relance Process Explorer et clique sur Find.

Tape xvs_ilop dans la zone de recherche.

Clique sur Search.

Obtiens tu autre chose que le fichier ?

Essaye successivement avec ces autres chaînes de caractères :

QIaySZK5Lg8hJrytQdC57ajO/OTEdpCbDQ
1SZSXPF3Enhe93rLzoEunw
mPom6KPGioY
amAL2q8MWKU
e2bqESmMz2qFX6h5pducCDzjTcH3lhzycQ

Ca donne des pistes ?

Asgarel · Answer

Bon, je trouve aucune piste de malware sur le poste. Pourtant, mon firewall verrouille tout ce qui entre, mais il doit y avoir une faille quelque part. 

Je crois que je vais laisser tomber et garder xvs_ilop.dll verroullé sous \windows, en espérant que le phénomène ne se propage pas plus loin, parce que Kapersky (2011) ne voit absolument rien, et Sunbelt Firewall non plus. Et pourtant le phénomène est là. 

Donc un petit résumé si d'autres rencontre également ce xvs_ilop.dll: 

symptômes sous XP SP1: 
- Dépassement de buffer dans svchost.exe indiqué dans le journal HIPS de Sunbelt Firewall 
- Blocage du PC nécessitant un hard reboot 
- injection de code dans xvs_ilop.dll sous \windows 

Symptômes après passage à XP SP3: 
- les mêmes 
+ erreur windows host 

Symptômes après installation des MAJ windows-update du SP3: 
- ne reste plus que l'injection de code dans xvs_ilop. 

Remède: il suffit de conserver un fichier xvs_ilop.dll avec contenu texte, en refusant tous les droits pour tous les utilisateurs (sauf pour le compte actif). Le contrôle du fichier se faisant certainement de l'extérieur mais restant invisible de Sunbelt 4.6 et de Kapersky 2011 (toutes détections réglées au max). 

Et vraiment un grand merci à Lyonnais92 et à ce forum pour toute cette aide.

Lyonnais92 · Answer

Bonjour,

je respecte totalement ton choix.

J'avais une dernière idée qui est de savoir ce qu'il y a dans C:\Program Files\Autoruns

Si tu veux, tu peux faire ceci :

Clique sur démarrer, tous les programmes, accessoires, puis bloc-note
Dès qu'il s'ouvre, copie/colle le texte ci-dessous dans le bloc note:

dir " C:\Program Files\Autoruns\*" /a > files.txt
notepad files.txt


Clique sur fichier, enregistrer sous, choisis de mettre dans type: "tous les fichiers"
Nom de fichier: abcde.bat et enregistre le ou tu le retrouvera facilement

Double clique dessus, un rapport va s'ouvrir, enregistre le et copie le dans ta réponse.

===

Sinon, il faut enlever les outils.

Pour cela :

 Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage.

gen-hackman · Answer

bonjour à vous je reinterviens pour ceci :

C:\Program Files\Sizer\sizer.exe 

il serait interessant de le passer sur virus total vu qu il est en startup

infos :

It can be found in the location of C:\Program Files\sizer. sizer.exe is a potential security risk which can be modified maliciously by spyware.

Lyonnais92 · Answer

Bonjour,

Gen, je n'y crois pas une minute.

La remarque que tu cites est un "avertissement standard" que je ne prends pratiquement jamais en compte.

Si le fichier d'origine a été modifié, il serait étonnant que ni Kaspersky ni MBAM ne le détecte.

Le logiciel est "exotique" mais sain :

http://www.brianapps.net/sizer/

La seule chose qui me semble intéressante à faire (je ne suis pas sûr que Secunia PSI le connaisse) est de vérifier que c'est bien la dernière version qui est installée.

Asgarel · Answer

1) Voilà mon répertoire autoruns (aux problèmes de caractères près): Le volume dans le lecteur C s'appelle System Le num'ro de s'rie du volume est 4CE1-E9C1 R'pertoire de C:\Program Files\Autoruns 25/07/2007 11:28 . 25/07/2007 11:28 .. 07/03/2006 11:21 47ÿ330 autoruns.chm 10/07/2006 13:22 398ÿ912 autoruns.exe 10/07/2006 13:21 294ÿ912 autorunsc.exe 28/07/2006 07:32 7ÿ005 Eula.txt 4 fichier(s) 748ÿ159 octets 2 R'p(s) 13ÿ143ÿ904ÿ256 octets libres 2) Pour Sizer, c'est j'ai bien la dernière version 3.3. Virustotal ne donne aucun résultat pour sizer.exe

Lyonnais92 · Answer

Re,

le répertoire autoruns est sain.

Le mieux est, comme tu le suggère, de bloquer les autorisations sur xvs_ilop.dll  et de nettoyer les outils.

Je vais cependant voir si un membre de mon réseau a une meilleure idée mais je n'y crois pas beaucoup.

Lyonnais92 · Answer

Bonjour,

je n'ai peut être pas été assez attentif à la possibilité d'un rootkit.

Tu peux faire ceci :

Télécharge GMER Rootkit Scanner ici :

http://www.gmer.net/

- Clique sur le bouton "Download EXE"
- Sauvegarde-le sur ton Bureau.
- Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur.
- Ferme les fenêtres de navigateur ouvertes.
- Lance le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) par double clic ;
- Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO"

- Va dans l'onglet Rootkit/Malware
- Dans la section de droite de la fenêtre de l'outil, décoche les options suivantes :
[list]
[*]Sections
[*]**Assure-toi que "Show All" est décoché**
/list
- Clique maintenant sur le bouton "Scan[ et patiente (cela peut prendre 10 minutes ou +)
- Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ;
- Nomme le fichier"Rapgmer.txt" et sauvegarde-le sur le Bureau ;
- Copie/colle le contenu de ce rapport dans ta réponse.

Asgarel · Answer

Voilà:
http://www.cijoint.fr/cjlink.php?file=cj201101/cijGqKqqT3.txt

Lyonnais92 · Answer

Re,

je ne vois rien dans ce rapport.

Sais tu si la modification du fichier a lieu même si l'ordi est déconnecté d'Internet (et l'autre PC déconnecté aussi) à l'heure de la modification ?

Asgarel · Answer

Je n'ai jamais constaté de modifications hors connexion pour xvs_ilop.

Je teste aussi quels sont les utilisateurs qui doivent avoir les autorisations pour qu'il y ait modification du fichier. Pour l'instant, je sais juste que
- Le compte Utilisateurs avec pouvoir n'intervient pas
- Le compte Utilisateurs doit avoir les autorisations
- Mais si seul le compte Utilisateurs possède les autorisations (en plus du compte actif), xvs ne bouge pas. Il faudrait donc la combinaison Utilisateurs + Administrateur + Système pour que xvs soit modifié.

Ah, sinon j'ai supprimé les partages administratifs pour voir, mais pas d'effet.

Lyonnais92 · Answer

Re,

j'ai abandonné trop tôt une piste, masquer les ports.

Ca passe par configurer la Freebox en routeur pour une raison qu'un post expliquait très bien.

En résumé, si ta freebox n'est pas en mode routeur et que tu as une ip fixe, chaque fois qu'un malware s'intéresse à ton ip, il va arriver sur le PC et pouvoir exploiter les failles (il y en a toujours).

Si ta freebox est en mode routeur, c'est elle qui a l'adresse ip et ton ordi est "invisible".

Un tuto pour configurer la freebox :

https://forums.commentcamarche.net/forum/affich-37636617-configurer-le-mode-routeur-de-la-freebox-v5

Asgarel · Answer

Bonjour,

Me voilà en mode routeur. Tous mes ports sont maintenant masqués sauf le 113 (pourquoi ?). Je vais tester à nouveau XVS_ilop dans la journée...

Lyonnais92 · Answer

Bonjour,

je n'ai pas trouvé la réponse à ta question.

Mais il y a beaucoup de référence sur le port 113 et la FreeBox.

https://www.google.fr/search?q=port+113&hl=fr&client=firefox-a&rls=org.mozilla:fr:official&prmd=ivnsfd&ei=5I09TZvsBcGu8QPu8fnwCA&start=0&sa=N&gws_rd=ssl

Asgarel · Answer

Bonjour,

Resultat...
...aucun effet. Le mode routeur et le masquage des ports n'empêche pas l'injection dans xvs_ilop !!!!

- Donc soit l'injecteur contourne tous les pare-feux, y compris ceux de la freebox. Ça me semble impossible, mais bon...

- Soit ça passe par le port 113, le seul non masqué (enfin, le seul sur le test zebulon)

- Soit c'est un malware, mais qui déjoue tous les antimalwares, Kapersky 2011 et MBAM en tête.

Bref, quand même casse tête ce truc...

Lyonnais92 · Answer

Bonjour,

oui, un sacré casse-tête.

Je crois que les scans MBAM que je t'ai fait faire sont des scans rapides.

Fais un scan complet (après avoir fait la mise à jour par l'onglet ad hoc).

Si ça ne donne rien, on fera passer DrWeb (ça ne coûte que du temps).

Asgarel · Answer

Je ne fais toujours que des scans complets sous MBAM, mais il trouve jamais rien.

Enfin aujourd'hui il a quand même trouvé un petit quelque chose dans le registre:


Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

Débordement tampon svchost

139 réponses

Discussions similaires