Débordement tampon svchost

Fermé
Asgarel - 6 janv. 2011 à 16:52
 Asgarel - 25 janv. 2011 à 16:43
Bonjour,

Depuis deux jours, mon firewall (Sunbelt personal) me détecte sans arrêt des débordements de tampon dans svchost. Et le PC fini bien sûr par planter au bous d'un moment, obligé de rebooter. Kapersky, Malewarebytes et Spybot me trouvent rien. Je vois rien de spécial dans le hijack (ci dessous). Est ce que ce genre de problème vient forcément d'un virus ? Est ce que c'est le svchost.exe qui aurait été infecté ?
Merci pour votre aide.



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:46:40, on 06/01/2011
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Cobian Backup 8\cbInterface.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\FastStone Capture\FSCapture.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Sizer\sizer.exe
C:\Program Files\Fichiers communs\Logitech\KhalShared\KHALMNPR.EXE
C:\Program Files\APC\APC PowerChute Personal Edition\apcsystray.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\APC\APC PowerChute Personal Edition\mainserv.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ups.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Program Files\HijackThis\test.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ne/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [Cobian Backup 8 interface] "C:\Program Files\Cobian Backup 8\cbInterface.exe" -service
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: APC UPS Status.lnk = C:\Program Files\APC\APC PowerChute Personal Edition\Display.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: FastStone Capture.lnk = C:\Program Files\FastStone Capture\FSCapture.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: MonacoGamma.lnk = C:\Program Files\X-Rite\Tools\MonacoGamma\MonacoGamma.exe
O4 - Global Startup: Sizer.lnk = C:\Program Files\Sizer\sizer.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statistiques d'Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O15 - Trusted Zone: http://sports2nature.com/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: APC UPS Service - American Power Conversion Corporation - C:\Program Files\APC\APC PowerChute Personal Edition\mainserv.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Cobian Backup 8 service (CobBMService) - Luis Cobian - C:\Program Files\Cobian Backup 8\cbService.exe
O23 - Service: EpsonBidirectionalService - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe

139 réponses

XVS_ilop:
propriété tout le monde
autorisation toutes
voir: http://www.cijoint.fr/cjlink.php?file=cj201101/cijXVGgBlK.jpg
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
14 janv. 2011 à 14:46
Re,

qui est propriétaire (clique sur Avancé et Propriétaire pour voir) ?
0
voilà:
http://www.cijoint.fr/cjlink.php?file=cj201101/cijrfhi3IQ.jpg
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
14 janv. 2011 à 15:16
Re,

OK.

Alors, tu laisses les droits du propriétaire (sports2nature) sur Contrôle total.

Pour tous les autres, y compris System (si tu peux) tu ne laisses que les droits de lecture.

Un redémarrage devrait être nécessaire.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
C'est fait. Refusé pour tout le monde sauf sports2nature. Rebooté. Vérifié que tout était resté sur refusé.
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
14 janv. 2011 à 15:53
Re,

prochain acte demain matin ...

Tu avances sur PSI secunia à ton rythme.

On regardera aussi les drivers (sauf si tu me dis que tout va bien).
0
Bon, voilà, j'ai mis à jour tout ce que j'ai pu sur PSI.
Sinon, je m'aperçois aussi que j'ai des demandes de connexions entrantes de svchost.
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
14 janv. 2011 à 19:07
Re,

elles viennent de quelle IP ?
0
Utilisateur anonyme
14 janv. 2011 à 19:13
salut un truc qui peut faire avancer lyonnais à son retour demain :

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/tmp/svc.bat

telecharge et execute ceci , puis poste le rapport que tu trouveras dans C:\svc.txt
0
J'ai exécuté svc.bat, voilà le résultat!

svchost.exe 1712 DcomLaunch
svchost.exe 1788 RpcSs
svchost.exe 1940 AudioSrv, BITS, Browser, CryptSvc, Dhcp,
dmserver, ERSvc, EventSystem, helpsvc,
lanmanserver, lanmanworkstation, Netman,
Nla, RasMan, Schedule, seclogon, SENS,
SharedAccess, ShellHWDetection, srservice,
TapiSrv, Themes, W32Time, winmgmt, wuauserv,
WZCSVC
svchost.exe 256 Dnscache
svchost.exe 464 LmHosts, SSDPSRV
0
Utilisateur anonyme
14 janv. 2011 à 19:56
voila ce sont tous les services qui tournent avec svchost.exe

si ca peut aider ....:)

bonne soirée
0
L'IP entrante du svchost:
78.251.29.242 (sur le port 4413)
C'est une adresse Free.
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
14 janv. 2011 à 20:50
Re,

tu es chez Free (et en Rhone Alpes) ?
0
Oui, Free et RH (Mais c'est pas mon IP)
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
Modifié par Lyonnais92 le 14/01/2011 à 21:20
Re,

bloque la connexion et dis moi ce qui se passe.
@+
Science sans conscience n'est que ruine de l'âme. Rabelais
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
14 janv. 2011 à 21:21
Re,

plutôt, car l'ip peut changer, bloque le port :

https://www.vulgarisation-informatique.com/bloquer-ports.php
0
Bonjour,

Effectivement, L'IP change, mais le port aussi. J'ai bloqué le 4413, et maintenant j'ai une nouvelle demande entrante sur le 3423 venant de l'IP 78.57.167.46

... C'est sûrement autre chose, ça vient de Lithuanie et c'est pas Free.

...J'en ai toutes les 5 minutes de ce truc Lithuanien. Port et IP différentes à chaque fois.

Et puis encore un nouveau:
IP = 189.126.113.82 port 6000 (Brésil). Bref, j'arrête là la collection.
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
15 janv. 2011 à 11:57
Bonjour,

OK, alors on laisse de côté. Débloque le port 4413.

Tu préviens quand tu es à jour avec Secunia PSI (même si c'est le tonneau des Danaîdes, car il y a beaucoup de MAJ).

Pour les drivers, tu as un site qui donne une analyse ici :

https://www.touslesdrivers.com/index.php?v_page=29

Tu les fais un à un et tu vérifies que tu n'as pas dégradé le fonctionnement de l'ordi. En cas de souci, retour au driver précédent (via le Gestionnaire de périphériques).
0
Au niveau de PSI, je suis à jour (j'avais qu'une quinzaine de MAJ à faire, pas plus).

xvs_ilop à pas bougé depuis qu'on l'a bloqué (le problème doit toujours être là, mais au moins il est plus visible).

Par contre, j'ai essayé de réactiver mon réseau local aujourd'hui, et ça marche plus du tout malgré tout mes efforts. Je sais pas si c'est dû à l'installation du SP3.

Sans Firewall, le réseau Ping dans les 2 sens, mais dès que je remet Sunbelt, le ping entrant est bloqué alors que je n'ai rien touché dans la config:

- LSA Shell + File & Printing sharing autorisés.
- Les IP de mon réseau en zone sécurisée.

J'ai beau chercher dans tous les sens, impossible de recevoir le ping du PC en réseau...
0
Pour le controle des Drivers, impossible de lancer l'analyse même en autorisant tous les ActiveX.

Sinon, j'ai aussi des attaques entrantes sur Netbios (file and printer sharing) qui justement était ouvert jusque là pour permettre le réseau local. Quelle plaie ce truc. Pourquoi j'ai autant de demande entrante partout ?
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
15 janv. 2011 à 20:47
Re,

il faut m'en dire un peu plus sur le réseau.

Si il a un lien avec ton site web, il vaut peut être mieux que tu me répondes par mp (messages personnels), mais ça va t'obliger à t'inscrire sur ccm.

Combien d'ordis sont concernés ?

Est ce que ton site est hébergé sur un ordi du réseau ?

Les ip du réseau sont fixes ou variables ?

Il y a un routeur ?

Les autres ordis du réseau fonctionnent normalement ?
0