AVSERVE ??

ben -  
 Keks -
Coucou a tous.

Ce matin, j'ouvre mon explorer pour aller consulter mes mails.
Quelle surprise de constater que ce dernier ne trouve pas de serveur.
Aucune page accessible.

Petite verification et je decouvre un joli process AVSERVE.EXE, qu ise loge dans le repertoire c:/WINDOWS/ et qui me bouffe toutes mes ressources en utilisant a fond le SVCHOST attribué au reseau local.

Aucune idée de a quoi ca sert.
Ni spybot, ni l'antivirus on-line de secuser ne le detecte.
Arreté il ne se passe rien de notable si ce n'est que ma connection retrouve des serveurs.
Supprimé il se relance au demarrage.
Meme apres un redemarrage "brutal".

Si quelqu'un a une idée ....

13 réponses

  1. ben
     
    complement :

    quand j'arrete avserve un processus de type 20916_up, ou 20717_up ou une autre numero se lance.
    Il ne prend pas autant de memoire que avserve mais bloque la connexion de la meme maniere ....

    voila...

    Au secours
    0
  2. axel
     
    moi aussi j'ai ce probleme impossible de me connecté a internet car ce processus bouffe toute ma mémoire quand je ferme se processus il me rajoute quelque temps apres un autres processus avec des nom comme 30048_up.exe qui lui aussi me bouffe toute ma memoire virtuelle.
    0
    1. ben
       
      oui

      je cherche quoi faire là.
      les sites ne sont pas a jour.

      regarde les messages dessous, c'est le virus du travail je crois...

      hi hi
      0
  3. PsYZiK Messages postés 195 Statut Membre 14
     
    ahhh j'ai exactement le meme probleme.
    ca me pourri tout le matin pleased help us!!!
    0
    1. ben
       
      voila ce que j'ai trouvé
      W32.Sasser is a worm that attempts to send code that exploits the MS04-011 vulnerability.

      The worm spreads by randomly scanning IP addresses for vulnerable systems.

      The presence of the following files is an indication of infection:
      %windows%\avserve.exe

      The worm then adds one of the following registry values:
      "avserve.exe"=%windows%\avserve.exe

      To the registry keys:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

      The worm opens ftp port 5554, and randomly scans IP addresses for vulnerable systems.

      Symantec Security Response is continuing to analyze the worm and will update this page as information becomes available.
      0
  4. ben
     
    je viens de lever la cle du registre
    et redemarrer a l'ancienne

    plus de avserve au demarrage.

    youhou seems to work !

    LOVE
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    si vous l avez choppez c est que votre windows pas a jour
    installaer le correctif MS 04-011
    0
  7. PsYZiK Messages postés 195 Statut Membre 14
     
    Je pense avoir trouver la solution, il existe des antivirus online j'en est utiliser un qui ma trouver le worm sasser, mais il m'indique qu'il est non cleanable?

    que faire
    0
  8. Otau Games
     
    Ben a donné la solution provisoire, qui consiste à enlever la clé du registre. Maintenant il ne reste plus qu'à attendre un peu qu'un outil efficace soit disponible.
    0
  9. melan-
     
    J'ai pas compris comment on devait enlever le truc, vous pouvez m'expliquer svp
    0
  10. Otau Games
     
    Pour le "désactiver" tu ouvre le registre du PC (executer puis taper "regedit"), puis tu vas dans le repertoire donné, et tu supprime la ligne marquée.
    0
  11. melan-
     
    Otau, je suis dans le repertoire, et je supprime avserve?? c'est bien ca?? que je fasse pas de connerie
    0
  12. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    supprimer purement et simplement ce fichier
    desactiver resto
    alt ctrl suppr terminer processus aserve
    demarrer/executer taper msconfig onglet demarrage
    decocher ce qui est en rapport avec
    redemarrer cocher ne plus afficher ce message
    demarrer rechercher tous les fichiers et dossiers
    taper le non du fichier et rechercher une fois trouver appuyer sur le touche majuscule et sans la lacher appuyer sur suppr
    0
  13. Keks
     
    Voila ce matin comme vous tous je me suis lever avec un virus dont j'avais jamais eu connaissance... Apres quelque heures de recherche pour pouvoir enfin trouver le nom de ce virus... je suis tomber sur ce site qui ma permis de trouver le nom de ce fameux virus:

    http://www.secuser.com/alertes/2004/sasser.htm

    Une fois sur cette page clique sur anti-virus gratuit online... et puis sur l'image que tu verras sur la page suivante...

    je suis donc aller sur ce site et j'ai tester mon ordi ce qui ma donner un resultat incroyable environ 27 fichier infecter par ce virus appeler: Worm SASSER .A

    Par chance je eu l'idée de venir sur ce site et de chercher dans le forum(D'ailleur merci a tous)...

    J'ai effacer comme dit si dessus le AVSERVE dans mon registre mais tout les fichier infecté qui ce trouve dans:

    C: \widows\system32\....._up.exe

    Ce sont tous des executables avec un chiffre aléatoire....

    12869_up.exe
    4488_up.exe
    14986_up.exe
    23952_up.exe
    29471_up.exe

    j'en fait koi je dois les effacer....????
    0