Programme scvhost.exe

aakbiaku -  
 intervenant -
salut les amis.
il y a un programme scvhost.exe qui s'execute sur mon ordi.
QUE faire aidez-moi s'il vous plaît.

Voici ce qu'il affiche a l'ecran:
Command line: ""...
Detected CPU: Vendor: "Intel" Name: "Pentium IV (Willamette)" Family: 1
: 2 Stepping: 9
CPU: No 3dNow! support activated!
LeakerBot (0.3.0) "Release" on "Win32" starting up...
Debugging with debuglevel of 10...
Assigning base subsystems...
Initializing base subsystems...
KillProcess(): Own thread token opened.
KillProcess(): Privileges adjusted.
KillProcess(): Privileges dropped.
Installing bot...
Checking for multiple copies...
First copy running...
Adding registry autostart...
Initializing RNG...
Starting the startup thread...
CThread::Start(cthread.cpp): Starting CStartupThread thread using Creat
().
Initializing subsystems...
Starting threads...
CThread::Start(cthread.cpp): Starting CIRC thread using CreateThread().
CThread::Start(cthread.cpp): Starting CThread thread using CreateThread

CThread::Start(cthread.cpp): Starting CThread thread using CreateThread

Starting the main loop...
CStartupThread::Run(): Checking if host can spam AOL.
CStartupThread::Run(): Checking the hosts speed.
CIRC(0x00B40048h): Trying to connect to "horesaft.alt-bin.com:12000"...
CSocketServer(0x00B9AA44h): Binding SendFile to port 8159.
CSocketServer(0x00B9AA44h): SendFile listening on port 8159 (listening
224).
CSocketServer(0x00B9AA44h): Creating new socket.
CSocketServer(0x00B9AA44h): Waiting for connection.
CSocketServer(0x00B9B3A0h): Binding FTP to port 7907.
CSocketServer(0x00B9B3A0h): FTP listening on port 7907 (listening socke
.
CSocketServer(0x00B9B3A0h): Creating new socket.
CSocketServer(0x00B9B3A0h): Waiting for connection.
CIRC(0x00B40048h): Connection to "horesaft.alt-bin.com:12000" failed!
CIRC(0x00B40048h): Trying to connect to "horesaft.alt-bin.com:12000"...
CIRC(0x00B40048h): Connection to "horesaft.alt-bin.com:12000" failed!
CIRC(0x00B40048h): Giving up root server "horesaft.alt-bin.com:12000" a
retries!
CIRC(0x00B40048h): Flushed DNS Cache!
CIRC(0x00B40048h): Trying to connect to "horesaft.alt-bin.com:12000"...
CIRC(0x00B40048h): Connection to "horesaft.alt-bin.com:12000" failed!

11 réponses

  1. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    est tu sur de l ecriture
    car svchost c est normal
    si oui scan en ligne
    Faite scan en ligne et coller le rapport ici sur le post
    utiliser l'antivirus en ligne suivant :
    http://www.ravantivirus.com/scan/
    Cliquer sur "To continue without subscribing click here" et attendre quelques minutes.

    Lorsque "Ready" est affiché dans "status", cocher la case "Autoclean" puis cliquer sur "Scan my PC"
    A la fin de l'analyse, copier/coller le rapport ici.
    0
    1. béné
       
      Salut baltrap, j'ai suivie tes conseils mais que faire une fois qu'il a tout détecté ?
      Merci

      Scan started at 31/05/2004 12:08:32

      Scanning memory...
      Scanning boot sectors...
      Scanning files...
      C:\gdmxxtsr.exe - Win32/HLLW.Gaobot -> Suspicious
      C:\Documents and Settings\Débénik\inexplore.exe - Backdoor:Win32/Wisdoor.K -> Infected
      C:\WINDOWS\ir0xya32.exe - Backdoor:Win32/Wisdoor.K -> Infected
      C:\WINDOWS\qMWiN32.exe - Backdoor:Win32/Wisdoor.K -> Infected
      C:\WINDOWS\SYSCFG32.EXE - Backdoor:Win32/Wisdoor.K -> Infected
      C:\WINDOWS\system32\23104_up.exe - Win32/Sasser.D.worm -> Infected
      C:\WINDOWS\system32\29563_up.exe - Win32/Sasser.D.worm -> Infected
      C:\WINDOWS\system32\bsferv32.exe->(UPXW)->(RARSfx)->inexplore.exe - Backdoor:Win32/Wisdoor.K -> Infected

      Scanned
      ============================
      Objects: 24104
      Directories: 1831
      Archives: 5931
      Size(Kb): 890729
      Infected files: 7

      Found
      ============================
      Viruses found: 2
      Suspicious files: 1
      Disinfected files: 0
      Mail files: 53
      0
      1. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332 > béné
         
        salut
        commence par ceci et apres fait tes mise a jour windows et instal un pare feu si tu n en a pas
        alors action numero 1
        telecharger ce fichier : a retelecharger chaque fois que vous vouler l utiliser

        ftp://www.renonce.com/pub/renonce/Rimouveur.exe

        Action numero 2 :o)
        Demarrer en mode sans echec :
        tapotter sur la touche F8 sans arret desque tu allume ton PC
        et si ca ne marche pas utiliser la touche f5 a la place
        Appliquer le fichier dans le mode sans echec
        le PC redemarre a la fin si c'est pas le cas tu fais un reboot tu ne touche plus a F8 et le PC reviendra tout seul en mode normal sans les virus

        Action numero 3
        copier ici le contenu du fichier resulata.txt qui se trouve au redemarrage du pc

        action numero 4
        un petit http://www.ravantivirus.com/scan/ si le Rimouveur ne trouve pas le virus :o)
        0
      2. béné > balltrap34 Messages postés 16241 Statut Contributeur sécurité
         
        merci, c'est magic, c'était quoi ce virus et en suis-je débarrssée ?
        Voilà le rapport :

        Taches effectués sur le PC :

        Elément(s) supprimé(s) :
        Fichier C:\WINDOWS\*.tmp supprimé (Fichiers Temporaire, peut cacher des virus)
        Fichier C:\WINDOWS\System32\*_up.exe supprimé (Virus Sasser) :
        31394_up.exe
        Fichier C:\WINDOWS\System32\scvhos*.exe supprimé (Virus Agobot/Gaobot) :
        scvhost.exe


        Fichier(s) avec demande de suppression manuelle :
        C:\
        gdmxxtsr.exe
        C:\Documents and Settings\D‚b‚nik\
        inexplore.exe
        PSKILL.EXE
        svchost.exe
        C:\WINDOWS\System32\Wins\


        Correctif Microsoft KB824146 n'est pas installé
        Correctif Microsoft KB835732 déjà installé
        0
  2. GomJabbar Messages postés 1327 Statut Contributeur 150
     
    Bonjour,
    ça sent le roussi parce que horesaft.alt-bin.com ne correspond à rien de connu sur Google.

    A+

    - L'éternité c'est très long, surtout vers la fin. -
    - Woody Allen -
    0
  3. aakbiaku
     
    Scan started at 03/05/2004 17:11:42

    merci pour ton aide. je les trouver genial.
    voici le rapport de la recherche.
    merci encore une fois pour ta disponibilite.

    Scanning memory...
    process://C:\WINDOWS\avserve2.exe - Win32/Sasser.B.worm -> Infected
    Scanning boot sectors...
    Scanning files...
    C:\Documents and Settings\Utilisateur\Bureau\telec\download_plugin.exe - TrojanDownloader:Win32/INService.B -> Infected
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. aakbiaku
     
    merci a tous
    sasser est enfin vaincu grace à vous tous
    merci et merci infiniment
    0
  6. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    de rien
    a++
    0
  7. djousch
     
    Sasser version D est nouvellement sorti... même pas eu le temps de virer le B.... ;(

    jsute pour info...y'a rien sur le net sur cette version maintenant !!!
    sniff
    0
  8. Sofía
     
    salut" mon problème c'est le virus trojandownloader.INservice.i, causée par le programme xys.exe.j'ai essayé de le trover en utilisant le ravantivirus,mais il ne se montre pas.comment est-ce que je peux le détruire?
    merci
    0
  9. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    qui te dit que tu as se trojan et te donne t il l emplacement

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
    1. Sofía
       
      j'ai trouvé ce virus avec mon antivirus F-SECURE. Il se trouve dans C:\Documents and Settings\Sofía\configuration locale\archives temporels d'internet\contentIE5\CTQ30D2J\FIilemaker Pro v5(1).5.zip\xys.exe
      0
  10. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    oki
    telecharge ceci
    Pocket Kill Box :
    http://download.broadbandmedic.com/KillBox.exe
    (ici) http://pageperso.aol.fr/balltrap34/page%20virus.htm

    -Ouvre le
    -Selectionne le fichier à supprimer,
    ou copier coller
    C:\Documents and Settings\Sofía\configuration locale\archives temporels d'internet\contentIE5\CTQ30D2J\FIilemaker Pro v5(1).5.zip\xys.exe
    clik sur la croix blanche
    reponds "oui"

    -Vide la corbeille.

    Submit dossier de backup supprime le c :submit
    ---------
    si cela ne fonctionne pas recopie le chemin exactement redemarre en mode sans echc et recommence avec la killbox
    en tapant a la main le chemin

    la chasse et le balltrap ma vrai passion
    voir site perso dans profil
    0
    1. intervenant
       
      1)mon anti virus prevx m'informe que scvhost modifie un fichier sensible HOST

      2)mon autre anti virus AVAST ne trouve aucun virus

      3)spybot et pestpatrol m'informent qu'il y a 2 trojan unknown mais je ne sais pas où ils se trouvent sur mon disque dur et ma version gratuite de pest patrol ne les suppriment pas

      4)spybot m'informe de "5 entries DSO exploit" en m'indiquant une modification du registre HKEY_USER...\Zones\0\1004!=W=3

      5)alors que faire pour éviter toutes les 5 minutes que mon ordi cherche a se connecter contre mon gré à internet

      merci de votre aide
      0