Programme scvhost.exe

aakbiaku -  
 intervenant -
salut les amis.
il y a un programme scvhost.exe qui s'execute sur mon ordi.
QUE faire aidez-moi s'il vous plaît.

Voici ce qu'il affiche a l'ecran:
Command line: ""...
Detected CPU: Vendor: "Intel" Name: "Pentium IV (Willamette)" Family: 1
: 2 Stepping: 9
CPU: No 3dNow! support activated!
LeakerBot (0.3.0) "Release" on "Win32" starting up...
Debugging with debuglevel of 10...
Assigning base subsystems...
Initializing base subsystems...
KillProcess(): Own thread token opened.
KillProcess(): Privileges adjusted.
KillProcess(): Privileges dropped.
Installing bot...
Checking for multiple copies...
First copy running...
Adding registry autostart...
Initializing RNG...
Starting the startup thread...
CThread::Start(cthread.cpp): Starting CStartupThread thread using Creat
().
Initializing subsystems...
Starting threads...
CThread::Start(cthread.cpp): Starting CIRC thread using CreateThread().
CThread::Start(cthread.cpp): Starting CThread thread using CreateThread

CThread::Start(cthread.cpp): Starting CThread thread using CreateThread

Starting the main loop...
CStartupThread::Run(): Checking if host can spam AOL.
CStartupThread::Run(): Checking the hosts speed.
CIRC(0x00B40048h): Trying to connect to "horesaft.alt-bin.com:12000"...
CSocketServer(0x00B9AA44h): Binding SendFile to port 8159.
CSocketServer(0x00B9AA44h): SendFile listening on port 8159 (listening
224).
CSocketServer(0x00B9AA44h): Creating new socket.
CSocketServer(0x00B9AA44h): Waiting for connection.
CSocketServer(0x00B9B3A0h): Binding FTP to port 7907.
CSocketServer(0x00B9B3A0h): FTP listening on port 7907 (listening socke
.
CSocketServer(0x00B9B3A0h): Creating new socket.
CSocketServer(0x00B9B3A0h): Waiting for connection.
CIRC(0x00B40048h): Connection to "horesaft.alt-bin.com:12000" failed!
CIRC(0x00B40048h): Trying to connect to "horesaft.alt-bin.com:12000"...
CIRC(0x00B40048h): Connection to "horesaft.alt-bin.com:12000" failed!
CIRC(0x00B40048h): Giving up root server "horesaft.alt-bin.com:12000" a
retries!
CIRC(0x00B40048h): Flushed DNS Cache!
CIRC(0x00B40048h): Trying to connect to "horesaft.alt-bin.com:12000"...
CIRC(0x00B40048h): Connection to "horesaft.alt-bin.com:12000" failed!

11 réponses

Réponse 1 / 11
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
salut
est tu sur de l ecriture
car svchost c est normal
si oui scan en ligne
Faite scan en ligne et coller le rapport ici sur le post
utiliser l'antivirus en ligne suivant :
http://www.ravantivirus.com/scan/
Cliquer sur "To continue without subscribing click here" et attendre quelques minutes.

Lorsque "Ready" est affiché dans "status", cocher la case "Autoclean" puis cliquer sur "Scan my PC"
A la fin de l'analyse, copier/coller le rapport ici.
0
béné
 
Salut baltrap, j'ai suivie tes conseils mais que faire une fois qu'il a tout détecté ?
Merci

Scan started at 31/05/2004 12:08:32

Scanning memory...
Scanning boot sectors...
Scanning files...
C:\gdmxxtsr.exe - Win32/HLLW.Gaobot -> Suspicious
C:\Documents and Settings\Débénik\inexplore.exe - Backdoor:Win32/Wisdoor.K -> Infected
C:\WINDOWS\ir0xya32.exe - Backdoor:Win32/Wisdoor.K -> Infected
C:\WINDOWS\qMWiN32.exe - Backdoor:Win32/Wisdoor.K -> Infected
C:\WINDOWS\SYSCFG32.EXE - Backdoor:Win32/Wisdoor.K -> Infected
C:\WINDOWS\system32\23104_up.exe - Win32/Sasser.D.worm -> Infected
C:\WINDOWS\system32\29563_up.exe - Win32/Sasser.D.worm -> Infected
C:\WINDOWS\system32\bsferv32.exe->(UPXW)->(RARSfx)->inexplore.exe - Backdoor:Win32/Wisdoor.K -> Infected

Scanned
============================
Objects: 24104
Directories: 1831
Archives: 5931
Size(Kb): 890729
Infected files: 7

Found
============================
Viruses found: 2
Suspicious files: 1
Disinfected files: 0
Mail files: 53
0
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332 > béné
 
salut
commence par ceci et apres fait tes mise a jour windows et instal un pare feu si tu n en a pas
alors action numero 1
telecharger ce fichier : a retelecharger chaque fois que vous vouler l utiliser

ftp://www.renonce.com/pub/renonce/Rimouveur.exe

Action numero 2 :o)
Demarrer en mode sans echec :
tapotter sur la touche F8 sans arret desque tu allume ton PC
et si ca ne marche pas utiliser la touche f5 a la place
Appliquer le fichier dans le mode sans echec
le PC redemarre a la fin si c'est pas le cas tu fais un reboot tu ne touche plus a F8 et le PC reviendra tout seul en mode normal sans les virus

Action numero 3
copier ici le contenu du fichier resulata.txt qui se trouve au redemarrage du pc

action numero 4
un petit http://www.ravantivirus.com/scan/ si le Rimouveur ne trouve pas le virus :o)
0
béné > balltrap34 Messages postés 16241 Statut Contributeur sécurité
 
merci, c'est magic, c'était quoi ce virus et en suis-je débarrssée ?
Voilà le rapport :

Taches effectués sur le PC :

Elément(s) supprimé(s) :
Fichier C:\WINDOWS\*.tmp supprimé (Fichiers Temporaire, peut cacher des virus)
Fichier C:\WINDOWS\System32\*_up.exe supprimé (Virus Sasser) :
31394_up.exe
Fichier C:\WINDOWS\System32\scvhos*.exe supprimé (Virus Agobot/Gaobot) :
scvhost.exe


Fichier(s) avec demande de suppression manuelle :
C:\
gdmxxtsr.exe
C:\Documents and Settings\D‚b‚nik\
inexplore.exe
PSKILL.EXE
svchost.exe
C:\WINDOWS\System32\Wins\


Correctif Microsoft KB824146 n'est pas installé
Correctif Microsoft KB835732 déjà installé
0
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332 > béné
 
salut
tous n est pas parti
utilise ceci
utilise cet anti trojan
http://www.emsisoft.net/fr/
penser a le metre a jour avant de scanner le pc
et ensuite refait un scan rav
http://www.ravantivirus.com/scan/
0
Réponse 2 / 11
GomJabbar Messages postés 1327 Statut Contributeur 150
 
Bonjour,
ça sent le roussi parce que horesaft.alt-bin.com ne correspond à rien de connu sur Google.

A+

- L'éternité c'est très long, surtout vers la fin. -
- Woody Allen -
0
Réponse 3 / 11
aakbiaku
 
Scan started at 03/05/2004 17:11:42

merci pour ton aide. je les trouver genial.
voici le rapport de la recherche.
merci encore une fois pour ta disponibilite.

Scanning memory...
process://C:\WINDOWS\avserve2.exe - Win32/Sasser.B.worm -> Infected
Scanning boot sectors...
Scanning files...
C:\Documents and Settings\Utilisateur\Bureau\telec\download_plugin.exe - TrojanDownloader:Win32/INService.B -> Infected
0
Réponse 4 / 11
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
salut
deja fait ceci
Correctif et scan et desinfection microsoft sasser

http://www.microsoft.com/france/securite/incident/sasser.asp?SD=GN&LN=FR&gssnb=1


demarre en mode sans echec et passe ton anti virus
refait ensuite un scan en ligne
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 11
aakbiaku
 
merci a tous
sasser est enfin vaincu grace à vous tous
merci et merci infiniment
0
Réponse 6 / 11
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
de rien
a++
0
Réponse 7 / 11
djousch
 
Sasser version D est nouvellement sorti... même pas eu le temps de virer le B.... ;(

jsute pour info...y'a rien sur le net sur cette version maintenant !!!
sniff
0
Réponse 8 / 11
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
salut recule ta pendule
et essaie ceci
Correctif et scan et desinfection microsoft sasser

http://www.microsoft.com/france/securite/incident/sasser.asp?SD=GN&LN=FR&gssnb=1
0
Réponse 9 / 11
Sofía
 
salut" mon problème c'est le virus trojandownloader.INservice.i, causée par le programme xys.exe.j'ai essayé de le trover en utilisant le ravantivirus,mais il ne se montre pas.comment est-ce que je peux le détruire?
merci
0
Réponse 10 / 11
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
salut
qui te dit que tu as se trojan et te donne t il l emplacement

la chasse et le balltrap ma vrai passion
voir site perso dans profil
0
Sofía
 
j'ai trouvé ce virus avec mon antivirus F-SECURE. Il se trouve dans C:\Documents and Settings\Sofía\configuration locale\archives temporels d'internet\contentIE5\CTQ30D2J\FIilemaker Pro v5(1).5.zip\xys.exe
0
Réponse 11 / 11
balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
 
oki
telecharge ceci
Pocket Kill Box :
http://download.broadbandmedic.com/KillBox.exe
(ici) http://pageperso.aol.fr/balltrap34/page%20virus.htm



-Ouvre le
-Selectionne le fichier à supprimer,
ou copier coller
C:\Documents and Settings\Sofía\configuration locale\archives temporels d'internet\contentIE5\CTQ30D2J\FIilemaker Pro v5(1).5.zip\xys.exe
clik sur la croix blanche
reponds "oui"

-Vide la corbeille.


Submit dossier de backup supprime le c :submit
---------
si cela ne fonctionne pas recopie le chemin exactement redemarre en mode sans echc et recommence avec la killbox
en tapant a la main le chemin

la chasse et le balltrap ma vrai passion
voir site perso dans profil
0
intervenant
 
1)mon anti virus prevx m'informe que scvhost modifie un fichier sensible HOST

2)mon autre anti virus AVAST ne trouve aucun virus

3)spybot et pestpatrol m'informent qu'il y a 2 trojan unknown mais je ne sais pas où ils se trouvent sur mon disque dur et ma version gratuite de pest patrol ne les suppriment pas

4)spybot m'informe de "5 entries DSO exploit" en m'indiquant une modification du registre HKEY_USER...\Zones\0\1004!=W=3

5)alors que faire pour éviter toutes les 5 minutes que mon ordi cherche a se connecter contre mon gré à internet

merci de votre aide
0

Discussions similaires

A quoi sert l'application Bonjour?
patrick -
Ysis -

4 réponses
"BONJOUR" : utilité de ce programme???
sunbeep -
onizukaille -

5 réponses
logiciel bonjour
cougar0259 -
lorent -

17 réponses