Des processus de SVCHOST tournent en boucle, lequel effacer ?

Des processus de SVCHOST tournent en boucle, lequel effacer ? - Sécurité - Windows & Software

Marsh Posté le 04-11-2004 à 04:31:52    

Bonjour,
 
Depuis quelques jours, j'ai le "Generic Host Process for Win32 Services" (c'est à dire SVCHOST.EXE) qui tourne en permanence avec une activité visible pratiquement continue en dowload et upload sous Zone Alarm.
 
J'ai fait des recherches et trouvé que l'on pouvait installer tasklist.exe pour pouvoir visualiser les process que ce SVCHOST.exe avait en activité.
 
(Des recherches ont montré que les problèmes liés au SVCHOST avaient des symptomes assez différents de ce que je constatais aussi)
 
J'ai eu comme résultats avec tasklist /svc :
 
*******************
Image Name                   PID Services
========================= ====== =============================================
 
System Idle Process            0 N/A
System                         4 N/A
smss.exe                     808 N/A
csrss.exe                    864 N/A
winlogon.exe                 888 N/A
services.exe                 932 Eventlog, PlugPlay
lsass.exe                    944 PolicyAgent, ProtectedStorage, SamSs
svchost.exe                 1092 DcomLaunch, TermService
svchost.exe                 1152 RpcSs
svchost.exe                 1292 AudioSrv, Browser, CryptSvc, Dhcp, ERSvc,
                                 EventSystem, FastUserSwitchingCompatibility,
                                 helpsvc, lanmanserver, lanmanworkstation,
                                 Netman, Nla, Schedule, seclogon, SENS,
                                 SharedAccess, ShellHWDetection, srservice,
                                 Themes, TrkWks, W32Time, winmgmt, wscsvc,
                                 wuauserv, WZCSVC
svchost.exe                 1348 Dnscache
svchost.exe                 1424 LmHosts, SSDPSRV, WebClient
spoolsv.exe                 1816 Spooler
explorer.exe                1928 N/A
SOUNDMAN.EXE                2016 N/A
rundll32.exe                2040 N/A
MBM5.exe                     140 N/A
type32.exe                   164 N/A
point32.exe                  172 N/A
HPLamp.exe                   184 N/A
VersionCueTray.exe           192 N/A
daemon.exe                   180 N/A
LVComS.exe                   212 N/A
realsched.exe                220 N/A
qttask.exe                   228 N/A
kav.exe                      244 N/A
DUMeter.exe                  264 N/A
zlclient.exe                 296 N/A
jusched.exe                  316 N/A
ctfmon.exe                   328 N/A
MediaDico.exe                388 N/A
acrotray.exe                 456 N/A
WZQKPICK.EXE                 488 N/A
HOTSYNC.EXE                  528 N/A
kavsvc.exe                  1048 kavsvc
MDM.EXE                     1136 MDM
nvsvc32.exe                 1228 NVSvc
svchost.exe                 1412 stisvc
wdfmgr.exe                  1532 UMWdf
vsmon.exe                   1620 vsmon
alg.exe                     2224 ALG
Display.dll                 2768 N/A
cmd.exe                     3912 N/A
wpabaln.exe                 3664 N/A
msiexec.exe                 3852 MSIServer
HelpCtr.exe                 3824 N/A
HelpSvc.exe                  792 N/A
IEXPLORE.EXE                3304 N/A
tasklist.exe                3448 N/A
wmiprvse.exe                3508 N/A
 
******************************
 
J'ai bien sûr le Windows XP à jour, (SP2 et patch suivants installés avec Windows update), Zone Alarm installé et Kaspersky AV à jour (soft et bases étendues).
 
Kaspersky ne détecte rien de particulier sur le PC.
 
Est-ce qu'il y a des processus bizarres que je dois éliminer dans cette liste ?
 
(J'ai mon deuxième pc (en réseau avec celui-ci) qui montre le même symptôme aussi depuis 3 jours... :(
 
Merci d’avance pour votre aide !
 
Cordialement
 
Dplanet
 

Reply

Marsh Posté le 04-11-2004 à 04:31:52   

Reply

Marsh Posté le 04-11-2004 à 08:53:39    

hello,
 
Post nous un log de HijackThis, on va voir si y a des trucs à faire ...

Reply

Marsh Posté le 04-11-2004 à 09:51:43    

Ok, merci Darxmurf.
 
Voici le log de HiJackThis :
 
**************
Logfile of HijackThis v1.98.2
Scan saved at 09:45:14, on 04/11/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Microsoft IntelliType Pro\type32.exe
C:\Program Files\Microsoft Hardware\Mouse\point32.exe
C:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan Pro\hplamp.exe
C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Micro Application\MediaDICO\MediaDICO.exe
C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Handspring\HOTSYNC.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wpabaln.exe
D:\DL\Util\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/red [...] ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/red [...] r=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/red [...] r=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/red [...] R}&ar=home
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 208.185.174.44 www.zonelabs.com
O1 - Hosts: 208.185.174.52 update.zonelabs.com
O1 - Hosts: 208.185.174.54 fwalerts.zonelabs.com
O1 - Hosts: 209.221.135.136 download.zonelabs.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Systran40premi.IEPlugIn - {CFB25594-4D5F-11D6-AB7B-00B0D094B576} - C:\Program Files\Systran\4_0\Premium\IEPlugIn.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MBM 5] "C:\Program Files\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [type32] "C:\Program Files\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [HP Lamp] "C:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan Pro\hplamp.exe"
O4 - HKLM\..\Run: [AdobeVersionCue] C:\Program Files\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MediaDico] C:\Program Files\Micro Application\MediaDICO\MediaDICO.exe Lancement
O4 - Startup: HotSync Manager.lnk = C:\Program Files\Handspring\HOTSYNC.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft. [...] 7771744375
 
************************
 
Je précise que le(s) process qui tournent en boucle (en dowload et upload) ne monopolise pas du tout le processeur, mais je peux juste voir qu'il y a des connexions en quasi permanence (toutes les secondes environ) avec l'icone de Zone Alarm.
 
J'ajoute que le PC ne s'arrête presque jamais plus avec Arrêter ou Redémarrer, je suis obligé de faire un Hardreset.
Et souvent au démarrage in ne va pas au bout du chargement.
 
Merci d'avance pour votre aide.
 
DPlanet


Message édité par Dplanet le 04-11-2004 à 10:04:31
Reply

Marsh Posté le 04-11-2004 à 11:10:16    

hum y a pas grand chose de méchant mais je cocherait ça :  
 
en passant c'est normal les 3 notepad.exe lancés ?
 

Dplanet a écrit :


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/red [...] ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/red [...] r=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/red [...] r=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/red [...] R}&ar=home
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 208.185.174.44 www.zonelabs.com
O1 - Hosts: 208.185.174.52 update.zonelabs.com
O1 - Hosts: 208.185.174.54 fwalerts.zonelabs.com
O1 - Hosts: 209.221.135.136 download.zonelabs.com
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)


 
Voilà et reboot mais bon y a rien de spécialment méchant... ceci dit le svchost est utilisé pour les windowsupdates et pas mal de virus s'y attaque alors voilà :D

Reply

Marsh Posté le 04-11-2004 à 11:29:12    

sans vouloir te contrarier darxmurf
il y a une différence entre cocher dans l'hijack des programmes malveillants et optimiser son démarrage
pkoi veux-tu qu'il enlève zonelabs de son fichier host?
O1 - Hosts: 208.185.174.44 <--ça c'est le n° d'IP www.zonelabs.com<--ça l'url et alors? la connexion se fait plus rapidement et c'tout!
O1 - Hosts: 208.185.174.52 update.zonelabs.com
O1 - Hosts: 208.185.174.54 fwalerts.zonelabs.com
O1 - Hosts: 209.221.135.136 download.zonelabs.com
 
donc pour optimiser tu peux décocher ces programmes mais dans démarrer>exécuter : taper : msconfig valider par ok décocher les cases dans l'onglet : démarrage/appliquer ( il faut redémarrer pour appliquer)
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot<-- update auto, c'est assez inutile
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe  
 
je crois qu'il y a environ 47 services qui utilisent svchost, dont  4 dans le gestionnaire des tâches
(qui font appel à une 20taine de services)
 
pour ton problème arrêt/démarrer je sais pas trop ;)


---------------
°*°  Pan ! et Pan ! ça fait Pan-Pan !  °*°
Reply

Marsh Posté le 04-11-2004 à 11:38:19    

ps : je pense que tu sais que dans le SP2 il est inclus un firewall par défaut et que tu aussi ZonAlarm = 2 firewalls
Kasper est bien paramétré? le "control center" actif fait ramer


---------------
°*°  Pan ! et Pan ! ça fait Pan-Pan !  °*°
Reply

Marsh Posté le 04-11-2004 à 11:49:44    

nop c'est pas du méchant mais c'est juste que ces process ne servent à rien... et pour le fichier host je ne vois pas vraiment l'utilité de mettre ça... pour gagner 0.2 secondes ?

Reply

Marsh Posté le 04-11-2004 à 17:35:06    

Merci beaucoup pour vos réponses ! :)
 
Je vais tester tout ça !
 
J'ai vu aussi le post du tutorial :
[TOPIC UNIQUE] Spywares, barres de recherches IE et autres joyeusetés...  
http://forum.hardware.fr/hardwaref [...] 1265-1.htm
 
et avant je vais donc faire ce qui est conseillé :
...Lancez CWShredder, toutes fenêtres Internet Explorer fermées  
Faites un scan avec Spybot...  
...et ensuite avec Adaware.  
 
On va bien voir ! !

Reply

Marsh Posté le 04-11-2004 à 18:09:50    

Bon, j'ai fait la modification proposée par western-shadow à l'aide de Msconfig :
 
****************
donc pour optimiser tu peux décocher ces programmes mais dans démarrer>exécuter : taper : msconfig valider par ok décocher les cases dans l'onglet : démarrage/appliquer ( il faut redémarrer pour appliquer)  
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install  
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit  
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe  
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot<-- update auto, c'est assez inutile  
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime  
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe  
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
**************
 
Cela n'a rien changé, j'ai toujours quelques instants après le boot, et après que Kaspersky ait fait sa vérif de départ (environ 20 secondes), l'icone de Zone Alarm qui commence à me signaler le Up et le Download en cours... :(
 
Bon, cela commence à être dur !
 
...Je vais passer à l'étape  
"CWShredder, toutes fenêtres Internet Explorer fermées  
Faites un scan avec Spybot...  
...et ensuite avec Adaware. "
 
Mais avant j'avais une question, car après avoir appliqué les modifs prescrites (merci Docteur :) ) avec Msconfig, à chaque redémarrage j'ai une fenêtre qui me demande si je veux revenir à une situation normale de démarrage.
 
Je n'ai jamais coché NE PLUS AFFICHER CE MESSAGE et j'ai fait OK.
Msconfig s'ouvre alors et je peux voir que dans l'onglet Démarrage les options que j'ai décochées le sont toujours.
 
Si je ferme par ANNULER, Msconfig ne me demande pas de redémarrer, si je ferme par OK (même sans nouveaux changements effectués) Msconfig me demande de redémarrer.
 
Ai-je fait le bon choix docteur ?
 

Reply

Marsh Posté le 05-11-2004 à 00:06:20    

je ne veux pas être un oiseau de mauvaise augure, mais après avoir lu ton post, ca me rappelle exactement le même problème que j'ai eu il y a ... 2 jours: j'ai eu exactement les mêmes symptomes (plusieurs svchost qui me bouffaient toutes mes ressources, mon pc qui ne voulait plus s'arrêter etc), et j'ai exactement la même configuration logiciels (même os, même firewall, même antivirus, c'est troublant!) Résultat, j'ai du formaté mon disque... Bonne chance à toi, et j'espère que tu vas trouver une issue!

Reply

Marsh Posté le 05-11-2004 à 00:06:20   

Reply

Marsh Posté le 05-11-2004 à 01:35:02    


 
Merci Saikatna,
 
en effet cela n'a pas l'air d'être simple.... :(
 
J'ai fait tourner les 3 anti-spywares :
 
- CWShredder :
rien trouvé à corrigé.
(Le même problème de up et Download continu)
 
- Spybot - Search & Destroy :
des problèmes de cookies trouvés et tous corrigés.
Et aussi le bug DSO EXPLOIT de SPybot (normal ça ! :)
(Le même problème de up et Download continu)
 
- Ad-Aware SE Personal :
Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:01:23.937
Objects scanned:63793
Objects identified:48
Objects ignored:0
New critical objects:48
Tous ont été corrigés !
Et juste après .... plus de problème !   !
 
Ouf !
(Le problème de up et Download continu s'est arrêté, Zone Alarm reste sage !)
 
Enfin..... !
 
Donc, confiant, je remercie Ad-Aware, et je reboot, juste pour vérifier hein !  
(on n'est jamais trop méfiant :) )
 
Et là, hélas, le problème reprend de plus bel :
et c'est reparti le up et le download.... arg ! :( :(
 
Bon, je ne lâche pas encore l’affaire… 
 
Mais les autres scans successifs de AdAware ne détecte plus rien !
Même en mode avancé, il ne trouve plus rien….
 
Mais en continuant mes recherches, je découvre un fichier .exe qui a été infecté par le virus :
 
Fichier infecté par le virus :
TrojanDropper.Win32Delf.fd
 
Aie !
 
Hélas le fichier a déjà été lancé, et je cherche maintenant, si ce virus n’est pas la cause de tous mes problèmes….
 
…mais comment faire ?
 
KAspersky ne trouve plus rien à corriger maintenant.
 
Et le up et down continuent encore.... arg :(
 

Reply

Marsh Posté le 05-11-2004 à 06:36:34    

C'est vers quelle adresse que ça UP ? zonealarm dit quoi ? si tu bloque le processus qui upload ça merdouille la machine ?

Reply

Marsh Posté le 05-11-2004 à 09:36:50    

Par exemple j'ai verrouillé l'accès internet de ce up et down avec le verrou de Zone Alarm.
 
J'ai donc une alerte ZA quand Generic Host Process for Win32 Services essaye de se connecter avec le message suivant :
 
"Generic Host Process for Win32 Services a tenté d'envoyer des données à Internet (255.255.255.255), mais s'est vu refuser l'accès par le verrouillage internet."
 
Si je clique à ce moment non pas sur OK pour autoriser cet accès (le titre de l'alerte de ZA est "Internet Automatique), mais sur DEVERROUILLER",
alors je peux accèder au web par Internet Explorer par exemple.
La fenêtre d'alerte restant ouverte, le Generic Host Process for Win32 n'étant toujours pas autorisé à se connecter à internet , mon problème de up et down toutes les 2 secondes n'apparait bien entendu pas.
 
Peut-être n'ai-je pas répondu correctement à ta question Daxmurf, car je ne sais pas où je dois regarder pour en savoir plus...

Reply

Marsh Posté le 05-11-2004 à 09:53:53    

Par la manip décrite dans mon post précédent, je suis dans la situation maintenant où je n'ai plus ce up et down toutes les 2 secondes environ, mais je suis sûr que dès que je vais rebooter, je vais me retrouver avec ce problème.
 
Ma question serait donc où je dois regarder maintenant (avant de rebooter) que la situation est "stable" (!) pour voir ce qui va se lancer au reboot et donc créer le problème de up et down constant ?
 
Dans le groupe de démarrage il n'y a que 3 prog.
Et ils ne doivent pas poser de problème particulier (Assistant d'Acrobat, le gama loader d'Adobe, et le HotSync de Handsrping).
 
Je viens de relancer un Adaware et il n'a rien trouvé.
 
J'attends votre réponse avant de rebooter ! :)
Merci encore pour votre aide.

Reply

Marsh Posté le 05-11-2004 à 10:15:56    

juste pour info, vraiment... je tombe dans l'obscur profond  personnellement  :D
c'est un IP Broadcast protocole DHCP 255.255.255.255 (il y a des IP Multicast)
http://www.commentcamarche.net/internet/dhcp.php3


---------------
°*°  Pan ! et Pan ! ça fait Pan-Pan !  °*°
Reply

Marsh Posté le 05-11-2004 à 11:16:21    

Merci Western-shadow :)
 
Je devrais peut-être modifier les paramaètres DHCP dans le routeur ?

Reply

Marsh Posté le 05-11-2004 à 12:11:34    

:) et si tu Désactivais le service "Generic Host Process for Win32 Services?
Démarrer > panneau de configuration > performances et maintenance > outils d'administration > services > onglet "étendu" ou "standard"( indifférent) > double clic sur le nom du service "Generic Host Process for Win32 Services" (ou Client DNS) ouvrir la boîte des "propriétés" de ce service > si le service est signalé "Démarré" dans "Statut du service", clic sur "Arrêter" > Type de démarrage : choisir "Désactiver" Ok/Fermer (Source Assiste.com)
Attend d'autres avis je voudrais pas te provoquer des désagréments ;)
Tu as déjà fait des tests de pénétration pour voir quels ports ("dits néfastes" bien sûr) sont ouverts sur ton ordi, type : Test UPnP (pour fermer les ports 5000 et 1900 avec un firewall  
désactiver la fonctionalité UPnP  etc etc...)
Sur Assiste par exemple, avec d'autres infos intéréssantes sur la protection
http://assiste.free.fr/p/frameset/03.php
 
édit : il faudrait peut être que tu fasses une recherche sur Hard.  je pense que ça a dû être abordé X fois, je connais encore très peu ce forum ensuite tu postes sur le Topic adéquat, ton problème a un peu changé depuis ton titre


Message édité par western-shadow le 05-11-2004 à 12:18:24

---------------
°*°  Pan ! et Pan ! ça fait Pan-Pan !  °*°
Reply

Marsh Posté le 05-11-2004 à 16:33:28    

Je pense avoir trouvé (enfin !) une piste pour ce problème de up et down toutes les 2 secondes :
 
En fouillant du côté de ZA, j'ai trouvé l'alerte firewall suivante qui me semble être à l'origine de mon problème.
 
(désolé je n'ai pas pu copier plus clairement le détail de l'alerte de ZA, cela apparait sous forme d'un tableau.)
****************************************
Votre ordinateur tente de contacter l'adresse IP 192.168.0.1
ZoneAlarm a empêché le trafic Internet de quitter votre ordinateur. Aucune brèche n'a été ouverte dans votre système de sécurité.  
Votre ordinateur est sain.  
 
*****************  
Dans l'alerte Firewall  :
**********
Propriété de l'alerte Valeur de la propriété de l'alerte Explication technique
Adresse IP d'origine xxx.xxx.xxx.xxx Adresse IP de l'ordinateur ayant envoyé le paquet qui est à l'origine de l'alerte.  
Port d'origine 1025 Port utilisé par l'ordinateur source lors de l'envoi du paquet.  
IP de destination 192.168.0.1 Adresse IP de l'ordinateur vers lequel le paquet a été envoyé.  
Port de destination 53 Port de l'ordinateur de destination ayant reçu le paquet.  
Protocole de couche transport UDP Protocole qui permet le transfert de données entre des logiciels installés sur différents ordinateurs.  
Protocole de couche réseau IP Protocole qui permet à deux ordinateurs interconnectés de se localiser mutuellement sur un réseau.  
Protocole de couche liaison Ethernet Protocole qui permet à deux ordinateurs directement reliés de partager un câble réseau.  
Nom du programme Generic Host Process for Win32 Services Programme installé sur votre ordinateur. Ce programme a essayé d'envoyer un paquet IP via Internet ou attend de recevoir un paquet entrant.  
Nom du fichier svchost.exe Fichier exécutable de l'ordinateur qui lance et exécute Generic Host Process for Win32 Services.  
Version du programme ?? Version de Generic Host Process for Win32 Services installée sur votre ordinateur.  
Date d'alerte Nov-05-2004 04:14:35 AM GMT-08:00 Heure à laquelle ZoneAlarm a détecté l'alerte sur votre ordinateur.  
Nombre d'alertes 1 Nombre de tentatives de connexion à votre ordinateur après la première alerte. ZoneAlarm empêche l'affichage répétitif d'alertes identiques sur votre ordinateur.  
*******
ZoneAlarm application de la sécurité au moment de l'alerte :
**********
Niveau du verrouillage Verrouillage désactivé Les connexions Internet et réseau autorisées par vos paramètres de ZoneAlarm ne sont pas bloquées par un paramètre de verrouillage.  
Niveau de sécurité de la zone sûre Moyen  Ce réglage de ZoneAlarm applique les paramètres de privilèges d'application et de verrouillage Internet. Il laisse votre ordinateur visible pour les autres ordinateurs de la zone sûre. Il ne bloque pas le partage de fichiers ou d'imprimantes (NetBIOS) ni le trafic du système d'exploitation entrant et sortant de la zone sûre.  
Serveurs de la zone sûre Serveurs autorisés  Les ordinateurs de la zone sûre de ZoneAlarm ne sont pas protégés contre la connexion à des programmes serveurs installés sur votre ordinateur.  
Niveau de sécurité de la zone Internet Elevé  Ce paramètre de ZoneAlarm bloque l'accès depuis la zone Internet vers les fichiers et imprimantes partagés (NetBIOS) ainsi que d'autres services du système d'exploitation. Les ports qui ne sont pas en cours d'utilisation par un programme sont bloqués et restent invisibles dans la zone Internet. Ce niveau de sécurité applique également les paramètres de privilèges d'application et de verrouillage Internet.  
Serveurs de la zone Internet Serveurs autorisés  Les ordinateurs de la zone Internet de ZoneAlarm ne sont pas protégés contre la connexion à des programmes serveurs installés sur votre ordinateur.  
Direction du paquet Sortant  Le paquet qui est à l'origine de l'alerte a été envoyé par un programme installé sur votre ordinateur. Il était en cours d'envoi vers un ordinateur situé quelque part sur Internet ou sur votre réseau.  
Zone Zone sûre  Cette zone de ZoneAlarm contient tous les ordinateurs et réseaux que vous connaissez et que vous jugez fiables, tels que d'autres ordinateurs de votre réseau local ou privé.  
Système d'exploitation Windows XP-5.1.2600-Service Pack 2-SP  Version de système d'exploitation installée sur votre ordinateur.  
*****************************************  
 
 
Donc cela concerne le port 1025 du PC de départ (mon 1er PC, celui qui pose le problème), et cela va vers l’adresse IP du routeur (.1), ce qui est normal pour un programme qui veut se connecter à internet, sur le port de destination 53.
 
Voilà, j’ai identifié et isolé le problème, mais je ne sais pas le résoudre !
 
Donc ce SVCHOST je ne sais pas s’il peut être bloqué juste pour un programme particulier, ou on est obligé de le bloqué pour tous les programmes qui font appel à lui ? ?


Message édité par Dplanet le 05-11-2004 à 16:44:10
Reply

Marsh Posté le 05-11-2004 à 17:08:46    

Re ;) à mon humble avis le "problème" vient de là : Nom du fichier svchost.exe Fichier exécutable de l'ordinateur qui lance et exécute Generic Host Process for Win32 Services <-- ce serait à ce niveau qu'il faudrait appliquer des règles "peaufinées".... dur-dur...
quand on fait des recherches sur la Sécurité, ce service est très souvent "désactivé"
Tu as testé ton firewall sur Assiste ou autre?


---------------
°*°  Pan ! et Pan ! ça fait Pan-Pan !  °*°
Reply

Marsh Posté le 05-11-2004 à 19:08:52    

Merci Wester-shadow,
je viens de tester sur Assiste, et tout est ok, (bien en stealth, exploit ok, etc...).
 
Je pense que je vais reformatter et réinstaller... arg :(

Reply

Marsh Posté le 05-11-2004 à 20:28:33    

à ce point? format....  :ouch:  
tu as tenté de désactiver "Generic Host Process for Win32 Services" ? tu le réactives en cas de problèmes ; je l'ai fais ça ne change rien à mon surf mais je ne me sers que de Firefox alors?
Essaye de persévérer, recrée un post pour ton problème avec ZoneAlarm ou change ton titre :) (ou de firewall :D) j'ai Kério Personnal Firewall c'est vrai qu'il est plus facile à configurer parceque tout est presque fait au départ
Recherche sur Google si tu trouves qq chose comme une incompatibilté entre ZA et le SP2 ?
 
 :hello:


Message édité par western-shadow le 05-11-2004 à 20:34:04

---------------
°*°  Pan ! et Pan ! ça fait Pan-Pan !  °*°
Reply

Marsh Posté le 06-11-2004 à 05:10:28    

Ben voilà, j'ai reformaté, réinstallé Wind et les applis et bien sûr je n'ai plus de problèmes de up et download intempestifs :)
 
Il va donc falloir que je le fasse aussi sur le deuxième PC :(

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed