svchost.exe je sais plein de solution

Forum ayant pour theme les virus, les vers de messagerie, les chevaux de troie, les anti-trojans, les spywares et les anti-virus

Modérateur: modos Ixus

svchost.exe je sais plein de solution

Messagepar trans242 » 03 Avr 2004 09:54

voila je voudrai juste savoir la procedure normal est sur pour eliminer ce virus car partout il dise utilise tel patch ou tel patch mais en fait on c est jamais le quel j en est essayer 5 ou 6 en mode sans echec evidament toujour la . donc fais mise a jour xp impossible il bloque a cause du virus
mise a jour de l antivirus impossible il bloque enfin en font de tache ca marche mes mon proceseur et toujour a 100 pourcent et le pc rame
quel et vraiment le patch a utiliser pour ce virus car je crack et je remercie d avance tous ceux qui pouront m aider
bonne journee a vous
242
trans242
Matelot
Matelot
 
Messages: 1
Inscrit le: 03 Avr 2004 09:33

Messagepar JaDiuM » 03 Avr 2004 10:17

Bonjour,


Celui ci fera l'affaire http://secuser.com/alertes/2004/welchiab.htm.

Autre conseil installez un firewall et un antivirus correct (norton à bannir)


Cdt
" Quand on ne sait pas où l'on va, tous les chemins mènent à nulle part." [Kissinger]
Avatar de l’utilisateur
JaDiuM
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 334
Inscrit le: 15 Jan 2004 01:00

Messagepar harahel » 05 Avr 2004 11:54

c kler bcp trop lourd et bcp de virus passe a travers les mailles de norton : ma solution Kapersky
harahel
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 29 Mars 2004 20:38

Antivirus

Messagepar bernie50 » 06 Avr 2004 11:59

Kapersky d'accord excellent , mais aussi avg (gratuit)
Il faut vivre vite, car la mort vient tôt - james dean (star de cinéma)
James dean est mort a moins de 30 ans sur une route de californie décapité dans un accident de voiture a plus de 200 kmh, il a mis en quelque sorte sa devise en pratique.
Avatar de l’utilisateur
bernie50
Contre-Amiral
Contre-Amiral
 
Messages: 379
Inscrit le: 13 Nov 2003 01:00
Localisation: DOUR-Belgium

Messagepar SNORK » 06 Avr 2004 12:20

ATTENTION.... fausse piste, ce n'est pas un virus ! :roll:
Avatar de l’utilisateur
SNORK
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 246
Inscrit le: 12 Mars 2003 01:00
Localisation: Asnières

Messagepar svart » 06 Avr 2004 12:32

Ca dépend : si le processus est dans c:\windows\system32 : c'est un processus normal et nécessaire à windows
S'il est dans c:\windows\system32\drivers : c'est le virus Welchia
Si l'on ne fait que ce que l'on sait faire, on n'apprend jamais rien.
Avatar de l’utilisateur
svart
Vice-Amiral
Vice-Amiral
 
Messages: 853
Inscrit le: 04 Sep 2003 00:00
Localisation: Finistère

Messagepar alx_the_barbare » 14 Avr 2004 16:20

et si il est dans c:\windows\system32\inetsrv\

moi c mon pb, et le troyen est TrojanClicker.Win32.Schorpec.q
Avatar de l’utilisateur
alx_the_barbare
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 146
Inscrit le: 01 Avr 2004 15:06
Localisation: Rennes

Variante, nouveau Troyen ?

Messagepar fdejaigher » 15 Avr 2004 21:11

Voilà mon cas, (Soux XP Pro SP1 full updated)
J'avais pas mal d'alerte de mon firewall qui me disait que SVCHOST.exe voulait accéder à thXYZ.opsion.fr (xyz variait)
Mais parfois ce n'était pas que ce pgm, j'avais aussi le droit à WINLOGON.EXE voire service.exe, et aussi RUNDLL.EXE, RUN.EXE ....
Petit point à noter, ces fichiers étaient lancé par le comte utilisateur et non system, et toujours en majuscules... étrange...

Ces fichiers étaient la plupart du tremps localisés dans c:\windows\temp\
Il n'était pas toujours possible de tuer ce processus, et cela devenait vite agaçant, d'autant plus que mon anti-virus (Avast, qui est excellent et gratuit pour une utilisation perso, soit dit en passant) ne le détectait pas, ni les différents anti-virus en ligne, ni le Norton de mon boulot (mais là je m'en doutais déjà :p). J'ai tester le cleaner de avast, en mode sans échec, nada !

ET il y a deux jours cela devenait de plus en plus emm... car ça bouffait de plus en plus de ressource CPU !
Là le fichier s'appelait SYSTRAY.EXE

J'ai effectué différentes recherches sur internet, j'ai eu quelques résultats mais aucun ne correspondait à mon virus !

Etais-je en présence d'un nouveau virus, et ce depuis 2 mois ???
J'ai rebooté en mode sans échec.
Et la bataille a commencé.
Tout d'abortd j'ai localisé cet exécutable, comparé à l'original dont il avait pris le nom, rien à voir, pas d'information de version, taille différente...
Bonne idée ça la taille il pèse exactement 408 730 octets et explorateur l'affiche à 400ko tout rond.
Petite recherche, et je fini par retrouver tous les clones dans c:\windows\; c:\windows\system\; c:\windows\system 32; et sous le nom "winstart.exe" dans c:\Documents and Settings\$utilisateurs$\Menu Démarrer\Programmes\Démarrage !

Parmis ces fichiers un fichier à noter, run.exe et None.exe (c'est celui là qui est très fort en passant, vous allez comprendre plus loin).

Je lance ma petite appli favorite "startup.cpl", je vire la clef du registre (HKLM) SYSTEM/Rundll | SYSTEM/Rundll
Ensuite on va directement voir dans le registre, une petite recherche sur "run.exe" (parmis d'autres) et là dans la clef qui défini le shell du système au lieu d'avoir "explorer.exe", j'ai "explorer.exe run.exe".
Mazette.
Bon, supposant que le nettoyage est fini, ne trouvant pas les appel aux exe dans la base de registre je reboote en mode normal.
J'ouvre ma session, et là un petit message m'indique que windows ne trouve pas le programme None défini dans la base de registre. Gulp !
un petit CTRL+SHIFT+ESC, un oeil sur mes process, tout est normal (youpi tralala je fais alors mais c'est hors propos)
Je regedit à nouveau. petite recherche sur none.exe, rien :(
hum si none.exe était dans system32, le .exe est facultatif... re gulp
Recherche sur 'none', fructueue, c'est le festival ! Dans tout ça il faut distinguer le bon grain de l'ivraie... si mes souvenirs sont exacts, il s'agit d'une clef "run" ayant pour valeur "none".(c'est ça qui est malin)

Bref je relate tout ça à support@avast.com
Voici la réponse (en anglais, ce matin, et je suis en licence gratuite) :
the file is a backdoor trojan horse. Thank you for sending the
sample, the detection will be added in the next virus datebase update (I
proposed the name Win32:Nonenserv [Trj], but I don't know if it will be
accepted).
You probably got rid of it, but I send you the list of changes the
trojan did on my test computer. It copied itself to the files

C:\Windows\msswap.exe
C:\Windows\none.exe
C:\Windows\run.exe
C:\Windows\System\rundll.exe
C:\Windows\System\svchost.exe
C:\Windows\All Users\Start Menu\Programs\StartUp\winstart.exe
C:\Windows\Start Menu\Programs\StartUp\winstart.exe

released the data file C:\Windows\System\cdllctrl.sys (ça j'avais pas noté)

and made changes in the ini files(Sous windows 98, non modifié sous XP -> Registre à la place)

system.ini: shell=Explorer.exe Run.exe
(the run.exe is reference to the virus file)
win.ini: run=None (c'est vraiment bien discret)
(the None is reference to the virus file)

and the changes in the registry you mentioned. (My test computer runs
Windows 98, so the system/system32 folders and changes in the ini file
might differ of the yours).


Vérification rapide ?
Allez dans C:\windows\system
Affichez le détail
triez sur la taille
Cherchez un fichier de 400ko
Exécutable ? Pèse exactement en octets 408 730 (taille fichier, pas sur le disque ;))
Oui ?
Vérifiez votre menu démarrer / Programme / Démarrage
Il y a winstart.exe ?
Oui
Bienvenue au club ! ;)

APPEL A TEMOIN
Si vous avez été victime de ce troyen, faites-moi un signe car j'ai l'impression d'être seul au monde... si tel est le cas, troyen ciblé ???? mais qui ? :x[/b]
Avatar de l’utilisateur
fdejaigher
Matelot
Matelot
 
Messages: 6
Inscrit le: 15 Avr 2004 20:33

Messagepar gen3xp » 18 Avr 2004 22:27

Salut !

Moi aussi j'ai été infecté sous XP PRO ! par différent virus loger dans des fichiers portant des noms suivant:
svchost.exe => situé dans un autre repertoire que la normale.
ntoskrnl.exe => celui ci cherche à aller sur le net, de plus j'ai des tentatives de connection à ce fichier! j'ai pas trouvé d'info à ce sujet.

Pour le moment mes protections, c'est sygate et l'antivirus en ligne SECUSER http://www.secuser.com/antivirus/index.htm!
Avec cela je m'en sort!

A+
gen3xp
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 18 Avr 2004 21:43
Localisation: montpellier


Retour vers Virus et Anti-virus

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité