Discussion :

[MrTux]

Voila depuis quelques jours mes programmes se ferment tout seul, quand ca leur chante....
Au début c'etait pas trop embettant mais maintenant... j'essaye d'ouvrir nimporte quoi, ca se ferme direct... Alors j'ai fait une analyse Kaspersky : rien, puis Spybot : rien. De meme en mode sans echec....
Finalement j'ai installé Hijackthis mais je narrive pas a lire le rapport et à trouver l'erreur... si vous pouviez maider et me dire si vous connaissez le virus (s'il s'agit de ca)

Merci

[ggnore]

tu peux utiliser ce site :
http://www.hijackthis.de/fr
pour analyser ton fichier.

Tous les programmes dont le degré de dangerosité n'est pas connu sont potentiellement dangereux.

[Jannus]

À manier avec des pincettes quand même les réultats.
Tout n'est pas répertorié loin de là.
C'est une très bonne base, mais qu'il faut quand même vérifier en cas de doute.

Commence par faire un tour dans ta BdR pour la nettoyer, y'a un tas de "crasses" dans tes clefs "Run"

[MrTux]

Hummmm, tout les fichiers run me servent.... Mais j'ai lu a d'autres endroits qu'il pourrait s'agir du fichier svhost.exe... Un fake qui est enfait un virus => MyDoom
C'est possible?

[Louis-Guillaume Morand]

c'est faux.
svhost est NECESSAIRE pour windows. il sert à lancer les services de type COM+. MAIS le virus peut s'ajouter pour se faire lancer par svhost. mais mydoom est un virus quand il en existe des centaines de millier. t'as pas mydoom

[MrTux]

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\eHome" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_03] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\pchealth" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_04] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Srchasst" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_05] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\system32\Oobe" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_06] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\Help\Tours" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_07] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\system32\Inetsrv" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_08] cmd.exe /c md "%USERPROFILE%\Local Settings\Temp" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_09] rundll32 advpack.dll,DelNodeRunDLL32 "%SystemRoot%\System32\dllcache" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_10] cmd.exe /c md "%SystemRoot%\System32\dllcache" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_11] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_12] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_13] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\eHome" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

Il me trouve ca d'inconnu ( a par le ctfmon ) je peux supprimer ou pas? , car j'en ai aucune idée

[droggo]

Jao,

c'est faux.
svhost est NECESSAIRE pour windows. il sert à lancer les services de type COM+. MAIS le virus peut s'ajouter pour se faire lancer par svhost. mais mydoom est un virus quand il en existe des centaines de millier. t'as pas mydoom

C'est svchost qui est nécessaire et fait partie des processus système.

Il y a effectivement eu un virus (ou trojan, ou autre, je ne sais plus) qui créait un processus svhost.