Votre question

Smss.exe csrss.exe lsass.exe et multiple svchost.exe

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
15 Novembre 2009 15:42:05

Bonjour à tous =)

Ya peu de temps, j' ai branché une clé USB d' une amie pour y récupéré quelque fichiers, (une amie pas trop dans l' informatique et plutot de confiance ) et quant je l' ai branchée, elle s' est installée toute seule pour pouvoir y acceder ( normal ... ) et un message s' est affiché sans que j' ai le temps de le lire j' appuie par reflexe sur entré, le message se ferme, puis mon ordi redémarre...
J' ai remarqué les processus précédemment dis dans le titre, et je trouve pas vraiment de réponse là dessus... J' ai fias des analyse, Avira, Spybot, Ad-Aware, mais rien trouvé...
J' ai l'impression que mon pc est un peu plus lent depuis donc j'ai fait une analysé HiLack This, que voilà :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:29:11, on 15/11/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\stsystra.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\LSD\LClock\lclock.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\Documents and Settings\Léo.LSDBOT\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\PROGRA~1\MICROS~2\rapimgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.winlsd.org/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Program Files\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Program Files\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Program Files\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [LClock] C:\Windows\LSD\LClock\lclock.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Léo.LSDBOT\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [WinLSD_SP3] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [WinLSD_SP3] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [WinLSD_SP3] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [WinLSD_SP3] %systemroot%\LSD\end.cmd (User 'Default user')
O4 - Startup: AutorunsDisabled
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Cont...
O17 - HKLM\System\CCS\Services\Tcpip\..\{32A150EC-FEAA-44CA-8DBC-36E0B6B8CC0A}: NameServer = 212.27.53.252,212.27.54.252
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 10131 bytes



L' analyse à été faite juste après le démarrage de l' ordi.
Voilà, merci de m' avoir lu, et Merci d' avance pour vos réponses

Cordialement,
Léo

Autres pages sur : smss exe csrss exe lsass exe multiple svchost exe

15 Novembre 2009 16:01:05

Bonjour,

Je ne vois pas d'infection.
Ta version de windows est illégale, tu as des logiciels à mettre à jour.
Tu peux désinstaller Ad-Aware 2007 il est obsolète.
Tu as pas mal de processus inutiles au démarrage de ton PC, on peut optimiser si tu veux à part ça y a pas grand-chose à faire.
Pourquoi as-tu pensé à une infection ?
15 Novembre 2009 16:22:10

D' abord merci de m' avoir répondu.
Ensuite, ma version WinLSD a été installé sur un windows Pro dont j' avais payé la licence, et j' ai voulu essayé ce WinLSD puis je l' ai gardé...
Sinon, pour Ad-Aware 2007, bah j' ai installé la version actuelle ( il y a 1 ou 2 mois maxi ) mais la version 2007 n' est plus répertorié dans le desinstalleur... Et puis je veux bien que tu me dises ce qu' il y a d' inutile au démarrage, car j' ai déjà désactivé une bonne partie des entrées que je trouvais inutile...

Je pensais qu' il était infecté à cause de mes navigations sur Firefox qui était looooongue.... ça plantait sur chaque vidéo... Mais ça allait mieux sous Chrome, mais je me posais quand même des questions...

Au faite, est-il normal qu' un fichier précédemment reconnu comme infecté, devienne ensuite "clean" ?? ça m' est arrivé plusieurs fois...
Contenus similaires
Pas de réponse à votre question ? Demandez !
15 Novembre 2009 16:31:32

Ll-34 a dit :
Au faite, est-il normal qu' un fichier précédemment reconnu comme infecté, devienne ensuite "clean" ?? ça m' est arrivé plusieurs fois...


Qu'entends-tu par là ?
Oui et bien moi ce que je vois c'est que ta version actuelle n'est pas officielle donc illégale.
Lis ça : http://forum.malekal.com/comment-reconnaitre-windows-no...
Au démarrage de la machine, je vois : NVidia,Nero,Adobe,Bonjour,Real Player ...

Pour Ad-Awre il est bel et bien obsolète mais c'est toi qui vois.
Lis ceci : http://forum.malekal.com/adwares-spywares-comment-ne-pa...
8 Janvier 2010 23:52:28

salut,

je cherchais des réponses a mon problème de virus, et malheureusement pour toi je t'informe que tu a le même que moi.

Les seules infos que je peux te donner sont les suivantes:

-ce virus se reconnait sous windows xp lorsqu'on a deux fois le processus csrss.exe et de multiple svchost.exe
sur xp le processus lsass.exe (qui est un processus système) est visible de base, mais pas sur vista ou seven, ainsi si tu trouve le processus lsass.exe accompagné gentillement par lsm.exe, c'est le virus.

-les symptomes de ce virus sont: j'ai cru d'abord qu'il se copiait sur tout les périphériques usb (autorun.inf + lsass.exe) en fichier caché, et qu'il désactivé l'option affiché les fichier caché, et impossible de la remettre. Mais j'ai pu constater que ce virus est beaucoup plus complexe, avant même de m'en rendre compte il avait infecté mes 4 ordinateur (j'utilsie effectivement une clé usb et un disque dur externe usb sur tous mes ordinateur) Kaspersky détecte le virus lorsqu'il est sur une clé usb (lsass.exe) et le supprime, avast ne le fait pas. une fois qu'il infecte le PC, IMPOSSIBLE de le supprimer ou même de le détecter par un quelconque anti-virus, ce virus semble directement s'en prendre a des processus windows (cf csrss, lsass, lsm, svchost) et les symptome sont: pc qui rame enormément, processeur utilisé de plus en plus (chez moi 60% au bout d'hune heure, 100 % au bout de de plusieurs heure) ce qui rend l'utilisation de l'ordinateur HORRIBLE. Firefox rame effectivement, on a l'impression que tout tourne au ralentie (internet).

La seule solution que j'ai trouvé pour l'instant est de formater mon disque système et de re-installer windows. Ensuite je laissais le controle des programmes sur seven (identique sous vista) activé, afin de contrôler toute exécution de programme et de voir si le fameux virus y était, depuis je met également dans mes lancement de démarrage le gestionnaire des tâches pour vérifier si le virus est la. Mais mon gros probleme est que j'ai plus 5 disque dur qui represente plus de 3 TO sur mon PC principale, donc très difficile à scan ou à sauvegarder. En deux moi, le virus est revenu deux fois "de nul part". Je ne comprend pas comment cela se fait. Une fois, alors que un logiciel du nom de Everest était déjà lancé, le controle de windows m'a demandé si j'autorisé Everest a s'executer et a modifier etc etc (cf controle de compte utilisateur de windows), je click "oui" et là sous mes yeux (j'ai toujours le gestionnaire des taches ouvert sur mon deuxieme ecran, je deviens parano) j'ai vu apparaitre un deuxième csrss.exe et un lsass.exe + lsm.exe.

Aujourd'hui encore le virus m'a pourri mon PC, je ne m'y attendais pas et j'avais relâché mon attention croyant m'être enfin débarrassé de lui, et non, j'ai pourtant re-ghost mon ordi il y 2 jours, et la il ramait vraiment beaucoup, et un petit coup d'œil dans le gestionnaire des taches m'a tout de suite montré d'ou cela venait.

Je suis désespéré avec ce virus, mais je suis heureux de voir que je ne suis pas la seul a être sous son emprise. Ce virus est vicieux et aucun anti-virus ne semble être efficace, pour preuve que ce virus est vicieux, les gens qui voulaient t'aider sur ce topic on finit par te dire que tu n'a pas de virus mais par contre que tu a un système illégale (oulalala ...)

Pour finir, j'appelle tous les gens qui rencontre ses symptôme a se manifester (comme les anti-virus sont inefficace, il y a peut-être plus de victimes qu'on ne pense) et SVP, si quelqu'un connait une solution pour se débarrasser de cette M**DE, donner la par pitié :s

Si je trouve quelque chose je posterais ici.

Sur ce, bonne soirée


fred
9 Avril 2010 21:26:41

Bonsoir,

J'ai le même problème sur mon pc (Windows Vista, +antivir).

Régulièrement antivir trouve un virus du nom de scvhost.exe situé dans un répertoire nouveau à chaque fois, dans le répertoire ...\Document and Setting\Temp\ .

Dernièrement des messages apparaissent dans des fenêtres au premier plan disant qu'il n'y à pas de disque dans le lecteur \net\... (Dans la barre du haut, il est écrit "Isass.exe") ...

Quel est le nom de ce virus ?
Est-ce qu'un patch existe ? Où le trouve-t-on ?

Merci.l
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS