Forum Clubic

Generic host process for win32 services

Bonjour!
depuis quelques jours je dois redemarer au moins 5 fois par jour car un message intervient (generic host process for win32 services) soit quand je suis connectée (et ça se deconnecte)
soit ça se deconnecte tout seul et ce message apparait après un redémarrage…
Dans tous les cas Windows a l’air de croire que je suis connectée, j’ai ADSL auto connect qui me dit que je suis connectée avec l’IP 0.0.0.0.0 (étrange, non?)
J’ai regardé dans le forum,il n’y a pas trop de sujets traitant de cela, je n’ai pas le virus blaster, je n’ai pas de virus (j’ai norton antivirus et mise à jour automatique), j’ai viré toutes les saletés avec Spybot, j’ai Kerio personnal Firewall et là je vois pas trop quoi faire à part formater :frowning:
Le probleme c’est que je n’ai pas le temps de formater en ce moment je passe un concours dans une semaine. y aurait-il une solution de secours?
merci par avance

Config:

Ordinateur HP 1.2 Ghz
384 Mo de Ram
Windows XP edition familiale

Connexion ADSL télé 2 1024

ça sent le virus blaster ça.
passe ton antivirus, ou s’il n’est pas à jour fait le en ligne avec www.secuser.com

si c’est le cas regarde ceci extrait du net:

MAJ du 23/01/04

Repérer et supprimer le virus Blaster, ses variantes et autres

Depuis son apparition au mois d’Août 2003, le virus Blaster (ou Lovesan) a fait couler beaucoup d’encre. A l’origine propagé sous forme d’une seule et même variante, de nouvelles formes n’ont pas tardé à envahir le net. Plus difficiles à détecter et à éradiquer, elles font régulièrement des dégâts chez les utilisateurs non protégés ou sur les réinstallations fraîches non patchées. Dans tous les cas, la désinfection, le nettoyage puis la protection est possible sans recourir à un formatage.

Symptômes d’une infection par Blaster ou assimilés

Le virus original provoquait un plantage du service RPC lors de son intrusion dans le système, plantage qui se traduisait en pratique par l’apparition d’une fenêtre de fermeture administrative et du départ d’un décompte de 60 secondes avant arrêt. Le virus désactivait aussi la fonction de copier-coller et certaines pages devenaient inaccessibles sous Internet Explorer.

Les quelques variantes qui ont suivies n’apportaient rien de nouveau, si ce n’est que le nom du fichier hôte sur le système changeait (teekids, mslaugh32, etc.).

Plus récemment, de nouvelles variantes plus vicieuses ont fait leur apparition. D’une part, leur nom est plus ou moins aléatoire et imite le nom d’un processus système, voire même utilise le même nom mais en se chargeant depuis un emplacement différent. Certaines variantes démarrent même sous forme de service, faisant gonfler une instance de svchost, le programme système Windows assurant l’exécution des services. D’autre part, ils neutralisent une longue liste d’outils pouvant vous permettre de neutraliser le virus puis vous protéger, à commencer par les correctifs WindowsUpdate, les antivirus les plus connus, ou encore Regedit.

Dans la pratique, le désagrément le plus notable est une montée de l’usage processeur à 100% en permanence ou presque, ce qui rend le poste inutilisable.

Détecter le virus

Le virus s’exécute depuis un fichier individuel ou sous forme de service. Le fichier infecté se trouve dans presque tous les cas dans les programmes lancés au démarrage ou dans les services Windows. Dans la quête du fichier infecté, nous allons nous servire de Tasklist qui est un outil intégré dans Windows XP Pro affichant la liste des processus lancés en mémoire ainsi que le nom des services se cachant derrière les hôtes génériques svchost.

Notes :

  • Tasklist n’est pas distribué avec Windows XP édition familiale. Vous pouvez le télécharger ici : http://www.computerhope.com/download/winxp/tasklist.exe

  • Sous Windows 2000, l’alternative à tasklist se nomme tlist, que vous trouverez dans le kit de ressources présent sur le CD d’installation (SUPPORT/TOOLS/2000RKST.CAB).

Lancez un invite de commandes depuis le menu démarrer, Exécuter, « cmd » puis à l’invite, tapez « tasklist /svc » ou « tlist –s » selon que vous soyez respectivement sous Windows XP ou Windows 2000…

La commande « tasklist /svc » génère un retour de ce type :

Nom de l’image PID Services
========================= ====== ===========================================
System Idle Process 0 N/D
System 4 N/D
SMSS.EXE 484 N/D
CSRSS.EXE 540 N/D
WINLOGON.EXE 572 N/D
SERVICES.EXE 616 Eventlog, PlugPlay
LSASS.EXE 628 PolicyAgent, ProtectedStorage, SamSs
SVCHOST.EXE 792 RpcSs
SVCHOST.EXE 816 AudioSrv, Browser, CryptSvc, Dhcp,dmserver,
ERSvc, EventSystem,
FastUserSwitchingCompatibility, helpsvc,
lanmanserver, lanmanworkstation, Netman,
Nla, RasAuto, RasMan, Schedule, seclogon,
SENS, ShellHWDetection, srservice, TapiSrv,
TermService, Themes, TrkWks, uploadmgr,
W32Time, winmgmt, WmdmPmSp, wuauserv,WZCSVC
SVCHOST.EXE 952 Dnscache
SVCHOST.EXE 976 Alerter, LmHosts, RemoteRegistry, SSDPSRV,
WebClient
SCVHOST.EXE 1014
SPOOLSV.EXE 1080 Spooler
ADSL Autoconnect.exe 1992 ADSLAutoconnect
GSICON.EXE 1376 N/D
DSLAGENT.EXE 1304 N/D
MMTRAY.EXE 1236 N/D
EXPLORER.EXE 224 N/D
iexplore.exe 3196 N/D
cmd.exe 4072 N/D
tasklist.exe 1496 N/D
wmiprvse.exe 3180 N/D

Soit la liste de tous les programmes en cours d’exécution au moment du lancement de la commande. Notez, dans la colonne Services, le nom des différents services hébergés par les instances du processus système Microsoft Windows SVCHOST (SerViCes HOST – Hôte de services).

Déterminer quel est le service ou le programme malin n’est pas toujours l’étape la plus facile. Le déguisement des processus est souvent relativement grossier, le fichier infecté portant un nom comme scvhost.exe, svdhost.exe, explorer32.exe, explore.exe, proche de celui d’un exécutable Windows existant.

Pour les services, vous pouvez rechercher avec Google en tapant «Windows service <nom_du_service>» des informations sur ceux qui peuvent paraître louche. Si aucun résultat n’indique que le processus est système ou lié à une application classique, il pourra être suspecté.

Si aucun service et programme ne semble suspect, il ne faut pas oublier que le fichier infecté porte parfois le même nom qu’un exécutable Windows. Celui-ci se charge alors depuis un autre répertoire que le répertoire usuel, par exemple system32 au lieu de system, et inversement.

Le très bon logiciel HijackThis est une bonne alternative à tasklist, qui va nous offrir les chemins de chaque programme lancé au démarrage. Il est disponible sur le site http://www.tomcoyote.org/hjt/

Lancez le, appuyez sur le bouton scan, puis observez la liste retournée. Les programmes lancés au démarrage sont visibles dans les lignes débutant par « 04 – HKLM…\Run: ». Faites une recherche, éventuellement ligne après ligne, des fichiers avec leur chemin sur Google ou sur http://www.sysinfo.org/startuplist.php pour déterminer s’il s’agit d’un fichier utile ou non.

En cas de découverte d’un processus malsain, quelques outils seront nécessaires pour le supprimer. Vous pourrez utiliser HijackThis ou StartupCPL, disponible ici : http://www.mlin.net/files/StartupCPL.zip

En prévision de la désinfection

Une fois le nettoyage réalisé en mode sans échec, il faudra se protéger afin de ne plus être l’objet de nouvelles infections par des variantes de Blaster. Pour ceci, il vous faudra installer quelques correctifs avant de vous reconnecter à Internet. Débranchez donc physiquement votre modem avant d’en avoir fini avec les mises à jour.

Mises à jour pour Windows XP :

-> KB826939 <-
-> KB823182 <-
-> KB824141 <-
-> KB825119 <-
-> KB828035 <-
-> KB828028 <- nouveau (10/02/2004)

Mises à jour pour Windows 2000 (SP2 ou + nécessaire)

-> KB823980 <-
-> KB824146 <-
-> KB828749 <-
-> KB828028 <- nouveau (10/02/2004)

Suppression du virus

Une fois le fichier identifié et les correctifs adaptés en votre possession, redémarrer le poste, appuyez sur F8 au moment du démarrage de l’OS (juste avant l’affichage de la barre blanche), puis choisissez «Mode sans échec»

Pour un processus :

Une fois parvenu sur le bureau, utilisez HijackThis ou StartupCPL pour supprimer le fichier du lancement de la machine.

Avec HijackThis : cliquez sur « scan », cochez la case de la ligne correspondant au fichier infecté, puis cliquez sur « Fix this »

Avec StartupCPL, installé dans le panneau de configuration (icône Startup) : parcourez les onglets jusqu’à trouver le fichier infecté, décochez le.

Recherchez ensuite le fichier depuis la racine du disque et supprimez le.

Pour un service :

Lancez l’éditeur de base de registre depuis le menu démarrer, Exécuter, regedit. Recherchez le nom du service malin. Ces recherches devraient vous mener dans les arborescences suivantes :

HKLM\SOFTWARE\SYSTEM\ControlSet001\Services\
HKLM\SOFTWARE\SYSTEM\ControlSet002\Services\

Repérez le nom du fichier associé au service indiqué dans la variable «ImagePath», et supprimez les fichiers référencés. Supprimez ensuite toutes les entrées correspondant au service malin dans ControlSet001 et 002.

Une fois le nettoyage effectué, débranchez physiquement votre modem, redémarrez normalement, et contrôlez l’absence de symptômes. Installez ensuite les correctifs, redémarrez à nouveau, puis rebranchez votre modem.

Pour supprimer les résidus ou certains virus plus communs

Rien de tel qu’un bon antivirus en ligne ou un outil dédié :

Stinger de MacAfee

CLRAV de Kaspersky

L’antivirus en ligne sur http://housecall.antivirus.com

Ne plus être ennuyé par les tentatives d’intrusion directes (Blaster et variantes)

Vous utilisez une connexion câble ou ADSL ? rien de mieux qu’un bon routeur ou modem routeur matériel afin d’en finir avec ce genre de désagréments

je refais un scan mais mon antivirus est mis à jour!
Mon processeur n’est pas utilisé à 100%, il est très utilisable, c’est pour ça qua je ne comprends pas…est ce vraiment blaster?

as tu regardé dans le gestionnaire de tâches, s’il n y rien d’anormal ?

rien d’anormal
dans processus j’ai 83% utilisé par mon antivirus qui est entrain de scanner
et avant c’est processus inactif du systeme qui prend le plus de place…

Là je sèche un peu. Si tu es sûr d’être à jour des signatures de ton antivirus ainsi que des failles de sécurité microsoft. Les symptômes m’avaient fait penser à Blaster.

Tu devrais essayer de faire une réparation avec le CD d’instal de windaube

Je pense que tu avais bien raison de penser à Blaster, meme s’il n’est pas dans le processus, j’ai quand meme trouvé un indice permettant d’affirmer que c’est bien un virus: ma mise à jour etait désactivée dans les options ne mon antivirus (je n’ai jamais touché à ça, le virus a du le désactiver)
J’ai trouvé une solution: j’ai fait une restauration systeme et j’ai remonté à un moment ou je n’avais pas de probleme, et depuis ça a l’air de marcher
Merci pour votre aide

:super:

salut

alors pour faire simple, j’ai a peu pres le meme probleme que sur le l’auteur du topic

a part que moi, c’est pas la connexion qui se coupe, elle refuse carrement de se lancer

j’ai essayer aussi la restauration systeme, mais il me dit a chaque fois qu’elle a echoue :pfff:

sinon, j’ai un anti virus a jour et un pare feu
scan effectue, et pas de virus (a 1er vue)

bref, a part un formattage, y’a t’il une autre soluce ?