Je récupère mon ordi portable avec un nouveau disque dur.
Donc avec un Windows xp pas à jour.
 
J'installe mon antivirus/parefeu "BitDefender 8 edition professionnelle".
Mes softs de connection ADSL/Wifi et va sur internet.
Upgrade l'antivirus et lance windows update...
Et c'est là que commence mes problèmes : la page de windows update met des plombes à s'ouvrir
le cpu est "stressé" et au final j'ai droit a un arrêt système (compte à rebours) du a un appel
RPC fini de maniere inattendue...
 
Quelques essais plus tard, avec Firefox et Process Explorer :
C'est l'instance de svchost.exe chagé des RPC ( -rpcss) qui rapidement utilise toutes les ressources du CPU.
Pour finir par ne plus résoudre les appels RPC (genre www.google.com introuvable alors que trente secondes
auparavant il l'avait trouvé) et provoquer l'arrêt système.
Si je la suspend avec Process Explorer c'est l'instance de svhost.exe chargée des "networkservices" qui prend
alors toutes les ressources du CPU...
Et si je la suspend à son tour c'est kerio personnal firewall (que j'ai substitué au firewall de BitDefender)
qui stresse à 100% mon CPU...
 
Les nombreux scans de l'antivirus (à jour) trouvent toujours quelques backdoors et pour cause, ils sont lancés
(je l'ai vu avec Process Explorer) par svchost -rpcss...
 
Bref je soupçonne fortement svchost.exe d'être vérolé mais mon antivirus ne trouve rien à redire.
Alors ok mon windows n'est pas à jour, mais je peux pas le mettre à jour...
Si quelqu'un avait une idée pour me sortir de cette impasse

shutdown -a  pour arretter le shutdown après le compte à rebourd

ca sent le virus a plein nez!!! Ca sent même le Blaster ou Sasser!!!!
 
dans un premier temps pour empecher le compte à rebours tu vas dans Panneau de config/Outils d'admin/Services
 
la de dans tu double click sur la ligne "Remote Packet Capture Protocol v.0 (experimental)" et dans l'onglet "Dépendance" tu mets "ne rien faire" dans les 3 menu déroulant.
 
Ca ca va t'éviter le compte à rebours et donc le reboot.
 
Ensuite TRES IMPORTANE: va sur windowsupdate et fait toutes les mises a jour de sécurité.
 
Enfin fait une mise à jour de ton anti-virus et reboot en mode sans echec pour faire un scan complet de l'ordi, ou alors si ton antivirus n'est pas assez bon, tu fais un scan en ligne.
 
Si c'est Blaster (ou meme si t'en a aucune idée) télécharge ca:
http://securityresponse.symantec.c [...] xBlast.exe
et execute le pour Détruire Blaster
 
idem pour Sasser:
http://securityresponse.symantec.c [...] Sasser.exe

Merci de votre promptitude.
 
Depuis j'ai téléchargé FixBlaster et le patch de sécurité qui va avec.
J'ai exécuté FixBlaster : pas de blaster trouvé.
J'ai installé le patch et l'erreur de numérotation 775 est arrivé...
Impossible de se connecter...(j'utilise FireFox)
Puis c'est l'utilitaire de ma clef Wifi qui trouve plus la connection...
Alors que l'ordi de bureau (d'où j'écris) n'a pas de problèmes...
J'en suis là.
 
Je vais m'interesser à Sasser.
Sinon les backdoor récurrentes sont BackDoor.PoeBot.B et BackDoor.CoodBot.Z,
noms de BitDefender.
Si quelqu'un a encore des idées.

Pour les virus utilisant la faille RPC on a aussi Welchia et Agobot

Après un lundi particulierement stressant :
 
- Les outils de désinfection de Symantec contre Blaster/Sasser/Welchia/Agobot
n'ont rien trouvé.
 
- J'ai pus téléchargé et installé une quinzaine de security update dont celui contre
les attaques RPC.
 
- Du coup, "C:\WINDOWS\system32\svchost -k rpcss" se tient désormais tranquille.
 
- Mais c'est sa soeur "C:\WINDOWS\System32\svchost.exe -k netsvcs" qui a pris le
relais   .
Une fois la connexion ouverte, elle finit toujours par lancer un thread
"RPCRT4.dll+0x15dd" (adresse de départ) qui stresse mon CPU.
Je le "kill" avec Process Explorer sans à priori d'effets secondaires (de toutes
façons il y a d'autres threads RPCRT4.dll).
 
- Sauf que quelquefois FireFox ne résout pas des adresses aussi simples que google.com.
Fermeture du brower, reouverture dans la foulée et là ça marche    
 
- Pour finir en apothéose, j'ai procédé a pas moins de 4 installation du Service Pack 2
qui a toujours échoué à mi-parcours lors des "processus actifs après l'installation".
Pas de message d'erreur juste le thread du Windows NT User Data Migration Tool qui semble
dormir (pas d'activité). J'ai quand même attendu près d'une heure !
Je m'en sors en reprenant le point de restauration que l'install de SP2 a créé. Tient,
quelquechose qui se déroule comme prévu    
Sauf qu'il faudra que je nettoie les fichiers renommés, j'en suis a fichier[4].exe...
 
- Ad-Adware m'a trouvé des objets suspects -> quarantaine.
BitDefender me trouve plus de BackDoor, nada sinon une merde très mal placée dans
defrag32.exe !
 
Merci à celui qui m'a donné le moyen de désactiver le redémarrage du système.
Mais me laissez pas tomber, j'ai toujours un système instable