[help] virus dans un service windows !

virus dans un service windows ! [help] - Sécurité - Windows & Software

Marsh Posté le 22-03-2004 à 11:32:26    

hello
g un virus qui bourrine à fodn le site de microsoft (windowsupdate) et qui n'est détecté par aucun antivirus;
il est dans tous les pc de notre boite et j'aiemrais savoir comment il s'appelle pour pouvoir éventuellement chercher de l'aide!
je me suis rendu compte qu'il se met dan sun service au hazard lancé au démarrage du pc; et cette fois ci il a choisi de se lancer via le service "client DHCP"; je redémarre le service et je vois bien le truc recommencer à bourriner microsoft!
donc j'aimerais demander à un expert windows comment je peux faire pour retrouver le virus !  eskil s'agit d'un argument passé à la ligne de commande qui lance le service ? eske je peux dans ce cas retrouver la ligne de commande ? eskil s'agit d'un truc qui modifie carrément la "dll?" du service ? si tel est le cas, comment savoir quelle est cette "dll" ?
help sil vous plait, je sais windows est u n mystère mais que puis je faire mis à part formater tout le parc informatique!
j'aimerais bien connaitre un ptit poil plus et pouvoir résoudre ce genre de désagréments!
 à l'aide désespérée svp :'(

Reply

Marsh Posté le 22-03-2004 à 11:32:26   

Reply

Marsh Posté le 22-03-2004 à 11:35:20    

Est-ce que tu as vérifié les programmes qui se lancent au démarrage, en particulier dans la BdR ?

Reply

Marsh Posté le 22-03-2004 à 11:36:56    

ouais mais malheureusement il n'ya rien de suspect là dedans (rien dans runservices par exemple)
et comme je disais plus haut il prend un service au hazard parmi ceux qui se lancent d'habitude !

Reply

Marsh Posté le 22-03-2004 à 11:38:15    

Et les clés RUN, tu as regardé ?

Reply

Marsh Posté le 22-03-2004 à 11:46:20    

ouais partout :) c le premier truc que je tcheck à chaque fois (avec aussi "Démarrage" )

Reply

Marsh Posté le 22-03-2004 à 12:01:59    

il existe un freeware permettant d'explorer les process lances, et evntuellement de detecter des sous-process...
 
c'est sysinternals qui fait ca et ca s'appelle procexp:
http://www.sysinternals.com/ntw2k/ [...] cexp.shtml

Reply

Marsh Posté le 22-03-2004 à 14:13:09    

Salut,
cela ressemble fort à blaster puisque le but de ce ver était de se connecter au site windowsupdate.
As-tu installé mise à jour de crosoft contre blaster ?
voir quel port est utilisé cela peut donner indication
Sinon, désinfection avec antitrojan (spywareblaster par ex.)
A+

Reply

Marsh Posté le 22-03-2004 à 14:16:11    

super ca marche nickel merci beaucoup :)
(g pas encore trouvé mais ça m'aide déjà bcp)

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed