comment empecher NT/AUTORITE de fermer un service.

zaone

Nouveau membre
Toutes les 10 min, un ordre 'fermer' est envoyé au service " pare feu de connection internet/partage de connection internet" ce qui a comme résultat que ca coupe mon réseau local..et le deuxieme pc ne peu plus acceder a celui ci.

Le donneur d ordre est NT/authorite system.
J ai win xp pro. spybot/antivir xp/ad aware/kerio.

J ai cherché d ou ca vient j ai rien trouvé, est ce qu il existe un moyen d empecher authorite/nt d avoir acces a ce service ?

D ou ca peu venir ?

ENfin toute suggéstion est la bienvenue , merci.

 

bigbernie

Grand Maître
NT Authority ça me rappelle ce bon vieux Blaster !
Antivir ? !!!!
Fais un scan en ligne sur le site Secuser par exemple pour commencer.

 

zaone

Nouveau membre
non bizzarement secuser ne detecte pas de virus sur mon pc.

voila mon hijackthis log si ca peu aider.

C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
d:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\smsc.exe
D:\Program Files\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\sstray.exe
D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\smss.exe
C:\WINDOWS\System32\fwdmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
D:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
D:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\system32\mmc.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\vincent\LOCALS~1\Temp\Rar$EX00.938\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] "d:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} -
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - D:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: System Manager Service (SMSC) - Unknown owner - C:\WINDOWS\smsc.exe
O23 - Service: SMSS - Unknown owner - C:\WINDOWS\smss.exe
 

marsien

Grand Maître
Regarde par toi-même sur et tu verras que le processus smsc (et sans soute smss) est lié au virus gaobot.

Bon courage pour t'en déarasser, il est coriace...
 

zaone

Nouveau membre
effectivement ! merci Marsien, je conaissais pas ca : http://www.highjackthis.de/fr.

Le probleme est réglé, enfin pour le moment en tout cas.
J'ai été dans "services" et j ai changé le demarage automatique de "system manager servive"(smsc.exe) +quelques autres changements, dans la base de registre...en fait le ver est toujours la mais il ne fonctionne plus.

 

TonyTony

Nouveau membre
Moi j'ai cherché "system manager service" ET smsc et cette liste est la seule référence que j'ai trouvé. Pourquoi je l'ai cherché ? Parce que une amie française a choppé ce system manager service le 2 octobre 2005. Je l'ai trouvé le 5 octobre par élimination parce que je n'ai pas trouvé d'anti-virus ou anti-spyware qui a pu réparé le système. Pas surprenant si "system manager service" n'a fait surface qu'il y a deux jours et il se limite à des francophones !

Mais dans mon cas, je n'ai pas pu trouver le fichier smsc.exe pour changer le nom - il n'existait pas!!! Je ai désactivé le service startup.


Désolé pour la qualité redactionnelle - je suis britannique

 

marsien

Grand Maître
Si tous les français écrivaient aussi bien français que toi, on pourrait parler de miracle :)

As-tu essayé de faire une analyse antivirus sur un site internet, en ligne (par exemple sur le site de trendmicro, avec housecall) ? Essaie de le faire en mode sans echec.

Essaie aussi avec ton antivirus, toujours en mode sans echec.

Après, je en vois pas...
 
Vous devez vous inscrire ou vous connecter pour répondre ici.
Derniers messages publiés
Statistiques globales
Discussions
730 098
Messages
6 717 052
Membres
1 586 282
Dernier membre
Yannick3553
Partager cette page
Haut