Sychost.exe

* r@ymond
Anonyme
Envoyé le 19/09/2007 à 09:17

Bonjour,
Erreur de programme
Sychost.exe à généré des erreurs et sera fermé par Windows;
Vous devrez redémarrer le programme.
Un journal des erreurs est en cours.
Question:
Comment redémarre ce programme?
Merci de votre attention.
r@ymond


jllg jllg
2 741 contributions
Membre depuis le 24/04/2004
Envoyé le 19/09/2007 à 10:04


bonjour

si tu as bien orthographié Sychost.exe ,ceci est la trace d\'une infection.

le bon processus est \"svchost.exe\"

tu peux commencer par passer ton anti-virus et les anti-spywares que tu possedes (spybot,AVG,A2)

sinon telecharge les

si ton souci n\'est pas résolu ,tu devras faire un log hijackthis et le poster sur un site spécialisé
assiste.forum.free.fr/viewforum.php?f=70
jllg jllg
2 741 contributions
Membre depuis le 24/04/2004
Envoyé le 19/09/2007 à 10:25 Modifié par Modifié par jllg le 19/09/2007


il s\'agit en fait de ce virus (ver) W32.HLLW.Leox.B,
il existe une procédure manuelle pour l\'éradiquer,mais un anti-virus à jour doit en venir à bout ,commence par lui [;)]
et fais travailler les anti spyware en mode sans échec,restauration systeme,désactivée,tu la réactiveras après nettoyage


Date de découverte :20 Mars 2004

Description:


W32.HLLW.Leox.B: est un ver variante de W32.HLLW.Leox qui envoi des URLs en utilisant QQ (programme de messagerie instantanée chinois). L?URL point sur un site qui héberge le ver. Il envoi aussi par mail à tom.com les mots de passes et informations sur le jeux Legend of Mir.





Alias/Variante:

-

Type: ver

Niveau d\'alerte: 1

Système(s) Infecté(s): Windows 95, 98, NT, ME, 2000, XP, Server2003.


Description détaillée:


Taille d?infection : 59,665 oct



Lorsqu?il s?exécute il :





Verifie l?existance d?une fenétre au titre \"Xleo\"; si elle n?existe pas il la cree.

Si le nom du fichier executer est Telnets.exe il lance NotePad.exe.

Se copie dans %System% comme :


· Telnets.exe



· Sychost.exe



· Ftps.exe





Ajoute la valeur \"(default)\" = \"%System% elnets.exe %1\" à la clé de registre : HKEY_CLASSES_ROOT/txtfile/shell/open/command.

Ajoute la valeur \"windows update\" = \"%System%sychost.exe\" à la clé de registre : HKEY_LOCAL_MACHINE/SoftwareMicrosoftWindowsCurrentVersionRunServices.

Ajoute la valeur \"Shell\" = \"Explorer.exe %System%ftps.exe\" à la clé de registre : HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon.

Ajoute les lines suivantes au fichier system.ini : shell=Explorer.exe %System%ftps.exe.

Il envoi par mail à tom.com les mots de passes et informations sur le jeux Legend of Mir.

Il envoi des URLs en utilisant QQ (programme de messagerie instantanée chinois). L?URL point sur un site qui héberge le ver.


Guérison:




Il suffit de :





Restaurez la Base de registre (opérations inverse) :


a) Lancez regedit.



b) Cherchez la clé : HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion RunServices. Et supprimez la valeur \"windows update\" = \"%System% sychost.exe\".



c) Cherchez la clé : HKEY_CLASSES_ROOT/txtfile/shell/open/command. Et supprimez la valeur \"default\" = \"%SystemRoot% system32 NOTEPAD.EXE %1\".



d) Cherchez la clé : HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NT CurrentVersionWinlogon. Et supprimez la valeur \"Shell\" = \"Explorer.exe\".





Effectuez une Restauration du Système.

Mettez à jour les définitions de vos virus.

Effectuez un scan avec suppression de tout fichiers contenant W32.HLLW.Leox.B.

Resraurez le fichier system.ini.en changeant dans la section [boot] la line : shell = Explorer.exe %System%ftps.exe par shell = Explorer.exe.

www.wikayanet.dz/modules.php?name=Alerts&op=content&vid=42

www.symantec.com/security_response/writeup.jsp?docid=2004-032016-5436-99&tabid=3



jllg jllg
2 741 contributions
Membre depuis le 24/04/2004
Envoyé le 19/09/2007 à 16:35


reçu sur la bal

Salut,
Bien sur il s\'agit svchost.exe qui s\'affiche à chaque ouverture de Windows XPSP2
Donc que faire dans ce cas la ,
Merci de ton aide.
r@ymond



je lui ai donné ce lien
www.generation-nt.com/identifier-les-services-associes-au-processus-svchost-astuce-24617-1.html

à suivre
jllg jllg
2 741 contributions
Membre depuis le 24/04/2004
Envoyé le 20/09/2007 à 12:11


reçu sur la bal

Bonjour,
C\'est gentil de te pencher sur mon problème.

dans la commande exécuter cmd ok
je tape tasklist/svc/fi imagename,,,,,,,,

mais il est écrit que tasklist n\'est pas reconnu et /svc/ à disparu
Que puis-je faire?
A bientôt.



j\'ai répondu

bonjour

si tu es sous XP home ,tu n\'as pas tasklist

tu peux le télécharger ici
speedweb1.free.fr/download/utilitaire/tasklist.exe

et tu le colles ensuite dans C:\\Windows\\System32\\

ne pas oublier de taper un espace avant le /svc,comme ceci:

tasklist /svc

un autre tuto sur le \"svchost.exe\" ici
speedweb1.free.fr/frames2.php?page=service10
jllg jllg
2 741 contributions
Membre depuis le 24/04/2004
Envoyé le 20/09/2007 à 12:25


pour r@ymond

il ne faut pas non plus abandonner la piste du virus,en effet ce problème peut aussi venir d\'une infection par \"blaster\"

ton XP est \' il à jour des correctifs de sécurité?

d\'autre part un bon nettoyage de la base de registre avec un Log comme ccleaner ou regcleaner serait bienvenu,au cas où des installations ou désinstallations de programmes l\'auraient corrompu
* r@ymond
Anonyme
Envoyé le 20/09/2007 à 14:26

Bonjour à nouveau

La réponse de cmd
invalid argument/option svc/fi
TASKLIST/for usage

Que cela est dur pour moi!
A+

* r@ymond
Anonyme
Envoyé le 20/09/2007 à 14:46

Avec un nouvel essai dans

C/Windows/Systeme32
tasklist /svc n\'est pas validé
seulement tasklist svc
Dans exécuter cmd la réponse
n\'est pas reconnu en tant que commande interne ou externe, un programme ou un fichier de commandes.
Je désespère.

jllg jllg
2 741 contributions
Membre depuis le 24/04/2004
Envoyé le 20/09/2007 à 15:11


si tu as bien copié le fichier téléchargé dans C/windows/systeme32 il doit apparaitre comme ceci




dans démarrer executer , tu tapes: command

et ensuite,dans la fenêtre dos: tasklist /svc

Discussion trop ancienne

Cette discussion a été automatiquement fermée car elle n'a plus reçue de nouveau message depuis trop longtemps.

Nous vous suggérons de créer un nouveau message

« Retour sur la liste des messages de ce forum