spoolsv.exe qui me prend toute la ressource !!!

Bonjour

Depuis quelques jours, ma machine est complètmeent "gelée" par un
programme qui se lance à chaque démarrage et que je n'arrive pas à
arrêter et qui se nomme spoolsv.ex. IL me prend 94 % d ema ressource.
Un analyse en ligne par antibit defender donne les resultats suivants :

C:WINDOWSsystem32spoolPRINTERS0185.SPL=>(exe32pack 1.38)
infected: Backdoor.Agobot.3.Gen
C:WINDOWSsystem32spoolPRINTERS0185.SPL=>(exe32pack 1.38) unable
to disinfect

Je m'en sort plus, pôuvez vous m'aider ou me conseiller ??? J'utilise
NAV 2003 mis à jour.

C'est un ver qui s'installe sur les machines non-patchées. Il faut
faire un tour sur Windows Update et installer tous les patchs
critiques.

La procédure de nettoyage est décrite ici (en anglais):
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.FA

Autant lire (en français, et en guide d'introduction) la faq :
http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html#a8.7



Ewcia



--
Niesz !

Salut,

Jean-Christophe LANDREAU:

Je m'en sort plus, pôuvez vous m'aider ou me conseiller ???

La question revient malheureusement souvent, j'ai donné une
marche à suivre qui est dans les archives.

N'hésite surtout pas si tu as une/des question(s).

<copié>

Cette bestiole exploite au moins 2 failles de windows pour
pénétrer sur le PC depuis l'internet:

L'une sur Netbios (la faille RPC DCOM, port 135),
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp

L'autre dans le "RPC locator" (port 445, TCP)
http://www.microsoft.com/technet/security/bulletin/MS03-001.asp

C'est arrivé parce que tu
1) n'as pas mis ton windows à jour depuis longtemps (jamais?)
2) n'utilise pas les services d'un firewall (Si oui, c'est grave)

# Étape 1: Activation du firewall de XP.

Va dans la console des services:
panneau de configuration | outils d'administration | services
et démarre le service appelé "pare-feu de connexion internet
(ICF) / partage de connexion internet (ICS)" et dans les
propriétés mets le en démarrage automatique afin qu'il se
remette en route à chaque redémarrage.

# Étape 2: Nettoyeurs.

Télécharger les nettoyeurs (60aine de bestioles courantes dont
les agobot/gaobot):

Stinger: http://vil.nai.com/vil/stinger

Clrav: ftp://updates3.kaspersky-labs.com/utils/clrav.com

Ou un bon antivirus à jour, mais ce n'est pas très pratique.

# Étape 3: Préparation.

Déconnecte le PC d'internet. Si tu as des partages (pour
cause de réseau local par exemple), reconfigure-les (mots de
passe solides, partage d'un répertoire mais pas de tout le
disque!).

Désactivation de la restauration système (sous WinME et XP
uniquement). Aide:
http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html#a8.5

# Étape 3: Dévérolage.

Redémarre en mode sans échec (touche F8 au tout début du
chargement de win), choix "safe mode" ou "mode sans échec",
sinon la restauration système est toujours active.

Tu lances ensuite clrav.com. Tu lanceras Stinger s'il y a un
problème avec le premier.

# Étape 4: Remettre la restauration système (pas forcément en
mode automatique).

Redémarrer normalement.

# Étape 5: Mise à jour.

Fait un windows update, c'est obligatoire sous peine de
réinfection dès que le firewall aura un problème.

# Étape 6: Configuration de la machine:
<FAQ>

Si vous n'êtes pas connecté à un réseau autre qu'Internet,
désactivez le partage de fichiers et d'imprimantes dans le
Panneau de Configuration.
Si cependant vous devez partager vos fichiers, respectez les
consignes suivantes :

* Partagez uniquement les dossiers qui doivent être
partagés. Evitez de partager les dossiers sensibles tels que
celui où réside Windows.
Ne partagez jamais des disques entiers.
* Ne permettez pas l'accès en écriture sauf en cas de
besoin. * Protégez tous les dossiers partagés par des mots
de passe aussi longs que possible. Un mot de passe "pro
forma" constitué d'un ou deux caractères ne sert pas à grand
chose.

</FAQ>

+ désactivation des services inutiles...
+ utilisation d'un firewall plus complet que celui de windows.
Il y en a des gratuits, cf la FAQ Firewall:
http://www.faqs.org/faqs/fr/comp/securite/firewall/
+ config de IExplorer et Outlook Express
+ etc...

+ lecture de la FAQ:
http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html
et notamment:
http://www.lacave.net/~jokeuse/usenet/faq-fcsv.htm#3.5

--
joke0

Salut,

Jean-Christophe LANDREAU:

Je m'en sort plus, pôuvez vous m'aider ou me conseiller ???

La question revient malheureusement souvent, j'ai donné une
marche à suivre qui est dans les archives.

N'hésite surtout pas si tu as une/des question(s).

<copié>

Cette bestiole exploite au moins 2 failles de windows pour
pénétrer sur le PC depuis l'internet:

L'une sur Netbios (la faille RPC DCOM, port 135),
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp

L'autre dans le "RPC locator" (port 445, TCP)
http://www.microsoft.com/technet/security/bulletin/MS03-001.asp

C'est arrivé parce que tu
1) n'as pas mis ton windows à jour depuis longtemps (jamais?)
2) n'utilise pas les services d'un firewall (Si oui, c'est grave)

# Étape 1: Activation du firewall de XP.

Va dans la console des services:
panneau de configuration | outils d'administration | services
et démarre le service appelé "pare-feu de connexion internet
(ICF) / partage de connexion internet (ICS)" et dans les
propriétés mets le en démarrage automatique afin qu'il se
remette en route à chaque redémarrage.

# Étape 2: Nettoyeurs.

Télécharger les nettoyeurs (60aine de bestioles courantes dont
les agobot/gaobot):

Stinger: http://vil.nai.com/vil/stinger

Clrav: ftp://updates3.kaspersky-labs.com/utils/clrav.com

Ou un bon antivirus à jour, mais ce n'est pas très pratique.

# Étape 3: Préparation.

Déconnecte le PC d'internet. Si tu as des partages (pour
cause de réseau local par exemple), reconfigure-les (mots de
passe solides, partage d'un répertoire mais pas de tout le
disque!).

Désactivation de la restauration système (sous WinME et XP
uniquement). Aide:
http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html#a8.5

# Étape 4: Dévérolage.

Redémarre en mode sans échec (touche F8 au tout début du
chargement de win), choix "safe mode" ou "mode sans échec",
sinon la restauration système est toujours active.

Tu lances ensuite clrav.com. Tu lanceras Stinger s'il y a un
problème avec le premier.

# Étape 5: Remettre la restauration système (pas forcément en
mode automatique).

Redémarrer normalement.

# Étape 6: Mise à jour.

Fait un windows update, c'est obligatoire sous peine de
réinfection dès que le firewall aura un problème.

# Étape 7: Configuration de la machine:
<FAQ>

Si vous n'êtes pas connecté à un réseau autre qu'Internet,
désactivez le partage de fichiers et d'imprimantes dans le
Panneau de Configuration.
Si cependant vous devez partager vos fichiers, respectez les
consignes suivantes :

* Partagez uniquement les dossiers qui doivent être
partagés. Evitez de partager les dossiers sensibles tels que
celui où réside Windows.
Ne partagez jamais des disques entiers.
* Ne permettez pas l'accès en écriture sauf en cas de
besoin. * Protégez tous les dossiers partagés par des mots
de passe aussi longs que possible. Un mot de passe "pro
forma" constitué d'un ou deux caractères ne sert pas à grand
chose.

</FAQ>

+ désactivation des services inutiles...
+ utilisation d'un firewall plus complet que celui de windows.
Il y en a des gratuits, cf la FAQ Firewall:
http://www.faqs.org/faqs/fr/comp/securite/firewall/
+ config de IExplorer et Outlook Express
+ etc...

+ lecture de la FAQ:
http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html
et notamment:
http://www.lacave.net/~jokeuse/usenet/faq-fcsv.htm#3.5

--
joke0

joke0 avait écrit le 06/04/2004 :

Salut,

Jean-Christophe LANDREAU:

Je m'en sort plus, pôuvez vous m'aider ou me conseiller ???

La question revient malheureusement souvent, j'ai donné une
marche à suivre qui est dans les archives.

N'hésite surtout pas si tu as une/des question(s).

<copié>

Cette bestiole exploite au moins 2 failles de windows pour
pénétrer sur le PC depuis l'internet:

L'une sur Netbios (la faille RPC DCOM, port 135),
http://www.microsoft.com/technet/security/bulletin/MS03-026.asp

L'autre dans le "RPC locator" (port 445, TCP)
http://www.microsoft.com/technet/security/bulletin/MS03-001.asp

C'est arrivé parce que tu
1) n'as pas mis ton windows à jour depuis longtemps (jamais?)
2) n'utilise pas les services d'un firewall (Si oui, c'est grave)

# Étape 1: Activation du firewall de XP.

Va dans la console des services:
panneau de configuration | outils d'administration | services
et démarre le service appelé "pare-feu de connexion internet
(ICF) / partage de connexion internet (ICS)" et dans les
propriétés mets le en démarrage automatique afin qu'il se
remette en route à chaque redémarrage.

# Étape 2: Nettoyeurs.

Télécharger les nettoyeurs (60aine de bestioles courantes dont
les agobot/gaobot):

Stinger: http://vil.nai.com/vil/stinger

Clrav: ftp://updates3.kaspersky-labs.com/utils/clrav.com

Ou un bon antivirus à jour, mais ce n'est pas très pratique.

# Étape 3: Préparation.

Déconnecte le PC d'internet. Si tu as des partages (pour
cause de réseau local par exemple), reconfigure-les (mots de
passe solides, partage d'un répertoire mais pas de tout le
disque!).

Désactivation de la restauration système (sous WinME et XP
uniquement). Aide:
http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html#a8.5

# Étape 4: Dévérolage.

Redémarre en mode sans échec (touche F8 au tout début du
chargement de win), choix "safe mode" ou "mode sans échec",
sinon la restauration système est toujours active.

Tu lances ensuite clrav.com. Tu lanceras Stinger s'il y a un
problème avec le premier.

# Étape 5: Remettre la restauration système (pas forcément en
mode automatique).

Redémarrer normalement.

# Étape 6: Mise à jour.

Fait un windows update, c'est obligatoire sous peine de
réinfection dès que le firewall aura un problème.

# Étape 7: Configuration de la machine:
<FAQ>

Si vous n'êtes pas connecté à un réseau autre qu'Internet,
désactivez le partage de fichiers et d'imprimantes dans le
Panneau de Configuration.
Si cependant vous devez partager vos fichiers, respectez les
consignes suivantes :

* Partagez uniquement les dossiers qui doivent être
partagés. Evitez de partager les dossiers sensibles tels que
celui où réside Windows.
Ne partagez jamais des disques entiers.
* Ne permettez pas l'accès en écriture sauf en cas de
besoin. * Protégez tous les dossiers partagés par des mots
de passe aussi longs que possible. Un mot de passe "pro
forma" constitué d'un ou deux caractères ne sert pas à grand
chose.

</FAQ>

+ désactivation des services inutiles...
+ utilisation d'un firewall plus complet que celui de windows.
Il y en a des gratuits, cf la FAQ Firewall:
http://www.faqs.org/faqs/fr/comp/securite/firewall/
+ config de IExplorer et Outlook Express
+ etc...

+ lecture de la FAQ:
http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html
et notamment:
http://www.lacave.net/~jokeuse/usenet/faq-fcsv.htm#3.5

Hélo à tous à nouveau.

J'ai tout bien fait comme vous m'avez dit, apparement, plus aucun
antivirus ne detecte l virus sur ma bécane mais ce p..... de
spoolsv.exe revient tout le temps en arrière pla, et me prend toute la
ressource. Comment empêcher son lancement ???? Me dirigerais-je vers
un formatage complet ???

Merci

Jean-Christophe

--
Ceci est une signature automatique de MesNews.
Site : http://mesnews.no-ip.com

Salut,

Jean-Christophe LANDREAU:

Hélo à tous à nouveau.

Fait attention à ne pas citer 100 lignes inutiles ;-(

J'ai tout bien fait comme vous m'avez dit, apparement, plus
aucun antivirus ne detecte l virus sur ma bécane mais ce
p..... de spoolsv.exe revient tout le temps en arrière pla,

Fais-le scanner ici:
http://www.kaspersky.com/fr/remoteviruschk.html

--
joke0

Ok, merci , j'y cours !!!

Salut,

Jean-Christophe LANDREAU:

Hélo à tous à nouveau.

Fait attention à ne pas citer 100 lignes inutiles ;-(

J'ai tout bien fait comme vous m'avez dit, apparement, plus
aucun antivirus ne detecte l virus sur ma bécane mais ce
p..... de spoolsv.exe revient tout le temps en arrière pla,

Fais-le scanner ici:
http://www.kaspersky.com/fr/remoteviruschk.html

--
Ceci est une signature automatique de MesNews.
Site : http://mesnews.no-ip.com

Tiens, il ne me propose que fichier par fichier, il y a une autre
méthode ???

merci

jc


joke0 avait énoncé :

Salut,

Jean-Christophe LANDREAU:

Hélo à tous à nouveau.

Fait attention à ne pas citer 100 lignes inutiles ;-(

J'ai tout bien fait comme vous m'avez dit, apparement, plus
aucun antivirus ne detecte l virus sur ma bécane mais ce
p..... de spoolsv.exe revient tout le temps en arrière pla,

Fais-le scanner ici:
http://www.kaspersky.com/fr/remoteviruschk.html

--
Ceci est une signature automatique de MesNews.
Site : http://mesnews.no-ip.com

Salut,

Jean-Christophe LANDREAU:

Tiens, il ne me propose que fichier par fichier, il y a une
autre méthode ???

Fais scanner uniquement ton spoolsv.exe suspect, suivant la
bestiole, la stratégie d'éradication est plus ou moins
compliquée.

--
joke0

Rien, tout va bien, fichier OK,

Je deviens fou...



joke0 avait soumis l'idée :

Salut,

Jean-Christophe LANDREAU:

Tiens, il ne me propose que fichier par fichier, il y a une
autre méthode ???

Fais scanner uniquement ton spoolsv.exe suspect, suivant la
bestiole, la stratégie d'éradication est plus ou moins
compliquée.

--
Ceci est une signature automatique de MesNews.
Site : http://mesnews.no-ip.com

Bon...
Avec hijack, je trouve cela :
C:Program FileseMuleemule.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesMSN Messengermsnmsgr.exe
C:PROGRA~1WINZIPwinzip32.exe
C:Documents and SettingsJEAN CHRISTOPHELocal
SettingsTempHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar =
http://www.free.fr/search/
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://freebox.free.fr/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL =
http://freebox.free.fr/
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName
= Liens
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no
file)
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no
file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:WINDOWSSystem32msdxm.ocx
O4 - HKLM..Run: [SiSUSBRG] C:WINDOWSSiSUSBrg.exe
O4 - HKLM..Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE
C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [UFD Monitor] C:Program FilesUSB Flash Disk
UtilityUFD UtilityUFDMon.exe
O4 - HKLM..Run: [UFD Utility] C:Program FilesUSB Flash Disk
UtilityUFD UtilityUSBTD.exe
O4 - HKLM..Run: [QuickTime Task] "C:Program
FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [MULTIMEDIA KEYBOARD] C:Program
FilesKeymaestroMultimedia KeyboardMMKeybd.exe
O4 - HKLM..Run: [PE2CKFNT SE] C:Program FilesUlead SystemsUlead
Photo Express 2 SEChkFont.exe
O4 - HKLM..Run: [NeroCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers
communsRealUpdate_OBrealsched.exe" -osboot
O4 - HKLM..Run: [XTNDConnect PC - ErPhn2]
C:PROGRA~1FICHIE~1XCPCSyncTRANSL~1ErPhn2ErTray.exe
O4 - HKLM..Run: [BDMCon] C:Program FilesSoftwinBitDefender
Professional Edition\bdmcon.exe
O4 - HKLM..Run: [BDNewsAgent] C:Program FilesSoftwinBitDefender
Professional Edition\bdnagent.exe
O4 - HKCU..Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU..Run: [MsnMsgr] "C:Program FilesMSN
MessengerMsnMsgr.Exe" /background
O4 - HKCU..Run: [H/PC Connection Agent] "C:Program FilesMicrosoft
ActiveSyncWCESCOMM.EXE"
O4 - HKCU..Run: [srvreg] C:WINDOWSSystem32srvreg.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O9 - Extra button: Trace (HKLM)
O9 - Extra 'Tools' menuitem: VisualRoute Trace (HKLM)
O9 - Extra 'Tools' menuitem: Console Java (Sun) (HKLM)
O9 - Extra button: Créer un Favori de l'appareil mobile (HKLM)
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile...
(HKLM)
O9 - Extra button: Recherche (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://freebox.free.fr/
O16 - DPF: {5DDCC37F-7C6B-48B8-9664-97C537920CA0} (aecviz Class) -
http://www.maisonphenix.com/npaecviz.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl
Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline
Control) - http://abcdelasecurite.free.fr/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient
Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer
Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) -
http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} (O2C-Player (mb
Software AG)) - http://www.o2c.de/download/o2cplayer.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash
Object) -
http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl
Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown
Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O17 -
HKLMSystemCCSServicesTcpip..{D00DE15B-5DE9-440A-9819-67B660834B65}:
NameServer = 212.27.32.176 212.27.39.1


C'est grave ?????




Jean-Christophe LANDREAU a formulé la demande :

Rien, tout va bien, fichier OK,

Je deviens fou...



joke0 avait soumis l'idée :

Salut,

Jean-Christophe LANDREAU:

Tiens, il ne me propose que fichier par fichier, il y a une
autre méthode ???

Fais scanner uniquement ton spoolsv.exe suspect, suivant la
bestiole, la stratégie d'éradication est plus ou moins
compliquée.

--
Ceci est une signature automatique de MesNews.
Site : http://mesnews.no-ip.com