Bonjour,
 
J'ai visiblement été infecté par quelquechose qui passe son temps à faire des requettes http dans tous les sens en occupant pas mal de bande passante en download (jusque 600ko/s).
Le problème c'est que je ne parviens pas à trouver cette fameuse chose
 
J'ai localisé à peu près d'ou ça venait mais pas exactement je vous explique le cheminement :
1- je me rend compte avec netlimiter 2 que le process svchost télécharge en continu des volumes de plusieurs giga par jours
2- process explorer m'en dit un peu plus et me permet de voire que les requettes sont faites sur des sites qui ne cessent de changer
3- pas mal de choses se lance dans le svchost mais rien ne me parait suspect.
4- un firewall stop facilement ces flux mais c'est rageant de voire que ça reprend dès que je le désactive !
 
SD-fix n'a rien changé, differents scan antivirus et ad aware non plus...
 
Un petit coup de main serait le bienvenu !
Merci!
 
ps: voici un petit screen shot avec pas mal d'info :
netlimiter qui indique la vitesse de download du process svchost
les requettes dans process explorer
la commande tasklist /svc
et un petit morceau de la clé  
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

++!

Et si tu désinstallés le logiciel ?
 
As-tu essayés ça :
http://www.futura-sciences.com/fr/ [...] c3/221/p1/

Ton svchost héberge DCOM Launcher.
Faudrait voir les objets dcom publiés.
 
Après là dans ton svchost tu as plusieurs process qui tournsent (ctxfispi.exe le wlloginproxy.exe, wmiprvse.exe).
Je ne sais pas ce que sont les 2 premiers faudrait regarder aussi.
Déjà ce que tu peux faire c'est bloquer sur le firewall si possible

Bon j'ai trouvé à l'aide de HiJackThis ce qui me faisait ce traffic bizzare sur ma connection internet. J'avais constaté qu' au lancement de l'ordi le svchost uploadait sur le port 25 (snmp) puis downloadait sur le port 80.
Dans le rapport HiJackThis j'avais la ligne :
 
O20 - Winlogon Notify: snmpstup32 - C:\WINDOWS\SYSTEM32\snmpstup32.dll
correspond à :
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\snmpstup32]
"Asynchronous"=dword:00000001
"Impersonate"=dword:00000000
"DLLName"="snmpstup32.dll"
"Startup"=""
 
Voilà la clé supprimée dans le registre,le fichier renommé et mis en lieu sur. Un reboot et hop problème arrangé... J'étais quand même à 2 doigts de tout réinstaller !
Par contre je ne trouve aucune info sur le net à propos de ce snmpstup32.dll à part un forum en italien avec une personne ayant eu le même problème.
 
Comment puis-je faire pour décortiquer ce fichier? Il n'existe pas un moyen de l'envoyer à un labo antivirus pour analyse?
 
PS:
Astro 111>> je ne voyais pas trop quel logiciel tu voulais que je désinstalle...
Je@nb>> je ne savais pas lister les objets dcom publiés...
 
Merci !