Infection : XP SP2 MAJ, attaque RPC/DCOM possible?

[Shaka]

Bonjour à tous,

Depuis peu j'ai remarqué quelques anomalies sur ma machine.
Dans le gestionnaire de tâches, mon UC est utilisée à 100% et le process qui consomme tout est mon firewall Panda Platinium 7.0.

Je n'arrive pas exactement à déterminer ce qu'il bloque ou essaie de bloquer.

Rien dans les virus détectés.
Dans l'activité réseau, voici la liste des logiciels ayant ouverts des connexions au reseau : Noyau et système NT (12000 sorties), lsass (0 sorties), svchost(0 sorties), svchost(350sorties), alg(0), Panda(0 sorties), Firefox(20 sorties). Au niveau des entrées, seul le noyau NT et Firefox ont des entrées autorisées et aucun soft n'a d'entrée refusée, ce que je trouve bizarre.


J'ai remarqué autrechose, quand j'essaie de mettre fin aux process svchost j'ai le fameux message d'erreur type sasser ou on m'indique que ma machine va redémarrer dans 1 minute. C'est soit commandé par (System autority) RPC, soit DCOM selon le process.
Ma machine est MAJ(XP SP2) et ni blaster, ni sasser ont été détectés avec les outils adéquats.

J'ai désactivé les restauration système, fait une analyse en ligne, utilisé ad aware, a², clean-up et rien y fait.

Voici mes rapports :

Rapport Hijackthis
Rapport Panda

Voici ce que j'obtiens lorsque que je fais un tasklist /svc :

svchost.exe 896 DcomLaunch, TermService
svchost.exe 984 RpcSs
svchost.exe 1096 AudioSrv, Browser, CryptSvc, Dhcp, dmserve, ERSvc, EventSystem, helpsvc, lanmanserver, lanmanworkstation, Netman, Nla, RasMan, Schedule, seclogon, SENS, SharedAccess, ShellHWDetection, TapiSrv, Themes, TrkWks, W32Time, winmgmt, wscsvc, wuauserv, WZCSVC

J'espère avoir été le plus complet possible et espère également que vous pourrez m'aider.

[Sév]

Bonjour & bienvenue,

Sauf erreur de ma part, il y a déjà eu du nettoyage fait sur ce pc ?

Est-ce que ceci, ça te parle : http://www.aventail.com/ ?

Ca t'arrive d'utiliser un proxy ou pas ?

Avant toute chose, place HijackThis dans un dossier qui lui est réservé, avant qu'il puisse créer un backup qui sera nécessaire en cas de mauvaise manip : C:\HijackThis\HijackThis.exe par exemple, mais pas sur ton bureau.

• Relance HijackThis (Do A System Scan Only), coche les lignes suivantes et seulement celles-ci si présentes :
  

  Citation:

  R3 - Default URLSearchHook is missing O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http//ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup 1.0.0.8.cab

  
  
  
• Clique Fix Checked et accepete les modifications.
  
  
• Supprime ceci : C:\Documents and Settings\Myname\Favoris\Antivirus Test Online.url
  
  
• Redémarre le pc pour que les modifications soient prises en compte.

Toutes les dernières mises à jour de XP ont bien été faites ?

@+
_________________

[Shaka]

Bonjour, et d'abord merci.

Alors, au niveau d'aventail, à priori ça ne me parle pas mais en regardant mes logs je me suis rendu compte que ça correspondait à la connexion VPN de mon adresse professionnelle. Je me souviens que le système d'authentification à changé récemment et que j'ai du réinstaller des plus activeX quand j'ai voulu m'y reconnecter mais je ne sais pas si c'est ca.
Mais bon je me connecte juste avec un user/pw sur une boit mail


Pour les proxy à priori pas, sauf que Panda Antivirus possède un module appelé PAVproxy.

J'ai rechangé Hijackthis de répertoire, j'ai fait le scan only, la ligne R3 était présente mais la O16 ne l'est pas ou plus. J'ai fais le fix cheked.

L'url Antivirus test online n'existe plus dans mon répertoire de favoris(même en caché ou system). Il a sans doute était nettoyé par un des cleaner que j'ai essayé.
Mais on tient peut être une piste car, nous avons quelques PC derrière un routeur et l'un d'eux est "protégé" par Norton et celui-ci a détecté aussi cet adware.

J'ai redémarré et le problème reste inchangé.

Par contre toutes les maj de XP ont été faites, je viens de vérifier sur windows update.

[Sév]

Bonjour,

[Shaka]

Salut,

une petite précision, ça n'est pas un réseau d'entreprise avec serveurs etc...
C'est juste mon PC et celui de mon père derrière un routeur


Sinon j'ai refait la procédure que tu m'a dit avec Smitfraudfix voici les nouveaux logs:

Hijackthis
Panda

Le problème reste inchangé pour moi

Le fait que la ligne R1 ne renvoie rien pour le proxy est-il inquiétant?

[Sév]

Pour moi il n'y a rien au niveau infection virale

Cette ligne concernant le proxy, me paraît curieuse mais néanmoins pas dangereuse. Rien ne t'empêche de la corriger, si ça peut te rassurer.

Panda prend de façon générale, pas mal de ressources systèmes, et en regardant un peu sur le net, la gourmandise du processus du firewall est un problème connu.

Il est possible aussi qu'il y ait conflit avec autre chose qui gênerait Panda. Ceci dit, ta configuration est peut être un peu légère au niveau des ressources pour supporter un monstre tel que lui.

Si j'étais toi, je désactiverais le FW de Panda pour activer celui de XP, d'autant que tu es derrière un parefeu matériel, ça suffit largement pour ta protection et ça fera respirer ton UC.

Tu vois ce que ça donne pendant quelques jours et si les processus se comportent correctement, c'est que c'est Panda qui se fait une chaussette.

Tiens nous au courant

Tu devrais vérifier la santé du pc de ton père, si Norton a donné une alerte (pour une fois, le brave garçon), il vaut mieux t'en assurer pour éviter une contamination de pc à pc.

@+
_________________

[Shaka]

Pour panda ce qui est étrange c'est qu'avant je n'avais pas ça et mon UC n'était jamais à 100% mais bien souvent en dessous de 10%. J'ai 512 de DDR et un 2.5 Ghz.

La source du conflit serait plus probable.
Est-ce que le fait que j'ai un message de redémarrage commandé par RPC ou DCOM quand je mets fin à certains process svchost.exe peut provenir d'un disfonctionnement système et pas forcément d'une infection?
Idem pour le process RpcSs?

Merci pour tout