logo

Knowledge Is Power

 
 

- Reinit des nouveaux posts -

- Recherche -

Messages Privés - Derniers posts
S'enregistrer - Login - Liste des membres
Vous logger : Login Pass

OS (non Unix) >> Processus Phoenix Newtopic | Reply
poster txt
Zamer
Inscrit le 11-01-2002
Posté le 22-08-2007 13:04

Salut à tous,
J'ai remarqué sur un winXP un processus très étrange qu'on ne peut tuer :
Code:
C:\>tasklist

Nom de l'image PID  Nom de la sessio Numéro d Utilisation
========================= ====== ================ ======== ============
System Idle Process 0 Console 0 16 Ko
System 4 Console 0 296 Ko
smss.exe 676 Console 0 476 Ko
csrss.exe 748 Console 0 3 000 Ko
winlogon.exe 772 Console 0 3 536 Ko
services.exe 816 Console 0 4 332 Ko
lsass.exe 828 Console 0 6 184 Ko
svchost.exe 984 Console 0 5 076 Ko
svchost.exe 1048 Console 0 4 296 Ko
svchost.exe 1144 Console 0 20 332 Ko
svchost.exe 1188 Console 0 3 356 Ko
svchost.exe 1232 Console 0 4 348 Ko
explorer.exe 1728 Console 0 39 000 Ko
ocvpdlyyn.exe 1832 Console 0 24 988 Ko
svchost.exe 448 Console 0 4 264 Ko
spoolsv.exe 4028 Console 0 5 228 Ko
wcescomm.exe 2260 Console 0 3 492 Ko
NMIndexingService.exe 3728 Console 0 9 268 Ko
NeroStartSmart.exe 3236 Console 0 23 628 Ko
NeroVision.exe 1332 Console 0 37 000 Ko
wmiprvse.exe 1528 Console 0 6 332 Ko
cmd.exe 3044 Console 0 2 568 Ko
tasklist.exe 552 Console 0 4 260 Ko

C:\>tskill 1832
Processus introuvable : 1832

C:\>tskill ocvpdlyyn
Processus introuvable : ocvpdlyyn

C:\>taskkill /IM ocvpdlyyn
Erreur : le processus "ocvpdlyyn" est introuvable.

C:\>taskkill /PID 1832
Opération réussie : le processus avec PID 1832 a été terminé.

C:\>tasklist

Nom de l'image PID  Nom de la sessio Numéro d Utilisation
========================= ====== ================ ======== ============
System Idle Process 0 Console 0 16 Ko
System 4 Console 0 296 Ko
smss.exe 676 Console 0 476 Ko
csrss.exe 748 Console 0 4 088 Ko
winlogon.exe 772 Console 0 3 924 Ko
services.exe 816 Console 0 4 332 Ko
lsass.exe 828 Console 0 6 156 Ko
svchost.exe 984 Console 0 5 076 Ko
svchost.exe 1048 Console 0 4 272 Ko
svchost.exe 1144 Console 0 20 276 Ko
svchost.exe 1188 Console 0 3 356 Ko
svchost.exe 1232 Console 0 4 348 Ko
explorer.exe 1728 Console 0 38 328 Ko
ocvpdlyyn.exe 1832 Console 0 25 036 Ko
svchost.exe 448 Console 0 4 248 Ko
spoolsv.exe 4028 Console 0 5 228 Ko
wcescomm.exe 2260 Console 0 3 492 Ko
NMIndexingService.exe 3728 Console 0 9 228 Ko
NeroStartSmart.exe 3236 Console 0 23 624 Ko
NeroVision.exe 1332 Console 0 37 004 Ko
cmd.exe 3232 Console 0 2 796 Ko
wmiprvse.exe 2092 Console 0 6 040 Ko
notepad.exe 3396 Console 0 3 272 Ko
tasklist.exe 3060 Console 0 4 240 Ko

Dans \\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurentVersion\Run
c:\windows\system32\ocvpdlyyn.exe ocvpdlyyn

C:\WINDOWS\system32>dir ocv*
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est FC08-D997

Répertoire de C:\WINDOWS\system32

Fichier introuvable

C:\WINDOWS\system32>del ocvpdlyyn.exe
Impossible de trouver C:\WINDOWS\system32\ocvpdlyyn.exe



Voilà comme je ne connais rien à windows je vous écris pour découvrir ce qu'est ce processus. A noter que lorsque je vais dans le Gestionnaire des tâches, je vois le processus et la seconde d'après il a disparu..

Merci d'avance.
profil | Website | MSN | edit | quote
jehv
Inscrit le 29-08-2006
Posté le 22-08-2007 15:12

tu t'es fait r00ter

mets le on-line ton binaire qu'on puisse nous aussi l'analyser

as-tu regarder dans les services s'il y est , possibilite de voir aussi ses dependances , t'as de le regarder avec d'autres task manager (histoire de voir s'il disparait aussi gmer , process explorer etc) ...


_________________________
it's all about life

[ Ce Message a été édité par: jehv le 2007-08-22 15:13 ]
profil | edit | quote
Zamer
Inscrit le 11-01-2002
Posté le 22-08-2007 17:58

Je sais pas faire, donne moi des lignes de commande à tapper stp j'y connais rien.

Voici ce que me donne un tasklist /m je crois :
Code:
ocvpdlyyn.exe               1832 ntdll.dll, kernel32.dll, msvcrt.dll,         
ADVAPI32.dll, RPCRT4.dll, iphlpapi.dll,
USER32.dll, GDI32.dll, WS2_32.dll,
WS2HELP.dll, MFC42.DLL, MFC42LOC.DLL,
MSVCIRT.dll, ole32.dll, OLEAUT32.dll,
RASAPI32.dll, rasman.dll, NETAPI32.dll,
TAPI32.dll, SHLWAPI.dll, rtutils.dll,
WINMM.dll, comctl32.dll, urlmon.dll,
VERSION.dll, WININET.dll, CRYPT32.dll,
MSASN1.dll, uxtheme.dll, xpsp2res.dll,
CLBCATQ.DLL, COMRes.dll, wbemprox.dll,
wbemcomn.dll, wbemsvc.dll, fastprox.dll,
MSVCP60.dll, NTDSAPI.dll, DNSAPI.dll,
WLDAP32.dll, Secur32.dll, msxml3.dll,
OLEACC.DLL, shdocvw.dll, CRYPTUI.dll,
WINTRUST.dll, IMAGEHLP.dll, mshtml.dll,
msls31.dll, PSAPI.DLL, MSCTF.dll, msi.dll,
SXS.DLL, msv1_0.dll, shdoclc.dll,
COMCTL32.dll, mlang.dll, shell32.dll,
wsock32.dll, mswsock.dll, hnetcfg.dll,
wshtcpip.dll, sensapi.dll, USERENV.dll,
rasadhlp.dll, jscript.dll, ImgUtil.dll,
pngfilt.dll


profil | Website | MSN | edit | quote
Zamer
Inscrit le 11-01-2002
Posté le 22-08-2007 22:49

Bon j'ai testé process explorer, il voit pas le processus.

Ensuite j'ai testé gmer, et là il a vu que le processus était caché et que l'exécutable aussi, j'ai pas tiré + d'infos.

Donc j'ai booté sur un liveCD pis j'ai pris les fichiers. L'archive est dispo à ici.

Malheureusement c'est une vieille version de knoppix que j'ai (sans le support en écriture avec NTFS) donc je les supprimerai demain.
profil | Website | MSN | edit | quote
Zamer
Inscrit le 11-01-2002
Posté le 22-08-2007 23:21

Après analyse avec http://www.virustotal.com c'est d'après Antivir "ADSPY/Navipromo.LH.4".

Voici un programme qui automatise sa supression : http://perso.orange.fr/il.mafioso/

Voilou ^^
profil | Website | MSN | edit | quote
Newtopic | Reply

Online : aqiiyiefae, arofiribisho, aruyejehb, iwuqiyevev, nenodeoqawa, oqoteahevufaq, RichardOa, xizocute et 53 Guests


Retour Index NewFFR Repository : http://taz.newffr.com
Cagades à Stick : http://alcane.newffr.com
Forum HTML et Archive -> ici
ForumFR Sql/Xml (2006/04) (SF pas à jour du tout...) - Alive since 2001 Newffr.com
Pour toute plainte ou problème -> Contacter Borax, Hyatus, Tweakie ou Stick par message privé (ou Gueulez sur le forum :) )
Retour haut de page