Generic Host Process for Win32...

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Generic Host Process for Win32...

Messagede JFC » 30 Nov 2004, 17:46

:cry:

Bonjour à tous,

Je suis tombé sur votre forum et je trouve que les différents intervenants répondent de manière très précise et très professionelle.

Je vous communique ci-dessous le problème que je rencontre. J'espère que l'un d'entre-vous m'apportera une solution.

Je me connecte à Internet par modem téléphonique. Mon OS est XP Home Family (Service Pack 2). Je me connecte sur Internet sans problème. Après quelques minutes le message suivant apparaît: "Generic Host Process for Win32 a rencontré un problème et doit fermer"

Si je ne confirme pas, je reste cependant connecté à Internet pendant +- 10 minutes. Ensuite toute tentative de connexion est impossible. je dois obligatoirement re-booté mon PC pour me reconnecter.

Voici plus de détails sur l'erreur: SZAppName: svchost.exe szAppVer: S.1.2600.2180 SZModName: wuaueng.dll SZModeVer: 5.4.3790.2182 offset: 000d8220

J'ai pensé à un virus, spyware ou trojan et lancé un scandisk avec Norton Antivirus (dernière mise à jour), Ad-aware (dernière mise à jour) et A-Squared (dernière mise à jour) qui n'ont rien détecté.

J'ai essayé de désactiver le firewall XP ==> sans succès

Tout conseil est le bienvenu.

Merci pour votre temps.

Sincèrement,

JF
JFC
 
Messages: 9
Inscription: 30 Nov 2004, 17:32
Localisation: Arlon

Messagede le gromleux » 30 Nov 2004, 18:04

bonsoir JFC,

essaie d'utiliser STINGER, ça pourrait être une infection due au ver MSBLAST . Lire ICI

à suivre
@+
XP + Firefox 22.0 + Look'n'stop 2.07
Avatar de l’utilisateur
le gromleux
Modérateur
 
Messages: 2525
Inscription: 09 Mai 2004, 17:56
Localisation: Naoned

Messagede le gromleux » 30 Nov 2004, 18:37

re-bonsoir,

une autre lecture , encore plus ciblée :
ICI

@+
XP + Firefox 22.0 + Look'n'stop 2.07
Avatar de l’utilisateur
le gromleux
Modérateur
 
Messages: 2525
Inscription: 09 Mai 2004, 17:56
Localisation: Naoned

Messagede ricouz » 30 Nov 2004, 21:00

Bonsoir,

J'ai regardé les propriétés de cette dll, et a priori tu as un problème avec les mises à jour automatiques de Windows
(Windows update Auto Engine).

Désactive la mise à jour automatique de Windows et regarde si le problème persiste.
Ricouz (Windows 10, Opera développeur, Norton, Malwarebytes
_________________
Il vaut mieux mobiliser son intelligence sur des conneries que mobiliser sa connerie sur des choses intelligentes.
ricouz
 
Messages: 570
Inscription: 05 Sep 2004, 20:42

Messagede JFC » 02 Déc 2004, 11:06

Bonjour,

J'ai lancé un scan complet avec Stinger comme suggéré par "le gromleux" et appliqué la solution proposée par "ricouz" et malheureusement le problème persiste. J'ai consulté d'autres forums et il semble que mon cas ne soit pas isolé, et que de nombreux utilisateurs rencontrent le même problème.

Je n'ai aujourdhui encore trouvé aucune solution.

Dois-je me résoudre à reformater mon disque dur? et réinstaller XP service pack1?

JF
JFC
 
Messages: 9
Inscription: 30 Nov 2004, 17:32
Localisation: Arlon

Messagede pierre » 02 Déc 2004, 14:41

Bonjour,

Je pense qu'un log HijackThis nous aiderait à y voir plus clair.
http://assiste.com.free.fr/p/frameset/07_hijackthis.php

Voir, également, sur cette page, comment interdire les mises à jour automatiques
http://assiste.com.free.fr/p/internet_c ... r_auto.php

Aussi:
Détruire la connexion faite avec le kit de connexion du FAI et recréer sa connexion en utilisant l'assistant de connexion de Windows (3 informations sont nécessaires, c'est tout : Login, mot de passe et, parfois, les DNS). Chez certains FAI, le compte e-mail et le mot de passe e-mail ne sont pas les mêmes que pour le login, donc 2 infos supplémentaires. Ces infos sont écrites noir sur blanc dans votre contrat avec votre FAI. Vous n'avez besoin de rien d'autre et surtout pas du CD-Rom de fournisseur.

Enfin, installer d'urgence un firewall, un vrai, pas le jouet d'XP (même en SP2).
Par exemple http://assiste.com.free.fr/p/internet_u ... utpost.php

Dans certains cas de figure (fournisseur d'accès = Wanadoo par exemple), Generic Hosts Process peut être totalement interdit de Net (réglage du firewall).

Cordialement
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 26894
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Messagede JFC » 02 Déc 2004, 14:49

Merci Pierre pour les infos.

Dois-je lancer le log HiJack dès que le problème survient?

JF
JFC
 
Messages: 9
Inscription: 30 Nov 2004, 17:32
Localisation: Arlon

Messagede JFC » 02 Déc 2004, 21:55

Voici le log hijack dès que le problème survient:

Logfile of HijackThis v1.97.7
Scan saved at 21:52:25, on 02/12/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\dwwin.exe
C:\Documents and Settings\Julie\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2.be/startpage/dialup/be/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tele2.be/startpage/dialup/be/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.belgacom.net
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.belgacom.net/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe
O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [outpost] C:\Documents and Settings\Julie\Local Settings\Temp\OutpostProInstall.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGCOMSERVICE_1053.dll,InstantAccess
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O9 - Extra button: Trashcan (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.tele2.be/startpage/dialup/be/
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - https://ssl.tele2.com/inc/accounthelper.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/C ... 5569675926
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{16955CB1-A76B-4B68-8410-51A733CA3507}: NameServer = 130.244.127.161 130.244.127.169
O17 - HKLM\System\CS1\Services\Tcpip\..\{16955CB1-A76B-4B68-8410-51A733CA3507}: NameServer = 130.244.127.161 130.244.127.169

JF
JFC
 
Messages: 9
Inscription: 30 Nov 2004, 17:32
Localisation: Arlon

Messagede nickW » 02 Déc 2004, 22:20

Bonsoir,
Tout d'abord, il existe une version plus récente de HijackThis (1.98.2), le lien de téléchargement se trouve dans une "Annonce" du forum Logs HijackThis.
Ensuite, une analyse "automatique" de ton log par un "robot" se trouve ici:
http://hijackthis.de/logfiles/a7ef3c306 ... 45c43.html


Il faut corriger (to fix en anglais):
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe ----> Ajouté par le ver BLASTER.E!
O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids.exe ----> Ajouté par le ver BLASTER.C!
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGCOMSERVICE_1053.dll,InstantAccess ----> En relation avec un numéroteur vers des sites pornographiques

Rappel important:
Tout ceci doit être fait
- en demandant à HiJackThis de faire des sauvegardes (cocher "Make backups before fixing items"),
- après avoir désactivé la restauration système,
- après avoir vidé le cache d'IE (fichiers temporaires d'Internet Explorer), supprimé les fichiers temporaires,
- en mode sans échec.
Puis redémarrer l'ordinateur.
Refaire un "log HiJackThis" juste après le redémarrage et le poster à la suite de ce message (pas de nouveau sujet).

Penser à réactiver la restauration système lorsque le problème est résolu.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede JFC » 04 Déc 2004, 21:35

Salut NickW,

Le problème persiste.

Voici le log

Logfile of HijackThis v1.97.7
Scan saved at 21:22:43, on 04/12/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Apoint2K\Apoint.exe
C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Documents and Settings\Julie\Bureau\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tele2.be/startpage/dialup/be/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.belgacom.net
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.belgacom.net/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [outpost] C:\Documents and Settings\Julie\Local Settings\Temp\OutpostProInstall.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O9 - Extra button: Trashcan (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.tele2.be/startpage/dialup/be/
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - https://ssl.tele2.com/inc/accounthelper.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/C ... 5569675926
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
JFC
 
Messages: 9
Inscription: 30 Nov 2004, 17:32
Localisation: Arlon

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 17 invités