AVSERVE ??

ben - Dernière réponse le 1 mai 2004 à 15:55

Coucou a tous.

Ce matin, j'ouvre mon explorer pour aller consulter mes mails.
Quelle surprise de constater que ce dernier ne trouve pas de serveur.
Aucune page accessible.

Petite verification et je decouvre un joli process AVSERVE.EXE, qu ise loge dans le repertoire c:/WINDOWS/ et qui me bouffe toutes mes ressources en utilisant a fond le SVCHOST attribué au reseau local.

Aucune idée de a quoi ca sert.
Ni spybot, ni l'antivirus on-line de secuser ne le detecte.
Arreté il ne se passe rien de notable si ce n'est que ma connection retrouve des serveurs.
Supprimé il se relance au demarrage.
Meme apres un redemarrage "brutal".

Si quelqu'un a une idée ....

AVSERVE »

Suggestions

Plus

Réponse

ben 1 mai 2004 à 11:44

complement :

quand j'arrete avserve un processus de type 20916_up, ou 20717_up ou une autre numero se lance.
Il ne prend pas autant de memoire que avserve mais bloque la connexion de la meme maniere ....

voila...

Au secours

Ajouter un commentaire

Réponse

axel 1 mai 2004 à 11:46

moi aussi j'ai ce probleme impossible de me connecté a internet car ce processus bouffe toute ma mémoire quand je ferme se processus il me rajoute quelque temps apres un autres processus avec des nom comme 30048_up.exe qui lui aussi me bouffe toute ma memoire virtuelle.

Ajouter un commentaire

ben - 1 mai 2004 à 11:51

oui

je cherche quoi faire là.
les sites ne sont pas a jour.

regarde les messages dessous, c'est le virus du travail je crois...

hi hi

Réponse

PsYZiK 195Messages postés 9 avril 2004Date d'inscription 1 mai 2004 à 11:53

ahhh j'ai exactement le meme probleme.
ca me pourri tout le matin pleased help us!!!

Ajouter un commentaire - Site web

ben - 1 mai 2004 à 11:54

voila ce que j'ai trouvé
W32.Sasser is a worm that attempts to send code that exploits the MS04-011 vulnerability.

The worm spreads by randomly scanning IP addresses for vulnerable systems.

The presence of the following files is an indication of infection:
%windows%\avserve.exe

The worm then adds one of the following registry values:
"avserve.exe"=%windows%\avserve.exe

To the registry keys:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

The worm opens ftp port 5554, and randomly scans IP addresses for vulnerable systems.

Symantec Security Response is continuing to analyze the worm and will update this page as information becomes available.

Réponse

ben 1 mai 2004 à 11:59

je viens de lever la cle du registre
et redemarrer a l'ancienne

plus de avserve au demarrage.

youhou seems to work !

LOVE

Ajouter un commentaire

Réponse

balltrap34 16272Messages postés 8 janvier 2004Date d'inscription 1 mai 2004 à 12:13

salut
si vous l avez choppez c est que votre windows pas a jour
installaer le correctif MS 04-011

Ajouter un commentaire - Site web

Réponse

PsYZiK 195Messages postés 9 avril 2004Date d'inscription 1 mai 2004 à 12:32

Je pense avoir trouver la solution, il existe des antivirus online j'en est utiliser un qui ma trouver le worm sasser, mais il m'indique qu'il est non cleanable?

que faire

Ajouter un commentaire - Site web

Réponse

Otau Games 1 mai 2004 à 12:57

Ben a donné la solution provisoire, qui consiste à enlever la clé du registre. Maintenant il ne reste plus qu'à attendre un peu qu'un outil efficace soit disponible.

Ajouter un commentaire

Réponse

melan- 1 mai 2004 à 14:02

J'ai pas compris comment on devait enlever le truc, vous pouvez m'expliquer svp

Ajouter un commentaire

Réponse

Otau Games 1 mai 2004 à 15:01

Pour le "désactiver" tu ouvre le registre du PC (executer puis taper "regedit"), puis tu vas dans le repertoire donné, et tu supprime la ligne marquée.

Ajouter un commentaire

Réponse

chris 1 mai 2004 à 15:09

Hello à tous,

Rendez-vous ici et hop (pour combien de temps ????)
http://forum.gladiator-antivirus.com/index.php?showtopic=14082

Ajouter un commentaire

Réponse

melan- 1 mai 2004 à 15:14

Otau, je suis dans le repertoire, et je supprime avserve?? c'est bien ca?? que je fasse pas de connerie

Ajouter un commentaire

Réponse

balltrap34 16272Messages postés 8 janvier 2004Date d'inscription 1 mai 2004 à 15:44

salut
supprimer purement et simplement ce fichier
desactiver resto
alt ctrl suppr terminer processus aserve
demarrer/executer taper msconfig onglet demarrage
decocher ce qui est en rapport avec
redemarrer cocher ne plus afficher ce message
demarrer rechercher tous les fichiers et dossiers
taper le non du fichier et rechercher une fois trouver appuyer sur le touche majuscule et sans la lacher appuyer sur suppr

Ajouter un commentaire - Site web

Réponse

Keks 1 mai 2004 à 15:55

Voila ce matin comme vous tous je me suis lever avec un virus dont j'avais jamais eu connaissance... Apres quelque heures de recherche pour pouvoir enfin trouver le nom de ce virus... je suis tomber sur ce site qui ma permis de trouver le nom de ce fameux virus:

http://www.secuser.com/alertes/2004/sasser.htm

Une fois sur cette page clique sur anti-virus gratuit online... et puis sur l'image que tu verras sur la page suivante...

je suis donc aller sur ce site et j'ai tester mon ordi ce qui ma donner un resultat incroyable environ 27 fichier infecter par ce virus appeler: Worm SASSER .A

Par chance je eu l'idée de venir sur ce site et de chercher dans le forum(D'ailleur merci a tous)...

J'ai effacer comme dit si dessus le AVSERVE dans mon registre mais tout les fichier infecté qui ce trouve dans:

C: \widows\system32\....._up.exe

Ce sont tous des executables avec un chiffre aléatoire....

12869_up.exe
4488_up.exe
14986_up.exe
23952_up.exe
29471_up.exe

j'en fait koi je dois les effacer....????

Ajouter un commentaire

Répondre au sujet

Posez votre question

Dossier à la une

Passage au tout numérique : quel coût pour les particuliers ?

Passage au tout numérique : quel coût pour les particuliers ?

Combien cela coûte-t-il au total ? Quelles aides apportent l'état et les acteurs du marché pour alléger cette charge non choisie ? Tous les détails sur Commentçamarche.net.

AVSERVE ??

AVSERVE »

Passage au tout numérique : quel coût pour les particuliers ?