A voir également:
- Problèmes divers : svchost.exe + tftp.exe
- Svchost.exe - Guide
- SVCHOST.EXE c'est quoi ? il prends 50% - Forum Windows
- Svchost.exe virus ✓ - Forum Virus / Sécurité
- Comment retrouver un fait divers ancien - Forum Bases de données
- Svchost.exe bloqué - Forum Windows 10
7 réponses
sebsauvage
Messages postés
32847
Date d'inscription
mercredi 29 août 2001
Statut
Modérateur
Dernière intervention
21 octobre 2019
15 656
31 mai 2005 à 11:28
31 mai 2005 à 11:28
Je ne connais ce troyen, mais essai ça:
http://www.f-secure.com/v-descs/rbot.shtml
J'espère que ça t'aidera à l'éliminer.
http://www.f-secure.com/v-descs/rbot.shtml
J'espère que ça t'aidera à l'éliminer.
gallou
Messages postés
225
Date d'inscription
lundi 23 mai 2005
Statut
Membre
Dernière intervention
26 août 2016
67
31 mai 2005 à 13:33
31 mai 2005 à 13:33
Coucou
J'ai eu le bonheur de rencontrer ce troyen...
Le problème, c'est que je ne me souviens plus quelle étape des différentes opérations que j'ai faites a été décisive...
cf mon post
http://www.commentcamarche.net/forum/affich-1509087-ralentissement-perte-du-taskmanager
1 J'ai fait le nettoyage avec Sysclean,
2 puis Spybot
3 puis avast a achevé le travail avec une de ses mises à jour
le truc, c'est aussi de ne pas démarrer en étant connecté
car à ce moment là, on pouvait encore ouvrir le gestionnaire des taches, par contre dès que j'étais connectée, c'était mort...
j'ai du tuer 2 process:notes.exe (qui passe à travers les scan mais c'est apparamment une création de Rbot) à main nues ainsi qu'un process nommé pdkf.exe (mais je crois que c'est une chaine aléatoire, donc ça peut s'appeler n'importe comment)
après ça allait beaucoup mieux au niveau vitesse.
Bonne chance!
J'ai eu le bonheur de rencontrer ce troyen...
Le problème, c'est que je ne me souviens plus quelle étape des différentes opérations que j'ai faites a été décisive...
cf mon post
http://www.commentcamarche.net/forum/affich-1509087-ralentissement-perte-du-taskmanager
1 J'ai fait le nettoyage avec Sysclean,
2 puis Spybot
3 puis avast a achevé le travail avec une de ses mises à jour
le truc, c'est aussi de ne pas démarrer en étant connecté
car à ce moment là, on pouvait encore ouvrir le gestionnaire des taches, par contre dès que j'étais connectée, c'était mort...
j'ai du tuer 2 process:notes.exe (qui passe à travers les scan mais c'est apparamment une création de Rbot) à main nues ainsi qu'un process nommé pdkf.exe (mais je crois que c'est une chaine aléatoire, donc ça peut s'appeler n'importe comment)
après ça allait beaucoup mieux au niveau vitesse.
Bonne chance!
salut tonio,
essai de lancer un scan chez RAV :
http://www.ravantivirus.com/scan/
Clique sur "To continue without subscribing click here" et attends quelques minutes.
Lorsque "Ready" est affiché dans "status", coche la case "Autoclean" puis clique sur "Scan my PC"
A la fin de l'analyse, copie/colle le rapport ici
bye
essai de lancer un scan chez RAV :
http://www.ravantivirus.com/scan/
Clique sur "To continue without subscribing click here" et attends quelques minutes.
Lorsque "Ready" est affiché dans "status", coche la case "Autoclean" puis clique sur "Scan my PC"
A la fin de l'analyse, copie/colle le rapport ici
bye
Bon, j'ai fait tout ce qui m'a été proposé, et, ben, rien n'a fonctionné, je veux dire que
-> les scans donnent comme résultat "pas de problème"
-> j'ai toujours mon svchost.exe qui prend 99% des ressources...
-> j'ai toujours régulièrement un fichier TFTPxxx identifié par Kaspersky comme étant infecté par le backdoor.
Regis59, j'ai fait ta manip', mais après le scan, mon ordi a été complètement bloqué, et impossible de faire un copier coller. Mais le résultat a été le même : rien n'a été trouvé lors du scan...
J'avoue que je commence un peu à désespérer...
Merci beaucoup pour votre aide...
Auriez-vous d'autres idées pour m'aider ?
-> les scans donnent comme résultat "pas de problème"
-> j'ai toujours mon svchost.exe qui prend 99% des ressources...
-> j'ai toujours régulièrement un fichier TFTPxxx identifié par Kaspersky comme étant infecté par le backdoor.
Regis59, j'ai fait ta manip', mais après le scan, mon ordi a été complètement bloqué, et impossible de faire un copier coller. Mais le résultat a été le même : rien n'a été trouvé lors du scan...
J'avoue que je commence un peu à désespérer...
Merci beaucoup pour votre aide...
Auriez-vous d'autres idées pour m'aider ?
J'ai fait un scan hijack, voici le log. Si quelqu'un pouvait m'éclairer, ça serait merveilleux.
Merci d'avance.
Logfile of HijackThis v1.99.1
Scan saved at 09:46:50, on 02/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\System32\khooker.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\a2\a2guard.exe
C:\Program Files\Apoint2K\HidFind.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Utilitaires\Desinfectant\hijackthis_199\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.nec-online.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Apps\Adobe\Acrobat 5.1\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /wait
O4 - HKLM\..\Run: [MS Internet Executor 32] MSIXEC32.exe
O4 - HKLM\..\RunServices: [Client for Microsoft Networks] msclient32.exe
O4 - HKLM\..\RunServices: [MS Internet Executor 32] MSIXEC32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
O4 - HKCU\..\Run: [Client for Microsoft Networks] msclient32.exe
O4 - HKCU\..\Run: [MS Internet Executor 32] MSIXEC32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117113188614
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /service (file missing)
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe" /service (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
Merci d'avance.
Logfile of HijackThis v1.99.1
Scan saved at 09:46:50, on 02/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\System32\khooker.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\a2\a2guard.exe
C:\Program Files\Apoint2K\HidFind.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Utilitaires\Desinfectant\hijackthis_199\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.nec-online.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Apps\Adobe\Acrobat 5.1\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /wait
O4 - HKLM\..\Run: [MS Internet Executor 32] MSIXEC32.exe
O4 - HKLM\..\RunServices: [Client for Microsoft Networks] msclient32.exe
O4 - HKLM\..\RunServices: [MS Internet Executor 32] MSIXEC32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
O4 - HKCU\..\Run: [Client for Microsoft Networks] msclient32.exe
O4 - HKCU\..\Run: [MS Internet Executor 32] MSIXEC32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117113188614
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /service (file missing)
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe" /service (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour,
J'ai eu le meme probleme sur l'ordi d'une amie aujourd'hui. Je n'ai pas trouvé non plus comment l'enlever.
Apparemment c'est une bête qui essaye de communiquer avec les autres ordis en se basant sur l'adresse IP. Et du coup, ça occupe un max le processeur.
Par contre, en installer Zone Alarm, ça bloque la bête sur ton ordi, et du coup le PC travaille beaucoup moins, en attendant une solution meilleure, si quelqu'un a...
J'ai eu le meme probleme sur l'ordi d'une amie aujourd'hui. Je n'ai pas trouvé non plus comment l'enlever.
Apparemment c'est une bête qui essaye de communiquer avec les autres ordis en se basant sur l'adresse IP. Et du coup, ça occupe un max le processeur.
Par contre, en installer Zone Alarm, ça bloque la bête sur ton ordi, et du coup le PC travaille beaucoup moins, en attendant une solution meilleure, si quelqu'un a...
gallou
Messages postés
225
Date d'inscription
lundi 23 mai 2005
Statut
Membre
Dernière intervention
26 août 2016
67
2 juin 2005 à 21:39
2 juin 2005 à 21:39
Bonsoir,
je confirme, ça se propage essentiellement entre ordi en réseaux et par IRC.
J'ai remarqué que toutes les personnes contaminées avait ce genre de lignes dans les logs Hijack
O4 - HKCU\..\Run: [Machinchose Qui fait Sérieux] un_nom.exe
O4 - HKLM\..\RunServices: [Machinchose Qui fait Sérieux] un_nom.exe
moi c'était notes et pdkf, toi c'est msclient32 et MSIXEC32...
au passage, d'après sophos:
Comment il se propage: Partages réseau
Systèmes d'exploitation vulnérables: Windows
Effets secondaires:
Permet à d'autres d'accéder à l'ordinateur
Télécharge du code depuis Internet
Réduit la sécurité système
Enregistre les frappes de touches
S'installe dans le Registre
Alias Backdoor.Win32.Rbot.gen
W32/Sdbot.worm.gen.j
WORM_SPYBOT.HF
j'espère que vous y arriverez.
BONUS:
regardez ce post, alex avait Rbot et maintenant, plus de pb
http://www.commentcamarche.net/forum/affich-1568924-probleme-de-virus-worm-trojan
je confirme, ça se propage essentiellement entre ordi en réseaux et par IRC.
J'ai remarqué que toutes les personnes contaminées avait ce genre de lignes dans les logs Hijack
O4 - HKCU\..\Run: [Machinchose Qui fait Sérieux] un_nom.exe
O4 - HKLM\..\RunServices: [Machinchose Qui fait Sérieux] un_nom.exe
moi c'était notes et pdkf, toi c'est msclient32 et MSIXEC32...
au passage, d'après sophos:
Comment il se propage: Partages réseau
Systèmes d'exploitation vulnérables: Windows
Effets secondaires:
Permet à d'autres d'accéder à l'ordinateur
Télécharge du code depuis Internet
Réduit la sécurité système
Enregistre les frappes de touches
S'installe dans le Registre
Alias Backdoor.Win32.Rbot.gen
W32/Sdbot.worm.gen.j
WORM_SPYBOT.HF
j'espère que vous y arriverez.
BONUS:
regardez ce post, alex avait Rbot et maintenant, plus de pb
http://www.commentcamarche.net/forum/affich-1568924-probleme-de-virus-worm-trojan
31 mai 2005 à 20:15
Je garde la foi...J'y arriverai