Problèmes divers : svchost.exe + tftp.exe
Tonio
-
picflute -
picflute -
Bonjour à tous.
La réponse à mes problèmes se trouve peut-être déjà quelque part sur ce forum, mais je ne l'ai pas trouvée...
Plusieurs constats :
-> au démarrage, tout va bien (c'est déjà pas mal me direz-vous). Mais après quelques minutes, un des process svchost.exe occupe 99% de la mémoire
-> quand c'est le cas, je ne peux pas télécharger de fichiers (click droit/enregistrer sous), ça plante la fenêtre permettant de choisir le répertoire de téléchargement
-> je ne peux pas non plus ouvrir ou enregistrer les pièces jointes à des mails
-> parfois, quand je tente d'ouvrir le gestionnaire des tâches, la fenêtre n'apparaît pas, mais le petit icône apparaît tout de même en bas à droite dans la barre des tâches
-> Kaspersky me signale régulièrement que des fichiers nommés "TFTPxxxx" sont infectés par Backdoor.Win32.Rbot.gen
J'ai essayé de faire ça :
-> désactiver les points de sauvegarde
-> démarrage en mode sans echec
-> scan manuel Kaspersky
=> ça marche pas
-> désactiver les points de sauvegarde
-> scan avec Spybot, AdAware, A-squared (avec les dernières mises à jour)
=> ça marche pas, ils ne me trouvent rien
Je dis donc : AU SECOURS !!!
Enfin, si quelqu'un pouvait m'aider à m'en sortir, ça serait merveilleux.
Merci d'avance, et à bientôt
Tonio
La réponse à mes problèmes se trouve peut-être déjà quelque part sur ce forum, mais je ne l'ai pas trouvée...
Plusieurs constats :
-> au démarrage, tout va bien (c'est déjà pas mal me direz-vous). Mais après quelques minutes, un des process svchost.exe occupe 99% de la mémoire
-> quand c'est le cas, je ne peux pas télécharger de fichiers (click droit/enregistrer sous), ça plante la fenêtre permettant de choisir le répertoire de téléchargement
-> je ne peux pas non plus ouvrir ou enregistrer les pièces jointes à des mails
-> parfois, quand je tente d'ouvrir le gestionnaire des tâches, la fenêtre n'apparaît pas, mais le petit icône apparaît tout de même en bas à droite dans la barre des tâches
-> Kaspersky me signale régulièrement que des fichiers nommés "TFTPxxxx" sont infectés par Backdoor.Win32.Rbot.gen
J'ai essayé de faire ça :
-> désactiver les points de sauvegarde
-> démarrage en mode sans echec
-> scan manuel Kaspersky
=> ça marche pas
-> désactiver les points de sauvegarde
-> scan avec Spybot, AdAware, A-squared (avec les dernières mises à jour)
=> ça marche pas, ils ne me trouvent rien
Je dis donc : AU SECOURS !!!
Enfin, si quelqu'un pouvait m'aider à m'en sortir, ça serait merveilleux.
Merci d'avance, et à bientôt
Tonio
A voir également:
- Problèmes divers : svchost.exe + tftp.exe
- Tous les divers - Télécharger - Pilotes & Matériel
- Divers cloud - Télécharger - Pilotes & Matériel
- Puzzles gratuits divers - Télécharger - Jeux vidéo
- Bon coin divers - Télécharger - Commerce
- Formules avec divers produits après soustraction de somme - Guide
7 réponses
Je ne connais ce troyen, mais essai ça:
http://www.f-secure.com/v-descs/rbot.shtml
J'espère que ça t'aidera à l'éliminer.
http://www.f-secure.com/v-descs/rbot.shtml
J'espère que ça t'aidera à l'éliminer.
Coucou
J'ai eu le bonheur de rencontrer ce troyen...
Le problème, c'est que je ne me souviens plus quelle étape des différentes opérations que j'ai faites a été décisive...
cf mon post
http://www.commentcamarche.net/forum/affich-1509087-ralentissement-perte-du-taskmanager
1 J'ai fait le nettoyage avec Sysclean,
2 puis Spybot
3 puis avast a achevé le travail avec une de ses mises à jour
le truc, c'est aussi de ne pas démarrer en étant connecté
car à ce moment là, on pouvait encore ouvrir le gestionnaire des taches, par contre dès que j'étais connectée, c'était mort...
j'ai du tuer 2 process:notes.exe (qui passe à travers les scan mais c'est apparamment une création de Rbot) à main nues ainsi qu'un process nommé pdkf.exe (mais je crois que c'est une chaine aléatoire, donc ça peut s'appeler n'importe comment)
après ça allait beaucoup mieux au niveau vitesse.
Bonne chance!
J'ai eu le bonheur de rencontrer ce troyen...
Le problème, c'est que je ne me souviens plus quelle étape des différentes opérations que j'ai faites a été décisive...
cf mon post
http://www.commentcamarche.net/forum/affich-1509087-ralentissement-perte-du-taskmanager
1 J'ai fait le nettoyage avec Sysclean,
2 puis Spybot
3 puis avast a achevé le travail avec une de ses mises à jour
le truc, c'est aussi de ne pas démarrer en étant connecté
car à ce moment là, on pouvait encore ouvrir le gestionnaire des taches, par contre dès que j'étais connectée, c'était mort...
j'ai du tuer 2 process:notes.exe (qui passe à travers les scan mais c'est apparamment une création de Rbot) à main nues ainsi qu'un process nommé pdkf.exe (mais je crois que c'est une chaine aléatoire, donc ça peut s'appeler n'importe comment)
après ça allait beaucoup mieux au niveau vitesse.
Bonne chance!
salut tonio,
essai de lancer un scan chez RAV :
http://www.ravantivirus.com/scan/
Clique sur "To continue without subscribing click here" et attends quelques minutes.
Lorsque "Ready" est affiché dans "status", coche la case "Autoclean" puis clique sur "Scan my PC"
A la fin de l'analyse, copie/colle le rapport ici
bye
essai de lancer un scan chez RAV :
http://www.ravantivirus.com/scan/
Clique sur "To continue without subscribing click here" et attends quelques minutes.
Lorsque "Ready" est affiché dans "status", coche la case "Autoclean" puis clique sur "Scan my PC"
A la fin de l'analyse, copie/colle le rapport ici
bye
Bon, j'ai fait tout ce qui m'a été proposé, et, ben, rien n'a fonctionné, je veux dire que
-> les scans donnent comme résultat "pas de problème"
-> j'ai toujours mon svchost.exe qui prend 99% des ressources...
-> j'ai toujours régulièrement un fichier TFTPxxx identifié par Kaspersky comme étant infecté par le backdoor.
Regis59, j'ai fait ta manip', mais après le scan, mon ordi a été complètement bloqué, et impossible de faire un copier coller. Mais le résultat a été le même : rien n'a été trouvé lors du scan...
J'avoue que je commence un peu à désespérer...
Merci beaucoup pour votre aide...
Auriez-vous d'autres idées pour m'aider ?
-> les scans donnent comme résultat "pas de problème"
-> j'ai toujours mon svchost.exe qui prend 99% des ressources...
-> j'ai toujours régulièrement un fichier TFTPxxx identifié par Kaspersky comme étant infecté par le backdoor.
Regis59, j'ai fait ta manip', mais après le scan, mon ordi a été complètement bloqué, et impossible de faire un copier coller. Mais le résultat a été le même : rien n'a été trouvé lors du scan...
J'avoue que je commence un peu à désespérer...
Merci beaucoup pour votre aide...
Auriez-vous d'autres idées pour m'aider ?
J'ai fait un scan hijack, voici le log. Si quelqu'un pouvait m'éclairer, ça serait merveilleux.
Merci d'avance.
Logfile of HijackThis v1.99.1
Scan saved at 09:46:50, on 02/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\System32\khooker.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\a2\a2guard.exe
C:\Program Files\Apoint2K\HidFind.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Utilitaires\Desinfectant\hijackthis_199\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.nec-online.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Apps\Adobe\Acrobat 5.1\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /wait
O4 - HKLM\..\Run: [MS Internet Executor 32] MSIXEC32.exe
O4 - HKLM\..\RunServices: [Client for Microsoft Networks] msclient32.exe
O4 - HKLM\..\RunServices: [MS Internet Executor 32] MSIXEC32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
O4 - HKCU\..\Run: [Client for Microsoft Networks] msclient32.exe
O4 - HKCU\..\Run: [MS Internet Executor 32] MSIXEC32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117113188614
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /service (file missing)
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe" /service (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
Merci d'avance.
Logfile of HijackThis v1.99.1
Scan saved at 09:46:50, on 02/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\System32\khooker.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\a2\a2guard.exe
C:\Program Files\Apoint2K\HidFind.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Utilitaires\Desinfectant\hijackthis_199\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.nec-online.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Apps\Adobe\Acrobat 5.1\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /wait
O4 - HKLM\..\Run: [MS Internet Executor 32] MSIXEC32.exe
O4 - HKLM\..\RunServices: [Client for Microsoft Networks] msclient32.exe
O4 - HKLM\..\RunServices: [MS Internet Executor 32] MSIXEC32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
O4 - HKCU\..\Run: [Client for Microsoft Networks] msclient32.exe
O4 - HKCU\..\Run: [MS Internet Executor 32] MSIXEC32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE (file missing)
O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117113188614
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /service (file missing)
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe" /service (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour,
J'ai eu le meme probleme sur l'ordi d'une amie aujourd'hui. Je n'ai pas trouvé non plus comment l'enlever.
Apparemment c'est une bête qui essaye de communiquer avec les autres ordis en se basant sur l'adresse IP. Et du coup, ça occupe un max le processeur.
Par contre, en installer Zone Alarm, ça bloque la bête sur ton ordi, et du coup le PC travaille beaucoup moins, en attendant une solution meilleure, si quelqu'un a...
J'ai eu le meme probleme sur l'ordi d'une amie aujourd'hui. Je n'ai pas trouvé non plus comment l'enlever.
Apparemment c'est une bête qui essaye de communiquer avec les autres ordis en se basant sur l'adresse IP. Et du coup, ça occupe un max le processeur.
Par contre, en installer Zone Alarm, ça bloque la bête sur ton ordi, et du coup le PC travaille beaucoup moins, en attendant une solution meilleure, si quelqu'un a...
Bonsoir,
je confirme, ça se propage essentiellement entre ordi en réseaux et par IRC.
J'ai remarqué que toutes les personnes contaminées avait ce genre de lignes dans les logs Hijack
O4 - HKCU\..\Run: [Machinchose Qui fait Sérieux] un_nom.exe
O4 - HKLM\..\RunServices: [Machinchose Qui fait Sérieux] un_nom.exe
moi c'était notes et pdkf, toi c'est msclient32 et MSIXEC32...
au passage, d'après sophos:
Comment il se propage: Partages réseau
Systèmes d'exploitation vulnérables: Windows
Effets secondaires:
Permet à d'autres d'accéder à l'ordinateur
Télécharge du code depuis Internet
Réduit la sécurité système
Enregistre les frappes de touches
S'installe dans le Registre
Alias Backdoor.Win32.Rbot.gen
W32/Sdbot.worm.gen.j
WORM_SPYBOT.HF
j'espère que vous y arriverez.
BONUS:
regardez ce post, alex avait Rbot et maintenant, plus de pb
http://www.commentcamarche.net/forum/affich-1568924-probleme-de-virus-worm-trojan
je confirme, ça se propage essentiellement entre ordi en réseaux et par IRC.
J'ai remarqué que toutes les personnes contaminées avait ce genre de lignes dans les logs Hijack
O4 - HKCU\..\Run: [Machinchose Qui fait Sérieux] un_nom.exe
O4 - HKLM\..\RunServices: [Machinchose Qui fait Sérieux] un_nom.exe
moi c'était notes et pdkf, toi c'est msclient32 et MSIXEC32...
au passage, d'après sophos:
Comment il se propage: Partages réseau
Systèmes d'exploitation vulnérables: Windows
Effets secondaires:
Permet à d'autres d'accéder à l'ordinateur
Télécharge du code depuis Internet
Réduit la sécurité système
Enregistre les frappes de touches
S'installe dans le Registre
Alias Backdoor.Win32.Rbot.gen
W32/Sdbot.worm.gen.j
WORM_SPYBOT.HF
j'espère que vous y arriverez.
BONUS:
regardez ce post, alex avait Rbot et maintenant, plus de pb
http://www.commentcamarche.net/forum/affich-1568924-probleme-de-virus-worm-trojan
Je garde la foi...J'y arriverai