c:\windows\temp\xxxx.tmp\SvChost ... Resolu

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Répondre
Thié
Messages : 4
Inscription : 13 janv. 2010 00:21

c:\windows\temp\xxxx.tmp\SvChost ... Resolu

Message par Thié » 13 janv. 2010 20:39

Bonjour,

En général, je me débrouille en lisant les forums et les posts, mais là, je suis à bout !

D'abord, je me présente, je suis Thié, musicien, ingéson... j'avais deux ordis séparés pour travailler et pour tout le reste, et depuis que l'un m'a laché, je me sers à regret du même pour tout faire.

Je vais essayé d'être bref pour résumer l'épisode à rebondissements.

Il se crée un dossier au nom aléatoire du style xxxx.tmp dans le dossier c:\windows\temp

Dans ce dossier un fichier nommé svchost.exe essaye de se connecter. Online Armor l'arrête et Antivir le reconnait comme un virus et l'élimine. Le firewall me dit que l'application mère est c:\windows\system32\svchost.exe. Je l'ai scanné sur totalvirus, sans succès. Je l'ai remplacé par un autre fichier clean.

En parallèle, Firefox m'ouvre des onglets intempestifs me dirigeant vers un jeu nommé warofdragons et d'autres sites dans le genre. Adblock n'empêche pas l'ouverture de la fenêtre. J'ai juste configuré firefox pour qu'il n'ouvre plus.

En potassant les forums, j'ai trouvé des solutions que j'ai bien sûr essayé en suivant scrupuleusement les instructions.

Maintenant, j'ai un dossier vide qui se crée exactement toutes les 5 minutes. De temps en temps, le firewall arrête un svchost.exe. Par contre, j'ai une latence de 30 secondes chaques fois que je lance un logiciel. Je ne sais pas si c'est lié.

J'ai fait des rapports Hijack, j'ai testé spybot, malwarebyte, combofix, lopSD, gmer en mode sans echec ou non.

Le fichier svchost.exe disparait de lui-même. J'ai toutefois pu scanner ce fichier sur totalvirus, il me trouve que ce fichier est russe, qu'il s'agit de odbcconf.dll . Le rapport est disponible. Par contre, antivir et malwarebyte ne voient rien.

Je ne sais vraiment vraiment vraiment plus quoi faire et j'aurais besoin d'un ou deux conseils svp !

Voilà, merci

Thié
Dernière édition par Thié le 09 févr. 2010 15:53, édité 1 fois.




Malekal_morte
Site Admin
Site Admin
Messages : 98035
Inscription : 10 sept. 2005 13:57
Contact :

Re: c:\windows\temp\xxxx.tmp\SvChost ...

Message par Malekal_morte » 13 janv. 2010 21:22

Salut,

Désactive les logiciels de protection (Antivirus, Antispywares) puis :

Télécharge Combofix sUBs : combofix.exe et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

Eventuellement, installe la console de récupération comme cela est conseillé

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

Tu as le tutorial sur ce lien pour t'aider : http://www.bleepingcomputer.com/combofi ... r-combofix

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

puis :

- Télécharge HiJackThis de Merijnsur ton bureau.
- Double-clic sur HijackThis
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Colle le rapport ici, pour cela :
- Menu Edition / Selectionner Tout
- Menu Edition / copier
- Ici dans un nouveau message : clic droit / coller
Aide : N'hésite pas à consulter l'aide HiJackThis -

puis :

Télécharge GMER à partir de ce lien : http://www.gmer.net/files.php - clic sur "Download EXE" et télécharge le fichier sur ton bureau.
Voir le tutorial GMER, ça peut peut-être t'aider : https://www.malekal.com/tutorial_GMER.php

Désactive tes logiciels de protection (antivirus, antispyware etc) et ferme tous les programmes ouverts.
Double-clic sur le fichier GMER téléchargé.
IMPORTANT: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
Clic sur l'onglet "rootkit"
Laisse tout coché.
Clic sur Scan
Lorsque le scan est terminé, clic sur "Copy"

Ouvre le bloc-note et clic sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle le contenu ici.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Thié
Messages : 4
Inscription : 13 janv. 2010 00:21

Re: c:\windows\temp\xxxx.tmp\SvChost ...

Message par Thié » 15 janv. 2010 00:22

Bonjour,


J'ai lancé Combofix. Il a voulu désactiver alcohol et a redémarré, et là, j'ai eu la fenêtre disant que je devais activer XP, avec une fenêtre oui/non, qui revenait quoique je fasse. (mon installation d'XP date de longtemps) Impossible d'avoir l'explorateur. Impossible de restaurer par la console. Bref, réparation par le cd, et là, idem, numéro invalide ! Prise de tête, et même une coupure de courant qui m'a montré que l'onduleur est HS. Donc, coup de fil à microsoft, nouveau numéro d'activation, rebelotte SP2/3 etc... plus de connection. Réparation de la base de registre, et là, ça a l'air d'aller, plus d'alerte. Je vais rapidement faire un ghost je crois...

Merci en tout cas de ta tentative de secours. Je trouve très bien l'action de ce forum.

Peut-être est-ce là une solution de dernier recours ?

A bientôt

PDT_003

Thierrrrrrrrry

Malekal_morte
Site Admin
Site Admin
Messages : 98035
Inscription : 10 sept. 2005 13:57
Contact :

Re: c:\windows\temp\xxxx.tmp\SvChost ...

Message par Malekal_morte » 15 janv. 2010 08:42

et bhé..
Bha tu peux montrer le rapport Combofix s'il est encore là C:\Combofix.txt ?

voir faire GMER ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Thié
Messages : 4
Inscription : 13 janv. 2010 00:21

Re: c:\windows\temp\xxxx.tmp\SvChost ...

Message par Thié » 17 janv. 2010 19:43

BOnsoir,

Je suis un peu long à répondre, je le conçois, mais je voulais faire un ghost avant de repartir pour éviter les mêmes désagréments.

Le souci c'est que j'ai viré les rapports combofix avec un logiciel fait pour ça genre cleantruc. J'ai essayé de refaire un gmer, mais il se fige au bout de quelques minutes. J'ai bien viré le firewall et l'antivirus. L'autre soir, je l'ai laissé tourner, et à la fin, il s'est fermé sans me laisser de rapport. PDT_033

Depuis, j'ai eu la bonne idée d'installer un logiciel antidoublons de chez gratuiciel.com. Je l'ai bien scanné avant de lancer, et à l'install, j'ai eu une alerte virus. Je n'ai jamais eu de soucis de virus en 10 ans, et là, j'en cumule 2 en une semaine. Apparemment, USBfix ne trouve rien (c'était pour éliminer les doublons sur un disque usb externe).

Je me permets de mettre un rapport hijack si tu veux bien y jeter un oeil ?

Je te remercie, à bientôt


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:28:14, on 17/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Tall Emu\Online Armor\OAcat.exe
C:\Program Files\Tall Emu\Online Armor\oasrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Norton Ghost\Agent\VProSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Norton Ghost\Shared\Drivers\SymSnapService.exe
C:\WINDOWS\system32\digi96.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Tall Emu\Online Armor\oaui.exe
C:\Program Files\Tall Emu\Online Armor\OAhlp.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.talti.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll
O4 - HKLM\..\Run: [RMETray] digi96.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [@OnlineArmor GUI] "C:\Program Files\Tall Emu\Online Armor\oaui.exe"
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O8 - Extra context menu item: &Tout télécharger avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - http://catalog.update.microsoft.com/v7/ ... 1016847125
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: GenericMount Helper Service - Symantec - C:\Program Files\Norton Ghost\Shared\Drivers\GenericMountHelper.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Norton Ghost\Agent\VProSvc.exe
O23 - Service: Online Armor Helper Service (OAcat) - Tall Emu - C:\Program Files\Tall Emu\Online Armor\OAcat.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)
O23 - Service: Online Armor (SvcOnlineArmor) - Tall Emu - C:\Program Files\Tall Emu\Online Armor\oasrv.exe
O23 - Service: SymSnapService - Symantec - C:\Program Files\Norton Ghost\Shared\Drivers\SymSnapService.exe

--
End of file - 4976 bytes


Cousteau974

Re: c:\windows\temp\xxxx.tmp\SvChost ...

Message par Cousteau974 » 09 févr. 2010 07:16

Bonjour...

Très drole, ce problème, sachant que je m'appelle Thierry et que j'ai moi aussi les dossiers
xxxx.tmp qui apparaissent dans le dossier NetworkService\Local Settings\Temp régulièrement.

Je te conseille ce topic
http://www.commentcamarche.net/forum/af ... oriace?#19
sachant que le problème n'est pas résolu mais que les fichiers .exe n'existent plus,
autrement dit les dossiers tmp créés sont tous vides.
C'est déjà un mieux, on se tient au courant en cas d'avancées... car je suis comme toi :
jamais un virus ne m'avait résisté comme celui-ci auparavant.

Cousteau974

Re: c:\windows\temp\xxxx.tmp\SvChost ...

Message par Cousteau974 » 09 févr. 2010 08:22

J'ai peut-être trouvé la parade.

http://support.kaspersky.com/viruses/so ... =208280684

Un virus semblable au "mien" était décrit dans un forum,
et a été réglé grâce à ce programme de chez Kaspersky. (pub gratuite)

Je l'ai mis en marche, il a supprimé 3 fichiers et/ou clés de registre.
Je regrette de ne pas avoir eu la présence d'esprit de faire une capture
lorsqu'il a mentionné les noms des éléments infectés, mais je me souviens
que dans chacun des 3 noms figurait : ATAPI.

Je n'ai pas eu de dossier créé depuis l'exécution dudit programme.

Malekal_morte
Site Admin
Site Admin
Messages : 98035
Inscription : 10 sept. 2005 13:57
Contact :

Re: c:\windows\temp\xxxx.tmp\SvChost ...

Message par Malekal_morte » 09 févr. 2010 08:59

Ben oui c'est lié à Tdss/Aueron patch atapi.sys : rootkit-tdss-tmp-tmp-atapi-sys-patch-t22604.html
Sur XP, Combofix fait le job...

Par contre, vous êtes prié de créer votre propre sujet pour obtenir de l'aide sinon ça devient le sou, merci!
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Thié
Messages : 4
Inscription : 13 janv. 2010 00:21

Re: c:\windows\temp\xxxx.tmp\SvChost ...

Message par Thié » 09 févr. 2010 10:27

Bonjour mon commandant,

Merci du tuyau sur Kapersky, j'ai bookmarké ça pour le cas où. Pour moi, la réparation d'XP a eu l'air d'avoir éradiqué l'histoire. Incroyable la ténacité du bouzin. ça promet... Je me suis fait un ghost au cas où.

Malekal, on y pensera la prochaine fois... merci du coup de main.

Thié

Cousteau974

Re: c:\windows\temp\xxxx.tmp\SvChost ...

Message par Cousteau974 » 09 févr. 2010 15:17

mais de rien....
A plus, dans de nouvelles aventures et trépidants combats contre le mal absolu :
les virus, vers et autres Troyens.

PS : je suis désolé, c'est vrai que mon post fait un peu désordre avec un lien vers un
site "concurrent" mais le souk, c'est quand personne ne répond à la question posée
et que le problème s'enlise il me semble.
Mon intervention servait uniquement à résoudre un problème non signalé comme résolu,
et sans ce message ce serait toujours le cas.

Malekal_morte
Site Admin
Site Admin
Messages : 98035
Inscription : 10 sept. 2005 13:57
Contact :

Re: c:\windows\temp\xxxx.tmp\SvChost ... Resolu

Message par Malekal_morte » 09 févr. 2010 16:02

Je vois pas en quoi Kapsersky sont des concurrents.
D'ailleurs on parle de leur tool (habillé par loup_blanc) là : load-tdsskiller-t22358.html
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

jgt46

Re: c:\windows\temp\xxxx.tmp\SvChost ... Resolu

Message par jgt46 » 24 oct. 2010 05:09

J'ai eu le meme problème dernièrement...........
Meme après reformaté mes deux partitions, il y avait toujours des centaines de files nommées tmp??.tmp dans mon dossier temporaite.

Avec le temps et par déductions avev le gestionnaire des taches, je me suis apercu que cé'tait mon antivirus nommé

PC-Tools version 8 qui créait ces archives que lón ne pouvait effacer...............

Après desinstallation de PC TOOLS antivirus version 8, le prolème est résolu.......................


Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »