CPU 100%
alexvdz
Messages postés
98
Statut
Membre
-
Guillaume -
Guillaume -
Salut à tous,
je suis sous Windows XP Pro sp1. Il se trouve que j'ai un trojan qui fait travailler mon CPU à 100% est je ne sais comment l'enlever bien que j'ai fait deux analyses antivirus avec Norton et une analyse en mode sans échec.
Le nom de ce trojan est iosdt.exe
Je ne sais plus quoi faire...
je suis sous Windows XP Pro sp1. Il se trouve que j'ai un trojan qui fait travailler mon CPU à 100% est je ne sais comment l'enlever bien que j'ai fait deux analyses antivirus avec Norton et une analyse en mode sans échec.
Le nom de ce trojan est iosdt.exe
Je ne sais plus quoi faire...
A voir également:
- CPU 100%
- Temperature cpu - Guide
- Cpu burner - Télécharger - Optimisation
- Stress cpu - Télécharger - Informations & Diagnostic
- Cpu z - Télécharger - Informations & Diagnostic
- 100 mb en mo ✓ - Forum Matériel & Système
11 réponses
As-tu essayé les pistes suivantes ? (Spybot et Ad-aware) :
http://www.commentcamarche.net/faq/302-Que-faire-quand-on-est-infect%E9
http://www.commentcamarche.net/faq/439-%5BSpyBot%5D-Eliminer-un-logiciel-espion--spyware
http://www.commentcamarche.net/faq/302-Que-faire-quand-on-est-infect%E9
http://www.commentcamarche.net/faq/439-%5BSpyBot%5D-Eliminer-un-logiciel-espion--spyware
Jeff \--Webmaster@CCM--/
Bonsoir alexvdz
Testes la procédure classique:
1° Fermer iosdt.exe dans le gestionaire de tâches:
Faire : Ctrl+Alt+Suppr /onglet Processus : le rechercher dans la liste -->Terminer le processus
2° Afficher les dossier système cachés
Outil/options de dossier /Affichage : décocher :Masquer les fichiers protégés du système d'exploitation, cocher :Afficher le contenu des dossiers système
3°Vérifier la présence de iosdt dans :
C:/windows/system32
4°Avant de faire quoique ce soit : désactiver la restauration système:
Clic droit sur : Poste de travail / Propriété/Restauration Système : cocher :Désactiver la restauration Système , cliquer :Appliquer ,oK .( Avec xp : toujours désactiver la restauration système avant un nettoyage sinon ça ne sert à rien : tu gardes une copie du virus que l'antivirus ne peut pas atteindre donc pas nettoyer )
5°Retourner dans :Système32 et supprimer: iosdt.exe
6° Remettre les options de dossiers : cachés (inverse du 2° )
7°Vider la corbeille
8°Si iosdt se trouve en quarantaine dans l'antivirus : supprimer .
9°Fermer tout , redémarrer.
10° Faire un scan de vérif et remettre la restauration Système .
Dis-nous si ça a marché .
@+
laumi
Testes la procédure classique:
1° Fermer iosdt.exe dans le gestionaire de tâches:
Faire : Ctrl+Alt+Suppr /onglet Processus : le rechercher dans la liste -->Terminer le processus
2° Afficher les dossier système cachés
Outil/options de dossier /Affichage : décocher :Masquer les fichiers protégés du système d'exploitation, cocher :Afficher le contenu des dossiers système
3°Vérifier la présence de iosdt dans :
C:/windows/system32
4°Avant de faire quoique ce soit : désactiver la restauration système:
Clic droit sur : Poste de travail / Propriété/Restauration Système : cocher :Désactiver la restauration Système , cliquer :Appliquer ,oK .( Avec xp : toujours désactiver la restauration système avant un nettoyage sinon ça ne sert à rien : tu gardes une copie du virus que l'antivirus ne peut pas atteindre donc pas nettoyer )
5°Retourner dans :Système32 et supprimer: iosdt.exe
6° Remettre les options de dossiers : cachés (inverse du 2° )
7°Vider la corbeille
8°Si iosdt se trouve en quarantaine dans l'antivirus : supprimer .
9°Fermer tout , redémarrer.
10° Faire un scan de vérif et remettre la restauration Système .
Dis-nous si ça a marché .
@+
laumi
Bonjour,
J'ai exactement le même probleme mais avec le fichier msmsgs.exe qui se trouve dans un répertoir de Program Files appelé Messenger.
Est-ce que je peux utiliser la méthode que tu décris pour iosdt.exe ?
Par ailleurs, j'ai lancé Norton 2004 qui n'a pas trouvé de virus. De même pour l'antivirus en ligne se trouvant sur www.secuser.com.
L'outil de Symantec Fxsasser pour éradiquer Sasser n'a rien trouvé non plus.
D'où peux donc venir ce probleme ?
Guillaume
J'ai exactement le même probleme mais avec le fichier msmsgs.exe qui se trouve dans un répertoir de Program Files appelé Messenger.
Est-ce que je peux utiliser la méthode que tu décris pour iosdt.exe ?
Par ailleurs, j'ai lancé Norton 2004 qui n'a pas trouvé de virus. De même pour l'antivirus en ligne se trouvant sur www.secuser.com.
L'outil de Symantec Fxsasser pour éradiquer Sasser n'a rien trouvé non plus.
D'où peux donc venir ce probleme ?
Guillaume
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour Guillaume
msmsgs.exe est le nom du fichier du processus de MSN Messenger mais il ne consomme pas 100% du CPU par contre il est possible que le:WORM_WOOTBOT.BD ( nom donné par TrendMicro et qui peut varier selon les antivirus ), profitant d'une faille nommée : LSASS vulnerability (qu'utilisent aussi :SASSER worm, WORM_AGOBOT.IM et WORM_CYCLE.A et dont il existe un patch à: http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx ( qu'il serait URGENT de faire !!! ) se soit installé chez toi .Si c'est le cas il a crée un processus système actif nommé :msmsgs.exe et des entrées dans le régistre à :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce .
- Fais un scan on line chez Trend Micro ( puisqu'il reconnait la signature ) :
http://housecall.trendmicro.com/
- Ou son nettoyage automatique ( fix ) de WORM_WOOTBOT.BD:
http://fr.trendmicro-europe.com/consumer/products/tsc.php
Tu te mets sur l'onglet :Overview ( jètes un œil sur l'onglet Technical details c'est un bon descriptif) et tu cliques sur :
Trend MicroDamage Cleanup Services :
tu cliques sur :SYSCLEAN.COM .Pour utiliser SYSCLEAN.COM :
- Vérifies sa compatiblilité avec ton système :
Windows 95
Windows 98
Windows ME
Windows NT 4.0 Workstation and Server
Windows 2000 Professional and Server
Windows XP Home and Professional
1° Tu crées un dossier et tu copies dedans SYSCLEAN.COM .
2° Tu download les dernières signatures , et tu les extraits dans le dossier que tu as crée
3°Tu fermes toutes les applications ouvertes sur ton système , y compris ton antivirus.
4° Tu lances l'exécutable
Le fix te crée un fichier log dans le dossier .
- Ou faire le nettoyage à la main décrit sur :
http://fr.trendmicro-europe.com/consumer/security_info/ve_detail.php?id=65832&VName=WORM_WOOTBOT.BD
c'est en anglais , si tu as des difficultés dis-le je te ferai la traduction .N'oublies pas selon que tu tournes sur :Windows NT (VGA mode): se mettre en mode VGA , Windows XP : se mettre en mode sans échec ET désactiver la restauration système ou Windows 2000 : se mettre en mode sans échec .
Bon courage et dis nous
@+
laumi
msmsgs.exe est le nom du fichier du processus de MSN Messenger mais il ne consomme pas 100% du CPU par contre il est possible que le:WORM_WOOTBOT.BD ( nom donné par TrendMicro et qui peut varier selon les antivirus ), profitant d'une faille nommée : LSASS vulnerability (qu'utilisent aussi :SASSER worm, WORM_AGOBOT.IM et WORM_CYCLE.A et dont il existe un patch à: http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx ( qu'il serait URGENT de faire !!! ) se soit installé chez toi .Si c'est le cas il a crée un processus système actif nommé :msmsgs.exe et des entrées dans le régistre à :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce .
- Fais un scan on line chez Trend Micro ( puisqu'il reconnait la signature ) :
http://housecall.trendmicro.com/
- Ou son nettoyage automatique ( fix ) de WORM_WOOTBOT.BD:
http://fr.trendmicro-europe.com/consumer/products/tsc.php
Tu te mets sur l'onglet :Overview ( jètes un œil sur l'onglet Technical details c'est un bon descriptif) et tu cliques sur :
Trend MicroDamage Cleanup Services :
tu cliques sur :SYSCLEAN.COM .Pour utiliser SYSCLEAN.COM :
- Vérifies sa compatiblilité avec ton système :
Windows 95
Windows 98
Windows ME
Windows NT 4.0 Workstation and Server
Windows 2000 Professional and Server
Windows XP Home and Professional
1° Tu crées un dossier et tu copies dedans SYSCLEAN.COM .
2° Tu download les dernières signatures , et tu les extraits dans le dossier que tu as crée
3°Tu fermes toutes les applications ouvertes sur ton système , y compris ton antivirus.
4° Tu lances l'exécutable
Le fix te crée un fichier log dans le dossier .
- Ou faire le nettoyage à la main décrit sur :
http://fr.trendmicro-europe.com/consumer/security_info/ve_detail.php?id=65832&VName=WORM_WOOTBOT.BD
c'est en anglais , si tu as des difficultés dis-le je te ferai la traduction .N'oublies pas selon que tu tournes sur :Windows NT (VGA mode): se mettre en mode VGA , Windows XP : se mettre en mode sans échec ET désactiver la restauration système ou Windows 2000 : se mettre en mode sans échec .
Bon courage et dis nous
@+
laumi
Merci Laumi,
Je vais essayer. Cela dit, entre temps, j'ai viré Windows Messenger de mon systeme et donc msmmgs.exe.
Du coup, aujourd'hui, je n'ai plus eu de problème. En revanche, je ne suis toujours pas très rassuré.
Je me suis renseigné sur internet pour retirer proprement Messenger :
http://www.pcastuces.com/pratique/windows/xp/msn.htm
Concernant, la sécurité Windows, il faut savoir que je tourne sous XP Pro, installé sur mon poste par un ami qui m'avait tout configuré. Je pense qu'il s'agit d'une version pirate puisque je n'arrive pas à installer le Service Pack 2.
J'obtient un message ressemblant à " La clé de produit utilisée n'est peut-être pas valide [...] "
D'autre part, j'ai fait plusieurs recherches de virus :
- Avec Norton 2004 (rien détecté)
- Avec un antivirus en ligne trouvé sur secuser.com (http://www.secuser.com/outils/antivirus.htm). C'est le même que celui que tu me conseilles. Rien détecté.
- J'ai également utilisé l'utilitaire FxSasser.exe de Symantec qui n'a rien détecté non plus.
Donc je me demande si c'est vraiment un virus. En tout cas, ça y ressemble. Je suis en train de refaire le scan de Trend Micro trouvé à l'adresse que tu m'as donné. Puis je vais essayer les autres étapes que tu me décris.
Ensuite, je te tiens au courant. Encore merci.
Je vais l'avoir ce salopard!!!
Guillaume.
Je vais essayer. Cela dit, entre temps, j'ai viré Windows Messenger de mon systeme et donc msmmgs.exe.
Du coup, aujourd'hui, je n'ai plus eu de problème. En revanche, je ne suis toujours pas très rassuré.
Je me suis renseigné sur internet pour retirer proprement Messenger :
http://www.pcastuces.com/pratique/windows/xp/msn.htm
Concernant, la sécurité Windows, il faut savoir que je tourne sous XP Pro, installé sur mon poste par un ami qui m'avait tout configuré. Je pense qu'il s'agit d'une version pirate puisque je n'arrive pas à installer le Service Pack 2.
J'obtient un message ressemblant à " La clé de produit utilisée n'est peut-être pas valide [...] "
D'autre part, j'ai fait plusieurs recherches de virus :
- Avec Norton 2004 (rien détecté)
- Avec un antivirus en ligne trouvé sur secuser.com (http://www.secuser.com/outils/antivirus.htm). C'est le même que celui que tu me conseilles. Rien détecté.
- J'ai également utilisé l'utilitaire FxSasser.exe de Symantec qui n'a rien détecté non plus.
Donc je me demande si c'est vraiment un virus. En tout cas, ça y ressemble. Je suis en train de refaire le scan de Trend Micro trouvé à l'adresse que tu m'as donné. Puis je vais essayer les autres étapes que tu me décris.
Ensuite, je te tiens au courant. Encore merci.
Je vais l'avoir ce salopard!!!
Guillaume.
Bonsoir Guillaume
Pour virer msn la manip de pc astuces est la bonne . J'espère que cela résoudra ton blème ...
Pour xp pro ... il faut absolument que tu puisses faire les mises-à-jour de sécurité .... ou acheter une licence ou un OS gratos (linux..)
Tu devrai utiliser firefox ( en navigateur ) et thunderbird ( en messagerie ) cela éliminera les failles d'internet explorer et de outlook express qui sont légions et si tu ne peux pas patcher ... , en plus , mais c'est mon avis perso , tu y gagneras au change ( navigation par onglet, plus de pub ...) et gratis bien sur .
As-tu un firewall? Si non tu devais vite en installer un .
Tant que tu ne peux faire les maj ... , redoubles de sécurités dans tous ce qui entourent ta navigation .Scannes régulièrement ton pc avec ad-aware, spybot et ton antivirus tous bien à jour , surveille ta base de régistre avec HijackThis ( dernière version ) ...
Dis-nous pour msn car à lui tout seul et bien propre il ne bouffe pas 100% de CPU , maintenant comme msn est un produit microsoft ...
@+
laumi
Pour virer msn la manip de pc astuces est la bonne . J'espère que cela résoudra ton blème ...
Pour xp pro ... il faut absolument que tu puisses faire les mises-à-jour de sécurité .... ou acheter une licence ou un OS gratos (linux..)
Tu devrai utiliser firefox ( en navigateur ) et thunderbird ( en messagerie ) cela éliminera les failles d'internet explorer et de outlook express qui sont légions et si tu ne peux pas patcher ... , en plus , mais c'est mon avis perso , tu y gagneras au change ( navigation par onglet, plus de pub ...) et gratis bien sur .
As-tu un firewall? Si non tu devais vite en installer un .
Tant que tu ne peux faire les maj ... , redoubles de sécurités dans tous ce qui entourent ta navigation .Scannes régulièrement ton pc avec ad-aware, spybot et ton antivirus tous bien à jour , surveille ta base de régistre avec HijackThis ( dernière version ) ...
Dis-nous pour msn car à lui tout seul et bien propre il ne bouffe pas 100% de CPU , maintenant comme msn est un produit microsoft ...
@+
laumi
Bonsoir,
Voilà, je viens de finir de scanner mes disques durs avec SYSCLEAN.log. Pas de virus trouvé mais certains fichiers d'après le log n'ont pu être scannés.
------------------------
Voici un extrait du log :
An error occurred while scanning file "C:\Documents and Settings\LocalService\NTUSER.DAT": Accès refusé.
An error occurred while scanning file "C:\Documents and Settings\LocalService\ntuser.dat.LOG": Accès refusé.
An error was detected on "C:\System Volume Information\*.*": Accès refusé.
Could not set file for reading on "C:\WINDOWS\Prefetch\MSMSGS.EXE-2B6052DE.pf": Accès refusé.
An error occurred while scanning file "C:\WINDOWS\system32\config\SECURITY": Accès refusé.
An error occurred while scanning file "C:\WINDOWS\system32\config\SECURITY.LOG": Accès refusé.
-----------------------
Et il y en a peut être 100 comme ça. Notamment beaucoup de fichiers du répertoire WINDOWS\Prefetch dont 1 mentionnant msmsgs.exe (voir plus haut l'extrait du log).
Bon je crois que là j'ai tout mis en oeuvre.
Pour la clé de XP, j'ai lu dans un des liens que tu m'as fourni que le virus wootbot pouvait derober la clé :
"Moreover, it steals the Windows product ID as well as the CD keys of certain game applications. "
Est-ce que mon pb ne viendrait pas de là ?
Concernant la sécurité, je vais chercher à télécharger firefox et désinstaller internet explorer.
J'ai téléchargé hier Ad-Aware SE 1.05 mais je n'ai pas réussi à le mettre en français (tant pis).
Je vais rechercher HijackThis.
Par contre je n'ai pas de Firewall. Où puis je en récupérer un efficace. J'avoue également ne pas trop connaître leur fonctionnement, je vais regarder sur le forum si il y a des informations interessantes à ce sujet.
Enfin j'ai Norton 2004.
Je pense que bientôt je serais bien protégé.
A+
Guillaume
PS: J'ai oublié la méthode manuelle que tu m'as également proposé. Ce sera pour demain.
Voilà, je viens de finir de scanner mes disques durs avec SYSCLEAN.log. Pas de virus trouvé mais certains fichiers d'après le log n'ont pu être scannés.
------------------------
Voici un extrait du log :
An error occurred while scanning file "C:\Documents and Settings\LocalService\NTUSER.DAT": Accès refusé.
An error occurred while scanning file "C:\Documents and Settings\LocalService\ntuser.dat.LOG": Accès refusé.
An error was detected on "C:\System Volume Information\*.*": Accès refusé.
Could not set file for reading on "C:\WINDOWS\Prefetch\MSMSGS.EXE-2B6052DE.pf": Accès refusé.
An error occurred while scanning file "C:\WINDOWS\system32\config\SECURITY": Accès refusé.
An error occurred while scanning file "C:\WINDOWS\system32\config\SECURITY.LOG": Accès refusé.
-----------------------
Et il y en a peut être 100 comme ça. Notamment beaucoup de fichiers du répertoire WINDOWS\Prefetch dont 1 mentionnant msmsgs.exe (voir plus haut l'extrait du log).
Bon je crois que là j'ai tout mis en oeuvre.
Pour la clé de XP, j'ai lu dans un des liens que tu m'as fourni que le virus wootbot pouvait derober la clé :
"Moreover, it steals the Windows product ID as well as the CD keys of certain game applications. "
Est-ce que mon pb ne viendrait pas de là ?
Concernant la sécurité, je vais chercher à télécharger firefox et désinstaller internet explorer.
J'ai téléchargé hier Ad-Aware SE 1.05 mais je n'ai pas réussi à le mettre en français (tant pis).
Je vais rechercher HijackThis.
Par contre je n'ai pas de Firewall. Où puis je en récupérer un efficace. J'avoue également ne pas trop connaître leur fonctionnement, je vais regarder sur le forum si il y a des informations interessantes à ce sujet.
Enfin j'ai Norton 2004.
Je pense que bientôt je serais bien protégé.
A+
Guillaume
PS: J'ai oublié la méthode manuelle que tu m'as également proposé. Ce sera pour demain.
Bonjour Guillaume
Désolé de te répondre si tard boulot boulot ...
Je pense que l'accés refusé à certains fichiers est dù au fait que ta connection était active et XP dans ce cas en refuse l'accés , (lecture , effacement , modif ) .
Pour les fichiers contenus dans prefetch : tu peux tous les supprimer sauf : 'layout.ini' , (attention vider le contenu du dossier prefetch mais pas supprimer le dossier prefetch )
C:\Windows\prefetch
Pour + de renseignement sur prefetch ( plein de site ...):
http://perso.wanadoo.fr/doc.jm/Prefetch.htm
Effectivement ce worm peut voler l'identité de produit microsoft , le mieux contacte l'ami qui t'a installé xp ( pour être sur que tu possède la licence ) et qu'il tente une réparation d'xp .
Pour les firewalls , firefox .... :
http://sebsauvage.net/logiciels/
http://assiste.free.fr/p/frameset/firewall.php
parcours ces 2 sites tu trouvera des d'infos utiles pour ne pas dire vitales et clairement expliquées et notamment :
http://assiste.free.fr/p/frameset/04.php
http://assiste.free.fr/p/frameset/comment_ca_marche.php
et voir la liste des applications qui peuvent/doivent être bloquées sur xp ( c'est sur le forum de prise en main du firewall 'OutPostPro' mais la liste est valable pour xp quelquesoit le firewall utilisé :
Liste des applications :
http://assiste.forum.free.fr/viewtopic.php?t=3483&sid=41dd2bd834b7dd6df130d030bde7e933
Bon week-end ,
@+
laumi
Désolé de te répondre si tard boulot boulot ...
Je pense que l'accés refusé à certains fichiers est dù au fait que ta connection était active et XP dans ce cas en refuse l'accés , (lecture , effacement , modif ) .
Pour les fichiers contenus dans prefetch : tu peux tous les supprimer sauf : 'layout.ini' , (attention vider le contenu du dossier prefetch mais pas supprimer le dossier prefetch )
C:\Windows\prefetch
Pour + de renseignement sur prefetch ( plein de site ...):
http://perso.wanadoo.fr/doc.jm/Prefetch.htm
Effectivement ce worm peut voler l'identité de produit microsoft , le mieux contacte l'ami qui t'a installé xp ( pour être sur que tu possède la licence ) et qu'il tente une réparation d'xp .
Pour les firewalls , firefox .... :
http://sebsauvage.net/logiciels/
http://assiste.free.fr/p/frameset/firewall.php
parcours ces 2 sites tu trouvera des d'infos utiles pour ne pas dire vitales et clairement expliquées et notamment :
http://assiste.free.fr/p/frameset/04.php
http://assiste.free.fr/p/frameset/comment_ca_marche.php
et voir la liste des applications qui peuvent/doivent être bloquées sur xp ( c'est sur le forum de prise en main du firewall 'OutPostPro' mais la liste est valable pour xp quelquesoit le firewall utilisé :
Liste des applications :
http://assiste.forum.free.fr/viewtopic.php?t=3483&sid=41dd2bd834b7dd6df130d030bde7e933
Bon week-end ,
@+
laumi
Salut Laumi,
Désolé de ne pas avoir pu te remercier plus tôt mais je ne suis pas souvent chez moi en ce moment (et ça va continuer).
Alors je le fais aujourd'hui : Merci.
Ces adresses sont très utiles voire comme tu le dis, vitales.
J'utilise désormais Firefox, zonealarm et j'ai fait pas mal de nettoyage sur le disque. Je n'ai plus de pb pour l'instant de montée de l'utilisation du CPU à 100%.
Je n'aurai malheureusement pas le temps de plus m'occuper du PC dans les jours qui viennent mais une chose est sûre, j'en ai pas fini !
Je dois notamment résoudre ce problème d'XP, mais à mon avis, il s'agit d'un CD original que mon pote a pris chez lui ou à son boulot pour me l'installer chez moi. Je verrai tout ça à son retour.
En tout cas, encore une fois merci.
Je te tiens au courant via ce forum pour l'installation du SP2.
Guillaume
Désolé de ne pas avoir pu te remercier plus tôt mais je ne suis pas souvent chez moi en ce moment (et ça va continuer).
Alors je le fais aujourd'hui : Merci.
Ces adresses sont très utiles voire comme tu le dis, vitales.
J'utilise désormais Firefox, zonealarm et j'ai fait pas mal de nettoyage sur le disque. Je n'ai plus de pb pour l'instant de montée de l'utilisation du CPU à 100%.
Je n'aurai malheureusement pas le temps de plus m'occuper du PC dans les jours qui viennent mais une chose est sûre, j'en ai pas fini !
Je dois notamment résoudre ce problème d'XP, mais à mon avis, il s'agit d'un CD original que mon pote a pris chez lui ou à son boulot pour me l'installer chez moi. Je verrai tout ça à son retour.
En tout cas, encore une fois merci.
Je te tiens au courant via ce forum pour l'installation du SP2.
Guillaume
