Processus systeme introuvable, insupprimable
gunner84
Messages postés
48
Statut
Membre
-
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour,
J’ai un problème sur mon PC, depuis qqs jours il a le processus System (PID4) qui occupe constamment 60 640ko de ma mémoire et utilisation maximale de 121000ko ; qui n’est pas supprimable et n’appartient à aucune destination (un ver ?) , et cela fait ramer mon ordi.
J’ai effectué un scan avec Findykill, avec usbfix, avec HijackThis (le problème étant que je sais pas vraiment interpréter les résultats pour ce dernier donc j’ose pas trop…)
Comme anti spyware j’ai spyboot qui ne trouve rien, malwarebytes a trouvé : Fichier(s) infecté(s):
C:\WINDOWS\hosts (Trojan.Agent) -> Quarantined and deleted successfully.
Suivant les indications que j’ai vu sur de nombreux topics, j’ai fait :
:: Supprimer les fichiers temporaires ::
vider tout le contenu de ces dossiers.
* C:\Documents and Settings\ton compte\Local Settings\Temp
* C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
* C:\Windows\Temp
:: Le contenu du dossier prefetch ::
* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini
et toute la démarche mode sans échec après, d’ailleurs en mode sans échec le processus system passe à 212ko et util. Max. 2012 ko mais est tjs pas supprimable. Il est « actif mais en veille » quoi.
ensuite je me suis rabattu sur a-squared antimalware…
le rapport de a-squared hijackfree est pour le moins surprenant sur ce processus :
propriétés du fichier :
pas de nom de fichier, pas de chemin d’accès, pas de sociétés, rien koi « échec info non disponible »
détails du processus :
démarre pas comme service ni via autostart
et les ports tcp et udp sont ouverts et en écoute
le Scanner de ligne de commande Anti-Virus AVG 8.0 (spécial mode sans échec) ne donne rien…
g fait des restaurations qui ont été super longues et sans résultat…
je galère…que puis-je faire ??
Merci d’avance
J’ai un problème sur mon PC, depuis qqs jours il a le processus System (PID4) qui occupe constamment 60 640ko de ma mémoire et utilisation maximale de 121000ko ; qui n’est pas supprimable et n’appartient à aucune destination (un ver ?) , et cela fait ramer mon ordi.
J’ai effectué un scan avec Findykill, avec usbfix, avec HijackThis (le problème étant que je sais pas vraiment interpréter les résultats pour ce dernier donc j’ose pas trop…)
Comme anti spyware j’ai spyboot qui ne trouve rien, malwarebytes a trouvé : Fichier(s) infecté(s):
C:\WINDOWS\hosts (Trojan.Agent) -> Quarantined and deleted successfully.
Suivant les indications que j’ai vu sur de nombreux topics, j’ai fait :
:: Supprimer les fichiers temporaires ::
vider tout le contenu de ces dossiers.
* C:\Documents and Settings\ton compte\Local Settings\Temp
* C:\Documents and Settings\tous les autres comptes\Local Settings\Temp
* C:\Windows\Temp
:: Le contenu du dossier prefetch ::
* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini
et toute la démarche mode sans échec après, d’ailleurs en mode sans échec le processus system passe à 212ko et util. Max. 2012 ko mais est tjs pas supprimable. Il est « actif mais en veille » quoi.
ensuite je me suis rabattu sur a-squared antimalware…
le rapport de a-squared hijackfree est pour le moins surprenant sur ce processus :
propriétés du fichier :
pas de nom de fichier, pas de chemin d’accès, pas de sociétés, rien koi « échec info non disponible »
détails du processus :
démarre pas comme service ni via autostart
et les ports tcp et udp sont ouverts et en écoute
le Scanner de ligne de commande Anti-Virus AVG 8.0 (spécial mode sans échec) ne donne rien…
g fait des restaurations qui ont été super longues et sans résultat…
je galère…que puis-je faire ??
Merci d’avance
A voir également:
- Processus systeme introuvable, insupprimable
- Vérificateur des fichiers système - Guide
- Restauration systeme windows 10 - Guide
- Clé usb introuvable - Guide
- Logiciel pour supprimer fichier insupprimable - Guide
- Vous avez besoin d'une autorisation de la part de système pour modifier ce dossier - Guide
22 réponses
Bonjour,
Ouvre Hijackthis
Choisis Open the misc tools section.
Clique sur Open ADS Spy
Vérifie que Quick scan et calculate MD5 sont cochés.
Clique sur scan.
En fin de scan, clique sur save log.
Donne lui un nom, édite le avec le Bloc-notes et poste son contenu ici.
=========================
Télécharge ici :
http://images.malwareremoval.com/random/RSIT.exe
random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.
Double-clique sur RSIT.exe afin de lancer RSIT.
Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).
Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
Poste le contenu de log.txt (<<qui sera affiché)
.
NB : Les rapports sont sauvegardés dans le dossier C:\rsit
Ouvre Hijackthis
Choisis Open the misc tools section.
Clique sur Open ADS Spy
Vérifie que Quick scan et calculate MD5 sont cochés.
Clique sur scan.
En fin de scan, clique sur save log.
Donne lui un nom, édite le avec le Bloc-notes et poste son contenu ici.
=========================
Télécharge ici :
http://images.malwareremoval.com/random/RSIT.exe
random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.
Double-clique sur RSIT.exe afin de lancer RSIT.
Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).
Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
Poste le contenu de log.txt (<<qui sera affiché)
.
NB : Les rapports sont sauvegardés dans le dossier C:\rsit
salut, merci du coup de main...
je ne comprends pas je n'ai pas accès au rapport hijack de ta démarche, par contre g les RSI:
Logfile of random's system information tool 1.05 (written by random/random)
Run by Propriétaire at 2009-01-28 09:18:13
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 31 GB (20%) free of 153 GB
Total RAM: 2038 MB (70% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:18:29, on 28/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRAM FILES\A-SQUARED ANTI-MALWARE\a2service.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Propriétaire\Bureau\telechargements\RSIT.exe
C:\Documents and Settings\Propriétaire\Bureau\telechargements\Propriétaire.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [a-squared] "C:\PROGRAM FILES\A-SQUARED ANTI-MALWARE\a2guard.exe" /d=60
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\PROGRAM FILES\A-SQUARED ANTI-MALWARE\a2service.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
je ne comprends pas je n'ai pas accès au rapport hijack de ta démarche, par contre g les RSI:
Logfile of random's system information tool 1.05 (written by random/random)
Run by Propriétaire at 2009-01-28 09:18:13
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 31 GB (20%) free of 153 GB
Total RAM: 2038 MB (70% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:18:29, on 28/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRAM FILES\A-SQUARED ANTI-MALWARE\a2service.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Propriétaire\Bureau\telechargements\RSIT.exe
C:\Documents and Settings\Propriétaire\Bureau\telechargements\Propriétaire.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [a-squared] "C:\PROGRAM FILES\A-SQUARED ANTI-MALWARE\a2guard.exe" /d=60
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\PROGRAM FILES\A-SQUARED ANTI-MALWARE\a2service.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
en fait je crois tt simplement que le scan "misc tools" ne donne aucun résultat à afficher, sinon je c pas où est passé le rapport
Re,
ton problème me fait un peu travailler, d'où le délai (aucun rapport entre le temps qu'il me faut et l'ampleur du problème, je te rassure).
par contre, oui, tu n'as pas de rapport parce que tu n'as pas d'ADS infectieuse.
je reviens avec des instructions.
ton problème me fait un peu travailler, d'où le délai (aucun rapport entre le temps qu'il me faut et l'ampleur du problème, je te rassure).
par contre, oui, tu n'as pas de rapport parce que tu n'as pas d'ADS infectieuse.
je reviens avec des instructions.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Re,
fais ceci (si ce n'est pas clair, questionne, je découvre cet outil d'analyse) :
Ouvre ce lien et télécharge ProcessExplorer.zip de Sysinternals sur ton Bureau :
https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer?redirectedfrom=MSDN
Dézippe le et lance le.
Configure Configure Symbols comme il est dit ici :
https://forum.sysinternals.com/?TID=10741#47621
Dans View, Select columns, Process performance, coche la case :
Context Switch Delta
Dans tout ce qui dépend de System, quelle est la ligne qui occupe la plus grande taille dans cette colonne ?
fais ceci (si ce n'est pas clair, questionne, je découvre cet outil d'analyse) :
Ouvre ce lien et télécharge ProcessExplorer.zip de Sysinternals sur ton Bureau :
https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer?redirectedfrom=MSDN
Dézippe le et lance le.
Configure Configure Symbols comme il est dit ici :
https://forum.sysinternals.com/?TID=10741#47621
Dans View, Select columns, Process performance, coche la case :
Context Switch Delta
Dans tout ce qui dépend de System, quelle est la ligne qui occupe la plus grande taille dans cette colonne ?
dsl, g mis du temps à tt comprendre et configurer
d'après ce que je crois que tu me demandes, c svchost.exe: 968
d'après ce que je crois que tu me demandes, c svchost.exe: 968
et aussi vsmon.exe du logiciel zone alarm
ce qui est étrange c que donc dans le matériel de systeme PID4 ts les programmes me paraissent normaux, seulement avant je n'avais pas tte cette utilisation de la mémoire...
ce qui est étrange c que donc dans le matériel de systeme PID4 ts les programmes me paraissent normaux, seulement avant je n'avais pas tte cette utilisation de la mémoire...
d'ailleurs dans les sous parties de "System ldle process" il y a:
Interrupts
DPCs
System
les deux premiers n'ont pas de PID (n/a)
System est PID 4
tous les 3 ont n/a dans ttes leurs propriétés
Je commence à me demander si tt ça n'est pas normal en fait, sauf que je suis pas fou il y a encore une semaine j'avais pas de processus "system" qui me bouffait ma mémoire...
Interrupts
DPCs
System
les deux premiers n'ont pas de PID (n/a)
System est PID 4
tous les 3 ont n/a dans ttes leurs propriétés
Je commence à me demander si tt ça n'est pas normal en fait, sauf que je suis pas fou il y a encore une semaine j'avais pas de processus "system" qui me bouffait ma mémoire...
Re,
ouvre le gestionnaire des tâches.
Trie les processus par utilisation décroissante de la mémoire.
Le processus le plus consommateur dont le nom de l'utilisateur est SYSTEM (et le nom de l'image n'est pas SYSTEM) est le même scvhost ?
ouvre le gestionnaire des tâches.
Trie les processus par utilisation décroissante de la mémoire.
Le processus le plus consommateur dont le nom de l'utilisateur est SYSTEM (et le nom de l'image n'est pas SYSTEM) est le même scvhost ?
autant pour moi, g relu tes instructions, celui qui occupe le + dans la colonne CSdelta c'est csrss.exe
là par contre oui, le processus utilisateur SYSTEM le + gourmand est bien svchost.exe ( 25604ko) , et juste après vsmon.exe
csrss.exe arrive bcp plus loin ( 3800ko)
csrss.exe arrive bcp plus loin ( 3800ko)
Re,
on va regarder csrss.exe.
relance ProcessExplorer.
positionne toi sur crss.exe, clic droit et Launch depends.
y a t-il une date récente parmi les objets mentionnés dans la liste ?
Si oui, lequel ?
Si non, fais ceci :
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier : C:\Windows\System32\csrss.exe
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant ===============
Si tout est normal de ce côté, on ira voir le svchost.
on va regarder csrss.exe.
relance ProcessExplorer.
positionne toi sur crss.exe, clic droit et Launch depends.
y a t-il une date récente parmi les objets mentionnés dans la liste ?
Si oui, lequel ?
Si non, fais ceci :
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier : C:\Windows\System32\csrss.exe
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant ===============
Si tout est normal de ce côté, on ira voir le svchost.
Re,
je n'ai pas pu faire la manip avec process explorer "clic droit launch depends" je n'ai pas eu ce choix possible
J'ai fait virus total:
Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.73 2009.01.28 -
AhnLab-V3 5.0.0.2 2009.01.28 -
AntiVir 7.9.0.60 2009.01.28 -
Authentium 5.1.0.4 2009.01.27 -
Avast 4.8.1281.0 2009.01.27 -
AVG 8.0.0.229 2009.01.27 -
BitDefender 7.2 2009.01.28 -
CAT-QuickHeal 10.00 2009.01.28 -
ClamAV 0.94.1 2009.01.28 -
Comodo 948 2009.01.27 -
DrWeb 4.44.0.09170 2009.01.28 -
eSafe 7.0.17.0 2009.01.27 -
eTrust-Vet 31.6.6329 2009.01.27 -
F-Prot 4.4.4.56 2009.01.27 -
F-Secure 8.0.14470.0 2009.01.28 -
Fortinet 3.117.0.0 2009.01.28 -
GData 19 2009.01.28 -
Ikarus T3.1.1.45.0 2009.01.28 -
K7AntiVirus 7.10.607 2009.01.27 -
Kaspersky 7.0.0.125 2009.01.28 -
McAfee 5508 2009.01.27 -
McAfee+Artemis 5508 2009.01.27 -
Microsoft 1.4205 2009.01.28 -
NOD32 3806 2009.01.28 -
Norman 5.93.01 2009.01.27 -
nProtect 2009.1.8.0 2009.01.28 -
Panda 9.5.1.2 2009.01.27 -
PCTools 4.4.2.0 2009.01.27 -
Prevx1 V2 2009.01.28 -
Rising 21.13.42.00 2009.01.23 -
SecureWeb-Gateway 6.7.6 2009.01.28 -
Sophos 4.37.0 2009.01.28 -
Sunbelt 3.2.1835.2 2009.01.16 -
Symantec 10 2009.01.28 -
TheHacker 6.3.1.5.229 2009.01.26 -
TrendMicro 8.700.0.1004 2009.01.27 -
VBA32 3.12.8.11 2009.01.27 -
ViRobot 2009.1.28.1579 2009.01.28 -
VirusBuster 4.5.11.0 2009.01.27 -
Information additionnelle
File size: 6144 bytes
MD5...: e0e8a531cfce1c2e5d79f683282c10c3
SHA1..: 6db829fd9d83a97ee8cf993338b63b2967455ba0
SHA256: de1896fe6096f3fb046b943b1f58590aea850aea7843b55796446d1cbf40fbfd
SHA512: 61535c8bcd32a504de8592af2593a88da49813ccdce18e95100835e26599492d
50c79aa3e772ae311bca4ec34a1d04b3915e02d80d5b41f536c9a4b200f86980
ssdeep: 96:1JXAN1CnotgbZm4vU/93SqYs5lEW5RtnWwG:1JXANooygp/ZSq/5+W5RtnW
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x11a3
timedatestamp.....: 0x48025221 (Sun Apr 13 18:34:09 2008)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xaa0 0xc00 5.98 44c941c5e503fc57412d62dca644b186
.data 0x2000 0x6c 0x200 0.20 86a789a893c60d5e207d053188cdc250
.rsrc 0x3000 0x3f0 0x400 3.38 a1b1210d4202f9f8ec0ef222a75ef0d8
.reloc 0x4000 0x94 0x200 1.57 a631a49183888ee1140addc408980653
( 2 imports )
> ntdll.dll: NtTerminateProcess, NtRaiseHardError, NtTerminateThread, RtlUnwind, NtQueryVirtualMemory, RtlSetProcessIsCritical, NtSetInformationProcess, DbgBreakPoint, RtlAllocateHeap, RtlUnicodeStringToAnsiString, RtlNormalizeProcessParams
> CSRSRV.dll: CsrServerInitialization
( 0 exports )
je n'ai pas pu faire la manip avec process explorer "clic droit launch depends" je n'ai pas eu ce choix possible
J'ai fait virus total:
Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.73 2009.01.28 -
AhnLab-V3 5.0.0.2 2009.01.28 -
AntiVir 7.9.0.60 2009.01.28 -
Authentium 5.1.0.4 2009.01.27 -
Avast 4.8.1281.0 2009.01.27 -
AVG 8.0.0.229 2009.01.27 -
BitDefender 7.2 2009.01.28 -
CAT-QuickHeal 10.00 2009.01.28 -
ClamAV 0.94.1 2009.01.28 -
Comodo 948 2009.01.27 -
DrWeb 4.44.0.09170 2009.01.28 -
eSafe 7.0.17.0 2009.01.27 -
eTrust-Vet 31.6.6329 2009.01.27 -
F-Prot 4.4.4.56 2009.01.27 -
F-Secure 8.0.14470.0 2009.01.28 -
Fortinet 3.117.0.0 2009.01.28 -
GData 19 2009.01.28 -
Ikarus T3.1.1.45.0 2009.01.28 -
K7AntiVirus 7.10.607 2009.01.27 -
Kaspersky 7.0.0.125 2009.01.28 -
McAfee 5508 2009.01.27 -
McAfee+Artemis 5508 2009.01.27 -
Microsoft 1.4205 2009.01.28 -
NOD32 3806 2009.01.28 -
Norman 5.93.01 2009.01.27 -
nProtect 2009.1.8.0 2009.01.28 -
Panda 9.5.1.2 2009.01.27 -
PCTools 4.4.2.0 2009.01.27 -
Prevx1 V2 2009.01.28 -
Rising 21.13.42.00 2009.01.23 -
SecureWeb-Gateway 6.7.6 2009.01.28 -
Sophos 4.37.0 2009.01.28 -
Sunbelt 3.2.1835.2 2009.01.16 -
Symantec 10 2009.01.28 -
TheHacker 6.3.1.5.229 2009.01.26 -
TrendMicro 8.700.0.1004 2009.01.27 -
VBA32 3.12.8.11 2009.01.27 -
ViRobot 2009.1.28.1579 2009.01.28 -
VirusBuster 4.5.11.0 2009.01.27 -
Information additionnelle
File size: 6144 bytes
MD5...: e0e8a531cfce1c2e5d79f683282c10c3
SHA1..: 6db829fd9d83a97ee8cf993338b63b2967455ba0
SHA256: de1896fe6096f3fb046b943b1f58590aea850aea7843b55796446d1cbf40fbfd
SHA512: 61535c8bcd32a504de8592af2593a88da49813ccdce18e95100835e26599492d
50c79aa3e772ae311bca4ec34a1d04b3915e02d80d5b41f536c9a4b200f86980
ssdeep: 96:1JXAN1CnotgbZm4vU/93SqYs5lEW5RtnWwG:1JXANooygp/ZSq/5+W5RtnW
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x11a3
timedatestamp.....: 0x48025221 (Sun Apr 13 18:34:09 2008)
machinetype.......: 0x14c (I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xaa0 0xc00 5.98 44c941c5e503fc57412d62dca644b186
.data 0x2000 0x6c 0x200 0.20 86a789a893c60d5e207d053188cdc250
.rsrc 0x3000 0x3f0 0x400 3.38 a1b1210d4202f9f8ec0ef222a75ef0d8
.reloc 0x4000 0x94 0x200 1.57 a631a49183888ee1140addc408980653
( 2 imports )
> ntdll.dll: NtTerminateProcess, NtRaiseHardError, NtTerminateThread, RtlUnwind, NtQueryVirtualMemory, RtlSetProcessIsCritical, NtSetInformationProcess, DbgBreakPoint, RtlAllocateHeap, RtlUnicodeStringToAnsiString, RtlNormalizeProcessParams
> CSRSRV.dll: CsrServerInitialization
( 0 exports )
Re,
tu ne l'as pas non plus si tu cliques sur Process ?
tu as bien configuré Symbols comme indiqué ?
tu ne l'as pas non plus si tu cliques sur Process ?
tu as bien configuré Symbols comme indiqué ?
g du faire une erreur dans la configuration de "symbols"
j'ai pas très bien compris comment je pouvais créer un symbole
j'ai pas très bien compris comment je pouvais créer un symbole
Re,
moi aussi, j'ai fait un copier coller de
g fait copier coller srv*C:\Symbols*http://msdl.microsoft.com/download/symbols
toujours pas de "Launch depends", ni par clic droit, ni par Process ?
moi aussi, j'ai fait un copier coller de
g fait copier coller srv*C:\Symbols*http://msdl.microsoft.com/download/symbols
toujours pas de "Launch depends", ni par clic droit, ni par Process ?
