processus systeme introuvable, insupprimable

Question

Bonjour,
J’ai un problème sur mon PC, depuis qqs jours il a le processus System (PID4) qui occupe constamment 60 640ko de ma mémoire et utilisation maximale de 121000ko ; qui n’est pas supprimable et n’appartient à aucune destination (un ver ?) , et cela fait ramer mon ordi.

J’ai effectué un scan avec Findykill, avec usbfix, avec HijackThis (le problème étant que je sais pas vraiment interpréter les résultats pour ce dernier donc j’ose pas trop…)
Comme anti spyware j’ai spyboot qui ne trouve rien, malwarebytes a trouvé : Fichier(s) infecté(s):
C:\WINDOWS\hosts (Trojan.Agent) -> Quarantined and deleted successfully.


Suivant les indications que j’ai vu sur de nombreux topics, j’ai fait :

:: Supprimer les fichiers temporaires :: 
vider tout le contenu de ces dossiers. 

* C:\Documents and Settings	on compte\Local Settings\Temp 
* C:\Documents and Settings	ous les autres comptes\Local Settings\Temp 
* C:\Windows\Temp 

:: Le contenu du dossier prefetch :: 

* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini 

et toute la démarche mode sans échec après, d’ailleurs en mode sans échec le processus system passe à 212ko et util. Max. 2012 ko mais est tjs pas supprimable. Il est « actif mais en veille » quoi.

ensuite je me suis rabattu sur a-squared antimalware…
le rapport de a-squared hijackfree est pour le moins surprenant sur ce processus : 

propriétés du fichier :
pas de nom de fichier, pas de chemin d’accès, pas de sociétés, rien koi « échec info non disponible »

détails du processus :
démarre pas comme service ni via autostart
et les ports tcp et udp sont ouverts et en écoute


le Scanner de ligne de commande Anti-Virus AVG 8.0 (spécial mode sans échec) ne donne rien…

g fait des restaurations qui ont été super longues et sans résultat…

je galère…que puis-je faire ??

Merci d’avance

Lyonnais92 · Answer

Bonjour,

Ouvre Hijackthis 

Choisis Open the misc tools section.

Clique sur Open ADS Spy

Vérifie que Quick scan et calculate MD5 sont cochés.

Clique sur scan.

En fin de scan, clique sur save log.

Donne lui un nom, édite le avec le Bloc-notes et poste son contenu ici.

=========================
Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)
 .

NB : Les rapports sont sauvegardés dans le dossier C:\rsit

gunner84 · Answer

salut, merci du coup de main...
je ne comprends pas je n'ai pas accès au rapport hijack de ta démarche, par contre g les RSI:

Logfile of random's system information tool 1.05 (written by random/random)
Run by Propriétaire at 2009-01-28 09:18:13
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 31 GB (20%) free of 153 GB
Total RAM: 2038 MB (70% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:18:29, on 28/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRAM FILES\A-SQUARED ANTI-MALWARE\a2service.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Propriétaire\Bureau	elechargements\RSIT.exe
C:\Documents and Settings\Propriétaire\Bureau	elechargements\Propriétaire.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1036
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [a-squared] "C:\PROGRAM FILES\A-SQUARED ANTI-MALWARE\a2guard.exe" /d=60
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\PROGRAM FILES\A-SQUARED ANTI-MALWARE\a2service.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

gunner84 · Answer

en fait je crois tt simplement que le scan "misc tools" ne donne aucun résultat à afficher, sinon je c pas où est passé le rapport

Lyonnais92 · Answer

Re,

ton problème me fait un peu travailler, d'où le délai (aucun rapport entre le temps qu'il me faut et l'ampleur du problème, je te rassure).

par contre, oui, tu n'as pas de rapport parce que tu n'as pas d'ADS infectieuse.

je reviens avec des instructions.

Lyonnais92 · Answer

Re,

fais ceci (si ce n'est pas clair, questionne, je découvre cet outil d'analyse) :

Ouvre ce lien et télécharge ProcessExplorer.zip de Sysinternals sur ton Bureau :

https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer?redirectedfrom=MSDN

Dézippe le et lance le.

Configure Configure Symbols comme il est dit ici :

https://forum.sysinternals.com/?TID=10741#47621

Dans View, Select columns, Process performance, coche la case :

Context Switch Delta

Dans tout ce qui dépend de System, quelle est la ligne qui occupe la plus grande taille dans cette colonne ?

gunner84 · Answer

dsl, g mis du temps à tt comprendre et configurer

d'après ce que je crois que tu me demandes, c svchost.exe: 968

gunner84 · Answer

et aussi vsmon.exe       du logiciel zone alarm

ce qui est étrange c que donc dans le matériel de systeme PID4 ts les programmes me paraissent normaux, seulement avant je n'avais pas tte cette utilisation de la mémoire...

gunner84 · Answer

d'ailleurs dans les sous parties de "System ldle process" il y a:
Interrupts
DPCs
System

les deux premiers n'ont pas de PID (n/a)
System est PID 4

tous les 3 ont n/a dans ttes leurs propriétés

Je commence à me demander si tt ça n'est pas normal en fait, sauf que je suis pas fou il y a encore une semaine j'avais pas de processus "system" qui me bouffait ma mémoire...

Lyonnais92 · Answer

Re,

ouvre le gestionnaire des tâches.

Trie les processus par utilisation décroissante de la mémoire.

Le processus le plus consommateur dont le nom de l'utilisateur est SYSTEM (et le nom de l'image n'est pas SYSTEM) est le même scvhost ?

gunner84 · Answer

autant pour moi, g relu tes instructions, celui qui occupe le + dans la colonne CSdelta c'est csrss.exe

gunner84 · Answer

là par contre oui, le processus utilisateur SYSTEM le + gourmand est bien svchost.exe ( 25604ko) , et juste après vsmon.exe

csrss.exe arrive bcp plus loin ( 3800ko)

Lyonnais92 · Answer

Re,

on va regarder csrss.exe.

relance ProcessExplorer.

positionne toi sur crss.exe, clic droit et Launch depends.

y a t-il une date récente parmi les objets mentionnés dans la liste ?

Si oui, lequel ?

Si non, fais ceci :

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\Windows\System32\csrss.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant ===============

Si tout est normal de ce côté, on ira voir le svchost.

gunner84 · Answer

Re,

je n'ai pas pu faire la manip avec process explorer "clic droit launch depends" je n'ai pas eu ce choix possible

J'ai fait virus total:

Antivirus  	Version  	Dernière mise à jour  	Résultat
a-squared	4.0.0.73	2009.01.28	-
AhnLab-V3	5.0.0.2	2009.01.28	-
AntiVir	7.9.0.60	2009.01.28	-
Authentium	5.1.0.4	2009.01.27	-
Avast	4.8.1281.0	2009.01.27	-
AVG	8.0.0.229	2009.01.27	-
BitDefender	7.2	2009.01.28	-
CAT-QuickHeal	10.00	2009.01.28	-
ClamAV	0.94.1	2009.01.28	-
Comodo	948	2009.01.27	-
DrWeb	4.44.0.09170	2009.01.28	-
eSafe	7.0.17.0	2009.01.27	-
eTrust-Vet	31.6.6329	2009.01.27	-
F-Prot	4.4.4.56	2009.01.27	-
F-Secure	8.0.14470.0	2009.01.28	-
Fortinet	3.117.0.0	2009.01.28	-
GData	19	2009.01.28	-
Ikarus	T3.1.1.45.0	2009.01.28	-
K7AntiVirus	7.10.607	2009.01.27	-
Kaspersky	7.0.0.125	2009.01.28	-
McAfee	5508	2009.01.27	-
McAfee+Artemis	5508	2009.01.27	-
Microsoft	1.4205	2009.01.28	-
NOD32	3806	2009.01.28	-
Norman	5.93.01	2009.01.27	-
nProtect	2009.1.8.0	2009.01.28	-
Panda	9.5.1.2	2009.01.27	-
PCTools	4.4.2.0	2009.01.27	-
Prevx1	V2	2009.01.28	-
Rising	21.13.42.00	2009.01.23	-
SecureWeb-Gateway	6.7.6	2009.01.28	-
Sophos	4.37.0	2009.01.28	-
Sunbelt	3.2.1835.2	2009.01.16	-
Symantec	10	2009.01.28	-
TheHacker	6.3.1.5.229	2009.01.26	-
TrendMicro	8.700.0.1004	2009.01.27	-
VBA32	3.12.8.11	2009.01.27	-
ViRobot	2009.1.28.1579	2009.01.28	-
VirusBuster	4.5.11.0	2009.01.27	-
Information additionnelle
File size: 6144 bytes
MD5...: e0e8a531cfce1c2e5d79f683282c10c3
SHA1..: 6db829fd9d83a97ee8cf993338b63b2967455ba0
SHA256: de1896fe6096f3fb046b943b1f58590aea850aea7843b55796446d1cbf40fbfd
SHA512: 61535c8bcd32a504de8592af2593a88da49813ccdce18e95100835e26599492d
50c79aa3e772ae311bca4ec34a1d04b3915e02d80d5b41f536c9a4b200f86980
ssdeep: 96:1JXAN1CnotgbZm4vU/93SqYs5lEW5RtnWwG:1JXANooygp/ZSq/5+W5RtnW
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x11a3
timedatestamp.....: 0x48025221 (Sun Apr 13 18:34:09 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xaa0 0xc00 5.98 44c941c5e503fc57412d62dca644b186
.data 0x2000 0x6c 0x200 0.20 86a789a893c60d5e207d053188cdc250
.rsrc 0x3000 0x3f0 0x400 3.38 a1b1210d4202f9f8ec0ef222a75ef0d8
.reloc 0x4000 0x94 0x200 1.57 a631a49183888ee1140addc408980653

( 2 imports )
> ntdll.dll: NtTerminateProcess, NtRaiseHardError, NtTerminateThread, RtlUnwind, NtQueryVirtualMemory, RtlSetProcessIsCritical, NtSetInformationProcess, DbgBreakPoint, RtlAllocateHeap, RtlUnicodeStringToAnsiString, RtlNormalizeProcessParams
> CSRSRV.dll: CsrServerInitialization

( 0 exports )

Lyonnais92 · Answer

Re,

si tu fais un clic droit sur une ligne, tu as quoi comme possibilités ?

gunner84 · Answer

set priority
kill
kill process tree
suspend
restart
debug
properties
search online

Lyonnais92 · Answer

Re,

tu ne l'as pas non plus si tu cliques sur Process ?

tu as bien configuré Symbols comme indiqué ?

gunner84 · Answer

g du faire une erreur dans la configuration de "symbols"
j'ai pas très bien compris comment je pouvais créer un symbole

gunner84 · Answer

g fait copier coller srv*C:\Symbols*http://msdl.microsoft.com/download/symbols

Lyonnais92 · Answer

Re,

moi aussi, j'ai fait un copier coller de 

g fait copier coller srv*C:\Symbols*http://msdl.microsoft.com/download/symbols

toujours pas de "Launch depends", ni par clic droit, ni par Process ?

gunner84 · Answer

Re, j'ai configuré process explorer comme requis...tjs pas de launch depends

gunner84 · Answer

bon, ben moi je dois bouger, je repasserai plus tard, si entre temps il y a des solucs...tant mieux.
merci de m'aider en tout cas Lyonnais 92

Lyonnais92 · Answer

Re,

tu as fait une mise à jour importante récemment ?

installé un logiciel ?

in nouveau matériel ?

Processus systeme introuvable, insupprimable - Page 2

Discussions similaires

Newsletters