Help, log suite cpu à 100% svchost, wuauclt Fermé

Question

Bonjour,  

j'ai un prob avec mon pc au demarrage il sature, les deux process citees prennent toute la capacite et mon image de bureau disparait à chaque fois 

Logfile of Trend Micro HijackThis v2.0.4 
Scan saved at 09:43:21, on 22/08/2010 
Platform: Windows XP SP3 (WinNT 5.01.2600) 
MSIE: Internet Explorer v7.00 (7.00.6000.17080) 
Boot mode: Normal 

Running processes: 
C:\WINDOWS\System32\smss.exe 
C:\WINDOWS\system32\winlogon.exe 
C:\WINDOWS\system32\services.exe 
C:\WINDOWS\system32\lsass.exe 
C:\WINDOWS\system32\Ati2evxx.exe 
C:\WINDOWS\system32\svchost.exe 
C:\WINDOWS\System32\svchost.exe 
C:\WINDOWS\system32\Ati2evxx.exe 
C:\WINDOWS\system32\brsvc01a.exe 
C:\WINDOWS\system32\spoolsv.exe 
C:\WINDOWS\system32\brss01a.exe 
C:\Program Files\Avira\AntiVir Desktop\sched.exe 
C:\Program Files\Avira\AntiVir Desktop\avguard.exe 
C:\Program Files\Java\jre6\bin\jqs.exe 
C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe 
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe 
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE 
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe 
C:\WINDOWS\system32\svchost.exe 
C:\Program Files\UPHClean\uphclean.exe 
C:\WINDOWS\Explorer.EXE 
C:\WINDOWS\Dit.exe 
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe 
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe 
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe 
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe 
C:\Program Files\TuneUp Utilities 2006\MemOptimizer.exe 
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe 
C:\WINDOWS\system32\ctfmon.exe 
C:\Program Files\Neuf\Kit\9props.exe 
C:\Program Files\K9-F\K9-F.exe 
C:\WINDOWS\system32\wbem\wmiapsrv.exe 
C:\Documents and Settings\Tonton.ZA-6A358D3501D3\Local Settings\Application Data\Google\Chrome\Application\chrome.exe 
C:\Documents and Settings\Tonton.ZA-6A358D3501D3\Local Settings\Application Data\Google\Chrome\Application\chrome.exe 
C:\Documents and Settings\Tonton.ZA-6A358D3501D3\Local Settings\Application Data\Google\Chrome\Application\chrome.exe 
C:\WINDOWSegedit.exe 
C:\Documents and Settings\Tonton.ZA-6A358D3501D3\Mes documents\Downloads\HiJackThis.exe 
C:\Documents and Settings\Tonton.ZA-6A358D3501D3\Local Settings\Application Data\Google\Chrome\Application\chrome.exe 
C:\WINDOWS\system32\mmc.exe 
C:\Documents and Settings\Tonton.ZA-6A358D3501D3\Local Settings\Application Data\Google\Chrome\Application\chrome.exe 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.sfr.fr/ 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens 
R3 - Default URLSearchHook is missing 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll 
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll 
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll 
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) 
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll 
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll 
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll 
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll 
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd 
O4 - HKLM\..\Run: [Dit] Dit.exe 
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" 
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun 
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe" 
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min 
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray 
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Program Files\TuneUp Utilities 2006\MemOptimizer.exe" autostart 
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe 
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe 
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Tonton.ZA-6A358D3501D3\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c 
O4 - HKCU\..\Run: [Connexion SFR 9props.exe] "C:\Program Files\Neuf\Kit\9props.exe" /trayicon 
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') 
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') 
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') 
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') 
O4 - Startup: Lancement de K9-F.lnk = C:\Program Files\K9-F\K9-F.exe 
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Documents and Settings\All Users.WINDOWS\Application Data\Winamp Toolbar\ieToolbaresources\en-US\local\search.html 
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200 
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm 
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll 
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll 
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL 
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll 
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll 
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe 
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe 
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe 
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe 
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll 
O16 - DPF: {CAFEEFAC-0016-0000-0010-ABCDEFFEDCBA} (Java Plug-in 1.6.0_10) -  
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab 
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll 
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll 
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe 
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe 
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe 
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe 
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe 
O23 - Service: Client de licence CA (CA_LIC_CLNT) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe 
O23 - Service: Serveur de licence CA (CA_LIC_SRVR) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe 
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe 
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe 
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe 
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe 
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe 
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe 
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe 
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe 
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe 
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe 
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe 
O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe 
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe 
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe 
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe 
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

hubertaaz · Answer

Bonjour,

Ton rapport HijackThis ne montre rien de particulier excepté ancienne version de Java et Norton pas désinstallé complètement.

A l'heure actuelle HijackThis est largement dépassé, je te recommande ce qui suit : 

*	Télécharge ZHPDiag (de Nicolas Coolman) 
* Laisse toi guider lors de l'installation 
* Il se lancera automatiquement à la fin de l'installation 
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse.

dkp · Answer

Merci pour le conseil j'ai fait ce que tu m'as dit

ci joint le lien vers le fichier :
http://www.cijoint.fr/cjlink.php?file=cj201008/cijKsh4GUS.txt

hubertaaz · Answer

Je vois bien une infection dans le registre et j'ai un doute sur une infection rootkit possible dans MBR.

La 1ère infection devrait être traitée par Malwarebytes (MBAM) qui est sur ton pc.  

Lance MBAM, mets le à jour et ensuite lance un examen rapide

S'il cible l'infection : supprime ce qu'il trouvera et poste-moi le rapport.  

Pour la recherche du rootkit, je te donne les instruction par la suite.   
Celui qui pose une question est bête cinq minutes, celui qui n'ose pas l'est toute sa vie.   
(Proverbe chinois)

dkp · Answer

j'ai lancé malwarebytes, qui n'a detecté aucune anomalie

hubertaaz · Answer

OK,

On le traquera autrement. En attendant on va vérifier pour le MBR.

Télécharge mbr.exe de Gmer :
http://www2.gmer.net/mbr/mbr.exe
Sur le bureau.
Merci à Malekal pour le tutoriel

Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident) notamment le tea-timer de Spybot.

Double clique sur mbr.exe Un rapport sera généré : mbr.log
En cas d'infection, ce message  MBR rootkit code detected va apparaitre.
Dans le menu Démarrer- Exécuter tape : "%userprofile%\Bureau\mbr" -f
Dans le mbr.log cette ligne apparaitra original MBR restored successfully !
Poste ce rapport et supprimes-le ensuite.

Pour vérifier 

Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident) 

Relance mbr.exe 

Réactive tes protections.

Relance mbr.exe et le nouveau mbr.log devrait être celui-ci :

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
*	device: opened successfully
*	user: MBR read successfully
*	kernel: MBR read successfully
*	user & kernel MBR OK

dkp · Answer

j'ai lancer MBR,

le rapport est le suivant:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

hubertaaz · Answer

Donc c'est Ok.

* Lance ZHPFix depuis le raccourci qui est sur ton bureau . 

*  Une fois l'outil ouvert, clique sur le bouton [ H ] ( "coller les ligne Helper" ) . 

* Copie/colle les lignes suivantes en gras et place les dans ZHPFix : 

[HKCU\Software\WebMediaPlayer]


* Clique sur le bouton [ OK ] . 

> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien ! 

*  Clique sur le bouton [ Tous ] . Vérifie que toutes les lignes soient bien cochées . 

*  Enfin clique sur le bouton [ Nettoyer ] . 

*  Laisse travailler l'outil et ne touche à rien ! 

*  Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le ! 

*  Une fois terminé, un rapport s'affiche : copie-colle tout son contenu dans ta prochaine réponse. 

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPFix\ZHPFixReport.txt )

dkp · Answer

voila le contenu
Rapport de ZHPFix v1.12.3136 par Nicolas Coolman, Update du 20/08/2010
Fichier d'export Registre : C:\ZHPExportRegistry-22-08-2010-18-48-02.txt
Run by Tonton at 22/08/2010 18:48:02
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKCU\Software\WebMediaPlayer  => Clé supprimée avec succès


========== Récapitulatif ==========
1 : Clé(s) du Registre


End of the scan

dkp · Answer

Mon PC semble calmé, j'ai en effet redémarré sans que les process sature la ram et mon image de fond d'ecran n'a cette fois pas disparue.

Encore un tres grand merci à Hubertaaz pour son aide pointue et efficace

hubertaaz · Answer

OK,

Relance cette fois ZHPDiag en cliquant sur l'icône présente sur le bureau et poste-moi le rapport ZHPDiag.txt sur Ci-Joint comme tout à l'heure.

dkp · Answer

finalement  en relancçant mon PC ce soir je vois que wuauclt et svchost sont de nouveau à fond, moi qui croyait avoir solutionné mon probleme  pfffffff

j'ai refait un zhpdiag du coup

http://www.cijoint.fr/cjlink.php?file=cj201008/cij1SmM8bG.txt

coriace la bete

hubertaaz · Answer

Bonjour,

A priori, pas d'infection dans ce rapport.

Avant de passer au problème wuauclt et svchost :

* Je te recommande une mise à jour de Firefox, version installée : 3.0.10 la version actuelle : 3.6.8 mieux sécurisée.

* Idem pour Java, la version installée sur ton pc contient des failles de sécurité. La dernière version à télécharger ici : https://www.java.com/fr/download/

* Actuellement Spybot est largement dépassé et le tea timer ralenti les pc. personnellement, je le désinstallerais.

* Tu peux le remplacer avantageusement par SpywareBlaster en anglais mais très facile d'utilisation. 
 Tutoriel

* A présent occupons nous de wuauclt et svchost

Un test à faire et qui a fonctionné dans quelques cas que j'ai traités :

* Désactive les mises à jour automatiques de Windows :

Pour rappel :Panneau de Configuration (affichage classique) => Mises à jour automatiques => Désactiver les mises à jour automatiques => Appliquer => Ok.

* Pour supprimer l'alerte Windows : https://www.avanquest.com/France/microapp/

Si comme je l'espère ça fonctionne, il faudra penser à te connecter de temps à autre à Microsoft Update afin de procéder aux mises à jour prioritaires de Windows.

Tiens-moi au courant

@+

moment de grace · Answer

bonjour à vous

O53 - SMSR:HKLM\...\startupreg\vkwooplc  [Key] . (.Pas de propriétaire - Pas de description.) -- c:\windows\system32\vkwooplc.exe  
  ne me semble pas sympathique

bonne continuation

hubertaaz · Answer

Merci à moment de grace pour son intervention.

Avant de suivre les instructions de mon poste précédent, fais ce qui suit : 

* Télécharge AD-Remover sur ton Bureau. (Merci à C_XX)  

http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe  

Miroir:  

https://www.androidworld.fr/  

/!\ Ferme toutes applications en cours /!\  

/!\ Désactive provisoirement et seulement le temps de l'utilisation de AD-Remover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.  (notamment le tea-timer de Spybot)

- Double-clique sur l'icône Ad-Remover située sur ton Bureau.  
- Sur la page, clique sur le bouton « Nettoyer »  
- Confirme lancement du scan  
- Laisse travailler l'outil.  
- Poste le rapport qui apparaît à la fin.  

(Le rapport est sauvegardé aussi sous C:\Ad-report-Clean.log )

dkp · Answer

merci pour les infos

j'ai fait le nettoyage ci joint fichier log :

http://www.cijoint.fr/cjlink.php?file=cj201008/cijLVStQac.txt

je ne sais pas si cela a marché , en effet mon pc semble sabl, mais dimanche dernier il semblait stable jusque mercredi.

hubertaaz · Answer

Bonjour, 

* Lance ZHPFix depuis le raccourci qui est sur ton bureau .  

*  Une fois l'outil ouvert, clique sur le bouton [ H ] ( "coller les ligne Helper" ) .  

* Copie/colle les lignes suivantes en gras et place les dans ZHPFix :  

O53 - SMSR:HKLM\...\startupreg\vkwooplc  [Key] . (.Pas de propriétaire - Pas de description.) -- c:\windows\system32\vkwooplc.exe  

* Clique sur le bouton [ OK ] .  

> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !  

*  Clique sur le bouton [ Tous ] . Vérifie que toutes les lignes soient bien cochées .  

*  Enfin clique sur le bouton [ Nettoyer ] .  

*  Laisse travailler l'outil et ne touche à rien !  

*  Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !  

*  Une fois terminé, un rapport s'affiche : copie-colle tout son contenu dans ta prochaine réponse. 

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPFix\ZHPFixReport.txt ) 


Ensuite lance ZHPDiag en cliquant sur l'icône présente sur le bureau et poste-moi le rapport ZHPDiag.txt sur Ci-Joint  

Celui qui pose une question est bête cinq minutes, celui qui n'ose pas l'est toute sa vie.  
(Proverbe chinois)

dkp · Answer

j'ai fais tout ce que tu m'as dit, 
j'ai aussi désactivé les mises à jour Windows, 

Mon PC s'est remis à S'emballer sur les deux même process 
aujourd'hui peut de temps après le démarrage 

ci joint un nouveau zhpdiag que je viens de refaire 

http://www.cijoint.fr/cjlink.php?file=cj201008/cijUfv9fbV.txt
j'espere qu'on va y arriver

hubertaaz · Answer

Bonsoir,

Merci à moment de grace qui a accepter de me guider pour la suite des opérations car nous allons devoir utiliser l'artillerie lourde.

 * /!\Avertissement : 
Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. 
Ne pas utiliser en dehors de ce cas de figure : dangereux! 


/!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard : 
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac 

? Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau : 
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm 
ou ici : 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
A lire 
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Avant d'utiliser ComboFix : 
? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours. 
? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 
Une fois fait, sur ton bureau double-clic sur Combofix.exe. 
/!\Utilisateur de Vista : Clique droit sur le logo de Combofix, « exécuter en tant qu'Administrateur » 

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 

/!\INSTALLES LA CONSOLE DE RECUPERATION 

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. 

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 
? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 
? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

dkp · Answer

j'ai lancé combofix, à un moment il m'a dit qu'il y avait un rootkit

j'ai laisse faire ca a pris au total au moins 1/2h

ci joint le rapport
http://www.cijoint.fr/cjlink.php?file=cj201009/cij0fq00ss.txt

mais....

des que j'ai remis le reseau apres avoir reactivé les antivir

les deux process se sont remis à tourner à fond

plus de 150Mo de Ram chacun

moment de grace · Answer

bonjour

refais combofix et installe la console de récupération en mettant internet et en acceptant l'installation

..............

de plus

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\ 
* Télécharge mbr.exe de Gmer ici : http://www2.gmer.net/mbr/mbr.exe et enregistre le fichier sur le Bureau. 
* Merci à Malekal pour le tutoriel 
* Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident) 
* Double clique sur mbr.exe 
* Un rapport sera généré : mbr.log 
* En cas d'infection, ce message "MBR rootkit code detected" va apparaitre. 
* Pour supprimer le rootkit aller dans le menu Démarrer=> Exécuter et tapez la commande en gras: 

=>  Sous XP : "%userprofile%\Bureau\mbr" -f 

=> Sous Vista/Seven : "%userprofile%\Desktop\mbr" -f


* (veuillez à bien respecter les guillemets) 
* Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !" 
* Réactive tes protections .Poste ce rapport et supprime le ensuite. 

o Pour vérifier désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident) 
o Relance mbr.exe 
o Réactive tes protections. 
o Le nouveau mbr.log devrait être celui-ci : 
o Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net 
o device: opened successfully 
user: MBR read successfully 
kernel: MBR read successfully 
user & kernel MBR OK

Help, log suite cpu à 100% svchost, wuauclt

20 réponses

Discussions similaires