Processus 100% --> csrss.exe infecté ?

Altazari Messages postés 33 Statut Membre -  
Altazari Messages postés 33 Statut Membre -
Bonjour,

Depuis 2 jours je vois dans le gestionnaire des tâches de windows que mon processeur monte sans cesse à 100%, puis redescend à 10, puis remonte et ainsi de suite même si je ne fais rien sur l'ordi (et si je fais quelque chose il rame un peu).

Pour info avant il tournait constamment entre 20 et 50% il me semble.

Est-ce que j'ai choppé un virus ?

Mon ordi est protégé par Spyware Terminator et Avast, et j'ai fait une recherche avec Multi Virus Cleaner mais aucun programme n'a relevé quelque chose.

En cherchant sur Internet j'ai vu que la source du problème vient peut-être de csrss.exe, qui apparaît 2 fois dans la liste des processus actif avec l'intitulé "Processus d'exécuttion client-serveur" (remarquez le double "t" d'exécution).

Je n'arrive pas à trouver une solution par contre, donc si quelqu'un sait m'aider ?

Merci

Clio

39 réponses

  • 1
  • 2
Résumé de la discussion

Montée sporadique du processeur à 100% sous Windows est décrite, avec une remontée même au repos et ralentissements généraux, suscitant l'inquiétude d'une infection alors que les outils antivirus ne détectent rien. Plusieurs éléments suggèrent de vérifier csrss.exe et la gestion des processus; les conseils proposent des outils comme ZHPDiag et ComboFix, ainsi que des liens vers des rapports et des exemples d'exécution. En cas d'échec, les échanges proposent aussi des méthodes manuelles et des explications sur les causes possibles, sans conclure à une résolution immédiate ni à une normalisation du comportement.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. archet9
     
    "Quand "Gen-H" en reste"Coi"c'est que la sardine commence à boucher le port,et que le ferry boaaaate ne sera certainement pas à l'heure ! "

    Lol n'importe quoi ^^


    ==> C'est juste un joke que j'ai envoyé à Gen-H.....Il est bien plus balaise que moi en désinfection....mais on se connait bien d'ou la note d'humour !

    ===> Panneau de config --> Ordinateur....Clic sur "H" et dis mo ce que ça affiche !

    1
    1. Altazari Messages postés 33 Statut Membre
       
      ^^

      J'ai pas de H... Dans explorer -> Ordinateur c'est ça ? J'ai C, D, E, I et F. J'ai bien ma souris qui utilise un usb qui n'est pas affiché c'est p-e ça ?
      0
  2. archet9
     
    Bonsoir,

    Pour un diagnostic du pc:

    Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

    /!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

    N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
    - Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
    (/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
    - Clique sur la loupe pour lancer l'analyse.
    - Laisse l'outil travailler, il peut être assez long.
    - Ferme ZHPDiag en fin d'analyse.
    - Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
    - Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
    - Sélectionne le fichier ZHPDiag.txt.
    - Clique sur "Cliquez ici pour déposer le fichier".
    - Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
    - Copie ce lien dans ta réponse.
    0
  3. Altazari Messages postés 33 Statut Membre
     
    Merci beaucoup pour la rapidité de ta réponse.

    Voici le lien : http://www.cijoint.fr/cjlink.php?file=cj201011/cijcLUjqBD.txt

    Depuis 1h j'ai aussi "svchost.exe" qui s'affiche 13 fois dans la liste des processus.
    0
  4. archet9
     
    Ton pc est effectivement bien infecté !

    Télécharges ComboFix à partir de ce lien :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    Enregistre le sur le bureau (Important)

    Avant d'utiliser ComboFix :

    Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

    Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
    la protection en temps réel de ton Antivirus et de tes Antispywares,
    qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    Une fois fait, sur ton bureau double-clic sur Combofix.exe.

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

    - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
    est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
    avant de te reconnecter à internet.

    Copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Altazari Messages postés 33 Statut Membre
     
    ComboFix.txt :

    ComboFix 10-11-15.06 - Clio 16/11/2010  21:33:32.1.2 - x86
    Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6002.2.1252.32.1036.18.3069.1658 [GMT 1:00]
    Lancé depuis: c:\users\Clio\Desktop\ComboFix.exe
    SP: Spyware Terminator *disabled* (Updated) {55EE49A8-16BE-4601-BBE6-607B7F7317DE}
    SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
    .
    
    ((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    
    c:\windows\system32\window.dll
    
    .
    (((((((((((((((((((((((((((((   Fichiers créés du 2010-10-16 au 2010-11-16  ))))))))))))))))))))))))))))))))))))
    .
    
    2010-11-16 20:51 . 2010-11-16 20:52	--------	d-----w-	c:\users\Clio\AppData\Local\temp
    2010-11-16 20:51 . 2010-11-16 20:51	--------	d-----w-	c:\users\Default\AppData\Local\temp
    2010-11-16 20:23 . 2010-11-16 20:23	318976	----a-w-	c:\windows\system32\CF6179.exe
    2010-11-16 20:23 . 2010-11-16 20:22	318976	----a-w-	c:\windows\system32\CF6002.exe
    2010-11-16 20:16 . 2010-11-16 20:16	--------	d-----w-	c:\users\Clio\AppData\Roaming\TrojanHunter
    2010-11-16 19:29 . 2010-11-16 19:29	--------	d-----w-	c:\programdata\TrojanHunter
    2010-11-16 19:28 . 2010-11-16 19:38	--------	d-----w-	c:\program files\TrojanHunter 5.3
    2010-11-16 18:21 . 2010-11-16 18:33	--------	d-----w-	c:\program files\ZHPDiag
    2010-11-16 17:00 . 2010-10-07 23:21	6146896	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{43F4A870-48A7-4C9E-86B9-91FDD1E86445}\mpengine.dll
    2010-11-15 22:18 . 2010-11-15 22:18	--------	d-----w-	c:\program files\Microsoft Silverlight
    2010-11-15 13:26 . 2009-08-04 08:02	754688	----a-w-	c:\windows\system32\webservices.dll
    2010-11-10 17:19 . 2010-10-07 11:37	2409784	----a-w-	c:\program files\Windows Mail\OESpamFilter.dat
    2010-10-31 17:30 . 2010-11-13 21:43	--------	d-----w-	c:\users\Clio\AppData\Roaming\Mipony
    2010-10-31 17:30 . 2010-10-31 17:30	--------	d-----w-	c:\program files\MiPony
    2010-10-27 10:12 . 2010-10-27 10:12	--------	d-----w-	c:\users\Clio\AppData\Roaming\Canneverbe Limited
    2010-10-27 10:12 . 2010-10-27 10:12	--------	d-----w-	c:\programdata\Canneverbe Limited
    2010-10-27 09:38 . 2010-08-26 16:34	1696256	----a-w-	c:\windows\system32\gameux.dll
    2010-10-27 09:38 . 2010-08-26 16:33	28672	----a-w-	c:\windows\system32\Apphlpdm.dll
    2010-10-27 09:38 . 2010-08-26 14:23	4240384	----a-w-	c:\windows\system32\GameUXLegacyGDFs.dll
    2010-10-20 12:27 . 2010-10-27 09:50	--------	d-----w-	c:\users\Clio\AppData\Roaming\COWON
    2010-10-20 10:55 . 2010-10-20 10:55	--------	d-----w-	c:\programdata\TOSHIBA Tempro
    
    .
    ((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-10-19 09:41 . 2009-10-03 00:10	222080	------w-	c:\windows\system32\MpSigStub.exe
    2010-09-13 13:56 . 2010-10-14 15:14	8147456	----a-w-	c:\windows\system32\wmploc.DLL
    2010-09-08 17:23 . 2010-10-14 15:11	78336	----a-w-	c:\windows\system32\ieencode.dll
    2010-09-08 17:07 . 2010-10-14 15:11	834048	----a-w-	c:\windows\system32\wininet.dll
    2010-09-08 15:23 . 2010-10-14 15:11	389632	----a-w-	c:\windows\system32\html.iec
    2010-09-06 16:20 . 2010-10-14 15:14	125952	----a-w-	c:\windows\system32\srvsvc.dll
    2010-09-06 16:19 . 2010-10-14 15:14	17920	----a-w-	c:\windows\system32\netevent.dll
    2010-09-06 13:45 . 2010-10-14 15:14	304128	----a-w-	c:\windows\system32\drivers\srv.sys
    2010-09-06 13:45 . 2010-10-14 15:14	145408	----a-w-	c:\windows\system32\drivers\srv2.sys
    2010-09-06 13:45 . 2010-10-14 15:14	102400	----a-w-	c:\windows\system32\drivers\srvnet.sys
    2010-08-31 15:46 . 2010-10-14 15:13	954752	----a-w-	c:\windows\system32\mfc40.dll
    2010-08-31 15:46 . 2010-10-14 15:13	954288	----a-w-	c:\windows\system32\mfc40u.dll
    2010-08-31 15:44 . 2010-10-14 15:11	531968	----a-w-	c:\windows\system32\comctl32.dll
    2010-08-31 13:27 . 2010-10-14 15:13	2038272	----a-w-	c:\windows\system32\win32k.sys
    2010-08-26 16:37 . 2010-10-14 15:13	157184	----a-w-	c:\windows\system32\t2embed.dll
    2010-08-26 16:33 . 2010-10-27 09:38	173056	----a-w-	c:\windows\apppatch\AcXtrnal.dll
    2010-08-26 16:33 . 2010-10-27 09:38	2159616	----a-w-	c:\windows\apppatch\AcGenral.dll
    2010-08-26 16:33 . 2010-10-27 09:38	542720	----a-w-	c:\windows\apppatch\AcLayers.dll
    2010-08-26 16:33 . 2010-10-27 09:38	458752	----a-w-	c:\windows\apppatch\AcSpecfc.dll
    2010-08-20 16:05 . 2010-10-14 15:12	867328	----a-w-	c:\windows\system32\wmpmde.dll
    2010-09-13 15:34 . 2010-09-13 15:34	119808	----a-w-	c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
    .
    
    (((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
    REGEDIT4
    
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "LtMoh"="c:\program files\ltmoh\Ltmoh.exe" [2007-01-09 191552]
    "SpywareTerminatorUpdate"="c:\program files\Spyware Terminator\SpywareTerminatorUpdate.exe" [2009-07-08 3055616]
    "TOSCDSPD"="c:\program files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2008-04-24 430080]
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-12-06 1029416]
    "Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2010-09-13 30192]
    "Google EULA Launcher"="c:\program files\Google\Google EULA\GoogleEULALauncher.exe" [2008-05-28 20480]
    "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
    "RtHDVCpl"="RtHDVCpl.exe" [2008-04-08 6037504]
    "Skytel"="Skytel.exe" [2007-11-20 1826816]
    "HDMICtrlMan"="c:\program files\TOSHIBA\HDMICtrlMan\HDMICtrlMan.exe" [2008-04-26 716800]
    "Toshiba Registration"="c:\program files\Toshiba\Registration\ToshibaRegistration.exe" [2008-01-11 574864]
    "IntelliPoint"="c:\program files\Microsoft IntelliPoint\ipoint.exe" [2008-06-10 1406024]
    "SpywareTerminator"="c:\program files\Spyware Terminator\SpywareTerminatorShield.exe" [2009-07-08 2173440]
    "avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-02-11 2756488]
    "Toshiba TEMPRO"="c:\program files\Toshiba TEMPRO\TemproTray.exe" [2010-08-27 1050072]
    "THGuard"="c:\program files\TrojanHunter 5.3\THGuard.exe" [2010-10-23 1070360]
    
    c:\users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
    TRDCReminder.lnk - c:\program files\Toshiba\TRDCReminder\TRDCReminder.exe [2008-3-5 393216]
    
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableUIADesktopToggle"= 0 (0x0)
    
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=c:\progra~1\Google\GOOGLE~2\GoogleDesktopNetwork3.dll
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
    @="Service"
    
    [HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Bluetooth Manager.lnk]
    path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Bluetooth Manager.lnk
    backup=c:\windows\pss\Bluetooth Manager.lnk.CommonStartup
    backupExtension=.CommonStartup
    
    [HKLM\~\startupfolder\C:^Users^Clio^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Gamma.lnk]
    path=c:\users\Clio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Gamma.lnk
    backup=c:\windows\pss\Adobe Gamma.lnk.Startup
    backupExtension=.Startup
    
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
    2008-10-15 00:04	39792	----a-w-	c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe
    
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Camera Assistant Software]
    2008-04-29 09:33	417792	----a-w-	c:\program files\Camera Assistant Software for Toshiba\traybar.exe
    
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray.exe]
    2008-01-21 02:25	125952	----a-w-	c:\windows\ehome\ehtray.exe
    
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
    2009-01-05 15:18	413696	----a-w-	c:\program files\QuickTime\QTTask.exe
    
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\topi]
    2007-07-10 07:24	581632	----a-w-	c:\program files\Toshiba\Toshiba Online Product Information\TOPI.exe
    
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]
    2008-01-21 02:25	202240	----a-w-	c:\program files\Windows Media Player\wmpnscfg.exe
    
    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
    "DisableMonitoring"=dword:00000001
    
    R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
    R2 gupdate1ca3fbdb5053a60;Service Google Update (gupdate1ca3fbdb5053a60);c:\program files\Google\Update\GoogleUpdate.exe [2009-09-27 133104]
    R3 GoogleDesktopManager-051210-111108;Google Desktop Manager 5.9.1005.12335;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2010-09-13 30192]
    R3 ss_bbus;SAMSUNG USB Mobile Device (WDM);c:\windows\system32\DRIVERS\ss_bbus.sys [2009-09-21 90112]
    R3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);c:\windows\system32\DRIVERS\ss_bmdfl.sys [2009-09-21 14976]
    R3 ss_bmdm;SAMSUNG USB Mobile Modem;c:\windows\system32\DRIVERS\ss_bmdm.sys [2009-09-21 121856]
    R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
    R4 TemproMonitoringService;Notebook Performance Tuning Service (TEMPRO);c:\program files\Toshiba TEMPRO\TemproSvc.exe [2010-08-27 124368]
    S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-12-14 691696]
    S1 aswSP;aswSP; [x]
    S1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [2009-07-08 142592]
    S2 aswFsBlk;aswFsBlk; [x]
    S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-02-11 51792]
    S2 ConfigFree Service;ConfigFree Service;c:\program files\TOSHIBA\ConfigFree\CFSvcs.exe [2008-04-16 40960]
    S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [2009-11-05 238952]
    S2 TOSHIBA SMART Log Service;TOSHIBA SMART Log Service;c:\program files\TOSHIBA\SMARTLogService\TosIPCSrv.exe [2007-12-03 126976]
    S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.SYS [2009-11-02 36608]
    S3 FwLnk;FwLnk Driver;c:\windows\system32\DRIVERS\FwLnk.sys [2006-11-20 7168]
    S3 NETw5v32;Pilote de carte Intel(R) Wireless WiFi Link pour Windows Vista 32 bits ;c:\windows\system32\DRIVERS\NETw5v32.sys [2008-04-28 3658752]
    S3 SmartFaceVWatchSrv;SmartFaceVWatchSrv;c:\program files\Toshiba\SmartFaceV\SmartFaceVWatchSrv.exe [2008-04-24 73728]
    
    
    --- Autres Services/Pilotes en mémoire ---
    
    *NewlyCreated* - FSUSBEXDISK
    
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
    .
    Contenu du dossier 'Tâches planifiées'
    
    2010-11-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-09-27 21:58]
    
    2010-11-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-09-27 21:58]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = about:blank
    mStart Page = hxxp://www.01net.com/telecharger/
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
    IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
    IE: Télécharger avec Mipony - file://c:\program files\MiPony\Browser\IEContext.htm
    IE: {{76577871-04EC-495E-A12B-91F7C3600AFA} - https://www.ebay.fr
    IE: {{8A918C1D-E123-4E36-B562-5C1519E434CE} - https://www.amazon.fr/259-2669412-0293300?ie=UTF8&amp%3Bsite=home&link_code=hom&tag=Toshibafrbholink-21
    FF - ProfilePath - c:\users\Clio\AppData\Roaming\Mozilla\Firefox\Profiles\zu9eyc9p.default\
    FF - prefs.js: browser.startup.homepage - about:blank
    FF - prefs.js: network.proxy.type - 0
    FF - plugin: c:\program files\Google\Update\1.2.183.39\npGoogleOneClick8.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
    
    ---- PARAMETRES FIREFOX ----
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
    .
    - - - - ORPHELINS SUPPRIMES - - - -
    
    HKCU-Run-fsm - (no file)
    HKLM-Run-ITSecMng - %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe
    HKLM-Run-TPwrMain - %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
    HKLM-Run-HSON - %ProgramFiles%\TOSHIBA\TBS\HSON.exe
    HKLM-Run-SmoothView - %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe
    HKLM-Run-00TCrdMain - %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe
    HKLM-Run-NPSStartup - (no file)
    AddRemove-01_Simmental - c:\program files\SAMSUNG\USB Drivers\01_Simmental\Uninstall.exe
    AddRemove-02_Siberian - c:\program files\SAMSUNG\USB Drivers\02_Siberian\Uninstall.exe
    AddRemove-03_Swallowtail - c:\program files\SAMSUNG\USB Drivers\03_Swallowtail\Uninstall.exe
    AddRemove-04_semseyite - c:\program files\SAMSUNG\USB Drivers\04_semseyite\Uninstall.exe
    AddRemove-05_Sloan - c:\program files\SAMSUNG\USB Drivers\05_Sloan\Uninstall.exe
    AddRemove-06_Spencer - c:\program files\SAMSUNG\USB Drivers\06_Spencer\Uninstall.exe
    AddRemove-07_Schorl - c:\program files\SAMSUNG\USB Drivers\07_Schorl\Uninstall.exe
    AddRemove-08_EMPChipset - c:\program files\SAMSUNG\USB Drivers\08_EMPChipset\Uninstall.exe
    AddRemove-09_Hsp - c:\program files\SAMSUNG\USB Drivers\09_Hsp\Uninstall.exe
    AddRemove-11_HSP_Plus_Default - c:\program files\SAMSUNG\USB Drivers\11_HSP_Plus_Default\Uninstall.exe
    AddRemove-12_Symbian_USB_Download_Driver - c:\program files\SAMSUNG\USB Drivers\12_Symbian_USB_Download_Driver\Uninstall.exe
    AddRemove-15_Symbian_Samsung_PC_DLC_Driver - c:\program files\SAMSUNG\USB Drivers\15_Symbian_Samsung_PC_DLC_Driver\Uninstall.exe
    AddRemove-16_Shrewsbury - c:\program files\SAMSUNG\USB Drivers\16_Shrewsbury\Uninstall.exe
    AddRemove-17_EMP_Chipset2 - c:\program files\SAMSUNG\USB Drivers\17_EMP_Chipset2\Uninstall.exe
    AddRemove-18_Zinia_Serial_Driver - c:\program files\SAMSUNG\USB Drivers\18_Zinia_Serial_Driver\Uninstall.exe
    AddRemove-19_VIA_driver - c:\program files\SAMSUNG\USB Drivers\19_VIA_driver\Uninstall.exe
    AddRemove-20_NXP_Driver - c:\program files\SAMSUNG\USB Drivers\20_NXP_Driver\Uninstall.exe
    AddRemove-FileZilla Client - c:\program files\FileZilla FTP Client\uninstall.exe
    
    
    
    **************************************************************************
    
    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-11-16 21:52
    Windows 6.0.6002 Service Pack 2 NTFS
    
    Recherche de processus cachés ... 
    
    Recherche d'éléments en démarrage automatique cachés ... 
    
    Recherche de fichiers cachés ... 
    
    Scan terminé avec succès
    Fichiers cachés: 0
    
    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------
    
    [HKEY_USERS\S-1-5-21-145991659-1782934896-4108710449-1000\Software\SecuROM\License information*]
    "datasecu"=hex:cc,32,25,d8,7a,9a,f6,61,6e,c4,4a,04,17,db,1c,c9,8d,5b,4e,0e,ec,
       d1,94,0e,b8,0f,a2,d1,71,90,b7,4b,9c,5e,e0,9b,2f,c9,69,c0,88,48,67,87,5d,b0,\
    "rkeysecu"=hex:b5,0c,e4,f0,86,47,6a,fb,c8,92,91,b2,60,d5,f0,5f
    
    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    "MSCurrentCountry"=dword:000000b5
    
    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    
    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    .
    Heure de fin: 2010-11-16  22:11:35
    ComboFix-quarantined-files.txt  2010-11-16 21:11
    
    Avant-CF: 65.676.345.344 octets libres
    Après-CF: 65.694.875.648 octets libres
    
    Current=1 Default=1 Failed=0 LastKnownGood=10 Sets=1,2,3,4,5,6,7,8,9,10
    - - End Of File - - 802E4FAA32300FDE6B87121CE3AFB929
    
    0
  7. archet9
     
    Télécharge MBAM et installe le selon l'emplacement par défaut
    * Effectue la mise à jour et lance Malwarebytes' Anti-Malware
    * Clique dans l'onglet du haut "Recherche"
    * Coche l'option "Exécuter un examen rapide" puis sur le bouton "Rechercher"
    * Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

    A la fin de l'analyse, si MBAM n'a rien trouvé :

    * Clique sur OK, le rapport s'ouvre spontanément

    Si des menaces ont été détectées :

    * Clique sur OK puis "Afficher les résultats"
    * Choisis l'option "Supprimer la sélection"
    * Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
    * Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
    * Sinon le rapport s'ouvre automatiquement après la suppression

    Quelque soit le résultat, copie/colle le rapport dans le prochain message
    0
  8. Altazari Messages postés 33 Statut Membre
     
    Il n'a rien trouvé.

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org
    
    Version de la base de données: 5129
    
    Windows 6.0.6002 Service Pack 2
    Internet Explorer 7.0.6002.18005
    
    16/11/2010 23:25:24
    mbam-log-2010-11-16 (23-25-24).txt
    
    Type d'examen: Examen rapide
    Elément(s) analysé(s): 148394
    Temps écoulé: 12 minute(s), 37 seconde(s)
    
    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0
    
    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)
    
    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)
    
    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)
    
    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)
    
    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)
    
    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)
    
    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    
    0
  9. Altazari Messages postés 33 Statut Membre
     
    Mon processeur tourne à 100% ce qui fait ramer mon ordi.

    En passant, suite au diagnostic de ZHP tu m'as dit que mon pc était bien infecté. Pourrais-tu me dire à quoi tu as vu ça ?
    0
  10. gen-hackman
     
    bonsoir usbfix pourrait faire changer les choses....
    0
  11. Altazari Messages postés 33 Statut Membre
     
    Ok je vais essayer ça merci.
    0
  12. gen-hackman
     
    non reste avec archer9 il te donnera la procedure à suivre !

    bonne soirée
    ¤¤¤¤¤¤?G3?-?@¢??@?(TM)©®?¤¤¤¤¤¤
    0
  13. Altazari Messages postés 33 Statut Membre
     
    Ca va gen-hackman.

    Bonne soirée à toi aussi
    0
  14. archet9
     
    Télécharge UsbFix (par C_XX & El Desaparecido) sur le Bureau
    http://www.teamxscript.org/usbfixTelechargement.html

    ! ! Branche tous tes supports amovibles (Clés USB, DD externes, etc...) sans les ouvrir !!
    * lance UsbFix
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    * Clique sur le bouton "Suppression"
    * Patiente le temps du balayage qui peut durer plusieurs minutes
    * Le rapport doit s'ouvrir spontanément à la fin du scan
    * Copie/colle le rapport dans le prochain message

    Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt

    "Process.exe" est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Le mieux étant de désactiver temporairement ton antivirus
    0
  15. Altazari Messages postés 33 Statut Membre
     
    ############################## | UsbFix 7.035 | [Suppression]

    Utilisateur: Clio (Administrateur) # PC-DE-CLIO [TOSHIBA Satellite A300]
    Mis à jour le 11/11/10 par El Desaparecido / C_XX
    Lancé à 18:52:06 | 17/11/2010
    Site Web: http://www.teamxscript.org
    Contact: eldesaparecido@teamxscript.org

    CPU: Intel(R) Core(TM)2 Duo CPU T5800 @ 2.00GHz
    CPU 2: Intel(R) Core(TM)2 Duo CPU T5800 @ 2.00GHz
    Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-Bit) # Service Pack 2
    Internet Explorer 7.0.6002.18005

    Pare-feu Windows: Activé
    RAM -> 3069 Mo
    C:\ (%systemdrive%) -> Disque fixe # 116 Go (61 Go libre(s) - 52%) [Vista] # NTFS
    E:\ -> Disque fixe # 115 Go (72 Go libre(s) - 63%) [Data] # NTFS
    F:\ -> CD-ROM
    I:\ -> Disque fixe # 466 Go (186 Go libre(s) - 40%) [DDEXCLIO] # FAT32

    ################## | Éléments infectieux |

    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-145991659-1782934896-4108710449-1000
    Supprimé! E:\$RECYCLE.BIN\S-1-5-21-145991659-1782934896-4108710449-1000

    ################## | Registre |

    Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
    Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

    ################## | Mountpoints2 |

    ################## | Listing |

    [17/11/2010 - 18:53:38 | SHD ] C:\$RECYCLE.BIN
    [18/09/2006 - 22:43:36 | N | 24] C:\autoexec.bat
    [17/11/2010 - 00:20:11 | RASHD ] C:\autorun.inf
    [13/10/2010 - 14:40:29 | D ] C:\Boot
    [11/04/2009 - 07:36:36 | RASH | 333257] C:\bootmgr
    [01/07/2008 - 13:45:33 | N | 8192] C:\BOOTSECT.BAK
    [17/11/2010 - 03:33:45 | D ] C:\ComboFix
    [18/09/2006 - 22:43:37 | N | 10] C:\config.sys
    [02/11/2006 - 14:02:03 | SHD ] C:\Documents and Settings
    [16/11/2010 - 17:36:43 | D ] C:\Downloads
    [17/11/2010 - 18:41:29 | ASH | 3219120128] C:\hiberfil.sys
    [01/07/2008 - 14:29:13 | D ] C:\Intel
    [16/07/2009 - 03:05:44 | N | 0] C:\IO.SYS
    [16/07/2009 - 03:05:44 | N | 0] C:\MSDOS.SYS
    [07/12/2008 - 14:18:29 | RD ] C:\MSOCache
    [17/11/2010 - 18:41:26 | ASH | 3532713984] C:\pagefile.sys
    [17/11/2010 - 00:18:37 | D ] C:\Program Files
    [17/11/2010 - 18:39:21 | D ] C:\ProgramData
    [17/11/2010 - 03:26:31 | D ] C:\Qoobox
    [07/12/2008 - 13:36:05 | N | 650] C:\RHDSetup.log
    [01/07/2008 - 14:51:27 | N | 86] C:\setup.log
    [15/09/2008 - 12:14:13 | N | 176] C:\SWSTAMP.TXT
    [16/11/2010 - 19:11:25 | SHD ] C:\System Volume Information
    [07/12/2008 - 13:54:30 | D ] C:\Toshiba
    [17/11/2010 - 18:53:38 | D ] C:\UsbFix
    [17/11/2010 - 18:52:07 | A | 2504] C:\UsbFix.txt
    [07/12/2008 - 13:47:57 | D ] C:\Users
    [03/10/2009 - 01:38:37 | D ] C:\wamp
    [17/11/2010 - 18:11:40 | D ] C:\Windows
    [01/07/2008 - 15:24:25 | D ] C:\Works
    [17/11/2010 - 18:53:38 | D ] E:\$RECYCLE.BIN
    [17/11/2010 - 00:20:11 | RASHD ] E:\autorun.inf
    [16/11/2010 - 17:15:40 | D ] E:\Documents
    [07/12/2008 - 23:28:49 | D ] E:\HDDRecovery
    [17/10/2008 - 18:40:13 | N | 11] E:\R09790DU.tag
    [07/12/2008 - 13:32:08 | SHD ] E:\System Volume Information

    ################## | Vaccin |

    C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

    ################## | Upload |

    Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-CLIO.zip
    http://www.teamxscript.org/Sample/Upload.php
    Merci de votre contribution.

    ################## | E.O.F |
    0
    1. gen-hackman
       
      là je reste coi....
      0
  16. archet9
     
    Quand "Gen-H" en reste"Coi"c'est que la sardine commence à boucher le port,et que le ferry boaaaate ne sera certainement pas à l'heure !

    ==> "H" correspond à quoi sur ton pc?

    ***************

    Avec ZHPfix présent sur ton bureau.....

    -+-+-+-+-> ZHPFix <-+-+-+-+-

    /!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\

    [x] Copie le texte en gras ci-dessous ( CTRL + C pour copier )

    MBRFIX

    Lance ZHPFix qui est présent sur ton bureau.

    Clique sur le "H" bleu ( Coller les lignes Helper )

    Les lignes précédemment copiées apparaîtront à l'écran dans l'encadré jaune pâle.

    Vérifie que seules les lignes indiquées plus haut sont présentes puis clique sur [Ok]

    Clique maintenant sur [Tous] , puis sur [Nettoyer]

    Copie/Colle le contenu du rapport à l'écran dans ton prochain message.

    Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt

    Clique maintenant sur [Tous] , puis sur [Nettoyer]

    Copie/Colle le contenu du rapport à l'écran dans ton prochain message.

    Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt
    0
    1. Altazari Messages postés 33 Statut Membre
       
      Je ne sais pas à quoi le H correspond. C'est sensé être un disque ? Je ne le vois nul part en tous cas.
      0
  17. Altazari Messages postés 33 Statut Membre
     
    "Quand "Gen-H" en reste"Coi"c'est que la sardine commence à boucher le port,et que le ferry boaaaate ne sera certainement pas à l'heure ! "

    Lol n'importe quoi ^^

    Le double "csrss.exe" et la 12ène de "svchost.exe" douteux sont encore présents mais mon processeur est revenu à des % raisonnables. Une partie (si pas la totalité) du problème semble réglé.

    Le rapport :

    Rapport de ZHPFix 1.12.3217 par Nicolas Coolman, Update du 12/11/2010
    Fichier d'export Registre : 
    Run by Clio at 17/11/2010 19:41:57
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr
    
    ========== Master Boot Record ==========
    Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.1 by Gmer, http://www.gmer.net
    Windows 6.0.6002 Disk: TOSHIBA_ rev.LV01 -> \Device\Ide\IAAStorageDevice-1
    
    device: opened successfully
    user: MBR read successfully
    
    Disk trace:
    called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys iaStor.sys sppz.sys hal.dll >>UNKNOWN [0x86AD6938]<< 
    C:\Windows\system32\DRIVERS\iaStor.sys Intel Corporation Intel Matrix Storage Manager driver
    System32\Drivers\sppz.sys  
    1 ntkrnlpa!IofCallDriver[0x83678962] -> \Device\Harddisk0\DR0[0x876E5AC8]
    3 CLASSPNP[0x8BD0A8B3] -> ntkrnlpa!IofCallDriver[0x83678962] -> \Device\Ide\IAAStorageDevice-1[0x86BBE028]
    kernel: MBR read successfully
    detected hooks:
    \Driver\atapi -> 0x86b1f1f8
    user & kernel MBR OK 
    Warning: possible MBR rootkit infection !
     
    Resultat après le fix :
    Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.1 by Gmer, http://www.gmer.net
    Windows 6.0.6002 Disk: TOSHIBA_ rev.LV01 -> \Device\Ide\IAAStorageDevice-1
    
    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK 
    
    
    ========== Récapitulatif ==========
                              1 : Master Boot Record
    
    
    End of the scan
    0
  18. archet9
     
    J'ai pas de H... Dans explorer

    GREEEEEEEEE......c'est pas ds Explorer qu'il faut chercher !!!!

    ==> Logo Windows en bas à droite +panneau de config +ordinateur....

    0
    1. Altazari Messages postés 33 Statut Membre
       
      En bas à droite ? A gauche plutôt non ?
      Dans panneau de config j'ai 'ordinateur portable' mais après rien qui concerne un H, je dois pas être dans le bon... J'ai "centre de mobilité windows", "option d'alimentation" etc
      0
  19. archet9
     
    A gauche plutôt non ?

    ==> oui lol....

    Pour ma part cela sera toujours "à gauche toute"....

    On va utiliser le fix de "Gen"

    Télécharge et enregistre List_Kill'em (de gen-hackman) sur le Bureau.
    http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe

    !! Important => Désactive ton antivirus !!

    * Lance l'installation
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    * Laisse toi guider par le programme, en cliquant à chaque fois sur suivant
    * Clique enfin sur "Terminer" et le programme va se lancer
    * Choisis l'option "Search"
    * Patiente pendant le travail de l'outil qui peut prendre plusieurs minutes
    * A l'apparition d'une fenêtre blanche, même si c'est long, c'est normal, le programme n'est pas bloqué.
    * Un rapport "catchme" apparait sur le bureau, ignore-le, il disparaitra en fin de scan
    * Le rapport s'ouvre spontanément après 100 % du scan à l'ecran "COMPLETED"
    * Héberge le rapport sur http://www.cijoint.fr

    ....."contributeur sécurité".....o°ô"
    0
  20. Altazari Messages postés 33 Statut Membre
     
    --> http://www.cijoint.fr/cjlink.php?file=cj201011/cij1hU82pL.txt

    Ah et je crois que j'ai eu un faux espoir mon processeur retourne à 100% :@
    0
  • 1
  • 2