svchost - csrss - cpu pleine-pc au ralenti

Question

Bonjour, 
Configuration: Windows XP / Firefox 9.0.1
svchost occupe une place demesuree dans la CPU
csrss aussi
le PC fonctionne au ralenti
le lancement d'appli idem
y a t il un trojan, un ver, un virus ? 
rien de serieux détecté jusqu'a present, 
je dispose d'un log de HPZ que je viens de faire.

g3n-h@ckm@n · Answer

salut heberge-le ici et donne le lien

http://pjjoint.Malekal.com

g3n-h@ckm@n · Answer

salut precise exactement

Tashtego · Answer

Bonjour
Une fois redémarré, et que je rentre mon mot de passé de session, il s écoule de plus en plus de temps avant d avoir l affichage du bureau et la possibilité de lancer une appli. 
Avec l appli malware il y a eu detection de 26 erreurs, dont 6 backdoor.bot et 4 trojan.vundo. 
J ai fait la suppression avec l appli. 
Mais il t a peut etre aussi un rootkit
Bien que non detecté ? 

Temps d affichage bureau : 
Hier environ 10 min, ce matin 20, et même après 20 min, je restais en sablier 
Même le gestionnaire de tâches ne s ouvrait pas. 
Par contre le démarrage en mode sans échec fonctionne.
La solution ne serait elle pas de tout réformater ? 
Ps j écris de mon iPhone et ne suis pas chez moi devant le PC
Merci

g3n-h@ckm@n · Answer

on va quand meme essayer de desinfecter si tu veux

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

ou encore cette version renommée : Winlogon.exe

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

 Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler 

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu

Tashtego · Answer

On a droit en effet a une lueur d optimisme

Je vais dérouler la manip ce soir et posterai les résultats 

Merci

Tashtego · Answer

Le lien est

Http://pjjoint.malekal.com/files.php?id=20120202_y5e5w15g5i11

g3n-h@ckm@n · Answer

fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

Lance Pre_script , une page vierge va s'ouvrir.

selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Registry::
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]  
"{0E5CBF21-D15F-11D0-8301-00AA005B4383}"=-
[-HKEY_CLASSES_ROOT\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{86D4B82A-ABED-442A-BE86-96357B70F4FE}] 
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKCU\Software\ConduitSearchScopes]
[-HKCU\Software\Datamngr] 
[-HKCU\Software\PriceGong] 
[-HKLM\Software\AntimalwareSolution]
[-HKLM\Software\TENCENT] 
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] 
"D:\Program Files\P2Pcontrol\winrun.exe"=-
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]  
"4228:TCP"=-
"4335:UDP"=-     
"4662:TCP"=-
"28257:TCP"=-
"62438:UDP"=-

list::
D:\Program Files\True Sword 5    

file::
D:\WINDOWS\AutoRun.INI    
D:\WINDOWS\SET25.tmp 
D:\WINDOWS\SET3.tmp    
D:\WINDOWS\SET30.tmp   
D:\WINDOWS\SET33.tmp    
D:\WINDOWS\SET3F.tmp    
D:\WINDOWS\SET4.tmp   
D:\WINDOWS\SET8.tmp 
  
folder::
D:\Documents and Settings\fab\Application Data\OpenCandy    
D:\Documents and Settings\fab\Application Data\PriceGong 
D:\Documents and Settings\fab\Application Data\searchquband    
D:\Documents and Settings\fab\Local Settings\Application Data\Conduit    
D:\Documents and Settings\fab\Local Settings\Application Data\OpenCandy    
D:\Program Files\Conduit    
D:\Program Files\Windows Searchqu Toolbar    

Mbr::    

clean::      

Reboot::        
___________________________________________________

colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail 

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

tashtego · Answer

pre script exécuté : 

voici le résultat 

http://pjjoint.malekal.com/files.php?id=20120202_y8h14d1311n8

merci

g3n-h@ckm@n · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

D:\Program Files\True Sword 5\TrueSword5.exe

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

==============

&#9654 Télécharge Sur cette page : AdwCleaner (de Xplode) 

&#9654 clique sur Télécharger et enregistre le fichier sur ton Bureau

&#9654 Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation

==================================

&#9654&#9654&#9654  Sous Vista et Windows 7 /!\ :

il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

==================================

Sur le menu principal :
    
&#9654 clique sur Suppression et patiente le temps de l'analyse

&#9654 poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.

tashtego · Answer

lien scan virus total 
https://www.virustotal.com/file/5a669e120bf529d088cb59f20f885d7eb57db20770f7ea29cc6d81aa4a3511cc/analysis/

g3n-h@ckm@n · Answer

ok la suite :)

tashtego · Answer

le lien vers adwcleaner 

http://pjjoint.malekal.com/files.php?id=20120202_n13l5f8d5e12

g3n-h@ckm@n · Answer

lance zhpdiag , clique sur la fleche verte pour une mise à jour , coche tout au tournevis puis heberge le rapport

tashtego · Answer

Rapport de ZHPScan 1.28.315 par Nicolas Coolman, Update du 22/01/2012
Run by fab at 02/02/2012 23:59:09
Web site :  http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Web site :  http://nicolascoolman.skyrock.com/


---\ Clés de Registre trouvées (Registry Keys found)
[HKLM\Software\Classes\AppID\NCTAudioCDGrabber2.DLL]   =>PUP.BearShare
[HKLM\Software\Classes
ctaudiocdwriter2.audiocdwriter2]   =>Adware.RecordNRip
[HKLM\Software\Classes
ctaudiocdwriter2.audiocdwriter2.1]   =>Adware.RecordNRip
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1392B8D2-5C05-419F-A8F6-B9F15A596612}]   =>Toolbar.Conduit
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1392B8D2-5C05-419F-A8F6-B9F15A596612}]   =>Toolbar.Conduit
[HKLM\Software\Classes\TypeLib\{2D77AC8A-0A4C-40D0-9557-51907A575E45}]   =>Adware.RecordNRip
[HKLM\Software\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}]   =>Spyware.Soft2PC
[HKLM\Software\Tencent]   =>Adware.TencentAddressBar

---\ Clés de Registre génériques trouvées (Generic Registry Keys found)

---\ Valeurs de clé de Registre trouvées (Registry Values found)
*** None ***

---\ Dossiers trouvés (Directories found)
*** None ***

---\ Fichiers Firefox trouvés (Files found)
*** None ***

---\ Fichiers trouvés (Files found)
*** None ***

---\ Bilan de la recherche (Scan Result)
Database Version : 9053 - (22/01/2012)
Clés trouvées (Keys found) : 8
Valeurs de clé trouvées (Values found) : 0
Dossiers trouvés (Folders found) : 0
Fichiers trouvés (Files found) : 0

End of the scan in 00mn 11s

g3n-h@ckm@n · Answer

c'est pas ce qui est demandé

tashtego · Answer

je n'ai ptetre pas compris, desolé
lance zhpdiag , OK démarré
clique sur la fleche verte pour une mise à jour , OK effectué
coche tout au tournevis : il y a un scan a faire avant de cocher au tourne vis ? 




Rapport de ZHPScan 1.28.315 par Nicolas Coolman, Update du 22/01/2012
Run by fab at 03/02/2012 00:05:12
Web site :  http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Web site :  http://nicolascoolman.skyrock.com/


---\ Clés de Registre trouvées (Registry Keys found)
[HKLM\Software\Classes\AppID\NCTAudioCDGrabber2.DLL]   =>PUP.BearShare
[HKLM\Software\Classes
ctaudiocdwriter2.audiocdwriter2]   =>Adware.RecordNRip
[HKLM\Software\Classes
ctaudiocdwriter2.audiocdwriter2.1]   =>Adware.RecordNRip
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1392B8D2-5C05-419F-A8F6-B9F15A596612}]   =>Toolbar.Conduit
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1392B8D2-5C05-419F-A8F6-B9F15A596612}]   =>Toolbar.Conduit
[HKLM\Software\Classes\TypeLib\{2D77AC8A-0A4C-40D0-9557-51907A575E45}]   =>Adware.RecordNRip
[HKLM\Software\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}]   =>Spyware.Soft2PC
[HKLM\Software\Tencent]   =>Adware.TencentAddressBar

---\ Clés de Registre génériques trouvées (Generic Registry Keys found)

---\ Valeurs de clé de Registre trouvées (Registry Values found)
*** None ***

---\ Dossiers trouvés (Directories found)
*** None ***

---\ Fichiers Firefox trouvés (Files found)
*** None ***

---\ Fichiers trouvés (Files found)
*** None ***

---\ Bilan de la recherche (Scan Result)
Database Version : 9053 - (22/01/2012)
Clés trouvées (Keys found) : 8
Valeurs de clé trouvées (Values found) : 0
Dossiers trouvés (Folders found) : 0
Fichiers trouvés (Files found) : 0

End of the scan in 00mn 11s

tashtego · Answer

rapport zhpdiag

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120203_v13n6w9w10k13

g3n-h@ckm@n · Answer

t'as rien coché au tournevis avant le scan

tashtego · Answer

ok, je relance, en cochant tout avant le scan
c'est en cours
et je poste le rapport a finalisation

g3n-h@ckm@n · Answer

ok

tashtego · Answer

voici le rapport
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120203_x7q7x10y14g10

g3n-h@ckm@n · Answer

c'est quoi ce windows ?

Tashtego · Answer

Bonjour
J ai une ancienne version 2002 ou 2004 à laquelle j ai ajouté sp2 et Sp3.
Pourquoi ? 
Quel est Ton avis a ce stade ? 
On continue ou je reformatte ?
Merci par avance

g3n-h@ckm@n · Answer

pourquoi les mises à jour ne sont pas faites correctement ?

Tashtego · Answer

Je n ai pas la visibilite sur l aspect correct pu non des maj
Quelle serait la démarche à adopter d une part pour redresser le pb des mises à jour 
D autre part pour sortir de cette impasse ? 
Merci

g3n-h@ckm@n · Answer

demarrer/programmes/windows update

Tashtego · Answer

Ok  je fais le nécessaire (début de semaine prochaine, étant absent ce week end)
Sinon, sur le plan de la désinfection, est ce terminé, ou bien y a t il encore des vers, troyens, backdoor? 
Merci

g3n-h@ckm@n · Answer

j'attends les mises à jour installlées , pour relire un diag 

signale-toi à ton retour :)

tashtego · Answer

bonjour depuis l'iphone. 
le PC n'a jamais voulu redémarrer. je pense que l'infection l'a carrément envahi, ainsi que les systèmes censés le protéger, tel que pre-scan ... 
too bad. je reformate et réinstalle à neuf. 
merci pour le coup de main, on a tout de même éliminé quelques méchants ! :)

g3n-h@ckm@n · Answer

ok oui ca sera plus stable  :) tu comptes reinstaller avec un cd d'installation ou avec des dvd  de ré-installation ? ou avec la partition d'usine ?

tashtego · Answer

en effet. 
je vais reformater et reinstaller a partir d'un cd d'install xp home puis appliquer toutes les maj windows en auto.

g3n-h@ckm@n · Answer

ok formate ton disque dur avec KillDisc alors tu seras plus sur de sa sainteté

Svchost - csrss - cpu pleine-pc au ralenti

32 réponses

Votre réponse

Newsletters