Svchost - csrss - cpu pleine-pc au ralenti

Fermé
tashtego - 1 févr. 2012 à 23:31
 Utilisateur anonyme - 10 févr. 2012 à 00:05
Bonjour,

svchost occupe une place demesuree dans la CPU
csrss aussi
le PC fonctionne au ralenti
le lancement d'appli idem
y a t il un trojan, un ver, un virus ?
rien de serieux détecté jusqu'a present,
je dispose d'un log de HPZ que je viens de faire.
A voir également:

32 réponses

Utilisateur anonyme
1 févr. 2012 à 23:36
salut heberge-le ici et donne le lien

http://pjjoint.Malekal.com
0
Désolé suis planté
Pc ne redémarre plus
Merci
0
Utilisateur anonyme
2 févr. 2012 à 12:01
salut precise exactement
0
Bonjour
Une fois redémarré, et que je rentre mon mot de passé de session, il s écoule de plus en plus de temps avant d avoir l affichage du bureau et la possibilité de lancer une appli.
Avec l appli malware il y a eu detection de 26 erreurs, dont 6 backdoor.bot et 4 trojan.vundo.
J ai fait la suppression avec l appli.
Mais il t a peut etre aussi un rootkit
Bien que non detecté ?

Temps d affichage bureau :
Hier environ 10 min, ce matin 20, et même après 20 min, je restais en sablier
Même le gestionnaire de tâches ne s ouvrait pas.
Par contre le démarrage en mode sans échec fonctionne.
La solution ne serait elle pas de tout réformater ?
Ps j écris de mon iPhone et ne suis pas chez moi devant le PC
Merci
0
Utilisateur anonyme
2 févr. 2012 à 15:01
on va quand meme essayer de desinfecter si tu veux

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

ou encore cette version renommée : Winlogon.exe

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
On a droit en effet a une lueur d optimisme

Je vais dérouler la manip ce soir et posterai les résultats

Merci
0
Le lien est

Http://pjjoint.malekal.com/files.php?id=20120202_y5e5w15g5i11
0
Utilisateur anonyme
2 févr. 2012 à 21:46
fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

Lance Pre_script , une page vierge va s'ouvrir.

selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Registry::
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{0E5CBF21-D15F-11D0-8301-00AA005B4383}"=-
[-HKEY_CLASSES_ROOT\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{86D4B82A-ABED-442A-BE86-96357B70F4FE}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKCU\Software\ConduitSearchScopes]
[-HKCU\Software\Datamngr]
[-HKCU\Software\PriceGong]
[-HKLM\Software\AntimalwareSolution]
[-HKLM\Software\TENCENT]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"D:\Program Files\P2Pcontrol\winrun.exe"=-
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4228:TCP"=-
"4335:UDP"=-
"4662:TCP"=-
"28257:TCP"=-
"62438:UDP"=-

list::
D:\Program Files\True Sword 5

file::
D:\WINDOWS\AutoRun.INI
D:\WINDOWS\SET25.tmp
D:\WINDOWS\SET3.tmp
D:\WINDOWS\SET30.tmp
D:\WINDOWS\SET33.tmp
D:\WINDOWS\SET3F.tmp
D:\WINDOWS\SET4.tmp
D:\WINDOWS\SET8.tmp

folder::
D:\Documents and Settings\fab\Application Data\OpenCandy
D:\Documents and Settings\fab\Application Data\PriceGong
D:\Documents and Settings\fab\Application Data\searchquband
D:\Documents and Settings\fab\Local Settings\Application Data\Conduit
D:\Documents and Settings\fab\Local Settings\Application Data\OpenCandy
D:\Program Files\Conduit
D:\Program Files\Windows Searchqu Toolbar

Mbr::

clean::

Reboot::

___________________________________________________

colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
0
pre script exécuté :

voici le résultat

http://pjjoint.malekal.com/files.php?id=20120202_y8h14d1311n8

merci
0
il y a pour moi un autre suspect
plugin-container.exe
je sais que ça bloquait régulièrement acrobat reader a la lecture, l'impression, l'enregistrement, et la il figure dans la liste des taches.
quand je le supprimai, ça liberait le PC et il pouvait continuer a fonctionner. mais j'ai du désinstaller acrobat reader, et utiliser autre chose pour lire les pdf, car acro32 buggait lui aussi.
c'est une rmq de routine
0
Utilisateur anonyme
2 févr. 2012 à 23:20
Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

D:\Program Files\True Sword 5\TrueSword5.exe

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

==============

Télécharge Sur cette page : AdwCleaner (de Xplode)

▶ clique sur Télécharger et enregistre le fichier sur ton Bureau

▶ Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation

==================================

▶▶▶ Sous Vista et Windows 7 /!\ :

il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

==================================

Sur le menu principal :

▶ clique sur Suppression et patiente le temps de l'analyse

▶ poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.
0
lien scan virus total
https://www.virustotal.com/file/5a669e120bf529d088cb59f20f885d7eb57db20770f7ea29cc6d81aa4a3511cc/analysis/
0
Utilisateur anonyme
2 févr. 2012 à 23:39
ok la suite :)
0
le lien vers adwcleaner

http://pjjoint.malekal.com/files.php?id=20120202_n13l5f8d5e12
0
Utilisateur anonyme
2 févr. 2012 à 23:55
lance zhpdiag , clique sur la fleche verte pour une mise à jour , coche tout au tournevis puis heberge le rapport
0
Rapport de ZHPScan 1.28.315 par Nicolas Coolman, Update du 22/01/2012
Run by fab at 02/02/2012 23:59:09
Web site : http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Web site : http://nicolascoolman.skyrock.com/


---\\ Clés de Registre trouvées (Registry Keys found)
[HKLM\Software\Classes\AppID\NCTAudioCDGrabber2.DLL] =>PUP.BearShare
[HKLM\Software\Classes\nctaudiocdwriter2.audiocdwriter2] =>Adware.RecordNRip
[HKLM\Software\Classes\nctaudiocdwriter2.audiocdwriter2.1] =>Adware.RecordNRip
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1392B8D2-5C05-419F-A8F6-B9F15A596612}] =>Toolbar.Conduit
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1392B8D2-5C05-419F-A8F6-B9F15A596612}] =>Toolbar.Conduit
[HKLM\Software\Classes\TypeLib\{2D77AC8A-0A4C-40D0-9557-51907A575E45}] =>Adware.RecordNRip
[HKLM\Software\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}] =>Spyware.Soft2PC
[HKLM\Software\Tencent] =>Adware.TencentAddressBar

---\\ Clés de Registre génériques trouvées (Generic Registry Keys found)

---\\ Valeurs de clé de Registre trouvées (Registry Values found)
*** None ***

---\\ Dossiers trouvés (Directories found)
*** None ***

---\\ Fichiers Firefox trouvés (Files found)
*** None ***

---\\ Fichiers trouvés (Files found)
*** None ***

---\\ Bilan de la recherche (Scan Result)
Database Version : 9053 - (22/01/2012)
Clés trouvées (Keys found) : 8
Valeurs de clé trouvées (Values found) : 0
Dossiers trouvés (Folders found) : 0
Fichiers trouvés (Files found) : 0

End of the scan in 00mn 11s
0
Utilisateur anonyme
3 févr. 2012 à 00:01
c'est pas ce qui est demandé
0
je n'ai ptetre pas compris, desolé
lance zhpdiag , OK démarré
clique sur la fleche verte pour une mise à jour , OK effectué
coche tout au tournevis : il y a un scan a faire avant de cocher au tourne vis ?




Rapport de ZHPScan 1.28.315 par Nicolas Coolman, Update du 22/01/2012
Run by fab at 03/02/2012 00:05:12
Web site : http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Web site : http://nicolascoolman.skyrock.com/


---\\ Clés de Registre trouvées (Registry Keys found)
[HKLM\Software\Classes\AppID\NCTAudioCDGrabber2.DLL] =>PUP.BearShare
[HKLM\Software\Classes\nctaudiocdwriter2.audiocdwriter2] =>Adware.RecordNRip
[HKLM\Software\Classes\nctaudiocdwriter2.audiocdwriter2.1] =>Adware.RecordNRip
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1392B8D2-5C05-419F-A8F6-B9F15A596612}] =>Toolbar.Conduit
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1392B8D2-5C05-419F-A8F6-B9F15A596612}] =>Toolbar.Conduit
[HKLM\Software\Classes\TypeLib\{2D77AC8A-0A4C-40D0-9557-51907A575E45}] =>Adware.RecordNRip
[HKLM\Software\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}] =>Spyware.Soft2PC
[HKLM\Software\Tencent] =>Adware.TencentAddressBar

---\\ Clés de Registre génériques trouvées (Generic Registry Keys found)

---\\ Valeurs de clé de Registre trouvées (Registry Values found)
*** None ***

---\\ Dossiers trouvés (Directories found)
*** None ***

---\\ Fichiers Firefox trouvés (Files found)
*** None ***

---\\ Fichiers trouvés (Files found)
*** None ***

---\\ Bilan de la recherche (Scan Result)
Database Version : 9053 - (22/01/2012)
Clés trouvées (Keys found) : 8
Valeurs de clé trouvées (Values found) : 0
Dossiers trouvés (Folders found) : 0
Fichiers trouvés (Files found) : 0

End of the scan in 00mn 11s
0
diag lancé via zhpdiag, en cours
0
rapport zhpdiag

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120203_v13n6w9w10k13
0
Utilisateur anonyme
3 févr. 2012 à 00:41
t'as rien coché au tournevis avant le scan
0
ok, je relance, en cochant tout avant le scan
c'est en cours
et je poste le rapport a finalisation
0
Utilisateur anonyme
3 févr. 2012 à 00:47
ok
0