Mémoire à 100% : svchost.exe/TrustedInstaller [rootkit VIRUS?] Résolu/Fermé

Question

Bonjour à tous,

(Tout d'abord désolé pour le double post généré plus bas, je viens de m'apercevoir qu'il fallait s'authentifier)

Voilà, depuis quelques jours mon PC tourne au ralenti (surtout au démarrage) et puis aléatoirement par la suite. Quand il rame, La mémoire est accaparée à 100% et le moniteur de ressources affiche que les processus suivants causent tous entre 500 et 2000 fautes matérielles/min :  

svchost.exe (secsvcs)                                  -> + de 1000/1300 fautes/min  
svchost (LocalSystemNetworkRestricted)    -> monte parfois à 1750 f/min  
svchost (Netsvcs)                                         -> entre 200 et 1000  
TrustedInstaller.exe                                     -> entre 500 et 1000 fautes  
MSASCUI.exe                                                -> 100 fautes  

Avast m'a indiqué qu'il avait trouvé un rootkit et j'ai coché supprimer.  
J'ai ensuite passé plusieurs anti-malware qui ont détecté des cookies suspects et aussi :  
c:\Users\client\appdata\local	emp\20ADxx8C.exe.partl>$PLUGINSDIR\$PLUGINSDIR\1clogo.bmp (Maleware-gen [Troj])  
et c:\$Recycle-bin\s-1-1-21-2922483869-4099025632-19155170-1000\$R7K35OB.exel>$PLUGINSDIR\$PLUGINSDIR\1clogo.bmp (Maleware-gen [Troj]) 

Ces deux menaces ont aussi été supprimées.  

Depuis, le PC semble ne plus être significativement ralentit (sauf parfois au démarrage) mais j'ai quand même décidé de passer d'autres outils comme combofix et hijackthis.  
Les ralentissements m'interpellent car ma config est performante normalement.   


Savez-vous si j'ai encore une infection svp ?  


Merci par avance pour votre aide !  


Martin  

Configuration: Windows Vista 64 pro/ Firefox 17.0

Malekal_morte- · Answer

Salut,

[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy) 
[*] Quitter tous les programmes 
[*] Lancer RogueKiller.exe. 
[*] Attendre que le Prescan ait fini ... 
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.

petitmecano · Answer

Salut

Tu peux me donner l'emplacement de svchost.exe ?

Dans le gestionnaire des taches, clique droit, propriétés

Martin-18 · Answer

Salut à vous deux !

Je fait ça tout de suite.

Malekal_morte- · Answer

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%systemroot%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe   
wininit.exe   
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT   
nslookup www.google.fr /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs    



* Clique sur le bouton Analyse.

NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.

Martin-18 · Answer

Voici les liens des rapports OTL et Extras :

https://pjjoint.malekal.com/files.php?id=20130111_q5d15x6n7t11

https://pjjoint.malekal.com/files.php?id=20130111_u15c6c610u12

Malekal_morte- · Answer

Désinstalle SuperAntispyware, il est pas super contrairement à ce qu'il indique...


Relance OTL.  
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début). 
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:   

:OTL 
O4 - Startup: C:\Users\All Users\SUPERAntiSpyware.com [2013/01/11 10:04:40 | 000,000,000 | ---D | M] 

* redemarre le pc sous windows et poste le rapport ici  
  

~~ 

- Télécharge https://sourceforge.net/projects/hjt/ ton bureau. 
- Pour lancer HijackThis : 
* Sur Vista/Seven faire un clic droit puis executer en tant qu'administrater pour le lancer 
* Sur XP un simple double-clic suffit 
- Génère un rapport en suivant ces indications : 
- Exécute le et clique sur Do a scan and save log file. 
- Le rapport s'ouvre sur le Bloc-Note 
- Enregistre le sur ton bureau 
- Envoie le sur http://pjjoint.malekal.com 
- Donne le lien pjjoint ici.  



  
Like the angel you are, you laugh creating a lightness in my chest, 
Your eyes they penetrate me, 
(Your answer's always 'maybe') 
That's when I got up and left

Martin-18 · Answer

J'ai désinstallé Superantispyware et relancé OTL puis fait la manip demandée. Voici le rapport de correction:

========== OTL ==========
File C:\Users\All Users\SUPERAntiSpyware.com not found.
 
OTL by OldTimer - Version 3.2.69.0 log created on 01112013_151555

Martin-18 · Answer

PC redémarré et scan Hijackthis fait :

https://pjjoint.malekal.com/files.php?id=HijackThis_20130111_j5y11z12k10j14

Malekal_morte- · Answer

Désactive le service TrustInstaller comme indiqué là : https://www.vulgarisation-informatique.com/faq-525--trusted-installer.php

Vois ce que ça donne pour l'utilisation CPU.

Martin-18 · Answer

Bonsoir,

TrustedInstaller est "Off"
Le CPU tourne encore comme avant, dans les 0-1% quand je ne fais rien.

En ce qui est de la mémoire, après une update de windows en fin d'aprèm, elle semble être retombée vers 40-47% de sollicitation sans rien faire contre quasiment 55-65 au moment ou j'ai commencé le post (et ce matin 100% au démarrage)

Je me suis apercçu que les 3 processus qui étaient les plus gourmands sont firefox avec 350 000K de mémoire utilisée et après 2X le même processus: "svchost.exe" à 189 000K et 89 000K respectivement.

J'ai creusé un peu la question car ça m'a interpellé de voir deux fois le même processus fonctionner et en fait en tout il y en a 13 ! (mais les 11 autres ne consomment pas plus de 20 000K). Est-ce normal ?

Et est-ce que la consommation de mémoire sans rien avoir d'autre d'ouvert que Firefox est normale aussi, car avec ces 3 gros processus ma mémoire affiche encore 40-47% d'utilisation (4Go de mémoire sur le PC) ?

Encore merci pour tout ton aide.

A bientôt

Mémoire à 100% : svchost.exe/TrustedInstaller [rootkit VIRUS?]

10 réponses

Discussions similaires