Mémoire à 100% : svchost.exe/TrustedInstaller [rootkit VIRUS?]

[Résolu/Fermé]
Signaler
Messages postés
44
Date d'inscription
vendredi 11 janvier 2013
Statut
Membre
Dernière intervention
18 octobre 2014
-
Messages postés
44
Date d'inscription
vendredi 11 janvier 2013
Statut
Membre
Dernière intervention
18 octobre 2014
-
Bonjour à tous,

(Tout d'abord désolé pour le double post généré plus bas, je viens de m'apercevoir qu'il fallait s'authentifier)

Voilà, depuis quelques jours mon PC tourne au ralenti (surtout au démarrage) et puis aléatoirement par la suite. Quand il rame, La mémoire est accaparée à 100% et le moniteur de ressources affiche que les processus suivants causent tous entre 500 et 2000 fautes matérielles/min :

svchost.exe (secsvcs) -> + de 1000/1300 fautes/min
svchost (LocalSystemNetworkRestricted) -> monte parfois à 1750 f/min
svchost (Netsvcs) -> entre 200 et 1000
TrustedInstaller.exe -> entre 500 et 1000 fautes
MSASCUI.exe -> 100 fautes

Avast m'a indiqué qu'il avait trouvé un rootkit et j'ai coché supprimer.
J'ai ensuite passé plusieurs anti-malware qui ont détecté des cookies suspects et aussi :
c:\Users\client\appdata\local\temp\20ADxx8C.exe.partl>$PLUGINSDIR\$PLUGINSDIR\1clogo.bmp (Maleware-gen [Troj])
et c:\$Recycle-bin\s-1-1-21-2922483869-4099025632-19155170-1000\$R7K35OB.exel>$PLUGINSDIR\$PLUGINSDIR\1clogo.bmp (Maleware-gen [Troj])

Ces deux menaces ont aussi été supprimées.

Depuis, le PC semble ne plus être significativement ralentit (sauf parfois au démarrage) mais j'ai quand même décidé de passer d'autres outils comme combofix et hijackthis.
Les ralentissements m'interpellent car ma config est performante normalement.


Savez-vous si j'ai encore une infection svp ?


Merci par avance pour votre aide !


Martin

10 réponses

Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 097
Désinstalle SuperAntispyware, il est pas super contrairement à ce qu'il indique...


Relance OTL.
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
O4 - Startup: C:\Users\All Users\SUPERAntiSpyware.com [2013/01/11 10:04:40 | 000,000,000 | ---D | M]


* redemarre le pc sous windows et poste le rapport ici


~~

- Télécharge https://sourceforge.net/projects/hjt/ ton bureau.
- Pour lancer HijackThis :
* Sur Vista/Seven faire un clic droit puis executer en tant qu'administrater pour le lancer
* Sur XP un simple double-clic suffit
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Enregistre le sur ton bureau
- Envoie le sur http://pjjoint.malekal.com
- Donne le lien pjjoint ici.




Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 42674 internautes nous ont dit merci ce mois-ci

Messages postés
44
Date d'inscription
vendredi 11 janvier 2013
Statut
Membre
Dernière intervention
18 octobre 2014
1
Je ne sais pas si c'est normal mais quand j'ai redémarré le PC je n'ai pas eu de nouveau rapport qui s'est affiché, je pense à cela car je viens de relire ton message et je vois :
* redemarre le pc sous windows et poste le rapport ici
Messages postés
5310
Date d'inscription
mardi 7 août 2012
Statut
Membre
Dernière intervention
29 novembre 2019
1 094
Salut

Tu peux me donner l'emplacement de svchost.exe ?

Dans le gestionnaire des taches, clique droit, propriétés
Messages postés
44
Date d'inscription
vendredi 11 janvier 2013
Statut
Membre
Dernière intervention
18 octobre 2014
1
Salut à vous deux !

Je fait ça tout de suite.
Messages postés
5310
Date d'inscription
mardi 7 août 2012
Statut
Membre
Dernière intervention
29 novembre 2019
1 094
Mon post & celui de Malekal_morte- se sont croisés

Donne moi juste l'emplacement & je laisserais Malekal_morte- t'aider (je suivrais quand même )
Messages postés
44
Date d'inscription
vendredi 11 janvier 2013
Statut
Membre
Dernière intervention
18 octobre 2014
1
Très bien merci quand même pour ton aide.

Je ne trouve pas le processus svchost.exe dans le Gestionnaire de tâche mais simplement dans l'onglet "mémoire" du Moniteur de ressources. A partir du moniteur je ne peux pas de faire clic droit /propriétés, ça ne réagit pas :\
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 097
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs




* Clique sur le bouton Analyse.

NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.

Messages postés
44
Date d'inscription
vendredi 11 janvier 2013
Statut
Membre
Dernière intervention
18 octobre 2014
1
Messages postés
44
Date d'inscription
vendredi 11 janvier 2013
Statut
Membre
Dernière intervention
18 octobre 2014
1
J'ai désinstallé Superantispyware et relancé OTL puis fait la manip demandée. Voici le rapport de correction:

========== OTL ==========
File C:\Users\All Users\SUPERAntiSpyware.com not found.

OTL by OldTimer - Version 3.2.69.0 log created on 01112013_151555
Messages postés
44
Date d'inscription
vendredi 11 janvier 2013
Statut
Membre
Dernière intervention
18 octobre 2014
1
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 097
Désactive le service TrustInstaller comme indiqué là : https://www.vulgarisation-informatique.com/faq-525--trusted-installer.php

Vois ce que ça donne pour l'utilisation CPU.
Messages postés
44
Date d'inscription
vendredi 11 janvier 2013
Statut
Membre
Dernière intervention
18 octobre 2014
1
En fait ce n'est pas le processeur qui est sollicité mais plutôt la mémoire quand je regarde Moniteur de Ressources.
La je suis à 0 - 1 % du Processeur utilisé mais entre 48 et 58% de la mémoire utilisée.

Dois-je quand même virer TrustedInstaller ?

(Merci encore pour ton aide et ton temps)
Messages postés
44
Date d'inscription
vendredi 11 janvier 2013
Statut
Membre
Dernière intervention
18 octobre 2014
1
Bonsoir,

TrustedInstaller est "Off"
Le CPU tourne encore comme avant, dans les 0-1% quand je ne fais rien.

En ce qui est de la mémoire, après une update de windows en fin d'aprèm, elle semble être retombée vers 40-47% de sollicitation sans rien faire contre quasiment 55-65 au moment ou j'ai commencé le post (et ce matin 100% au démarrage)

Je me suis apercçu que les 3 processus qui étaient les plus gourmands sont firefox avec 350 000K de mémoire utilisée et après 2X le même processus: "svchost.exe" à 189 000K et 89 000K respectivement.

J'ai creusé un peu la question car ça m'a interpellé de voir deux fois le même processus fonctionner et en fait en tout il y en a 13 ! (mais les 11 autres ne consomment pas plus de 20 000K). Est-ce normal ?

Et est-ce que la consommation de mémoire sans rien avoir d'autre d'ouvert que Firefox est normale aussi, car avec ces 3 gros processus ma mémoire affiche encore 40-47% d'utilisation (4Go de mémoire sur le PC) ?

Encore merci pour tout ton aide.

A bientôt
Messages postés
180261
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 097
Salut,

[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.

Messages postés
44
Date d'inscription
vendredi 11 janvier 2013
Statut
Membre
Dernière intervention
18 octobre 2014
1
Merci pour ton aide.

Voici le rapport :

RogueKiller V8.4.3 [Jan 10 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 64 bits version
Demarrage : Mode normal
Utilisateur : Standard [Droits d'admin]
Mode : Recherche -- Date : 11/01/2013 14:27:23

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 5 ¤¤¤
[RUN][SUSP PATH] HKLM\[...]\Wow6432Node\RunOnce : 549EC6FE-BD7B-4942-BA90-4FBFE14794F8 (cmd.exe /C start /D "C:\Users\Standard\AppData\Local\Temp" /B 549EC6FE-BD7B-4942-BA90-4FBFE14794F8.exe -postboot) -> TROUVÉ
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ
[HJPOL] HKLM\[...]\Wow6432Node\System : DisableRegistryTools (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD1002FAEX-00Z3A0 +++++
--- User ---
[MBR] 9d8dce2b65e692ca79b99acb5cb368fa
[BSP] 009330d74a560be695f7e4f84f84c1c4 : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 953867 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: Kingston DT 100 G2 USB Device +++++
--- User ---
[MBR] 85a2de851ec880b3f234677456bff9b7
[BSP] 33a07a59d299ab4ea9f4ab0156f9d86f : Windows XP MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 8064 | Size: 7636 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[1]_S_11012013_142723.txt >>
RKreport[1]_S_11012013_142723.txt
Messages postés
44
Date d'inscription
vendredi 11 janvier 2013
Statut
Membre
Dernière intervention
18 octobre 2014
1
Voici le rapport après suppression :

RogueKiller V8.4.3 [Jan 10 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 64 bits version
Demarrage : Mode normal
Utilisateur : Standard [Droits d'admin]
Mode : Suppression -- Date : 11/01/2013 14:33:01

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 4 ¤¤¤
[RUN][SUSP PATH] HKLM\[...]\Wow6432Node\RunOnce : 549EC6FE-BD7B-4942-BA90-4FBFE14794F8 (cmd.exe /C start /D "C:\Users\Standard\AppData\Local\Temp" /B 549EC6FE-BD7B-4942-BA90-4FBFE14794F8.exe -postboot) -> SUPPRIMÉ
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD1002FAEX-00Z3A0 +++++
--- User ---
[MBR] 9d8dce2b65e692ca79b99acb5cb368fa
[BSP] 009330d74a560be695f7e4f84f84c1c4 : Windows Vista MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 953867 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: Kingston DT 100 G2 USB Device +++++
--- User ---
[MBR] 85a2de851ec880b3f234677456bff9b7
[BSP] 33a07a59d299ab4ea9f4ab0156f9d86f : Windows XP MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 8064 | Size: 7636 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[2]_D_11012013_143301.txt >>
RKreport[1]_S_11012013_142723.txt ; RKreport[2]_D_11012013_143301.txt